Windows Server 服务器安全配置

Windows Server 服务器安全配置

好吧，我标题党了。我只了解一些基本的安全配置。如果你是大湿，请绕道或者给予我严厉的批评让我进步谢谢.

编辑这篇文章用的编辑器编辑的，当我单击查看的时候发现查看屏幕完全超出范围了。没有找到关闭按钮。又怕东西丢掉没办法调出调试工具代码隐藏的层$("#cnblogs_showbox").hide() ， $("#cnblogs_mask").hide()

注意 基本常识 Win+R呼出运行窗口

常用命令 　　

compmgmt.msc   计算机管理

　　　devmgmt.msc 设备管理器

　　　diskmgmt.msc   磁盘管理工具

　　　dfrg.msc    磁盘碎片整理

　　　eventvwr.msc   事件查看器

　　　fsmgmt.msc 共享文件夹管理

　　　gpedit.msc     用户、分组策略管理工具

　　　lusrmgr.msc 本地用户、组管理

　　　perfmon.msc 计算机性能监视器

　　　rsop.msc    管理策略查看

　　　secpol.msc 本地安全设置

　　　services.msc 服务管理

　　　winver        检查Windows版本

　　　dxdiag        检查DirectX信息

　　　Msconfig.exe   系统配置实用程序

　　　cmd.exe    CMD命令提示符(键入exit退出)

　　　chkdsk.exe 磁盘检查

　　　lusrmgr.msc 本地账户管理

　　　iexpress    木马捆绑工具，系统自带

　　　ntbackup    系统备份和还原

　　　taskmgr    任务管理器

　　　winchat    局域网聊天

　　　nslookup    网络管理的工具

　　 regedit.exe     注册表

一、安全好服务器后开始打补丁。一般人都应该有的常识。用补丁先将服务器缝起来。所以你选择的系统就关键了。个人建议msdn的或微软原版。虽然可能打的补丁比较多但是都相对来说比较安全。安装IIS服务器。一般的服务器估计都会用

　　二、打开计算机管理器。按windows+R 玩出运行窗口，然后输入compmgmt.msc就可以调出计算机管理器了。查看共享，如果有其他的盘的共享直接关闭。同时打开用户和组关闭默认账户Guest等无用账户。

三、创建一个新的管理员账户。拥有系统管理组。记住并登陆一次（此账户后期会删除作用是怕设置错误导致无法登陆）。并将Administrator账户重命名，重命名有N中方式最快捷是命令或者再

上图用户里面选择Administrator用户重命名。另外在配置组策略的时候“本地策略--安全选项”，可以找到策略“账户：重命名系统管理员账户”，点击修改即可。（防止用户暴力猜解用户密码），创建一个IISUser账户。并设置密码，赋予IIS_USERs组。

　　

四、配置组策略管理器。调出组策略管理器，打开“Windows 设置--安全设置--本地策略--用户权利分配” ，如下图，

其中，从网络访问此计算机。删除其他的保留Administrator和IIS组的及其他你想通过网络访问此账户的组，比如ftp什么的。拒绝从网络访问这台机器，一般都是本地设置只允许本地访问这台机器的账户。拒绝通过远程桌面服务登录。个人建议不通过远程登录的拥有administrator组权限的账户全部放在里面，因为有些服务可能用到系统账户开启，这是可能创建一个公用的系统账户开启服务。这写账户可以直接禁止远程登录。其他的建议自己了解这里面有很多配置可用的，自己使用时灵活设置自由发挥。还有从网络访问此计算机建议本地尝试后使用，本人经常设置错误不建议更改.

四、先暂时关闭防火墙。修改远程登录端口，打开注册表，计入一下路径：“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]”，右侧的"PortNumber"键值所对应的就是端口号，将PortNamber值(默认值是3389)修改成所希望的端口即可，例如5142。

再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp]，将PortNumber的值(默认是3389)修改成端口5142。

前提此端口不能被其他程序占用。不可以设置80这类端口。

五、打开防火墙高级设置。新建一个端口规则。启用并填入上面端口。同时默认远程端口不变。打开防火墙。重启服务器测试是否变更。设置防火墙的入站规则。手动添加一条端口规则

禁用所有的无用端口。比如我禁用的有1-79,83-109,111-5141,5143-最大值,根据自己服务器作用适当开启要使用端口。开错概不负责。哈哈

到这里我的服务器基本就配置完了，因为感觉这样配置服务器基本不用杀毒软件，注意如果是其他的文件上传行服务器注意执行权限和文件病毒这类的，没有设置过。当然有些东西没有想到也就写不下来了。还有我只是一个业余的。给初学者一个共同交流的地方。希望大家一起交流吧。也希望大神拍砖。

IIS的安全设置等就先不说了。注入规避。等等。