一.更改終端默認(rèn)端口號

步驟：

1.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp]，看見PortNamber值了嗎？其默認(rèn)值是3389，修改成所希望的端口即可，例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值（默認(rèn)是3389）修改成端口12345（自定義）。

4.防火墻中設(shè)置ipsec 編輯規(guī)則修改完畢，重新啟動電腦，以后遠(yuǎn)程登錄的時候使用端口12345就可以了。

二.NTFS權(quán)限設(shè)置

注意：

1、2008R2默認(rèn)的文件夾和文件所有者為TrustedInstaller，這個用戶同時擁有所有控制權(quán)限。 2、注冊表同的項也是這樣，所有者為TrustedInstaller。 3、如果要修改文件權(quán)限時應(yīng)該先設(shè)置 管理員組 administrators 為所有者，再設(shè)置其它權(quán)限。 4、如果要刪除或改名注冊表，同樣也需先設(shè)置 管理員組 為所有者，同時還要應(yīng)該到子項，

直接刪除當(dāng)前項 還是刪除不掉時可以先刪除子項后再刪除此項

步驟：

1.C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置（web目錄權(quán)限依具體情況而定）
2.這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。

Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運行（如果你使用IIS的話，要引用windows下的dll文件）。

3.c:/user/ 只給administrators 和system權(quán)限

三.刪除默認(rèn)共享

步驟：

1.打開dos，net share 查看默認(rèn)共享
2.新建文本文檔輸入命令

net share c$ /del net share d$ /del //如有E盤可再添加 默認(rèn)共享名均為c$、d$等
net share IPC$ /del net share admin$ /del 另存為sharedelte.bat

3.運行g(shù)pedit.msc，展開windous設(shè)置—腳本（啟動\關(guān)機(jī)）—啟動）—右鍵屬性—添加sharedelte.bat

同理可編輯其它規(guī)則

四.ipsec策略
以遠(yuǎn)程終端為例1.控制面板——windows防火墻——高級設(shè)置——入站規(guī)則——新建規(guī)則——端口——特定端口tcp（如3389）——允許連接 2.完成以上操作之后右擊該條規(guī)則作用域——本地ip地址——任何ip地址——遠(yuǎn)程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過此功能對特定網(wǎng)段屏蔽（如80端口）

其它請參考win2003安全優(yōu)化

Windows 2008 R2服務(wù)器的安全加固 補充

最近托管了一臺2U服務(wù)器到機(jī)房，安裝的是Windows 2008系統(tǒng)，打算用IIS做web server，因此需要把沒用的端口、服務(wù)關(guān)閉，減小風(fēng)險。

我發(fā)現(xiàn)現(xiàn)在網(wǎng)絡(luò)上有價值的東西實在是太少了，很多人都是轉(zhuǎn)載來轉(zhuǎn)載去，學(xué)而不思，沒有一點營養(yǎng)。還是自己總結(jié)總結(jié)吧，大概有以下幾步：

1. 如何關(guān)掉IPv6？

這一點國內(nèi)國外網(wǎng)站上基本上都有了共識，都是按照下面兩步來進(jìn)行。據(jù)說執(zhí)行之后就剩本地?fù)Q回路由還沒關(guān)閉。但關(guān)閉之后我發(fā)現(xiàn)某些端口還是同時監(jiān)聽ipv4和ipv6的端口，尤其是135端口，已經(jīng)把ipv4關(guān)閉了，ipv6竟然還開著。匪夷所思啊……

先關(guān)閉網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 6 (TCP/IPv6)

然后再修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

重啟服務(wù)器即可關(guān)閉ipv6

2. 如何關(guān)閉135端口？

這個破端口是RPC服務(wù)的端口，以前出過很多問題，現(xiàn)在貌似沒啥漏洞了，不過還是心有余悸啊，想關(guān)的這樣關(guān)：

開始->運行->dcomcnfg->組件服務(wù)->計算機(jī)->我的電腦->屬性->默認(rèn)屬性->關(guān)閉“在此計算機(jī)上啟用分布式COM”->默認(rèn)協(xié)議->移除“面向連接的TCP/IP”

但是感覺做了以上的操作還能看到135在Listen狀態(tài)，還可以試試這樣。

在cmd中執(zhí)行：netsh rpc add 127.0.0.0，這樣135端口只監(jiān)聽127.0.0.1了。

3. 如何關(guān)閉445端口？

445端口是netbios用來在局域網(wǎng)內(nèi)解析機(jī)器名的服務(wù)端口，一般服務(wù)器不需要對LAN開放什么共享，所以可以關(guān)閉。

修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0

4. 關(guān)閉Netbios服務(wù)（關(guān)閉139端口）

網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS

5. 關(guān)閉LLMNR（關(guān)閉5355端口）

什么是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用于解析本地網(wǎng)段上的名稱，沒啥用但還占著5355端口。

使用組策略關(guān)閉，運行->gpedit.msc->計算機(jī)配置->管理模板->網(wǎng)絡(luò)->DNS客戶端->關(guān)閉多播名稱解析->啟用

還有一種方法，我沒嘗試，如果沒有組策略管理的可以試試，修改注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof\Windows NT\DNSClient，新建一個Dword項，名字：EnableMulticast，值：0

6. 關(guān)閉Windows Remote Management服務(wù)（關(guān)閉47001端口）

Windows遠(yuǎn)程管理服務(wù)，用于配合IIS管理硬件，一般用不到，但開放了47001端口很不爽，關(guān)閉方法很簡單，禁用這個服務(wù)即可。

7. 關(guān)閉UDP 500，UDP 4500端口

這兩個端口讓我搜索了半天，雖然知道應(yīng)該和VPN有關(guān)，但是不知道是哪個服務(wù)在占用。最后終于找到了，其實是IKE and AuthIP IPsec Keying Modules服務(wù)在作怪。如果你的服務(wù)器上不運行基于IKE認(rèn)證的VPN服務(wù)，就可以關(guān)閉了。（我用的是PPTP方式連接VPN，把ipsec和ike都關(guān)閉了）

8. 刪除文件和打印機(jī)共享

網(wǎng)絡(luò)連接->本地連接->屬性，把除了“Internet協(xié)議版本 4”以外的東西都勾掉。

9. 關(guān)閉文件和打印機(jī)共享

直接停止“server”服務(wù)，并設(shè)置為禁用，重啟后再右鍵點某個磁盤選屬性，“共享”這個頁面就不存在了。

最新評論