一.更改終端默認端口號
步驟:
1.運行regedit 2.[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds /rdpwd/Tds /tcp],看見PortNamber值了嗎���?其默認值是3389�����,修改成所希望的端口即可���,例如12345 3.[HKEY_LOCAL_MACHINE/SYSTEM/CurrentContro1Set/Control/Tenninal Server/WinStations/ RDP/Tcp]�����,將PortNumber的值(默認是3389)修改成端口12345(自定義)�����。
4.防火墻中設置ipsec 編輯規則修改完畢,重新啟動電腦�,以后遠程登錄的時候使用端口12345就可以了���。
二.NTFS權限設置
注意:
1���、2008R2默認的文件夾和文件所有者為TrustedInstaller����,這個用戶同時擁有所有控制權限��。 2��、注冊表同的項也是這樣,所有者為TrustedInstaller。 3���、如果要修改文件權限時應該先設置 管理員組 administrators 為所有者,再設置其它權限。 4、如果要刪除或改名注冊表�,同樣也需先設置 管理員組 為所有者����,同時還要應該到子項�,
直接刪除當前項 還是刪除不掉時可以先刪除子項后再刪除此項
步驟:
1.C盤只給administrators 和system權限,其他的權限不給,其他的盤也可以這樣設置(web目錄權限依具體情況而定)
2.這里給的system權限也不一定需要給,只是由于某些第三方應用程序是以服務形式啟動的,需要加上這個用戶�,否則造成啟動不了����。
Windows目錄要加上給users的默認權限�����,否則ASP和ASPX等應用程序就無法運行(如果你使用IIS的話,要引用windows下的dll文件)。
3.c:/user/ 只給administrators 和system權限
三.刪除默認共享
步驟:
1.打開dos��,net share 查看默認共享
2.新建文本文檔輸入命令
net share c$ /del net share d$ /del //如有E盤可再添加 默認共享名均為c$���、d$等
net share IPC$ /del net share admin$ /del 另存為sharedelte.bat
3.運行gpedit.msc���,展開windous設置—腳本(啟動/關機)—啟動)—右鍵屬性—添加sharedelte.bat
同理可編輯其它規則
四.ipsec策略
以遠程終端為例1.控制面板——windows防火墻——高級設置——入站規則——新建規則——端口——特定端口tcp(如3389)——允許連接 2.完成以上操作之后右擊該條規則作用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過此功能對特定網段屏蔽(如80端口)
其它請參考win2003安全優化
Windows 2008 R2服務器的安全加固 補充
最近托管了一臺2U服務器到機房,安裝的是Windows 2008系統,打算用IIS做web server����,因此需要把沒用的端口�、服務關閉�����,減小風險���。
我發現現在網絡上有價值的東西實在是太少了���,很多人都是轉載來轉載去�,學而不思��,沒有一點營養���。還是自己總結總結吧�,大概有以下幾步:
1. 如何關掉IPv6�?
這一點國內國外網站上基本上都有了共識���,都是按照下面兩步來進行��。據說執行之后就剩本地換回路由還沒關閉�����。但關閉之后我發現某些端口還是同時監聽ipv4和ipv6的端口,尤其是135端口���,已經把ipv4關閉了,ipv6竟然還開著���。匪夷所思啊……
先關閉網絡連接->本地連接->屬性->Internet協議版本 6 (TCP/IPv6)
然后再修改注冊表:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip6/Parameters�,增加一個Dword項�,名字:DisabledComponents,值:ffffffff(十六位的8個f)
重啟服務器即可關閉ipv6
2. 如何關閉135端口��?
這個破端口是RPC服務的端口����,以前出過很多問題��,現在貌似沒啥漏洞了���,不過還是心有余悸啊,想關的這樣關:
開始->運行->dcomcnfg->組件服務->計算機->我的電腦->屬性->默認屬性->關閉“在此計算機上啟用分布式COM”->默認協議->移除“面向連接的TCP/IP”
但是感覺做了以上的操作還能看到135在Listen狀態�,還可以試試這樣。
在cmd中執行:netsh rpc add 127.0.0.0���,這樣135端口只監聽127.0.0.1了����。
3. 如何關閉445端口�����?
445端口是netbios用來在局域網內解析機器名的服務端口,一般服務器不需要對LAN開放什么共享��,所以可以關閉。
修改注冊表:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters,則更加一個Dword項:SMBDeviceEnabled,值:0
4. 關閉Netbios服務(關閉139端口)
網絡連接->本地連接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS
5. 關閉LLMNR(關閉5355端口)
什么是LLMNR����?本地鏈路多播名稱解析,也叫多播DNS,用于解析本地網段上的名稱����,沒啥用但還占著5355端口�����。
使用組策略關閉,運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啟用
還有一種方法���,我沒嘗試���,如果沒有組策略管理的可以試試,修改注冊表HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsof/Windows NT/DNSClient��,新建一個Dword項���,名字:EnableMulticast��,值:0
6. 關閉Windows Remote Management服務(關閉47001端口)
Windows遠程管理服務���,用于配合IIS管理硬件��,一般用不到�����,但開放了47001端口很不爽��,關閉方法很簡單����,禁用這個服務即可��。
7. 關閉UDP 500�,UDP 4500端口
這兩個端口讓我搜索了半天�����,雖然知道應該和VPN有關���,但是不知道是哪個服務在占用����。最后終于找到了,其實是IKE and AuthIP IPsec Keying Modules服務在作怪�����。如果你的服務器上不運行基于IKE認證的VPN服務,就可以關閉了����。(我用的是PPTP方式連接VPN,把ipsec和ike都關閉了)
8. 刪除文件和打印機共享
網絡連接->本地連接->屬性,把除了“Internet協議版本 4”以外的東西都勾掉。
9. 關閉文件和打印機共享
直接停止“server”服務,并設置為禁用�,重啟后再右鍵點某個磁盤選屬性�����,“共享”這個頁面就不存在了��。
