Windows server 2008 R2 服务器系统安全防御加固方法
分类
服务器租用帮助
阅读2116 次
发布日期 2021-04-08
一.更改终端默认端口号
修改注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],PortNamber默认值是3389,修改成所希望的端口即可,[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],将PortNumber的值默认是3389,修改成修改成所希望的端口即可,两个地方的端口要一致。在防火墙中设置添加入站端口,重新启动电脑,以后远程登录的时候使用新端口就可以了。
二.硬盘分区权限
C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置。这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行(如果你使用IIS的话,要引用windows下的dll文件)。C:/user/ 只给administrators 和system权限。
三.删除默认共享
打开dos,net share 查看默认共享,新建文本文档输入命令。net share c$ /del net share d$ /del //如有E盘可再添加 默认共享名均为c$、d$等;net share IPC$ /del net share admin$ /del 另存为sharedelte.bat。运行gpedit.msc,展开windous设置—脚本(启动\关机)—启动)—右键属性—添加sharedelte.bat。同理可编辑其它规则。
四.ipsec策略
以远程终端为例1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp(如3389)——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)。
再次强调以下几项:
1.更改默认administrator用户名,复杂密码。2.开启防火墙。3.安装杀毒软件。4.新做系统一定要先打上补丁。5.安装必要的杀毒软件。6.删除系统默认共享。7.禁用不必要的服务TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation。8.远程登录,一定要限制ip登录。