web服务器的安全配置(以windows为例)

WEB 服务器安全设置WEB 服务器安全设置2010-06-07 162010-06-07 16：：57 WEB 服务器安全设置参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践，综合了这些安全设置文章整理而成，希望对大家有所帮助，另外里面有不足之处还请大家多多指点，然后给补上，谢谢！一、系统的安装1、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

安装在系统里面。

22、IIS6.0的安装开始菜单的安装开始菜单--控制面板控制面板--添加或删除程序加或删除程序--添加添加//删除Windows 组件应用程序组件应用程序(((可选可选可选)|--)|--)|--启用网络启用网络COM+COM+访问访问访问((必选必选)|--Internet )|--Internet 信息服务信息服务(IIS)---Internet (IIS)---Internet 信息服务管理器信息服务管理器((必选)|--)|--公用文件公用文件公用文件((必选必选)|--)|--)|--万维网服务万维网服务万维网服务---Active Server pages(---Active Server pages(---Active Server pages(必选必选必选)|--)|--Internet 数据连接器数据连接器((可选可选)|--WebDAV )|--WebDAV 发布发布((可选可选)|--)|--)|--万维网服务万维网服务万维网服务((必选必选)|--)|--)|--在在服务器端的包含文件服务器端的包含文件((可选可选))然后点击确定然后点击确定--下一步安装。

下一步安装。

((具体见本文附件1)3、系统补丁的更新点击开始菜单、系统补丁的更新点击开始菜单--所有程序所有程序-Windows Update -Windows Update 按照提示进行补丁的安装。

一、安装补丁安装好Windows 2003操作系统之后，在托管之前一定要完成补丁的安装，配置好网络后，最好安装上SP1，然后点击开始选择Windows Update，安装所有的关键更新。

二、安装杀毒软件目前的杀毒软件种类很多，其中瑞星、诺顿、卡巴斯基等都是很不错的选择。

不过，也不要指望杀毒软件能够杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决，这样比较好，比筛选更有灵活性，桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置，把服务器上面要用到的服务端口选中，例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389），在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号，如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。

注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

1、权限设置的原理1）WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。

在开始→程序→管理工具→计算机管理→本地用户和组，管理系统用户和用户组。

2）NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。

文件（夹）上右键→属性→安全，在这里管理NTFS文件（夹）权限。

3）IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

Windows IIS WEB服务器配置安全规范本文档列举出一些建议和最佳做法，以保证Web 上运行Microsoft Windows 2000 和Internet Information Services (IIS) 5 的服务器的安全。

这些设置侧重于安全性而不是性能方面。

因此认真阅读以下的建议并运用它们来获得适用于自己企业的设置是很重要的。

注意本文档是由“Designing Secure Web-Based Applications for Microsoft Windows 2000”，Microsoft Press，ISBN: 0735609950 改编而来。

那些熟悉Internet Information Server 4 清单的客户将注意到本列表要远短于Internet Information Server 4 的清单。

这是因为以下两点原因:许多Windows 2000 系统范围的设置可以通过提供的安全模板(hisecweb,inf) 进行配置;所以不需要手动配置注册表设置。

在Windows 2000 和IIS 5 的默认状态下，将禁用Microsoft Windows NT 4 和Internet Information Server 4 上的某些低安全级别的默认设置。

本文档的其余部分分为以下几个部分:一般性安全考虑事项Windows 2000 安全考虑事项IIS 5 安全考虑事项一般性安全考虑事项本部分内容讲述一般性安全问题。

阅读您企业的安全策略拥有安全策略是十分重要的。

对以下问题，您需要有现成的答案:如何对入侵作出反应?备份存储在何处?允许谁访问服务器?在SANS Institute、Baseline Software, Inc. 和Practical Unix & Internet Security (O’Reilly Books, 1996) 中可以找到有关策略信息的比较好资源。

实验五：web服务器的安全配置实验目的：使同学们掌握windows 2000 sever、windows 2003 sever与IIS共同搭建web服务器的安全设置方案。

一、加强IIS安全的基本设置1.关闭并删除默认站点为了加强安全性我们首先应该关闭并删除IIS默认的各个站点，如默认FTP站点、默认Web站点和管理Web站点。

2.建立自己的站点，与系统不在同一分区例如C:\为系统盘，那么我们建立D:\wwwroot目录，用来存放站点的程序和数据；建立E:\Logfiles 目录，用来存放站点的日志文件，并确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）。

3.删除IIS的部分目录为了加强IIS安全,我们需要删除如下目录：IISHelp，C:\winnt\help\iishelp；IISAdmin，C:\system32\inetsrv\iisadmin；MSADC，C:\Program Files\Common Files\System\msadc\；另外还要删除IIS 的默认安装目录C:\ inetpub。

4.删除不必要的IIS映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp和 .shtm文件。

IIS 接收到这些类型的文件请求时，该调用由DLL处理。

如果所搭建的网站不使用其中某些扩展或功能，则应删除该映射。

步骤如下：打开 Internet 服务管理器：选择计算机名，点鼠标右键，选择属性，选择编辑然后选择主目录，点击配置，选择扩展名 \".htw\", \".htr\",\".idc\",\".ida\",\".idq\"和，点击删除如果不使用server side include，则删除\".shtm\" \".stm\" 和 \".shtml\"。

6、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。

然后点击确定—>下一步安装。

（具体见本文附件1）３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。

４、备份系统用GHOST备份系统。

５、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份修改3389远程连接端口修改注册表.开始--运行--regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。

web服务器安全设置Web服务器攻击常利用Web服务器软件和配置中的漏洞，web 服务器安全也是我们现在很多人关注的一点，那么你知道web服务器安全设置吗?下面是店铺整理的一些关于web服务器安全设置的相关资料，供你参考。

web服务器安全设置一、IIS的相关设置删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。

配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。

对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。

用户程序调试设置发送文本错误信息给客户。

对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS 中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。

设置IIS的日志保存目录，调整日志记录信息。

设置为发送文本错误信息。

修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。

另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。

如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。

因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。

方法用户从脚本提升权限：web服务器安全设置二、ASP的安全设置设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：regsvr32/u C:\WINNT\System32\wshom.ocxdel C:\WINNT\System32\wshom.ocxregsvr32/u C:\WINNT\system32\shell32.dlldel C:\WINNT\system32\shell32.dll即可将WScript.Shell, Shell.application, work组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。

Web服务器安装与操作系统安全配置专业班级：10 信息安全学生姓名：王猛涛学生学号：_ 20101616310049 _指导教师：周星完成时间：2013年4月22日Web服务器安装与操作系统的安全配置实验一一、实验目的1. 理解操作系统安全对电子商务系统安全的重要性；2. 熟悉操作系统的安全机制，以及Windows的安全策略；3. 掌握对Windows操作系统进行安全配置的基本方法和步骤。

4. 了解操作系统中Web服务器的安全漏洞及其安全策略。

5. 掌握基于IIS的Web服务器的安全配置的方法。

二、实验环境实验设备：PC机及其局域网，具备Internet连接。

软件环境：Windows XP/Windows 2003 Ent操作系统，磁盘格式为NTFS，并且完全安装IIS服务组件。

三、实验内容Web服务器的安装与操作系统的安全配置。

内容摘要：内容1：账户和密码的安全设置1. 删除不再使用的账户2. 启用账户策略3. 不自动显示上次登录的账户名4. 启动密码设置内容2：文件系统加密（NTFS）内容3：启用审核与日志查看功能（一种入侵检测方法）1. 启用审核策略2. 事件日志查看内容4：启用安全模板（组织网络安全设置的建立与管理）1. 启用预定义的安全模板2. 自定安全模板内容5：禁用远程协助内容6：禁用不必要的协议端口1. 禁用不必要的协议（如：NetBIOS）2. 禁用不必要的协议和端口（如：Telnet）内容7：屏蔽不必要的服务组件内容8：IIS服务组件的安装内容9：配置并验证IIS四、安全配置的具体操作实现内容1：账户和密码的安全设置1. 删除不再使用的账户共享的账户越多，被黑客攻击的几率也越大。

特别是Guest账户，它是一个非常危险的安全漏洞，常常成为攻击的对象，因为黑客可以利用这个账户登录合法的服务器。

因此，要求删除不再使用的账户，并且建议将Guest账户进行禁用。

（1）检查和删除不再使用的账户单击“开始”按钮，然后依次选择“控制面板”“管理工具”“计算机管理”“本地用户和组”“用户”“删除其中不再使用的账户”，具体如下图1示：图 1 计算机管理窗口（2）禁用Guest账户在（1）的基础上，选“Guest 账户”“属性”“Guest属性”“账户已停用”，具体如下图2示：图 2 禁用Guest账户2. 启用账户策略账户策略是Windows XP账户管理的重要工具，它可以增加攻击者登录系统的难度。

基于Windows2003的校园网Web服务器安全配置技术王杨摘要：对基于Windows Server 2003系统下Web服务器的安全技术研究。

从操作系统本身入手，通过重新规划系统部分默认配置。

提高基Windows2003的校园网Web服务器的安全性。

关键词：web 服务器；安全；IIS；Windows Server 2003构建一个安全的Web服务平台是保障学校各项工作顺利开展的基础，是学校实现现代化教学的前提，也是保障整个互联网健康发展的一个重要因素。

随着各类黑客工具在网络上的大势传播，Web 服务器面临着前所未有的威胁Windows Server2003作为第一个内置支持.NET技术的操作系统，重写了内核代码，使得该系统更稳定、更安全。

以下分别从Windows Server2003 系统配置，IIS配置以及网站代码安全三个方面来探讨web 服务器的安全问题。

1 Windows Server2003 系统安全配置Web服务器所采用的操作系统，高性能、高可靠性和高安全性是其必备要素。

微软的企业级操作系统中, 如果说Windows2000 全面继承了NT 技术, 那么Windows Server2003 则是依据.Net 架构对NT技术作了重要发展和实质性改进, 凝聚了微软多年来的技术积累, 使得系统安全性方面得以更大提高。

1.1 采用NTFS磁盘分区格式NTFS系统提供了性能安全、可靠以及在其他文件系统格式没有的高级功能,可以实现文件及文件夹的加密、权限设置、磁盘配额和压缩等高级功能,并可以更好的利用磁盘空间,提高系统的运行速度。

自WindowsNT 系统问世以来,使用NTFS文件系统,进一步打造系统安全已逐渐成为一种共识。

1.2 关闭系统默认共享Windows Server2003 仍开启默认共享所有硬盘分区, 以及让进程通信而开放的命名管道IPC$和系统工作目录admin$共享,这就为系统的安全埋下隐患。

windowsserver2003 WEB服务器系统的安全配置摘要：随着Internet 的广泛使用，如何设置Web 服务器使服务器承载的网站在网络中较为安全的运行，值得我们关注研究。

本文以Windows server 2003 Web 服务器为环境，就本人对Web 服务器的应用经验对WEB服务器系统的安全设置加以阐述和研究。

关键字：WEB 服务器系统安全配置一、开启防火墙，关闭不需要的端口首先开启防火墙，具体做法：本地连接--属性--Internet协议(TCP/IP)--高级，在高级选项卡中使用”Internet连接防火墙”，这是windows 2003 自带的防火墙，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

之后关闭不需要的端口或者增加需要的端口。

笔者一般只开3389，21 ，80 ，1433 端口。

修改远程桌面连接端口，默认的连接端口3389为其他端口，修改注册表.，开始--运行--regedit ，依次展HKEY_LOCAL_MACHINE/SYSTEM /CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WDS/RDPWD/TDS/TCP ，右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/，右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) ，需要注意的是：在WINDOWS2003 防火墙里需要添加端口10000 ，修改完毕.重新启动服务器.设置生效。

二、禁用不必要的服务禁用不必要的服务，提高系统的安全性和效率。

开始-运行中输入命令services.msc，会有一系列服务显示出来，其中TCP/IPNetBIOS Helper；Server；Computer Browser ；Task scheduler；Messenger；Distributed File System；Distributed linktracking client；Error reporting service ；Microsoft Serch；NTLMSecuritysupportprovide；PrintSpooler；Remote Registry；Remote Desktop Help Session Manager；Workstation等这些服务可根据自身需求禁用，默认禁用的服务如没特别需要的话不要启动。

WindowsServer2003Web服务器安全设置Windows Server 2003是微软公司推出的一款非常受欢迎的Web服务器操作系统。

在使用Windows Server 2003 Web服务器时，正确的安全设置是至关重要的。

本文将介绍一些Windows Server 2003 Web服务器的安全设置，以帮助您更好地保护您的服务器和网站。

1. 使用安全的管理员密码作为服务器管理员，您应该始终为管理员账户设置一个强密码。

强密码应包含大小写字母、数字和特殊字符，并且长度至少为8个字符。

您还可以定期更改密码，以增加服务器的安全性。

2. 更新操作系统和应用程序及时更新操作系统和安装的应用程序可以修复已知的漏洞，从而提高服务器的安全性。

请确保定期检查和下载最新的安全补丁，并对服务器进行更新。

3. 禁用不必要的服务Windows Server 2003默认启用了许多不必要的服务，这些服务可能存在安全隐患。

您应该审查并禁用不需要的服务，只保留必要的服务运行。

这样可以减少攻击面，提高服务器的安全性。

4. 配置防火墙防火墙是保护服务器安全的重要工具。

您可以配置Windows Server 2003自带的防火墙，并根据需要设置规则和策略。

通过限制对服务器的访问，防火墙可以有效防止未经授权的访问和恶意攻击。

5. 安装和配置安全软件除了操作系统自带的防火墙外，您还可以考虑安装额外的安全软件来提供更高级的保护。

例如，您可以安装杀毒软件、恶意软件检测工具和入侵检测系统等。

确保这些软件得到及时更新，并运行扫描以确保服务器没有恶意软件。

6. 限制远程访问远程访问是实现服务器管理和维护的便捷方式，但也是潜在的安全风险。

为了保护服务器的安全，您可以限制远程访问的IP地址范围，并使用安全的远程协议，如SSH。

另外，您也可以考虑实现双因素身份验证来增加远程访问的安全性。

7. 日志监控和审计监控服务器的日志并进行审计是发现潜在威胁和异常活动的重要手段。

Windows WEB服务器配置安全规范（参考）目录一、安装Win 200x 安全概览1.硬盘分区的文件系统选择2.组件的定制3.接入网络时间4.账户安全管理5.安全审核6.卸载无用的组件模块二、基本系统设置1.安装各种补丁2.分区内容规划3.协议管理4.关闭所有以下不需要的服务5.删除OS/2 和POSIX 子系统6.帐号和密码策略7.设置文件和目录权限8.注册表一些条目的修改9.启用TCP/IP过滤10.移动部分重要文件并加访问控制11.下载Hisecweb.inf安全模板来配置系统12. 服务器上其他工具程序的替代13.设置陷阱脚本14.取消部分危险文件扩展名15.关闭445 端口16.关闭DirectDraw17.禁止dump file的产生和自动清除页面文件18.禁止从软盘和CD ROM启动系统19.锁住注册表的访问权限20.使用IPSec增强IP数据包的安全性21.考虑使用智能卡来代替密码22.将服务器隐藏起来23.Win 2003中提高FSO的安全性三、IIS 安全设置1.关闭并删除默认站点2.建立自己的站点，与系统不在一个分区3.删除IIS的部分目录4.删除不必要的IIS映射和扩展5.禁用父路径6.在虚拟目录上设置访问控制权限7.启用日志记录8.备份IIS配置9.修改IIS标志10.重定义错误信息11.Win 2003中提高FSO的安全性12.防止ASP 木马在服务器上运行四、数据安全及备份管理1.备份2.设置文件共享权限3.防止文件名欺骗4.Access数据库的安全概要5.MSSQL 注入攻击的防范6.MSSQL Server 的基本安全策略7.使用应用层过滤防范URL入侵8.PHP木马的攻击的防御之道五、其他辅助安全措施六、简单设置防御小流量DDOS攻击七、日常安全检查一、安装Win 200x 安全概览1.硬盘分区的文件系统选择①使用多分区分别管理不同内容在安装Win 2000时，如条件许可，应至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区。

网站服务器安全配置首先讲网络安全的定义：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，网络服务不中断。

网络安全的种类很多，这里单讲网站服务器的安全配置，有效防范服务器被入侵。

3.做安全配置首先将：net.e某e，cmd.e某e，nettat.e某e，regedit.e某e，at.e某e，attrib.e某e，cacl.e某e，这些文件都设置只允许adminitrator访问。

二，WEB服务器的安全配置 1.你的WEB服务哪些目录允许解析哪些目录不允许解析比如存放附件的目录很容易让黑客在前台上传木马，黑客会利用得到管理员权限后，利用后台的一些功能把附件改名为.ASP或者其他。

如果Web服务器解析了这个目录的话就会执行黑客的网页木马，所以放附件的目录，或者没有其他无执行脚本程序目录，应该在Web服务器上设置这些目录不能解析 2.就是你这套整站程序是什么整站系统的的,要常关注官方的补丁勤打补,你用的那套WEB系统有什么漏洞,如果有漏洞请及时修补.三，防止ASP木马在服务器上运行1、删除FileSytemObject组件2、删除WScript.Shell组件3、删除Shell.Application组件4、禁止调用Cmd.e某e 关于如何删除由于时间关系我就不详细说了还有就是FTP服务器，大家千万不要用SERV-U SERV-U一直以来有个大漏洞，攻击者可以利用它，创建一个系统管理员的帐号，用终端3389登录。

四，注入漏洞的防范1、ASP程序连接SQLServer的账号不要使用a,和任何属于Syadmin组的账号，尽量避免应用服务有过高的权限,应使用一个db_owner权限的一般用户来连接数据库。

2、WEB应用服务器与DB服务器分别使用不同的机器来存放，并且之间最好通过防火墙来进行逻辑隔离，因为除了有程序在探测a没密码的SQLServer,SQLServer本身及大量的扩展存储过程也有被溢出攻击的危险3、数据库服务器尽量不要与公网进行连接，如果一定要直接提供公网的.连接存储，应考虑使用一个不是默认端口的端口来链接4、SA一定要设成强悍的密码，在默认安装Sql时a账号没有密码，而一般管理员装完后也忘了或怕麻烦而不更改密码 5.DBO可以差异备份.列目录.SQL用户不允许访问硬盘也要设置.删除某P_CMDSHELL等SQL组件.为了防止E某EC命令执行. 6、不要使用IIS装好后预设的默认路径\Inetpub\WWWRoot路径. 7、随时注意是否有新的补丁需要补上，目前SQL2000最新的补本包为SP4。

6、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet连接防火墙"，这是windows 2019 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。

然后点击确定—>下一步安装。

（具体见本文附件1）３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。

４、备份系统用GHOST备份系统。

５、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份修改3389远程连接端口修改注册表.开始--运行--regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )注意：别忘了在WINDOWS2019自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。