打开/关闭搜索
搜索
打开/关闭菜单
30
8
13
1694
陋室
导航
首页
最近更改
随机页面
特殊页面
社群首页
新闻动态
帮助
上传文件
内容
分类树
所有页面
导入页面
活跃用户列表
界面
侧边栏
站点公告
匿名用户通知
公共样式表
公共脚本
系统消息
打开/关闭外观设置菜单
通知
打开/关闭个人菜单
未登录
未登录用户的IP地址会在进行任意编辑后公开展示。
user-interface-preferences
中文(简体)
个人工具
登录
查看“︁Windows Server 2025 开箱配置”︁的源代码
来自陋室
分享此页面
查看
阅读
查看源代码
查看历史
associated-pages
页面
讨论
更多操作
←
Windows Server 2025 开箱配置
因为以下原因,您没有权限编辑该页面:
您请求的操作仅限属于这些用户组的用户执行:
用户
、
自动确认用户
您可以查看和复制此页面的源代码。
本页内容为经校对后的 '''安全优先 / 命令优先 / 无冗余版''' Windows Server 2025 新机配置流程。 所有命令默认需在 '''管理员权限 PowerShell / CMD''' 中执行。 按优先级分为:'''必须 → 推荐 → 可选'''。 ------- == 第 0 阶段:控制台准备(物理/带外 – 必做) == * 确保可访问物理控制台或 iDRAC/KVM/IPMI。 * 建立《Setup_Commands.txt》并加密保存,用于记录你执行的所有动作(便于回滚)。 (原因:远程配置失误会锁死机器,控制台可救命。) ------- == 第一阶段:基础安全与网络配置(必须先做) == === 1. 网络基础配置 === PowerShell: <pre> Get-NetAdapter ipconfig Remove-NetIPAddress -InterfaceAlias "NIC1" -Confirm:$false New-NetIPAddress -InterfaceAlias "NIC1" -IPAddress 192.168.137.137 -PrefixLength 24 -DefaultGateway 192.168.137.1 Get-DnsClientServerAddress -InterfaceAlias "NIC1" Set-DnsClientServerAddress -InterfaceAlias "NIC1" -ServerAddresses ("223.5.5.5","8.8.4.4") Test-NetConnection 192.168.137.1 </pre> 验证连通性: <pre> ping 192.168.137.1 nslookup www.microsoft.com </pre> 将网络设为 Private(避免 Public 防火墙策略过严): <pre> Set-NetConnectionProfile -InterfaceAlias "NIC1" -NetworkCategory Private </pre> ----- === 2. 启用与强化 Windows 防火墙 === <pre> Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True </pre> 仅放行“管理网段”而不是全部互联网(Any)。 ----- === 3. 管理员账户安全基线(必须) === ==== 3.1 修改 Administrator 密码 ==== <pre> net user Administrator StrongPassword!234 </pre> ==== 3.2 创建日常管理员账户 ==== <pre> net user ServerAdmin StrongPassword!234 /add net localgroup Administrators ServerAdmin /add </pre> ==== 3.3 使用组策略重命名 Administrator 帐户(官方推荐做法) ==== 路径: *gpedit.msc → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项 修改: *“帐户:重命名管理员帐户” 将“Administrator”改为你自定义的安全名称。 ----- === 4. 区分本地登录/远程登录权限(安全关键) === ==== 4.1 Administrator:禁止远程桌面登录(仅允许本地登录) ==== 路径: *secpol.msc → 本地策略 → 用户权限分配 → “拒绝通过远程桌面服务登录” 添加:新名称的 Administrator 帐户。 ==== 4.2 日常管理员 ServerAdmin:禁止本地控制台登录,但允许 RDP ==== 路径: *secpol.msc → 本地策略 → 用户权限分配 → “拒绝本地登录” 添加:ServerAdmin。 路径: *“允许通过远程桌面服务登录” 添加:ServerAdmin(移除不必要成员)。 (两者合并后: Administrator 仅本地 ServerAdmin 仅 RDP 从而大幅减少本地提权风险与凭据泄露。) ----- === 5. 系统更新 / 驱动 / 版本升级 === ==== 5.1 Windows Update ==== GUI: *设置 → Windows Update → 检查更新 ==== 5.2 升级为 Datacenter(如需) ==== (需合法 key,会自动重启) <pre> DISM /online /Set-Edition:ServerDatacenter /ProductKey:D764K-2NDRG-47T6Q-P8T8W-YP6DF /AcceptEula </pre> ----- === 6. KMS 激活(合法环境) === <pre> slmgr -ipk D764K-2NDRG-47T6Q-P8T8W-YP6DF slmgr -skms kms.03k.org slmgr -ato slmgr /xpr </pre> ------- == 第二阶段:远程管理(按需开启,限制来源) == === 1. 启用 RDP(先做防火墙) === <pre> Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name fDenyTSConnections -Value 0 </pre> 强制 NLA: <pre> Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name UserAuthentication -Value 1 </pre> 仅允许管理网段访问 3389: <pre> New-NetFirewallRule -DisplayName "RDP-ManageNet" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.1.0/24 -Action Allow </pre> ----- === 2. 修改 RDP 端口 + 配套防火墙(完整命令) === ==== 2.1 修改端口 ==== <pre> Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name PortNumber -Value 55000 </pre> ==== 2.2 添加新端口防火墙规则(最重要步骤) ==== <pre> New-NetFirewallRule -DisplayName "RDP-55000" -Direction Inbound -Protocol TCP -LocalPort 55000 -RemoteAddress 192.168.1.0/24 -Action Allow </pre> ==== 2.3 重启 RDP 服务 ==== <pre> Restart-Service TermService -Force </pre> (更改端口不会自动开防火墙。微软官方文档明确需要手动添加规则。) ----- === 3. WinRM / PS Remoting / SSH === <pre> Enable-PSRemoting -Force </pre> 安装 OpenSSH: <pre> Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0 Start-Service sshd Set-Service sshd -StartupType Automatic </pre> 仅允许管理网段: <pre> New-NetFirewallRule -DisplayName "SSH-ManageNet" -Protocol TCP -LocalPort 22 -RemoteAddress 192.168.1.0/24 -Action Allow </pre> ------- == 第三阶段:硬件 / 驱动 / 厂商工具 == === Dell(iDRAC / ISM / DSU) === * iDRAC / Lifecycle Controller 中完成固件、RAID 设置 * Windows 内安装:iDRAC Service Module(ISM) + DSU/DUP * DSU 运行固件/驱动检查(需维护窗口) ------- == 第四阶段:角色 / 服务部署 == === IIS === * 安装: <pre>Install-WindowsFeature Web-Server</pre> * 关闭不必要模块 * 强制 HTTPS、自动绑定证书 === 文件服务(SMB)=== * 禁用 SMBv1: <pre>Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force</pre> * 权限仅按组授予,不用 Everyone。 === Hyper-V / 容器 === <pre> Install-WindowsFeature Hyper-V -IncludeManagementTools </pre> ------- == 第五阶段:系统个性化与日常使用设置(最后做) == === 1. Explorer(文件资源管理器) === 路径: *文件资源管理器 → 查看 → 选项 推荐: * 禁止显示受保护的系统文件(保持默认) * 显示扩展名(有助排查脚本、配置) ----- === 2. Edge 基础安全设置 === * 禁用自动运行下载 * 启用增强安全模式 * 自定义 DNS(DoH) ----- === 3. “设置”应用中的常见安全选项 === * 系统 → 剪贴板 → 禁用“跨设备同步” * 隐私 → 位置 → 关闭 * 隐私 → 诊断 → 基本 * 更新 → 可选更新 → 合法驱动 ----- === 4. 任务栏与开始菜单 === 路径: *设置 → 个性化 → 任务栏 / 开始 常见优化: * 关闭小组件 * 隐藏不必要的系统图标 * 禁止自动推荐应用 ----- == 简单易行的安全增强措施(微软官方与社区常用) == === 1. 禁止匿名共享 === <pre> Set-SmbServerConfiguration -EnableForcedGuest $false -Force </pre> ----- === 2. 启用 UAC 并保持默认级别 === GUI: *控制面板 → 用户账户 → 更改用户账户控制设置 ----- === 3. 限制 PowerShell 执行策略 === <pre> Set-ExecutionPolicy RemoteSigned -Scope LocalMachine -Force </pre> ----- === 4. 禁用无需服务(按需) === 示例(如禁止 Fax): <pre> Stop-Service Fax Set-Service Fax -StartupType Disabled </pre> ----- === 5. 安全日志扩大(用于溯源) === <pre> wevtutil sl Security /ms:204800000 </pre> ----- == WinGet 镜像(可选) == (信任前提下替换 USTC 源) <pre> winget source remove winget winget source add winget https://mirrors.ustc.edu.cn/winget-source --trust-level trusted </pre> 回退: <pre> winget source reset winget </pre> ------- = 结束语 = 此流程强调:'''先基础安全 → 再远程访问 → 再角色服务 → 最后个性化'''。 适用于桌面化运维、IDC 服务器、虚拟化节点、Dev/Prod 环境。 保持此顺序可最大限度降低误操作与暴露风险,并维持系统长期可维护性。 [[Category:技术文档]]
返回
Windows Server 2025 开箱配置
。
查看“︁Windows Server 2025 开箱配置”︁的源代码
来自陋室
