Windows server 2008 R2 服务器系统安全防御加固方法

一.更改终端默认端口号

步骤:

1.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],将PortNumber的值(默认是3389)修改成端口12345(自定义)。

4.防火墙中设置ipsec 编辑规则修改完毕,重新启动电脑,以后远程登录的时候使用端口12345就可以了。

二.NTFS权限设置

注意:

1、2008R2默认的文件夹和文件所有者为TrustedInstaller,这个用户同时拥有所有控制权限。 2、注册表同的项也是这样,所有者为TrustedInstaller。 3、如果要修改文件权限时应该先设置 管理员组 administrators 为所有者,再设置其它权限。 4、如果要删除或改名注册表,同样也需先设置 管理员组 为所有者,同时还要应该到子项,

直接删除当前项 还是删除不掉时可以先删除子项后再删除此项

步骤:

1.C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置(web目录权限依具体情况而定)
2.这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。

Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行(如果你使用IIS的话,要引用windows下的dll文件)。

3.c:/user/ 只给administrators 和system权限

三.删除默认共享

步骤:

1.打开dos,net share 查看默认共享
2.新建文本文档输入命令

net share c$ /del net share d$ /del //如有E盘可再添加 默认共享名均为c$、d$等
net share IPC$ /del net share admin$ /del 另存为sharedelte.bat

3.运行gpedit.msc,展开windous设置—脚本(启动\关机)—启动)—右键属性—添加sharedelte.bat

同理可编辑其它规则

四.ipsec策略
以远程终端为例1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp(如3389)——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)

其它请参考win2003安全优化

Windows 2008 R2服务器的安全加固 补充

最近托管了一台2U服务器到机房,安装的是Windows 2008系统,打算用IIS做web server,因此需要把没用的端口、服务关闭,减小风险。

我发现现在网络上有价值的东西实在是太少了,很多人都是转载来转载去,学而不思,没有一点营养。还是自己总结总结吧,大概有以下几步:

1. 如何关掉IPv6?

这一点国内国外网站上基本上都有了共识,都是按照下面两步来进行。据说执行之后就剩本地换回路由还没关闭。但关闭之后我发现某些端口还是同时监听ipv4和ipv6的端口,尤其是135端口,已经把ipv4关闭了,ipv6竟然还开着。匪夷所思啊……

先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6)

然后再修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位的8个f)

重启服务器即可关闭ipv6

2. 如何关闭135端口?

这个破端口是RPC服务的端口,以前出过很多问题,现在貌似没啥漏洞了,不过还是心有余悸啊,想关的这样关:

开始->运行->dcomcnfg->组件服务->计算机->我的电脑->属性->默认属性->关闭“在此计算机上启用分布式COM”->默认协议->移除“面向连接的TCP/IP”

但是感觉做了以上的操作还能看到135在Listen状态,还可以试试这样。

在cmd中执行:netsh rpc add 127.0.0.0,这样135端口只监听127.0.0.1了。

3. 如何关闭445端口?

445端口是netbios用来在局域网内解析机器名的服务端口,一般服务器不需要对LAN开放什么共享,所以可以关闭。

修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,则更加一个Dword项:SMBDeviceEnabled,值:0

4. 关闭Netbios服务(关闭139端口)

网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS

5. 关闭LLMNR(关闭5355端口)

什么是LLMNR?本地链路多播名称解析,也叫多播DNS,用于解析本地网段上的名称,没啥用但还占着5355端口。

使用组策略关闭,运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用

还有一种方法,我没尝试,如果没有组策略管理的可以试试,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof\Windows NT\DNSClient,新建一个Dword项,名字:EnableMulticast,值:0

6. 关闭Windows Remote Management服务(关闭47001端口)

Windows远程管理服务,用于配合IIS管理硬件,一般用不到,但开放了47001端口很不爽,关闭方法很简单,禁用这个服务即可。

7. 关闭UDP 500,UDP 4500端口

这两个端口让我搜索了半天,虽然知道应该和VPN有关,但是不知道是哪个服务在占用。最后终于找到了,其实是IKE and AuthIP IPsec Keying Modules服务在作怪。如果你的服务器上不运行基于IKE认证的VPN服务,就可以关闭了。(我用的是PPTP方式连接VPN,把ipsec和ike都关闭了)

8. 删除文件和打印机共享

网络连接->本地连接->属性,把除了“Internet协议版本 4”以外的东西都勾掉。

9. 关闭文件和打印机共享

直接停止“server”服务,并设置为禁用,重启后再右键点某个磁盘选属性,“共享”这个页面就不存在了。

(0)

相关推荐

  • Windows Server 2008 R2 DNS 服务器迁移方法

    因为都是Windows 平台,这不算什么事.好吧,看一下,我们的环境: 原DNS服务器: 主机名: Win08-01       IP地址:10.200.201.11 新DNS服务器(临时主机名和IP地址),因为迁移成功后,需要将主机名和IP地址改为原DNS相同,原DNS停机. 主机名: Win08-02       IP地址:10.200.201.12 下图是我们准备的一些测试记录: 此图显示的是正向查找区域数据,里面包括有A记录.MX记录.CNAME记录.空域名解析等. 此图显示的是反向查找

  • Windows Server 2008 R2 下配置证书服务器和HTTPS的图文教程

    前言 2017年1月1日起App Store上的所有App应用将强制开启ATS功能. 苹果的ATS(App Transport Security)对服务器硬性3点要求: ① ATS要求TLS1.2或者更高,TLS 是 SSL 新的别称. ② 通讯中的加密套件配置要求支持列出的正向保密. ③ 数字证书必须使用sha256或者更高级的签名哈希算法,并且保证密钥是2048位及以上的RSA密钥或者256位及以上的ECC密钥. 配置环境 Windows版本:Windows Server 2008 R2 E

  • 关于Window Server2008 服务器上无法播放音频文件和FLV视频文件

    在偌大的百度当中查找我所需要的资源信息,但网络上所描述的都不能解决,发生此类问题的人很多,但是都没有得到准确的解决方法!经个人各方面的尝试,其实非常简单的解决了无法播放音频文件的问题,如果各位今后也遇到此类问题,可按照我的方式处理: 若是3gp文件,在服务器IIS的MIME类型中直接添加扩展名为".3gp" MIME类型为"video/3gpp" 若是mp4文件,在服务器IIS的MIME类型中直接添加扩展名为".mp4" MIME类型为"

  • Windows Server2008服务器系统的九大特性

    Windows Server 2008的发布已经指日可待,其第一个candidate版也已经发布,正式版也会在不久之后发布. 上一个服务器版本的Windows还是Windows Server 2003,尽管期间微软发布过Windows Server 2003 R2,但是毕竟不是一个独立的新版本.因此,此次即将发布的Windows Server 2008备受微软重视,与Windows Server 2008相关的重大特性也被媒体反复渲染.其中,有很多特性已经为大多数IT专家们所熟悉,比如有关不带图

  • win2008 r2 服务器php+mysql+sqlserver2008运行环境配置(从安装、优化、安全等)

    win2008 r2 安装 http://www.jb51.net/article/38048.htm iis的安装 http://www.jb51.net/article/86390.htm php的安装注意事项: 下载非安全线程 版本 nts php 5.2.17 http://www.jb51.net/softs/268745.html 其它版本可以到 http://museum.php.net/php5/里面很多经典的老版本. PHP 5.5 (5.5.36) VC11 x64 Non

  • Windows Server 2008 架设 Web 服务器教程(图文详解)

    一.安装 IIS 7.0 : 虽然 Windows Server 2008 内置了I IS 7.0,但是默认情况下并没有安装.由于 Windows Server 2008 中安装 IIS 服务和以前操作相比有很大的不同,因此首先要首先需要参照下述步骤安装 IIS 7.0 组件. 后来笔者又在 windows server 2012 上试了 iis,版本是 8,本文中也有截图提及. 1:开始 - 服务器管理器 - 角色 - 添加角色 : 2:勾选 Web服务器(IIS),接着可以查看到对 Web

  • sql server 2008安装过程中服务器配置出错解决办法

    sql server 2008安装过程中服务器配置出错,求助!!!!!!! 解决方法: 当sql2008安装导向运行到这里时: 请选择:对所有SQL Server 服务使用相同的账号: 但这里不能给他设置自己定义的账号和密码(例如下面设置它的账号为sa,密码为654321)就会发生错误: 解决方法如下图所示: 1.  首先要点击"对所有SQL Server 服务使用相同的账号" 然后会弹出一对话框让我们输入账户和密码:我们点击账户后面的下拉列表从中学则任意一个账户,在这里密码就不用填写

  • win2008 r2 安装sql server 2005/2008 无法连接服务器解决方法

    在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误.未找到或无法访问服务器.请验证实例名称是否正确并且 SQL Server 已配置为允许远程连接. 在使用G2服务时,测试服务器连接,结果遇到这个问题. 问题详细:连接测试失败!:在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误.未找到或无法访问服务器.请验证实例名称是否正确并且 SQL Server 已配置为允许远程连接. (provider: 命名管道提供程序, error: 40 - 无法打开到

  • Windows Server 2008服务器管理新技巧6则第1/4页

    在长期管理维护服务器系统的过程中,相信许多网络管理人员都总结出了一套行之有效的管理经验,善于使用这些经验技巧可以大幅度提高服务器系统的管理效率.可是,在我们接触了Windows Server 2008服务器系统后,如果再沿袭以前的管理经验来维护Windows Server 2008服务器时,就会发现许多经验已经失效了.为了更好地管理维护Windows Server 2008服务器系统,我们就需要总结挖掘出适合新系统环境下的管理技巧:现在,我们就为各位朋友推荐几则新的服务器管理维护技巧,希望能给各

  • Windows server 2008 R2 服务器系统安全防御加固方法

    一.更改终端默认端口号 步骤: 1.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\

  • 在Windows Server 2008 R2服务器下架设VPN服务器的方法

    系统环境: Windows Server 2008 R2 Enterprise 6.1.7600.16385 RRAS 5.2.0000 NPS 6.1.7600.16385 测试目的:架设VPN服务器并通过VPN访问内部网络 操作步骤: 1.在服务器管理器中添加角色"网络策略和访问服务",并安装以下角色服务: 下一步直到安装完成. 2.在 开始->管理工具->路由和远程访问 中打开RRAS,简陋的界面如下: 点击服务器状态,可看到目前只有一台服务器(就是本机).以我的计算

  • Windows Server 2008 r2服务器无故自动重启故障的解决方法

    Windows Server 2008服务器自动重启!登陆服务器之后,随便做什么操作,一两分钟服务器就自动重启. 解决方法: 重启服务器,F8进入安全模式,桌面上右键单击Computer选择Properties,在打开的系统属性页面点击Advanced system settings看到: 英文版系统 中文版系统 点击Startup and Recovery下的Settings看到: 英文版系统 中文版系统 将图中Automatically restart的勾选去掉,然后保存即可. 这样服务器就

  • Windows Server 2008 R2 服务器常用命令小结

    1.修改计算机名称 工作组:Netdom RenameComputer %ComputerName% /NewName:08R2ServerCore 域环境中:Netdom RenameComputer %ComputerName% /Newname:08R2ServerCore /UserD:Administrator /PasswordD:P@ssw0rd 2.设置计算机IP地址 把IP地址设置成动态获取:Netsh Interface ipv4 Set Address Name="本地连接

  • Windows Server 2008 R2远程设置选项灰色解决方法

    效果如图: 解决方法: 1.运行里面输入gpedit.msc后进入本地组策略设置: 2.将"计算机配置"---"管理模版"---"Windows组件"---"远程桌面服务"---"远程桌面会话主机"---"连接"---"允许用户使用远程桌面服务进行远程连接"设置开启 3.如果这时查看远程桌面设置为仅允许运行网络级别的远程.则将"计算机配置"---&

  • Windows Server 2008 R2上部署Exchange Server 2010图文教程

    这两个产品可谓是09年下半年微软推出的重头产品,均为64位架构,而且其功能和性能远远超出了其早期版本,在此不再对这方面的内容做过多的描述. Windows Server 2008 R2和Exchange Server 2010的结合是"完美"的.对于Exchange Server 2010的前一版本Exchange Server 2007来讲,只能运行在Windows Server 2008操作平台上,因此,想要在Windows Server 2008 R2部署Exchange 看来只

  • Windows Server 2008 R2常规安全设置及基本安全策略

    用的腾讯云最早选购的时候悲催的只有Windows Server 2008 R2的系统,原来一直用的Windows Server 2003对2008用起来还不是非常熟练,对于一些基本设置及基本安全策略,在网上搜了一下,整理大概有以下17个方面,如果有没说到的希望大家踊跃提出哈! 比较重要的几部 1.更改默认administrator用户名,复杂密码 2.开启防火墙 3.安装杀毒软件 1)新做系统一定要先打上补丁 2)安装必要的杀毒软件 3)删除系统默认共享 4)修改本地策略-->安全选项 交互式登

  • IIS7.0 Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站的教程图文详解

    配置环境 Windows版本:Windows Server 2008 R2 Enterprise Service Pack 1 系统类型: 64 位操作系统 了解HTTPS 为什么需要 HTTPS ? 在我们浏览网站时,多数网站的URL都是以HTTP开头,HTTP协议我们比较熟悉,信息通过明文传输; 使用HTTP协议有它的优点,它与服务器间传输数据更快速准确; 但是HTTP明显是不安全的,我们也可以注意到,当我们在使用邮件或者是在线支付时,都是使用HTTPS; HTTPS传输数据需要使用证书并对

  • WINDOWS server 2008 r2,win2012 r2 服务器安全加固实战

    主机安全 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙.2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁.不要用360了,360安全卫士不支持2008补丁的安装 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 操作目的 减少系统无用账号,降低风险 加固方法 "Win+R"键调出"运

随机推荐