win2003 服務器設置完全簡潔版
2024-09-10 16:49:43
供稿:網友
第一步:
一��、先關閉不需要的端口
我比較小心���,先關了端口��。只開了3389 21 80 1433(MYSQL)有些人一直說什么默認的3389不安全,對此我不否認����,但是利用的途徑也只能一個一個的窮舉爆破��,你把帳號改
了密碼設置為十五六位,我估計他要破上好幾年����,哈哈!辦法:本地連接--屬性--Internet協議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上 然后添加你需要的端口即可����。PS一句:設置完端口需要重新啟動!
當然大家也可以更改遠程連接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]
"PortNumber"=dword:00002683
保存為.REG文件雙擊即可!更改為9859,當然大家也可以換別的端口����, 直接打開以上注冊表的地址����,把值改為十進制的輸入你想要的端口即可!重啟生效!
還有一點��,在2003系統里��,用TCP/IP篩選里的端口過濾功能,使用FTP服務器的時候��,只開放21端口��,在進行FTP傳輸的時候�����,FTP 特有的Port模式和Passive模式�����,在進行數據傳輸的時候���,需要動態的打開高端口�,所以在使用TCP/IP過濾的情況下����,經常會出現連接上后無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火墻能很好的解決這個問題��,所以都不推薦使用網卡的TCP/IP過濾功能�。所做FTP下載的用戶看仔細點,表怪俺說俺寫文章是垃圾...如果要關閉不必要的端口���,在//system32//drivers//etc//services中有列表,記事本就可以打開的�����。如果懶惰的話��,最簡單的方法是啟用WIN2003的自身帶的網絡防火墻����,并進行端口的改變��。功能還可以!Internet 連接防火墻可以有效地攔截對Windows 2003服務器的非法入侵��,防止非法遠程主機對服務器的掃描,提高Windows 2003服務器的安全性����。同時,也可以有效攔截利用操作系統漏洞進行端口攻擊的病毒,如沖擊波等蠕蟲病毒�����。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能���,能夠對整個內部網絡起到很好的保護作用���。
二�、關閉不需要的服務 打開相應的審核策略
我關閉了以下的服務
Computer Browser 維護網絡上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件加載到內存中以便以后打印。要用打印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序
Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集���、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機并運行程序
把不必要的服務都禁止掉,盡管這些不一定能被攻擊者利用得上,但是按照安全規則和標準上來說�,多余的東西就沒必要開啟�����,減少一份隱患。
在"網絡連接"里,把不需要的協議和服務都刪掉���,這里只安裝了基本的Internet協議(TCP/IP),由于要控制帶寬流量服務���,額外安裝了Qos數據包計劃程序��。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項里�����,使用"Internet連接防火墻"���,這是windows 2003 自帶的防火墻���,在2000系統里沒有的功能���,雖然沒什么功能��,但可以屏蔽端口,這樣已經基本達到了一個IPSec的功能。
