一.更改終端默認端口號
步驟:
1.運行regedit 2.[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds /rdpwd/Tds /tcp]�����,看見PortNamber值了嗎��?其默認值是3389��,修改成所希望的端口即可���,例如12345 3.[HKEY_LOCAL_MACHINE/SYSTEM/CurrentContro1Set/Control/Tenninal Server/WinStations/ RDP/Tcp]���,將PortNumber的值(默認是3389)修改成端口12345(自定義)��。
4.防火墻中設置ipsec 編輯規則修改完畢���,重新啟動電腦,以后遠程登錄的時候使用端口12345就可以了��。
二.NTFS權限設置
注意:
1���、2008R2默認的文件夾和文件所有者為TrustedInstaller���,這個用戶同時擁有所有控制權限。 2���、注冊表同的項也是這樣���,所有者為TrustedInstaller。 3���、如果要修改文件權限時應該先設置 管理員組 administrators 為所有者,再設置其它權限。 4���、如果要刪除或改名注冊表�����,同樣也需先設置 管理員組 為所有者���,同時還要應該到子項,
直接刪除當前項 還是刪除不掉時可以先刪除子項后再刪除此項
步驟:
1.C盤只給administrators 和system權限���,其他的權限不給��,其他的盤也可以這樣設置(web目錄權限依具體情況而定)
2.這里給的system權限也不一定需要給��,只是由于某些第三方應用程序是以服務形式啟動的�����,需要加上這個用戶���,否則造成啟動不了。
Windows目錄要加上給users的默認權限��,否則ASP和ASPX等應用程序就無法運行(如果你使用IIS的話,要引用windows下的dll文件)��。
3.c:/user/ 只給administrators 和system權限
三.刪除默認共享
步驟:
1.打開dos���,net share 查看默認共享
2.新建文本文檔輸入命令
net share c$ /del net share d$ /del //如有E盤可再添加 默認共享名均為c$�����、d$等
net share IPC$ /del net share admin$ /del 另存為sharedelte.bat
3.運行gpedit.msc��,展開windous設置—腳本(啟動/關機)—啟動)—右鍵屬性—添加sharedelte.bat
同理可編輯其它規則
四.ipsec策略
以遠程終端為例1.控制面板——windows防火墻——高級設置——入站規則——新建規則——端口——特定端口tcp(如3389)——允許連接 2.完成以上操作之后右擊該條規則作用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過此功能對特定網段屏蔽(如80端口)
其它請參考win2003安全優化
Windows 2008 R2服務器的安全加固 補充
最近托管了一臺2U服務器到機房���,安裝的是Windows 2008系統,打算用IIS做web server���,因此需要把沒用的端口���、服務關閉,減小風險���。
我發現現在網絡上有價值的東西實在是太少了�����,很多人都是轉載來轉載去��,學而不思��,沒有一點營養���。還是自己總結總結吧,大概有以下幾步:
1. 如何關掉IPv6���?
這一點國內國外網站上基本上都有了共識��,都是按照下面兩步來進行���。據說執行之后就剩本地換回路由還沒關閉。但關閉之后我發現某些端口還是同時監聽ipv4和ipv6的端口�����,尤其是135端口��,已經把ipv4關閉了���,ipv6竟然還開著�����。匪夷所思啊……
先關閉網絡連接->本地連接->屬性->Internet協議版本 6 (TCP/IPv6)
然后再修改注冊表:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip6/Parameters��,增加一個Dword項���,名字:DisabledComponents���,值:ffffffff(十六位的8個f)
重啟服務器即可關閉ipv6
2. 如何關閉135端口?
這個破端口是RPC服務的端口�����,以前出過很多問題�����,現在貌似沒啥漏洞了��,不過還是心有余悸啊��,想關的這樣關:
開始->運行->dcomcnfg->組件服務->計算機->我的電腦->屬性->默認屬性->關閉“在此計算機上啟用分布式COM”->默認協議->移除“面向連接的TCP/IP”
但是感覺做了以上的操作還能看到135在Listen狀態���,還可以試試這樣��。
在cmd中執行:netsh rpc add 127.0.0.0��,這樣135端口只監聽127.0.0.1了���。
3. 如何關閉445端口���?
445端口是netbios用來在局域網內解析機器名的服務端口�����,一般服務器不需要對LAN開放什么共享��,所以可以關閉�����。
修改注冊表:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters���,則更加一個Dword項:SMBDeviceEnabled���,值:0
4. 關閉Netbios服務(關閉139端口)
網絡連接->本地連接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS
5. 關閉LLMNR(關閉5355端口)
什么是LLMNR?本地鏈路多播名稱解析�����,也叫多播DNS,用于解析本地網段上的名稱�����,沒啥用但還占著5355端口���。
使用組策略關閉���,運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啟用
還有一種方法,我沒嘗試��,如果沒有組策略管理的可以試試��,修改注冊表HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsof/Windows NT/DNSClient�����,新建一個Dword項�����,名字:EnableMulticast,值:0
6. 關閉Windows Remote Management服務(關閉47001端口)
Windows遠程管理服務��,用于配合IIS管理硬件���,一般用不到���,但開放了47001端口很不爽,關閉方法很簡單���,禁用這個服務即可��。
7. 關閉UDP 500,UDP 4500端口
這兩個端口讓我搜索了半天��,雖然知道應該和VPN有關��,但是不知道是哪個服務在占用�����。最后終于找到了���,其實是IKE and AuthIP IPsec Keying Modules服務在作怪��。如果你的服務器上不運行基于IKE認證的VPN服務���,就可以關閉了��。(我用的是PPTP方式連接VPN��,把ipsec和ike都關閉了)
8. 刪除文件和打印機共享
網絡連接->本地連接->屬性�����,把除了“Internet協議版本 4”以外的東西都勾掉���。
9. 關閉文件和打印機共享
直接停止“server”服務,并設置為禁用�����,重啟后再右鍵點某個磁盤選屬性��,“共享”這個頁面就不存在了���。
