windows server 2025 pervichnaya nastrojka posle ustanovki

Свежеустановленный Windows Server 2025 - это голая система с открытым паролем Administrator по умолчанию, выключенными обновлениями и минимальным hardening. В первые 30 минут после входа нужно закрыть базовые уязвимости, переименовать сервер и подготовить учётные записи. Эта статья проведёт по обязательным шагам без лишних отступлений.

Первый вход и смена пароля Administrator

После установки система загружается в Server Manager. До любых настроек меняем пароль встроенного Administrator.

Требования к паролю в Windows Server 2025 по умолчанию: минимум 8 символов, прописные и строчные буквы, цифры, спецсимволы. На практике ставьте минимум 16 символов со всеми группами.

Через GUI: Ctrl+Alt+Del → «Изменить пароль». Через PowerShell:

$newPassword = ConvertTo-SecureString "Str0ng!Pass#2025" -AsPlainText -Force
Set-LocalUser -Name "Administrator" -Password $newPassword

Переименование сервера

Имя по умолчанию вида WIN-K3J7F2X неинформативно. Задайте имя по схеме роль-локация-номер, например WEB-MSK-01.

Rename-Computer -NewName "WEB-MSK-01" -Restart

После перезагрузки проверьте:

$env:COMPUTERNAME

Длина имени - не более 15 символов (ограничение NetBIOS).

Создание локального администратора и отключение встроенного

Работать под встроенной учёткой Administrator - плохая практика: её атакуют первой, и все действия не персонифицированы.

# Создаём нового администратора
New-LocalUser -Name "srvadmin" -Password (ConvertTo-SecureString "Another!Strong#Pass99" -AsPlainText -Force) -FullName "Server Admin" -PasswordNeverExpires $true

# Добавляем в группу Administrators
Add-LocalGroupMember -Group "Administrators" -Member "srvadmin"

Войдите под новой учёткой, убедитесь что доступ есть, затем отключите встроенного Administrator:

Disable-LocalUser -Name "Administrator"

Настройка Windows Firewal

Windows Firewall в Server 2025 включён по умолчанию, но нужно убедиться что профили активны, и добавить нужные правила.

Проверяем состояние всех профилей:

Get-NetFirewallProfile | Select Name, Enabled

Все три профиля (Domain, Private, Public) должны быть Enabled: True.

Разрешаем только необходимые порты. Пример для веб-сервера:

# HTTP
New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow

# HTTPS
New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

# RDP только с конкретного IP
New-NetFirewallRule -DisplayName "Allow RDP from Admin" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 192.168.1.50 -Action Allow

Блокируем всё входящее что не разрешено явно (профиль Public):

Set-NetFirewallProfile -Profile Public -DefaultInboundAction Block

Настройка автоматических обновлений

В Windows Server 2025 автообновления через Windows Update настраиваются через Group Policy или реестр.

Через PowerShell с модулем PSWindowsUpdate:

# Устанавливаем модуль
Install-Module PSWindowsUpdate -Force

# Проверяем доступные обновления
Get-WindowsUpdate

# Устанавливаем все обновления
Install-WindowsUpdate -AcceptAll -AutoReboot

Для автоматической установки обновлений по расписанию через реестр:

# AUOptions: 4 = скачивать и устанавливать автоматически
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"
New-Item -Path $regPath -Force | Out-Null
Set-ItemProperty -Path $regPath -Name "AUOptions" -Value 4
Set-ItemProperty -Path $regPath -Name "NoAutoUpdate" -Value 0
Set-ItemProperty -Path $regPath -Name "ScheduledInstallDay" -Value 0
Set-ItemProperty -Path $regPath -Name "ScheduledInstallTime" -Value 3

ScheduledInstallTime = 3 означает 03:00 ночи.

Базовый hardening через PowerShell

Отключение SMBv1

SMBv1 - протокол 1992 года, через него распространялся WannaCry. В Server 2025 он уже отключён по умолчанию, но проверить стоит:

Get-SmbServerConfiguration | Select EnableSMB1Protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Отключение Telnet и неиспользуемых компонентов

# Проверяем установленные компоненты
Get-WindowsFeature | Where-Object {$_.InstallState -eq "Installed"} | Select Name, DisplayName

# Удаляем Telnet Client если установлен
Remove-WindowsFeature Telnet-Client

Настройка политики паролей

# Минимальная длина пароля 14 символов
net accounts /minpwlen:14

# Максимальный срок действия 90 дней
net accounts /maxpwage:90

# История паролей - помнить 10 предыдущих
net accounts /uniquepw:10

# Блокировка после 5 неудачных попыток
net accounts /lockoutthreshold:5
net accounts /lockoutduration:30

Аудит событий входа

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
auditpol /set /category:"Account Logon" /success:enable /failure:enable

События входа будут писаться в Event Log → Windows Logs → Security.

Отключение LLMNR и NetBIOS

Эти протоколы используются для атак типа LLMNR poisoning:

# Отключаем LLMNR через реестр
New-Item "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Force
Set-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -Value 0

# Отключаем NetBIOS через WMI (для всех сетевых адаптеров)
$adapters = Get-WmiObject Win32_NetworkAdapterConfiguration | Where-Object {$_.IPEnabled -eq $true}
foreach ($adapter in $adapters) {
    $adapter.SetTcpipNetbios(2)  # 2 = Disable NetBIOS over TCP/IP
}

Настройка NTP-синхронизации

Точное время критично для Kerberos, логов и SSL-сертификатов. Разница более 5 минут ломает авторизацию в домене.

# Настраиваем NTP-сервер
w32tm /config /manualpeerlist:"pool.ntp.org,0x8" /syncfromflags:manual /reliable:YES /update

# Перезапускаем службу времени
Restart-Service w32tm

# Проверяем синхронизацию
w32tm /query /status

Настройка Remote Desktop

По умолчанию RDP включён на порту 3389. Проверяем и при необходимости включаем:

# Включаем RDP
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0

# Включаем Network Level Authentication (NLA)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "UserAuthentication" -Value 1

# Разрешаем в Firewall
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

NLA требует аутентификации до установки RDP-сессии - это снижает риск атак на сам сервер RDP.

Проверочный список

После всех шагов пройдитесь по списку:

Пункт	Команда проверки
Пароль Administrator изменён	`Get-LocalUser Administrator`
Сервер переименован	`hostname`
Создан персональный admin	`Get-LocalGroupMember Administrators`
Встроенный Administrator отключён	`Get-LocalUser Administrator \| Select Enabled`
Firewall активен	`Get-NetFirewallProfile \| Select Enabled`
SMBv1 отключён	`Get-SmbServerConfiguration \| Select EnableSMB1Protocol`
NTP настроен	`w32tm /query /status`
Аудит входов включён	`auditpol /get /category:"Logon/Logoff"`

Итог

Первичная настройка Windows Server 2025 занимает около 30-40 минут при работе через PowerShell. Ключевые шаги: персонифицированная учётная запись вместо встроенного Administrator, ограничение входящего трафика через Firewall, отключение устаревших протоколов (SMBv1, LLMNR, NetBIOS), аудит событий и NTP-синхронизация.

Все приведённые команды проверены на Windows Server 2025 версии 10.0.26100. Перед применением в продакшне проверяйте изменения на тестовой машине.

Windows Server 2025: первичная настройка после установки