Windows Server 服務器安全配置

       好吧，我標題黨了。我只了解一些基本的安全配置。如果你是大濕，請繞道或者給予我嚴厲的批評讓我進步謝謝.

       編輯這篇文章用的編輯器編輯的，當我單擊查看的時候發現查看屏幕完全超出范圍了。沒有找到關閉按鈕。又怕東西丟掉沒辦法調出調試工具代碼隱藏的層$("#cnblogs_showbox").hide() ， $("#cnblogs_mask").hide()

      注意 基本常識 Win+R呼出運行窗口

 

      常用命令 　　

         compmgmt.msc   計算機管理

　　　devmgmt.msc 設備管理器

　　　diskmgmt.msc   磁盤管理工具

　　　dfrg.msc    磁盤碎片整理

　　　eventvwr.msc   事件查看器

　　　fsmgmt.msc 共享文件夾管理

　　　gpedit.msc     用戶、分組策略管理工具

　　　lusrmgr.msc 本地用戶、組管理

　　　perfmon.msc 計算機性能監視器

　　　rsop.msc    管理策略查看

　　　secpol.msc 本地安全設置

　　　services.msc 服務管理

　　　winver        檢查Windows版本

　　　dxdiag        檢查DirectX信息

　　　Msconfig.exe   系統配置實用程序

　　　cmd.exe    CMD命令提示符(鍵入exit退出)

　　　chkdsk.exe 磁盤檢查

　　　lusrmgr.msc 本地賬戶管理

　　　iexpress    木馬捆綁工具，系統自帶

　　　ntbackup    系統備份和還原

　　　taskmgr    任務管理器

　　　winchat    局域網聊天

　　　nslookup    網絡管理的工具

  　　 regedit.exe     注冊表 

      一、安全好服務器后開始打補丁。一般人都應該有的常識。用補丁先將服務器縫起來。所以你選擇的系統就關鍵了。個人建議msdn的或微軟原版。雖然可能打的補丁比較多但是都相對來說比較安全。安裝IIS服務器。一般的服務器估計都會用

　　二、打開計算機管理器。按windows+R 玩出運行窗口，然后輸入compmgmt.msc就可以調出計算機管理器了。查看共享，如果有其他的盤的共享直接關閉。同時打開用戶和組關閉默認賬戶Guest等無用賬戶。

      三、創建一個新的管理員賬戶。擁有系統管理組。記住並登陸一次（此賬戶后期會刪除作用是怕設置錯誤導致無法登陸）。並將Administrator賬戶重命名，重命名有N中方式最快捷是命令或者再

上圖用戶里面選擇Administrator用戶重命名。另外在配置組策略的時候“本地策略--安全選項”，可以找到策略“賬戶：重命名系統管理員賬戶”，點擊修改即可。（防止用戶暴力猜解用戶密碼），創建一個IISUser賬戶。並設置密碼，賦予IIS_USERs組。

　　

      四、配置組策略管理器。調出組策略管理器，打開“Windows 設置--安全設置--本地策略--用戶權利分配” ，如下圖，

 

       其中，從網絡訪問此計算機。刪除其他的保留Administrator和IIS組的及其他你想通過網絡訪問此賬戶的組，比如ftp什么的。拒絕從網絡訪問這台機器，一般都是本地設置只允許本地訪問這台機器的賬戶。拒絕通過遠程桌面服務登錄。個人建議不通過遠程登錄的擁有administrator組權限的賬戶全部放在里面，因為有些服務可能用到系統賬戶開啟，這是可能創建一個公用的系統賬戶開啟服務。這寫賬戶可以直接禁止遠程登錄。其他的建議自己了解這里面有很多配置可用的，自己使用時靈活設置自由發揮。還有從網絡訪問此計算機建議本地嘗試后使用，本人經常設置錯誤不建議更改.

       四、先暫時關閉防火牆。修改遠程登錄端口，打開注冊表，計入一下路徑：“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]”，右側的"PortNumber"鍵值所對應的就是端口號，將PortNamber值(默認值是3389)修改成所希望的端口即可，例如5142。

再打開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp]，將PortNumber的值(默認是3389)修改成端口5142。

前提此端口不能被其他程序占用。不可以設置80這類端口。

       五、打開防火牆高級設置。新建一個端口規則。啟用並填入上面端口。同時默認遠程端口不變。打開防火牆。重啟服務器測試是否變更。設置防火牆的入站規則。手動添加一條端口規則

 禁用所有的無用端口。比如我禁用的有1-79,83-109,111-5141,5143-最大值,根據自己服務器作用適當開啟要使用端口。開錯概不負責。哈哈

      到這里我的服務器基本就配置完了，因為感覺這樣配置服務器基本不用殺毒軟件，注意如果是其他的文件上傳行服務器注意執行權限和文件病毒這類的，沒有設置過。當然有些東西沒有想到也就寫不下來了。還有我只是一個業余的。給初學者一個共同交流的地方。希望大家一起交流吧。也希望大神拍磚。

      IIS的安全設置等就先不說了。注入規避。等等。