线上的服务器最近打算从Windows Server 2012升级到Windows Server 2016。
这里记录一下流程,之后修改出机脚本的时候可以对照参考。
优化与安全
显示桌面图标
打开cmd执行
cmd> rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
更新补丁(可选)
Windows Server 2016是自动更新了,所以这步其实是没有必要。不过我们可以先看看在哪里看自动更新
修改端口
打开cmd执行
cmd> regedit
依次展开注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
其下的“PortNumber”键值所对应的就是端口号,将其修改即可。
自定义日志路径(可选)
打开事件查看器,你会发现原先的 Application, Security, System日志默认的位置都是在C盘且位置很不好查看
原先的路径
%SystemRoot%\System32\Winevt\Logs\Application.evtx %SystemRoot%\System32\Winevt\Logs\Security.evtx %SystemRoot%\System32\Winevt\Logs\System.evtx
修改后的位置(如果C盘空间不够,还可以改到其他盘去。)
C:\EventLog\Application\Application.evtx C:\EventLog\Security\Security.evtx C:\EventLog\System\System.evtx
本地策略
设置安全策略
使用密码永不过期,正常应该
此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。修改审核策略
创建IP策略(可选)
时间同步(可选)
打开powershell
# # 方法一: # w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL # Stop-Service w32time # Start-Service w32time # w32tm /query /status # # 方法二: # Start-Service w32time # w32tm /resync # w32tm /query /status # # 方法三: Start-Service w32time w32tm /config /update /manualpeerlist:pool.ntp.org w32tm /resync w32tm /query /status
安装软件
安装.NET-Framework
去官网下载就完事了,这里需求是.NET-Framework 47
安装IIS/IIS管理工具/Telnet-Client
其他
将隐私选择里面的值全部关闭掉。
修改远程桌面会话级别
找到左侧边栏计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面会话主机-安全项
修改“远程(RDP)连接要求使用指定的安全层”,改为启用,安全层选择RDP显示文件后缀
关闭不需要的服务
将下列的内容,保存成server.reg文件,然后双击导入到注册表中。
Windows Registry Editor Version 5.00
/*RemoteRegistry是远程注册表*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Start"=dword:00000004
/*CertPropSvc为智能卡提供证书*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertPropSvc]
"Start"=dword:00000004
/*维护网络上计算机的最新列表以及提供这个列表给请求的程序*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\browser]
"Start"=dword:00000004
/*收集和存储意外的应用程序关闭事件并向 Microsoft 报告,它还允许对非标准环境中运行的服务和应用程序启用错误报告*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004
/*spooler是打印服务*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spooler]
"Start"=dword:00000004
/*提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts]
"Start"=dword:00000004
/*传真服务*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fax]
"Start"=dword:00000004
/*允许自动配置无线通讯的 IEEE 802.11 无线适配器*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WZCSVC]
"Start"=dword:00000004
/*windows installer服务是Windows系统专门为采用MSI Windows Installer所封装程序的一个服务,如果我们把这项服务停止,那么只要采用该封装方式的软件将无法安装,这样可以限制不少软件的安装*/
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer]
"Start"=dword:00000002
/*是Windows辅助工具管理器程序服务*/