一.更改終端默認(rèn)端口號(hào)

步驟：

1.運(yùn)行regedit 2.[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds /rdpwd/Tds /tcp]，看見PortNamber值了嗎？其默認(rèn)值是3389，修改成所希望的端口即可，例如12345 3.[HKEY_LOCAL_MACHINE/SYSTEM/CurrentContro1Set/Control/Tenninal Server/WinStations/ RDP/Tcp]，將PortNumber的值（默認(rèn)是3389）修改成端口12345（自定義）。

4.防火墻中設(shè)置ipsec 編輯規(guī)則修改完畢，重新啟動(dòng)電腦，以后遠(yuǎn)程登錄的時(shí)候使用端口12345就可以了。

二.NTFS權(quán)限設(shè)置

注意：

1、2008R2默認(rèn)的文件夾和文件所有者為TrustedInstaller，這個(gè)用戶同時(shí)擁有所有控制權(quán)限。 2、注冊表同的項(xiàng)也是這樣，所有者為TrustedInstaller。 3、如果要修改文件權(quán)限時(shí)應(yīng)該先設(shè)置 管理員組 administrators 為所有者，再設(shè)置其它權(quán)限。 4、如果要?jiǎng)h除或改名注冊表，同樣也需先設(shè)置 管理員組 為所有者，同時(shí)還要應(yīng)該到子項(xiàng)，

直接刪除當(dāng)前項(xiàng) 還是刪除不掉時(shí)可以先刪除子項(xiàng)后再刪除此項(xiàng)

步驟：

1.C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置（web目錄權(quán)限依具體情況而定）
2.這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的，需要加上這個(gè)用戶，否則造成啟動(dòng)不了。

Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行（如果你使用IIS的話，要引用windows下的dll文件）。

3.c:/user/ 只給administrators 和system權(quán)限

三.刪除默認(rèn)共享

步驟：

1.打開dos，net share 查看默認(rèn)共享
2.新建文本文檔輸入命令

net share c$ /del net share d$ /del //如有E盤可再添加 默認(rèn)共享名均為c$、d$等
net share IPC$ /del net share admin$ /del 另存為sharedelte.bat

3.運(yùn)行g(shù)pedit.msc，展開windous設(shè)置—腳本（啟動(dòng)/關(guān)機(jī)）—啟動(dòng)）—右鍵屬性—添加sharedelte.bat

同理可編輯其它規(guī)則

四.ipsec策略
以遠(yuǎn)程終端為例1.控制面板——windows防火墻——高級(jí)設(shè)置——入站規(guī)則——新建規(guī)則——端口——特定端口tcp（如3389）——允許連接 2.完成以上操作之后右擊該條規(guī)則作用域——本地ip地址——任何ip地址——遠(yuǎn)程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過此功能對特定網(wǎng)段屏蔽（如80端口）

其它請參考win2003安全優(yōu)化

Windows 2008 R2服務(wù)器的安全加固 補(bǔ)充

最近托管了一臺(tái)2U服務(wù)器到機(jī)房，安裝的是Windows 2008系統(tǒng)，打算用IIS做web server，因此需要把沒用的端口、服務(wù)關(guān)閉，減小風(fēng)險(xiǎn)。

我發(fā)現(xiàn)現(xiàn)在網(wǎng)絡(luò)上有價(jià)值的東西實(shí)在是太少了，很多人都是轉(zhuǎn)載來轉(zhuǎn)載去，學(xué)而不思，沒有一點(diǎn)營養(yǎng)。還是自己總結(jié)總結(jié)吧，大概有以下幾步：