Windows Server 服務(wù)器安全配置

好吧，我標(biāo)題黨了。我只了解一些基本的安全配置。如果你是大濕，請繞道或者給予我嚴(yán)厲的批評讓我進(jìn)步謝謝.

編輯這篇文章用的編輯器編輯的，當(dāng)我單擊查看的時候發(fā)現(xiàn)查看屏幕完全超出范圍了。沒有找到關(guān)閉按鈕。又怕東西丟掉沒辦法調(diào)出調(diào)試工具代碼隱藏的層$("#cnblogs_showbox").hide() ，$("#cnblogs_mask").hide()

注意 基本常識 Win+R呼出運行窗口

常用命令　　

compmgmt.msc 計算機(jī)管理

　　　devmgmt.msc 設(shè)備管理器

　　　diskmgmt.msc 磁盤管理工具

　　　dfrg.msc 磁盤碎片整理

　　　eventvwr.msc 事件查看器

　　　fsmgmt.msc 共享文件夾管理

　　　gpedit.msc 用戶、分組策略管理工具

　　　lusrmgr.msc 本地用戶、組管理

　　　perfmon.msc 計算機(jī)性能監(jiān)視器

　　　rsop.msc 管理策略查看

　　　secpol.msc 本地安全設(shè)置

　　　services.msc服務(wù)管理

　　　winver 檢查Windows版本

　　　dxdiag 檢查DirectX信息

　　　Msconfig.exe 系統(tǒng)配置實用程序

　　　cmd.exe CMD命令提示符(鍵入exit退出)

　　　chkdsk.exe 磁盤檢查

　　　lusrmgr.msc 本地賬戶管理

　　　iexpress 木馬捆綁工具，系統(tǒng)自帶

　　　ntbackup 系統(tǒng)備份和還原

　　　taskmgr 任務(wù)管理器

　　　winchat 局域網(wǎng)聊天

　　　nslookup 網(wǎng)絡(luò)管理的工具

　　 regedit.exe 注冊表

一、安全好服務(wù)器后開始打補(bǔ)丁。一般人都應(yīng)該有的常識。用補(bǔ)丁先將服務(wù)器縫起來。所以你選擇的系統(tǒng)就關(guān)鍵了。個人建議msdn的或微軟原版。雖然可能打的補(bǔ)丁比較多但是都相對來說比較安全。安裝IIS服務(wù)器。一般的服務(wù)器估計都會用

　　二、打開計算機(jī)管理器。按windows+R 玩出運行窗口，然后輸入compmgmt.msc就可以調(diào)出計算機(jī)管理器了。查看共享，如果有其他的盤的共享直接關(guān)閉。同時打開用戶和組關(guān)閉默認(rèn)賬戶Guest等無用賬戶。

三、創(chuàng)建一個新的管理員賬戶。擁有系統(tǒng)管理組。記住并登陸一次（此賬戶后期會刪除作用是怕設(shè)置錯誤導(dǎo)致無法登陸）。并將Administrator賬戶重命名，重命名有N中方式最快捷是命令或者再

上圖用戶里面選擇Administrator用戶重命名。另外在配置組策略的時候“本地策略--安全選項”，可以找到策略“賬戶：重命名系統(tǒng)管理員賬戶”，點擊修改即可。（防止用戶暴力猜解用戶密碼），創(chuàng)建一個IISUser賬戶。并設(shè)置密碼，賦予IIS_USERs組。

　　

四、配置組策略管理器。調(diào)出組策略管理器，打開“Windows 設(shè)置--安全設(shè)置--本地策略--用戶權(quán)利分配” ，如下圖，

其中，從網(wǎng)絡(luò)訪問此計算機(jī)。刪除其他的保留Administrator和IIS組的及其他你想通過網(wǎng)絡(luò)訪問此賬戶的組，比如ftp什么的。拒絕從網(wǎng)絡(luò)訪問這臺機(jī)器，一般都是本地設(shè)置只允許本地訪問這臺機(jī)器的賬戶。拒絕通過遠(yuǎn)程桌面服務(wù)登錄。個人建議不通過遠(yuǎn)程登錄的擁有administrator組權(quán)限的賬戶全部放在里面，因為有些服務(wù)可能用到系統(tǒng)賬戶開啟，這是可能創(chuàng)建一個公用的系統(tǒng)賬戶開啟服務(wù)。這寫賬戶可以直接禁止遠(yuǎn)程登錄。其他的建議自己了解這里面有很多配置可用的，自己使用時靈活設(shè)置自由發(fā)揮。還有從網(wǎng)絡(luò)訪問此計算機(jī)建議本地嘗試后使用，本人經(jīng)常設(shè)置錯誤不建議更改.

四、先暫時關(guān)閉防火墻。修改遠(yuǎn)程登錄端口，打開注冊表，計入一下路徑：“[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsdpwdTds cp]”，右側(cè)的"PortNumber"鍵值所對應(yīng)的就是端口號，將PortNamber值(默認(rèn)值是3389)修改成所希望的端口即可，例如5142。

再打開[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp]，將PortNumber的值(默認(rèn)是3389)修改成端口5142。

前提此端口不能被其他程序占用。不可以設(shè)置80這類端口。

五、打開防火墻高級設(shè)置。新建一個端口規(guī)則。啟用并填入上面端口。同時默認(rèn)遠(yuǎn)程端口不變。打開防火墻。重啟服務(wù)器測試是否變更。設(shè)置防火墻的入站規(guī)則。手動添加一條端口規(guī)則

禁用所有的無用端口。比如我禁用的有1-79,83-109,111-5141,5143-最大值,根據(jù)自己服務(wù)器作用適當(dāng)開啟要使用端口。開錯概不負(fù)責(zé)。哈哈

到這里我的服務(wù)器基本就配置完了，因為感覺這樣配置服務(wù)器基本不用殺毒軟件，注意如果是其他的文件上傳行服務(wù)器注意執(zhí)行權(quán)限和文件病毒這類的，沒有設(shè)置過。當(dāng)然有些東西沒有想到也就寫不下來了。還有我只是一個業(yè)余的。給初學(xué)者一個共同交流的地方。希望大家一起交流吧。也希望大神拍磚。

IIS的安全設(shè)置等就先不說了。注入規(guī)避。等等。

　

總結(jié)

以上是生活随笔為你收集整理的Windows Server 服务器安全配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。