Windows server 2008 R2 伺服器系統安全防禦加固方法_win伺服器

一.更改終端預設連接埠號碼

步驟：

1.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp]，看見PortNamber值了嗎？其預設值是3389，修改成所希望的連接埠即可，例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值（預設是3389）修改成連接埠12345（自訂）。

4.防火牆中設定ipsec 編輯規則修改完畢，重新啟動電腦，以後遠程登入的時候使用連接埠12345就可以了。

二.NTFS使用權限設定

注意：

1、2008R2預設的檔案夾和檔案所有者為TrustedInstaller，這個使用者同時擁有所有控制許可權。 2、註冊表同的項也是這樣，所有者為TrustedInstaller。 3、如果要修改檔案許可權時應該先設定 Administrator 群組 administrators 為所有者，再設定其它許可權。 4、如果要刪除或改名註冊表，同樣也需先設定 Administrator 群組 為所有者，同時還要應該到子項，

直接刪除當前項 還是刪除不掉時可以先刪除子項後再刪除此項

步驟：

1.C盤只給administrators 和system許可權，其他的許可權不給，其他的盤也可以這樣設定（web目錄許可權依具體情況而定）
2.這裡給的system許可權也不一定需要給，只是由於某些第三方應用程式是以服務形式啟動的，需要加上這個使用者，否則造成啟動不了。

Windows目錄要加上給users的預設許可權，否則ASP和ASPX等應用程式就無法運行（如果你使用IIS的話，要引用windows下的dll檔案）。

3.c:/user/ 只給administrators 和system許可權

三.刪除預設共用

步驟：

1.開啟dos，net share 查看預設共用
2.建立文字文件輸入命令

net share c$ /del net share d$ /del //如有E盤可再添加 預設共用名稱均為c$、d$等
net share IPC$ /del net share admin$ /del 另存新檔sharedelte.bat

3.運行gpedit.msc，展開windous設定—指令碼（啟動\關機）—啟動）—右鍵屬性—添加sharedelte.bat

同理可編輯其它規則

四.ipsec策略
以遠程終端為例1.控制台——windows防火牆——進階設定——入站規則——建立規則——連接埠——特定連接埠tcp（如3389）——允許串連 2.完成以上操作之後右擊該條規則範圍——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它連接埠可以通過此功能對特定網段屏蔽（如80連接埠）

其它請參考win2003安全最佳化

Windows 2008 R2伺服器的安全強化 補充

最近託管了一台2U伺服器到機房，安裝的是Windows 2008系統，打算用IIS做web server，因此需要把沒用的連接埠、服務關閉，減小風險。

我發現現在網路上有價值的東西實在是太少了，很多人都是轉載來轉載去，學而不思，沒有一點營養。還是自己總結總結吧，大概有以下幾步：

1. 如何關掉IPv6？

這一點國內國外網站上基本上都有了共識，都是按照下面兩步來進行。據說執行之後就剩本地換迴路由還沒關閉。但關閉之後我發現某些連接埠還是同時監聽ipv4和ipv6的連接埠，尤其是135連接埠，已經把ipv4關閉了，ipv6竟然還開著。匪夷所思啊……

先關閉網路連接->本地串連->屬性->Internet協議版本 6 (TCP/IPv6)

然後再修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

重啟伺服器即可關閉ipv6

2. 如何關閉135連接埠？

這個破連接埠是RPC服務的連接埠，以前出過很多問題，現在貌似沒啥漏洞了，不過還是心有餘悸啊，想關的這樣關：

開始->運行->dcomcnfg->元件服務->電腦->我的電腦->屬性->預設屬性->關閉“在此電腦上啟用分布式COM”->預設協議->移除“連線導向的TCP/IP”

但是感覺做了以上的操作還能看到135在Listen狀態，還可以試試這樣。

在cmd中執行：netsh rpc add 127.0.0.0，這樣135連接埠只監聽127.0.0.1了。

3. 如何關閉445連接埠？

445連接埠是netbios用來在區域網路內解析機器名的服務連接埠，一般伺服器不需要對LAN開放什麼共用，所以可以關閉。

修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0

4. 關閉Netbios服務（關閉139連接埠）

網路連接->本地串連->屬性->Internet協議版本 4->屬性->進階->WINS->禁用TCP/IP上的NetBIOS

5. 關閉LLMNR（關閉5355連接埠）

什麼是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用於解析本地網段上的名稱，沒啥用但還佔著5355連接埠。

使用組策略關閉，運行->gpedit.msc->電腦配置->系統管理範本->網路->DNS用戶端->關閉多播名稱解析->啟用

還有一種方法，我沒嘗試，如果沒有組策略管理的可以試試，修改註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof\Windows NT\DNSClient，建立一個Dword項，名字：EnableMulticast，值：0

6. 關閉Windows Remote Management服務（關閉47001連接埠）

Windows遠端管理服務，用於配合IIS管理硬體，一般用不到，但開放了47001連接埠很不爽，關閉方法很簡單，禁用這個服務即可。

7. 關閉UDP 500，UDP 4500連接埠

這兩個連接埠讓我搜尋了半天，雖然知道應該和VPN有關，但是不知道是哪個服務在佔用。最後終於找到了，其實是IKE and AuthIP IPsec Keying Modules服務在作怪。如果你的伺服器上不運行基於IKE認證的VPN服務，就可以關閉了。（我用的是PPTP方式串連VPN，把ipsec和ike都關閉了）

8. 刪除檔案和印表機共用

網路連接->本地串連->屬性，把除了“Internet協議版本 4”以外的東西都勾掉。

9. 關閉檔案和印表機共用

直接停止“server”服務，並設定為禁用，重啟後再右鍵點某個磁碟選屬性，“共用”這個頁面就不存在了。