Windows Server 服務(wù)器安全配置

好吧，我標(biāo)題黨了。我只了解一些基本的安全配置。如果你是大濕，請(qǐng)繞道或者給予我嚴(yán)厲的批評(píng)讓我進(jìn)步謝謝.

編輯這篇文章用的編輯器編輯的，當(dāng)我單擊查看的時(shí)候發(fā)現(xiàn)查看屏幕完全超出范圍了。沒(méi)有找到關(guān)閉按鈕。又怕東西丟掉沒(méi)辦法調(diào)出調(diào)試工具代碼隱藏的層$("#cnblogs_showbox").hide() ，$("#cnblogs_mask").hide()

注意 基本常識(shí) Win+R呼出運(yùn)行窗口

常用命令　　

compmgmt.msc 計(jì)算機(jī)管理

　　　devmgmt.msc 設(shè)備管理器

　　　diskmgmt.msc 磁盤管理工具

　　　dfrg.msc 磁盤碎片整理

　　　eventvwr.msc 事件查看器

　　　fsmgmt.msc 共享文件夾管理

　　　gpedit.msc 用戶、分組策略管理工具

　　　lusrmgr.msc 本地用戶、組管理

　　　perfmon.msc 計(jì)算機(jī)性能監(jiān)視器

　　　rsop.msc 管理策略查看

　　　secpol.msc 本地安全設(shè)置

　　　services.msc服務(wù)管理

　　　winver 檢查Windows版本

　　　dxdiag 檢查DirectX信息

　　　Msconfig.exe 系統(tǒng)配置實(shí)用程序

　　　cmd.exe CMD命令提示符(鍵入exit退出)

　　　chkdsk.exe 磁盤檢查

　　　lusrmgr.msc 本地賬戶管理

　　　iexpress 木馬捆綁工具，系統(tǒng)自帶

　　　ntbackup 系統(tǒng)備份和還原

　　　taskmgr 任務(wù)管理器

　　　winchat 局域網(wǎng)聊天

　　　nslookup 網(wǎng)絡(luò)管理的工具

　　 regedit.exe 注冊(cè)表

一、安全好服務(wù)器后開(kāi)始打補(bǔ)丁。一般人都應(yīng)該有的常識(shí)。用補(bǔ)丁先將服務(wù)器縫起來(lái)。所以你選擇的系統(tǒng)就關(guān)鍵了。個(gè)人建議msdn的或微軟原版。雖然可能打的補(bǔ)丁比較多但是都相對(duì)來(lái)說(shuō)比較安全。安裝IIS服務(wù)器。一般的服務(wù)器估計(jì)都會(huì)用

　　二、打開(kāi)計(jì)算機(jī)管理器。按windows+R 玩出運(yùn)行窗口，然后輸入compmgmt.msc就可以調(diào)出計(jì)算機(jī)管理器了。查看共享，如果有其他的盤的共享直接關(guān)閉。同時(shí)打開(kāi)用戶和組關(guān)閉默認(rèn)賬戶Guest等無(wú)用賬戶。

三、創(chuàng)建一個(gè)新的管理員賬戶。擁有系統(tǒng)管理組。記住并登陸一次（此賬戶后期會(huì)刪除作用是怕設(shè)置錯(cuò)誤導(dǎo)致無(wú)法登陸）。并將Administrator賬戶重命名，重命名有N中方式最快捷是命令或者再

上圖用戶里面選擇Administrator用戶重命名。另外在配置組策略的時(shí)候“本地策略--安全選項(xiàng)”，可以找到策略“賬戶：重命名系統(tǒng)管理員賬戶”，點(diǎn)擊修改即可。（防止用戶暴力猜解用戶密碼），創(chuàng)建一個(gè)IISUser賬戶。并設(shè)置密碼，賦予IIS_USERs組。

　　

四、配置組策略管理器。調(diào)出組策略管理器，打開(kāi)“Windows 設(shè)置--安全設(shè)置--本地策略--用戶權(quán)利分配” ，如下圖，

其中，從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)。刪除其他的保留Administrator和IIS組的及其他你想通過(guò)網(wǎng)絡(luò)訪問(wèn)此賬戶的組，比如ftp什么的。拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)機(jī)器，一般都是本地設(shè)置只允許本地訪問(wèn)這臺(tái)機(jī)器的賬戶。拒絕通過(guò)遠(yuǎn)程桌面服務(wù)登錄。個(gè)人建議不通過(guò)遠(yuǎn)程登錄的擁有administrator組權(quán)限的賬戶全部放在里面，因?yàn)橛行┓?wù)可能用到系統(tǒng)賬戶開(kāi)啟，這是可能創(chuàng)建一個(gè)公用的系統(tǒng)賬戶開(kāi)啟服務(wù)。這寫賬戶可以直接禁止遠(yuǎn)程登錄。其他的建議自己了解這里面有很多配置可用的，自己使用時(shí)靈活設(shè)置自由發(fā)揮。還有從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)建議本地嘗試后使用，本人經(jīng)常設(shè)置錯(cuò)誤不建議更改.

四、先暫時(shí)關(guān)閉防火墻。修改遠(yuǎn)程登錄端口，打開(kāi)注冊(cè)表，計(jì)入一下路徑：“[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsdpwdTds cp]”，右側(cè)的"PortNumber"鍵值所對(duì)應(yīng)的就是端口號(hào)，將PortNamber值(默認(rèn)值是3389)修改成所希望的端口即可，例如5142。

再打開(kāi)[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp]，將PortNumber的值(默認(rèn)是3389)修改成端口5142。

前提此端口不能被其他程序占用。不可以設(shè)置80這類端口。

五、打開(kāi)防火墻高級(jí)設(shè)置。新建一個(gè)端口規(guī)則。啟用并填入上面端口。同時(shí)默認(rèn)遠(yuǎn)程端口不變。打開(kāi)防火墻。重啟服務(wù)器測(cè)試是否變更。設(shè)置防火墻的入站規(guī)則。手動(dòng)添加一條端口規(guī)則

禁用所有的無(wú)用端口。比如我禁用的有1-79,83-109,111-5141,5143-最大值,根據(jù)自己服務(wù)器作用適當(dāng)開(kāi)啟要使用端口。開(kāi)錯(cuò)概不負(fù)責(zé)。哈哈

到這里我的服務(wù)器基本就配置完了，因?yàn)楦杏X(jué)這樣配置服務(wù)器基本不用殺毒軟件，注意如果是其他的文件上傳行服務(wù)器注意執(zhí)行權(quán)限和文件病毒這類的，沒(méi)有設(shè)置過(guò)。當(dāng)然有些東西沒(méi)有想到也就寫不下來(lái)了。還有我只是一個(gè)業(yè)余的。給初學(xué)者一個(gè)共同交流的地方。希望大家一起交流吧。也希望大神拍磚。

IIS的安全設(shè)置等就先不說(shuō)了。注入規(guī)避。等等。

　

總結(jié)

以上是生活随笔為你收集整理的Windows Server 服务器安全配置的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。