加強(qiáng)Windows server 2008 R2服務(wù)器系統(tǒng)安全防御的步驟介紹

2020-03-01 09:07:41

字體：大中小

供稿：網(wǎng)友

1.運(yùn)行regedit2.[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp]，看見(jiàn)PortNamber值了嗎？其默認(rèn)值是3389，修改成所希望的端口即可，例如123453.[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninalServerWinStationsRDPTcp]，將PortNumber的值（默認(rèn)是3389）修改成端口12345（自定義）。 4.防火墻中設(shè)置ipsec編輯規(guī)則修改完畢，重新啟動(dòng)電腦，以后遠(yuǎn)程登錄的時(shí)候使用端口12345就可以了。二.NTFS權(quán)限設(shè)置 1、2008R2默認(rèn)的文件夾和文件所有者為T(mén)rustedInstaller，這個(gè)用戶(hù)同時(shí)擁有所有控制權(quán)限。2、注冊(cè)表同的項(xiàng)也是這樣，所有者為T(mén)rustedInstaller。3、如果要修改文件權(quán)限時(shí)應(yīng)該先設(shè)置管理員組administrators為所有者，再設(shè)置其它權(quán)限。4、如果要?jiǎng)h除或改名注冊(cè)表，同樣也需先設(shè)置管理員組為所有者，同時(shí)還要應(yīng)該到子項(xiàng)，直接刪除當(dāng)前項(xiàng)還是刪除不掉時(shí)可以先刪除子項(xiàng)后再刪除此項(xiàng) 1.C盤(pán)只給administrators和system權(quán)限，其他的權(quán)限不給，其他的盤(pán)也可以這樣設(shè)置（web目錄權(quán)限依具體情況而定） 2.這里給的system權(quán)限也不一定需要給，只是由于某些第三方html' target='_blank'>應(yīng)用程序是以服務(wù)形式啟動(dòng)的，需要加上這個(gè)用戶(hù)，否則造成啟動(dòng)不了。 Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無(wú)法運(yùn)行（如果你使用IIS的話(huà)，要引用windows下的dll文件）。 3.c:/user/只給administrators和system權(quán)限三.刪除默認(rèn)共享 1.打開(kāi)dos，netshare查看默認(rèn)共享 2.新建文本文檔輸入命令 netsharec$/delnetshared$/del//如有E盤(pán)可再添加默認(rèn)共享名均為c$、d$等 netshareIPC$/delnetshareadmin$/del另存為sharedelte.bat 3.運(yùn)行g(shù)pedit.msc，展開(kāi)windous設(shè)置腳本（啟動(dòng)關(guān)機(jī)）啟動(dòng)）右鍵屬性添加sharedelte.bat 同理可編輯其它規(guī)則四.ipsec策略以遠(yuǎn)程終端為例1.控制面板 windows防火墻高級(jí)設(shè)置入站規(guī)則新建規(guī)則端口特定端口tcp（如3389）允許連接2.完成以上操作之后右擊該條規(guī)則作用域本地ip地址任何ip地址遠(yuǎn)程ip地址下列ip地址添加管理者ip同理其它端口可以通過(guò)此功能對(duì)特定網(wǎng)段屏蔽（如80端口）

其它請(qǐng)參考win2003安全優(yōu)化 Windows2008R2服務(wù)器的安全加固補(bǔ)充最近托管了一臺(tái)2U服務(wù)器到機(jī)房，安裝的是Windows2008系統(tǒng)，打算用IIS做webserver，因此需要把沒(méi)用的端口、服務(wù)關(guān)閉，減小風(fēng)險(xiǎn)。我發(fā)現(xiàn)現(xiàn)在網(wǎng)絡(luò)上有價(jià)值的東西實(shí)在是太少了，很多人都是轉(zhuǎn)載來(lái)轉(zhuǎn)載去，學(xué)而不思，沒(méi)有一點(diǎn)營(yíng)養(yǎng)。還是自己總結(jié)總結(jié)吧，大概有以下幾步： 1.如何關(guān)掉IPv6？這一點(diǎn)國(guó)內(nèi)國(guó)外網(wǎng)站上基本上都有了共識(shí)，都是按照下面兩步來(lái)進(jìn)行。據(jù)說(shuō)執(zhí)行之后就剩本地?fù)Q回路由還沒(méi)關(guān)閉。但關(guān)閉之后我發(fā)現(xiàn)某些端口還是同時(shí)監(jiān)聽(tīng)ipv4和ipv6的端口，尤其是135端口，已經(jīng)把ipv4關(guān)閉了，ipv6竟然還開(kāi)著。匪夷所思啊先關(guān)閉網(wǎng)絡(luò)連接- 本地連接- 屬性- Internet協(xié)議版本6(TCP/IPv6) 然后再修改注冊(cè)表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters，增加一個(gè)Dword項(xiàng)，名字：DisabledComponents，值：ffffffff（十六位的8個(gè)f）重啟服務(wù)器即可關(guān)閉ipv6 2.如何關(guān)閉135端口？這個(gè)破端口是RPC服務(wù)的端口，以前出過(guò)很多問(wèn)題，現(xiàn)在貌似沒(méi)啥漏洞了，不過(guò)還是心有余悸啊，想關(guān)的這樣關(guān)：開(kāi)始- 運(yùn)行- dcomcnfg- 組件服務(wù)- 計(jì)算機(jī)- 我的電腦- 屬性- 默認(rèn)屬性- 關(guān)閉在此計(jì)算機(jī)上啟用分布式COM - 默認(rèn)協(xié)議- 移除面向連接的TCP/IP 但是感覺(jué)做了以上的操作還能看到135在Listen狀態(tài)，還可以試試這樣。在cmd中執(zhí)行：netshrpcadd127.0.0.0，這樣135端口只監(jiān)聽(tīng)127.0.0.1了。 3.如何關(guān)閉445端口？ 445端口是netbios用來(lái)在局域網(wǎng)內(nèi)解析機(jī)器名的服務(wù)端口，一般服務(wù)器不需要對(duì)LAN開(kāi)放什么共享，所以可以關(guān)閉。修改注冊(cè)表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，則更加一個(gè)Dword項(xiàng)：SMBDeviceEnabled，值：0 4.關(guān)閉Netbios服務(wù)（關(guān)閉139端口）網(wǎng)絡(luò)連接- 本地連接- 屬性- Internet協(xié)議版本4- 屬性- 高級(jí)- WINS- 禁用TCP/IP上的NetBIOS 5.關(guān)閉LLMNR（關(guān)閉5355端口）什么是LLMNR？本地鏈路多播名稱(chēng)解析，也叫多播DNS，用于解析本地網(wǎng)段上的名稱(chēng)，沒(méi)啥用但還占著5355端口。使用組策略關(guān)閉，運(yùn)行- gpedit.msc- 計(jì)算機(jī)配置- 管理模板- 網(wǎng)絡(luò)- DNS客戶(hù)端- 關(guān)閉多播名稱(chēng)解析- 啟用還有一種方法，我沒(méi)嘗試，如果沒(méi)有組策略管理的可以試試，修改注冊(cè)表HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosofWindowsNTDNSClient，新建一個(gè)Dword項(xiàng)，名字：EnableMulticast，值：0 6.關(guān)閉WindowsRemoteManagement服務(wù)（關(guān)閉47001端口） Windows遠(yuǎn)程管理服務(wù)，用于配合IIS管理硬件，一般用不到，但開(kāi)放了47001端口很不爽，關(guān)閉方法很簡(jiǎn)單，禁用這個(gè)服務(wù)即可。 7.關(guān)閉UDP500，UDP4500端口這兩個(gè)端口讓我搜索了半天，雖然知道應(yīng)該和VPN有關(guān)，但是不知道是哪個(gè)服務(wù)在占用。最后終于找到了，其實(shí)是IKEandAuthIPIPsecKeyingModules服務(wù)在作怪。如果你的服務(wù)器上不運(yùn)行基于IKE認(rèn)證的VPN服務(wù)，就可以關(guān)閉了。（我用的是PPTP方式連接VPN，把ipsec和ike都關(guān)閉了） 8.刪除文件和打印機(jī)共享網(wǎng)絡(luò)連接- 本地連接- 屬性，把除了 Internet協(xié)議版本4 以外的東西都勾掉。 9.關(guān)閉文件和打印機(jī)共享直接停止 server 服務(wù)，并設(shè)置為禁用，重啟后再右鍵點(diǎn)某個(gè)磁盤(pán)選屬性，共享這個(gè)頁(yè)面就不存在了。

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。

上一篇：Windows關(guān)機(jī)重啟只在一秒瞬間

下一篇：windows更新清理好慢怎么辦