Windows 2016 Server セキュリティ設定

これは 2008 年のサーバー セキュリティ設定と非常によく似ています。

システムアップデート構成

Windows Update サーバーの変更

デフォルトの Windows アップデート サーバーが遅いと感じた場合、または Alibaba Cloud または Tencent Cloud サーバーを選択した場合は、Windows サーバーを変更できます。

スタート メニュー アイコンを右クリックして [実行] を選択し、 gpedit.mscと入力して、[コンピューターの構成] - [管理用テンプレート] - [Windows コンポーネント] - [Windows Update] の順に選択し、[イントラネットの Microsoft Update サービスの場所を指定する] をダブルクリックします。

[有効] を選択し、更新を検出するためのイントラネット更新サービスと統計サーバーを設定します。 Alibaba Cloud Classic Network の場合は http://windowsupdate.aliyun-inc.com に設定でき、Alibaba Cloud VPC ネットワークは http://update.cloud.aliyuncs.com に設定でき、Tencent Cloud は http://windowsupdate.tencentyun.com に設定でき、バックアップ ダウンロード サーバーは http://wsus.neu.edu.cn に設定できます。

自動更新を有効にして許可する

今すぐインストールするには、「自動更新を許可する」をダブルクリックし、「有効」を選択して自動更新を有効にします。次に、「自動更新を構成する」をダブルクリックし、「有効」を選択して、以下に示すように「自動的にダウンロードしてインストールを通知する」に設定します。

上記の 2 つの手順を設定した後、管理者として次のコマンドを実行する必要があります。

gpupdate /force

自動更新を行う際に発生する0x8024401f、0x8024401cエラーを解決します。上記操作が完了したら、スタートメニュー-設定を選択し、更新プログラムのチェックを実行し、正常かどうかを確認してください。
エラー 0x8024401f または 0x8024401c が表示された場合は、管理者として次のコマンドを実行します。

ネットストップwuauserv
reg 削除 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
ネットスタートwuauserv

システムアカウントのセキュリティ

アカウントセキュリティポリシーを設定する

「実行」でsecpol.mscコマンドを実行し、「ローカル セキュリティ ポリシー」を開いて、次の設定を行います。
（1）「アカウント設定」-「パスワードポリシー」
パスワードの強度を高めるために、適切なパスワードの複雑さを設定します。参照設定は次のとおりです。

（２）「アカウント設定」-「アカウントロックポリシー」
アカウントパスワードエラー後のロックアウト時間を設定するには、他の 2 つの項目を設定する前に、「アカウント ロックアウトしきい値」を設定する必要があります。 参照設定は次のとおりです。

（3）「ローカルポリシー」-「セキュリティオプション」
対話型ログオン: 最後のユーザー名を表示しないを有効に設定します。

アカウントを確認して最適化する

アカウントのセキュリティ設定が完了したら、システム アカウントを最適化します。 「実行」で compmgmt.msc コマンドを実行して「コンピューターの管理」を開き、「システム ツール」-「ローカル ユーザーとグループ」-「ユーザー」で未使用のアカウントがあるかどうかを確認し、未使用のアカウントを削除するか無効にします。さらに、コマンドラインでnet userコマンドを使用して、余分なアカウントがあるかどうかを確認する必要もあります (一部のアカウントはコンピューターの管理で非表示になります)。net net user <username> /delコマンドを使用して、対応するアカウントを削除できます。

デフォルトの管理者ユーザー名をAdministratorに変更し、新しい管理者パスワードをリセットすることをお勧めします。

自動システムログインを無効にする

システムを休止状態から再起動した後、システムにログインするにはパスワードが必要です。 「実行」に「control userpasswords2」と入力し、「ユーザー アカウント」を開いて、「このコンピューターを使用するには、ユーザーはユーザー名とパスワードを入力する必要があります。」オプションを有効にします。

リモートアクセスセキュリティ

リモート端末のデフォルトポート3389を変更する

デフォルトのリモート端末ポート 3389 を別のポートに変更します。 regedit を実行してレジストリ プログラムを開きます。レジストリ内の 2 か所を変更する必要があります。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\repwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

上記の 2 つの場所の右側にある PortNumber の値を新しいポート番号に変更します (基数を 10 進数に設定することをお勧めします)。

設定が完了したら、レジストリを閉じてサーバーを再起動して設定を有効にします。ファイアウォールを設定する場合は、新しいポートがファイアウォールのホワイトリストに追加されていることを確認してください。

リモートシャットダウン、ローカルシャットダウン、およびユーザー権限の割り当てを管理者グループにのみ許可する

「実行」でsecpol.mscを実行し、「ローカル セキュリティ ポリシー」ウィンドウを開き、「ローカル ポリシー」-「ユーザー権利の割り当て」の順に開きます。
（1）右側の「リモートシステムからの強制シャットダウン」をダブルクリックし、「管理者グループ」のみを残し、他のユーザーグループを削除します。
（2）右側の「システムのシャットダウン」をダブルクリックし、「管理者グループ」のみを残し、他のユーザーグループを削除します。
（3）右側の「ファイルまたはその他のオブジェクトの所有権を取得する」をダブルクリックし、「管理者グループ」のみを残し、他のユーザーグループを削除します。

リモートログインアカウントを特定の管理者アカウントに設定する

Administrtors グループの代わりに特定の管理者アカウントを指定すると、システムにログインする際のセキュリティが強化されます。脆弱性を利用して Administrtors グループのアカウントが作成された場合でも、システムにログインすることはできません。

「実行」でsecpol.mscを実行し、「ローカル セキュリティ ポリシー」ウィンドウを開き、「ローカル ポリシー」-「ユーザー権利の割り当て」の順に開きます。右側の「ネットワーク経由でコンピュータへアクセス」をダブルクリックし、すべてのユーザーグループを削除してから、下の「ユーザーまたはグループの追加...」ボタンをクリックし、「詳細設定」ボタンをクリックし、「今すぐクエリ」ボタンをクリックし、クエリ結果から管理者のアカウントを選択して、順番に確認して保存します。

システムネットワークセキュリティ

不要なサービスをオフにする

「実行」で services.msc コマンドを実行して「サービス」を開きます。状況に応じて、次のサービスを無効にすることをお勧めします。

アプリケーション層ゲートウェイ サービス (アプリケーション レベルのプロトコル プラグインのサポートを提供し、ネットワーク/プロトコル接続を可能にします)
バックグラウンド インテリジェント転送サービス (アイドル状態のネットワーク帯域幅を使用して、バックグラウンドでファイルを転送します。このサービスが無効になっていると、Windows Update や MSN Explorer などの機能でプログラムやその他の情報を自動的にダウンロードできなくなります)
コンピュータ ブラウザ (ネットワーク上のコンピュータの最新リストを維持し、ブラウザとして指定されたコンピュータにリストを提供します)
DHCP クライアント
診断ポリシーサービス
分散リンクトラッキングクライアント
分散トランザクションコーディネーター
DNS クライアント
印刷スプーラ (すべてのローカルおよびネットワーク印刷キューを管理し、すべての印刷ジョブを制御します)
リモート レジストリ (リモート ユーザーがこのコンピューターのレジストリ設定を変更できるようにします)
サーバー (ファイル共有を使用しない場合はオフにすることができます。オフにした後、ディスクを右クリックして [プロパティ] を選択します。[共有] ページは存在しなくなります。)
シェルハードウェア検出
TCP/IP NetBIOS ヘルパー (ネットワーク上のクライアントに対して NetBIOS over TCP/IP (NetBT) サービスと NetBIOS 名前解決のサポートを提供し、ユーザーがファイルを共有したり、印刷したり、ネットワークにログオンしたりできるようにします)
タスク スケジューラ (ユーザーがこのコンピューターで自動化されたタスクを構成し、スケジュールできるようにします)
Windows リモート管理 (ポート 47001、Windows リモート管理サービス、IIS でハードウェアを管理するために使用、通常は使用されません)
ワークステーション (リモート サービスへのクライアント ネットワーク接続を作成および維持します。サービスが停止すると、これらの接続は利用できなくなります)

「Synchronize Host_xxx」サービスを閉じます

Windows 2016 には、「SyncHost_xxx」というサービスがあります。xxx はサーバーごとに異なる番号です。手動で閉じる必要がある場合、操作は次のとおりです。
まず、「実行」で regedit を実行してレジストリを開き、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services の下にある OneSyncSvc、OneSyncSvc_xxx、UserDataSvc、UserDataSvc_xxx の 4 つの項目を見つけて、開始値を順番に 4 に変更し、レジストリを終了してサーバーを再起動します。

IPC共有を無効にする

上記の Server サービスを停止して無効にすると、IPC 共有は表示されません。net share コマンドを実行すると、「Server サービスが開始されていません」というメッセージが表示されます。それ以外の場合は、C$、D$ などのデフォルトの共有と同様になります。これらは、net share C$ /del コマンドを使用して削除できます。

レジストリで HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters を見つけ、右側の空白部分を右クリックして、「新規」 - 「DWORD 項目」を選択し、名前をAutoShareServerに設定し、キー値を 0 に設定します。

ポート 139 (Netbios サービス)、ポート 445、ポート 5355 (LLMNR) を閉じます

(1) ポート139を閉じます。「コントロールパネル」-「ネットワークの状態とタスクの表示」の順に開き、左側の「アダプターの設定の変更」をクリックし、ネットワーク接続で有効になっているネットワークカードをダブルクリックし、「プロパティ」ボタンをクリックし、「インターネットプロトコルバージョン4（TCP/IPv4）」をダブルクリックし、開いたウィンドウの右下隅にある「詳細設定」ボタンをクリックし、上部の「WINS」タブを選択し、「NetBIOS設定」で「NetBIOS over TCP/IPを無効にする」を選択し、最後に「OK」を順にクリックします。

この機能をオフにすると、サーバー上のすべての共有サービス機能がオフになり、他のユーザーはリソース マネージャーで共有リソースを表示できなくなります。これにより情報漏洩も防止されます。

（２）ポート445を閉じる

ポート 445 は、NetBIOS がローカル エリア ネットワーク内のマシン名を解決するために使用するサービス ポートです。通常、サーバーは LAN への共有を開く必要がないため、閉じることができます。レジストリを開き、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters で右側を右クリックして、「新規」-「Dword 値」を選択し、名前を SMBDeviceEnabled に、値を 0 に設定します。

（３）ポート5355（LLMNR）を閉じる

LLMNR リンク ローカル マルチキャスト名前解決 (マルチキャスト DNS とも呼ばれます) は、ローカル ネットワーク セグメント上の名前を解決するために使用され、グループ ポリシーを通じて無効にすることができます。 「実行」を開いて gpedit.msc と入力し、「ローカル グループ ポリシー エディター」を開き、「コンピューターの構成」-「管理用テンプレート」-「ネットワーク」-「DNS クライアント」の順に選択し、右側の「マルチキャスト名前解決をオフにする」項目をダブルクリックして、「無効」に設定します。

ネットワークアクセス制限

「実行」で secpol.msc を実行して「ローカル セキュリティ ポリシー」を開き、「セキュリティ設定」 - 「ローカル ポリシー」 - 「セキュリティ オプション」を開いて、次のポリシーを設定します。

ネットワーク アクセス: SAM アカウントの匿名列挙を許可しない: 有効 ネットワーク アクセス: SAM アカウントと共有の匿名列挙を許可しない: 有効 ネットワーク アクセス: 匿名ユーザーに Everyone 権限を適用する: 無効 アカウント: パスワードが空白のローカル アカウントにはコンソール ログオンのみを許可する: 有効

設定が完了したら、コマンドラインでgpupdate /forceを実行し（管理者として）、すぐに設定を有効にします。

ログ監査

強化されたログ記録

ログ ファイルの容量が小さいためにログ レコードが不完全になるのを回避するには、ログ サイズを増やします。 「実行」でeventvwr.mscコマンドを実行して「イベント ビューアー」ウィンドウを開き、「Windows ログ」ファイルを開き、下の「アプリケーション」、「セキュリティ」、「システム」項目を右クリックして「プロパティ」を選択し、「最大ログ サイズ」を 20480 に変更します。

強化された監査

システム イベントは、将来のトラブルシューティングと監査のために記録されます。 「実行」で secpol.msc コマンドを実行して「ローカル セキュリティ ポリシー」ウィンドウを開き、「セキュリティ設定」-「ローカル ポリシー」-「監査ポリシー」を順に選択し、次のように項目を設定することをお勧めします。

監査ポリシーの変更: 成功 ログオン イベントの監査: 成功、失敗 オブジェクト アクセスの監査: 成功 プロセス追跡の監査: 成功、失敗 ディレクトリ サービス アクセスの監査: 成功、失敗 システム イベントの監査: 成功、失敗 アカウント ログオン イベントの監査: 成功、失敗 アカウント管理の監査: 成功、失敗

上記の項目が正常に設定されたら、「実行」でgpupdate /forceコマンドを実行し、設定をすぐに有効にします。

ファイアウォールを有効にして設定する

クラウドサーバー（Alibaba Cloud、Tencent Cloudなど）を使用する場合、クラウドサービスプロバイダーはファイアウォールツールを提供します。これは通常、ルーティングレベルに配置されます。使用がより便利であり、誤って操作してもサーバーから除外されません。したがって、クラウドサービスプロバイダーが提供するファイアウォールを優先することをお勧めします。

Windowsファイアウォールをオンまたはオフにする

「コントロール パネル」を開き、「システムとセキュリティ」 - 「Windows ファイアウォール」を選択し、左側の「Windows ファイアウォールの有効化または無効化」を選択して、必要に応じて Windows ファイアウォールの有効化または無効化を選択します。クラウド サービス プロバイダーが提供するファイアウォールを使用する場合は、Windows ファイアウォールをオフにすることをお勧めします。 PS: ファイアウォールをオンにする前に、リモート ログイン ポート アクセスを許可する必要があります。そうしないと、リモート接続が中断されます。

特定のポートへのアクセスを許可する

ここでは、ファイアウォールが有効になっていることを前提として、Windows ファイアウォールを例に挙げます (実際、クラウド サービス プロバイダーが提供するファイアウォール ルールも同様です)。 「実行」で WF.msc を実行して「セキュリティが強化された Windows ファイアウォール」を開き、左側の「受信の規則」をクリックし、右側の「新しい規則...」をクリックして「新しい受信の規則ウィザード」ウィンドウを開き、「ポート」を選択して「次へ」ボタンをクリックします。ポートの種類として「TCP」を選択し、下の「特定のローカル ポート」を選択して、設定されているリモート ログイン ポートと Web ポート (80、433、3389 など) を入力して「次へ」ボタンをクリックします。「接続を許可する」を選択して「次へ」ボタンをクリックします。すべてのオプションを選択して「次へ」をクリックします。最後に「リモート接続と Web サービスを許可する」などの規則名を入力し、「完了」をクリックして保存します。

ICMPを無効にする（pingを無効にする）

上記の手順に従って、「セキュリティが強化された Windows ファイアウォール」を開き、左側の「受信の規則」を選択します。既定の規則から「ファイルとプリンターの共有 (エコー要求 - ICMPv4 受信)」をダブルクリックし、「全般」で「有効」を選択し、「操作」で「接続をブロックする」を選択します。最後に「OK」をクリックして保存します。

その他のセキュリティ設定

ローカル攻撃者がデスクトップの制御を直接回復できないようにスクリーンセーバーを設定する

「コントロール パネル」を開き、「デスクトップのカスタマイズ」 - 「個人設定」 - 「スクリーン セーバー」の順に進み、スクリーン セーバーを選択してから、「再開時にログオン画面を表示する」を選択し、待機時間を 10 分に設定します。

Windowsの自動再生をオフにする

「実行」でgpedit.mscコマンドを実行し、「コンピューターの構成」-「テンプレート」-「すべての設定」の順に開き、「自動再生をオフにする」をダブルクリックして「有効」を選択します。

IPV6を無効にします。操作を参照してください。

Windows Server 2008/2016 オペレーティング システムに Weblogic Web アプリケーションをデプロイし、デプロイ後にテストすると、テスト ページのアドレスが静的 IP アドレスではなくトンネル アダプタのアドレスを使用し、ネットワークに IPv6 アクセスがないことが判明したため、IPv6 とトンネル アダプタを無効にすることにしました。操作は次のとおりです。
IPv6 を無効にするのは非常に簡単です。コントロール パネル\ネットワークとインターネット\ネットワークと共有センターに移動し、パネルの右側にある「アダプターの設定の変更」をクリックしてネットワーク接続インターフェイスに入り、設定する接続を選択して右クリックし、プロパティを選択し、インターネット プロトコル バージョン 6 (TCP/IPv6) の前の選択ボックスをオフにして、OK をクリックします。

トンネル アダプターを無効にするには、レジストリ情報を次のように変更する必要があります。
スタート -> 実行 -> 「Regedit」と入力してレジストリ エディターに入り、次の場所に移動します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
パラメータを右クリックし、新規 -> DWORD (32 ビット) 値を選択し、値に DisabledComponents という名前を付けて、値を ffffffff (16 進数) に変更します。
再起動後に有効になります
DisableComponents 値の定義:
0、すべての IPv6 コンポーネントを有効にする、デフォルト設定
0xffffffff、IPv6ループバックインターフェースを除くすべてのIPv6コンポーネントを無効にする
0x20、プレフィックスポリシーで IPv6 ではなく IPv4 を使用する
0x10、ネイティブ IPv6 インターフェースを無効にする
0x01、すべてのトンネル IPv6 インターフェースを無効にする
0x11、IPv6のループバックインターフェースを除くすべてのIPv6インターフェースを無効にする

終了！サーバーを再起動します

123WORDPRESS.COM エディターを追加しました

実際、多くの場合、win2008 r2 サーバーのセキュリティ設定を参照できます。

mcafee、SafeDog、Guardian suite などをインストールします。基本的なセキュリティ設定とワンクリック操作があります。しかし、原理は上記と同じですが、手動操作は個人のスキルの向上にさらに役立ちます。最初は手動で操作し、その後ツールを使用して確認することをお勧めします。

詳細については、次の2つの記事を参照してください。

Windows Server 2008 R2 の一般的なセキュリティ設定と基本的なセキュリティ ポリシー

win2008 r2 サーバー セキュリティ構成手順の概要

Windows 2016 サーバーのセキュリティ設定に関するこの記事はこれで終わりです。より関連性の高い win2016 サーバーのセキュリティ設定コンテンツについては、123WORDPRESS.COM の以前の記事を検索するか、以下の関連記事を引き続き参照してください。今後とも 123WORDPRESS.COM をよろしくお願いいたします。