Windows Server 2025 开箱配置:修订间差异
来自陋室
更多操作
删除的内容 添加的内容
小 →1. 网络基础配置: 添加命令 |
小 →1. 网络基础配置: 调整命令 |
||
| 第18行: | 第18行: | ||
<pre> |
<pre> |
||
Get-NetAdapter |
Get-NetAdapter |
||
ipconfig |
|||
| ⚫ | |||
| ⚫ | |||
Remove-NetIPAddress -InterfaceAlias "NIC1" -Confirm:$false |
|||
| ⚫ | |||
Get-DnsClientServerAddress -InterfaceAlias "NIC1" |
|||
| ⚫ | |||
Test-NetConnection 192.168.137.1 |
|||
</pre> |
</pre> |
||
2025年11月19日 (三) 14:01的版本
本页内容为经校对后的 安全优先 / 命令优先 / 无冗余版 Windows Server 2025 新机配置流程。 所有命令默认需在 管理员权限 PowerShell / CMD 中执行。 按优先级分为:必须 → 推荐 → 可选。
第 0 阶段:控制台准备(物理/带外 – 必做)
- 确保可访问物理控制台或 iDRAC/KVM/IPMI。
- 建立《Setup_Commands.txt》并加密保存,用于记录你执行的所有动作(便于回滚)。
(原因:远程配置失误会锁死机器,控制台可救命。)
第一阶段:基础安全与网络配置(必须先做)
1. 网络基础配置
PowerShell:
Get-NetAdapter
ipconfig
Remove-NetIPAddress -InterfaceAlias "NIC1" -Confirm:$false
New-NetIPAddress -InterfaceAlias "NIC1" -IPAddress 192.168.137.137 -PrefixLength 24 -DefaultGateway 192.168.137.1
Get-DnsClientServerAddress -InterfaceAlias "NIC1"
Set-DnsClientServerAddress -InterfaceAlias "NIC1" -ServerAddresses ("223.5.5.5","8.8.4.4")
Test-NetConnection 192.168.137.1
验证连通性:
ping 192.168.137.1 nslookup www.microsoft.com
将网络设为 Private(避免 Public 防火墙策略过严):
Set-NetConnectionProfile -InterfaceAlias "Ethernet" -NetworkCategory Private
2. 启用与强化 Windows 防火墙
Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True
仅放行“管理网段”而不是全部互联网(Any)。
3. 管理员账户安全基线(必须)
3.1 修改 Administrator 密码
net user Administrator StrongPassword!234
3.2 创建日常管理员账户
net user ServerAdmin StrongPassword!234 /add net localgroup Administrators ServerAdmin /add
3.3 使用组策略重命名 Administrator 帐户(官方推荐做法)
路径:
- gpedit.msc → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项
修改:
- “帐户:重命名管理员帐户”
将“Administrator”改为你自定义的安全名称。
4. 区分本地登录/远程登录权限(安全关键)
4.1 Administrator:禁止远程桌面登录(仅允许本地登录)
路径:
- secpol.msc → 本地策略 → 用户权限分配 → “拒绝通过远程桌面服务登录”
添加:新名称的 Administrator 帐户。
4.2 日常管理员 ServerAdmin:禁止本地控制台登录,但允许 RDP
路径:
- secpol.msc → 本地策略 → 用户权限分配 → “拒绝本地登录”
添加:ServerAdmin。
路径:
- “允许通过远程桌面服务登录”
添加:ServerAdmin(移除不必要成员)。
(两者合并后: Administrator 仅本地 ServerAdmin 仅 RDP 从而大幅减少本地提权风险与凭据泄露。)
5. 系统更新 / 驱动 / 版本升级
5.1 Windows Update
GUI:
- 设置 → Windows Update → 检查更新
5.2 升级为 Datacenter(如需)
(需合法 key,会自动重启)
DISM /online /Set-Edition:ServerDatacenter /ProductKey:D764K-2NDRG-47T6Q-P8T8W-YP6DF /AcceptEula
6. KMS 激活(合法环境)
slmgr -ipk D764K-2NDRG-47T6Q-P8T8W-YP6DF slmgr -skms kms.03k.org slmgr -ato slmgr /xpr
第二阶段:远程管理(按需开启,限制来源)
1. 启用 RDP(先做防火墙)
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name fDenyTSConnections -Value 0
强制 NLA:
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name UserAuthentication -Value 1
仅允许管理网段访问 3389:
New-NetFirewallRule -DisplayName "RDP-ManageNet" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.1.0/24 -Action Allow
2. 修改 RDP 端口 + 配套防火墙(完整命令)
2.1 修改端口
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name PortNumber -Value 55000
2.2 添加新端口防火墙规则(最重要步骤)
New-NetFirewallRule -DisplayName "RDP-55000" -Direction Inbound -Protocol TCP -LocalPort 55000 -RemoteAddress 192.168.1.0/24 -Action Allow
2.3 重启 RDP 服务
Restart-Service TermService -Force
(更改端口不会自动开防火墙。微软官方文档明确需要手动添加规则。)
3. WinRM / PS Remoting / SSH
Enable-PSRemoting -Force
安装 OpenSSH:
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0 Start-Service sshd Set-Service sshd -StartupType Automatic
仅允许管理网段:
New-NetFirewallRule -DisplayName "SSH-ManageNet" -Protocol TCP -LocalPort 22 -RemoteAddress 192.168.1.0/24 -Action Allow
第三阶段:硬件 / 驱动 / 厂商工具
Dell(iDRAC / ISM / DSU)
- iDRAC / Lifecycle Controller 中完成固件、RAID 设置
- Windows 内安装:iDRAC Service Module(ISM) + DSU/DUP
- DSU 运行固件/驱动检查(需维护窗口)
第四阶段:角色 / 服务部署
IIS
- 安装:
Install-WindowsFeature Web-Server
- 关闭不必要模块
- 强制 HTTPS、自动绑定证书
文件服务(SMB)
- 禁用 SMBv1:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
- 权限仅按组授予,不用 Everyone。
Hyper-V / 容器
Install-WindowsFeature Hyper-V -IncludeManagementTools
第五阶段:系统个性化与日常使用设置(最后做)
1. Explorer(文件资源管理器)
路径:
- 文件资源管理器 → 查看 → 选项
推荐:
- 禁止显示受保护的系统文件(保持默认)
- 显示扩展名(有助排查脚本、配置)
2. Edge 基础安全设置
- 禁用自动运行下载
- 启用增强安全模式
- 自定义 DNS(DoH)
3. “设置”应用中的常见安全选项
- 系统 → 剪贴板 → 禁用“跨设备同步”
- 隐私 → 位置 → 关闭
- 隐私 → 诊断 → 基本
- 更新 → 可选更新 → 合法驱动
4. 任务栏与开始菜单
路径:
- 设置 → 个性化 → 任务栏 / 开始
常见优化:
- 关闭小组件
- 隐藏不必要的系统图标
- 禁止自动推荐应用
简单易行的安全增强措施(微软官方与社区常用)
1. 禁止匿名共享
Set-SmbServerConfiguration -EnableForcedGuest $false -Force
2. 启用 UAC 并保持默认级别
GUI:
- 控制面板 → 用户账户 → 更改用户账户控制设置
3. 限制 PowerShell 执行策略
Set-ExecutionPolicy RemoteSigned -Scope LocalMachine -Force
4. 禁用无需服务(按需)
示例(如禁止 Fax):
Stop-Service Fax Set-Service Fax -StartupType Disabled
5. 安全日志扩大(用于溯源)
wevtutil sl Security /ms:204800000
WinGet 镜像(可选)
(信任前提下替换 USTC 源)
winget source remove winget winget source add winget https://mirrors.ustc.edu.cn/winget-source --trust-level trusted
回退:
winget source reset winget
结束语
此流程强调:先基础安全 → 再远程访问 → 再角色服务 → 最后个性化。 适用于桌面化运维、IDC 服务器、虚拟化节点、Dev/Prod 环境。 保持此顺序可最大限度降低误操作与暴露风险,并维持系统长期可维护性。