Windows server 2008 R2 服務器系統安全防御加固方法【艾娜】

這篇文章主要介紹了Windows server 2008 R2 服務器系統安全防御加固方法,需要的朋友可以參考下

一.更改終端默認端口號

步驟：

1.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp]，看見PortNamber值了嗎？其默認值是3389，修改成所希望的端口即可，例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值（默認是3389）修改成端口12345（自定義）。

4.防火墻中設置ipsec 編輯規則修改完畢，重新啟動電腦，以后遠程登錄的時候使用端口12345就可以了。

二.NTFS權限設置

注意：

1、2008R2默認的文件夾和文件所有者為TrustedInstaller，這個用戶同時擁有所有控制權限。 2、注冊表同的項也是這樣，所有者為TrustedInstaller。 3、如果要修改文件權限時應該先設置 管理員組 administrators 為所有者，再設置其它權限。 4、如果要刪除或改名注冊表，同樣也需先設置 管理員組 為所有者，同時還要應該到子項，

直接刪除當前項 還是刪除不掉時可以先刪除子項后再刪除此項

步驟：

1.C盤只給administrators 和system權限，其他的權限不給，其他的盤也可以這樣設置（web目錄權限依具體情況而定）

2.這里給的system權限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。

Windows目錄要加上給users的默認權限，否則ASP和ASPX等應用程序就無法運行（如果你使用IIS的話，要引用windows下的dll文件）。

3.c:/user/ 只給administrators 和system權限

三.刪除默認共享

步驟：

1.打開dos，net share 查看默認共享

2.新建文本文檔輸入命令

net share c$ /del net share d$ /del //如有E盤可再添加 默認共享名均為c、d、d、d等

net share IPC$ /del net share admin$ /del 另存為sharedelte.bat

3.運行gpedit.msc，展開windous設置—腳本（啟動\關機）—啟動）—右鍵屬性—添加sharedelte.bat

同理可編輯其它規則

四.ipsec策略

以遠程終端為例1.控制面板——windows防火墻——高級設置——入站規則——新建規則——端口——特定端口tcp（如3389）——允許連接 2.完成以上操作之后右擊該條規則作用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過此功能對特定網段屏蔽（如80端口）

其它請參考win2003安全優化

Windows 2008 R2服務器的安全加固 補充

最近托管了一臺2U服務器到機房，安裝的是Windows 2008系統，打算用IIS做web server，因此需要把沒用的端口、服務關閉，減小風險。

我發現現在網絡上有價值的東西實在是太少了，很多人都是轉載來轉載去，學而不思，沒有一點營養。還是自己總結總結吧，大概有以下幾步：

如何關掉IPv6？

這一點國內國外網站上基本上都有了共識，都是按照下面兩步來進行。據說執行之后就剩本地換回路由還沒關閉。但關閉之后我發現某些端口還是同時監聽ipv4和ipv6的端口，尤其是135端口，已經把ipv4關閉了，ipv6竟然還開著。匪夷所思啊……

先關閉網絡連接->本地連接->屬性->Internet協議版本 6 (TCP/IPv6)

然后再修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters ，增加一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

--------------------------
縱橫數據 國內高防御服務器租用 美國高防御服務器租用 歡迎聯系在線客服 QQ 4001886560  482986990