Windows常规安全设置方法

Windows常规安全设置方法

网络安全是目前互联网的热门话题之一，作为个人用户的我们同样需要关注，做好防护。这篇文章主要介绍了Windows Web Server xx R2服务器简单安全设置,需要的朋友可以参考下

1.更改默认administrator用户名，复杂密码

2.开启防火墙

3.安装杀毒软件

1)新做系统一定要先打上补丁

2)安装必要的杀毒软件

3)删除系统默认共享

4)修改本地策略——>安全选项

交互式登陆：不显示最后的用户名启用

网络访问：不允许SAM 帐户和共享的匿名枚举启用

网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用

网络访问：可远程访问的注册表路径和子路径全部删除

5)禁用不必要的服务

TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation

6)禁用IPV6

server xx r2交互式登录: 不显示最后的用户名

其实最重要的就是开启防火墙+服务器安全狗(安全狗自带的一些功能基本上都设置的差不多了)+mysql(sqlserver)低权限运行基本上就差不多了。3389远程登录，一定要限制ip登录。

一、系统及程序

1、屏幕保护与电源

桌面右键--〉个性化--〉屏幕保护程序，屏幕保护程序选择无，更改电源设置选择高性能，选择关闭显示器的时间关闭显示器选从不保存修改

2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite环境。在这里我给大家可以推荐下阿里云的服务器一键环境配置，全自动安装设置很不错的。点击查看地址

二、系统安全配置

1、目录权限

除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限

2、远程连接

我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全)。备注：方便多种版本Windows远程管

理服务器。windows server xx的远程桌面连接，与xx相比，引入了网络级身份验证(NLA，work level authentication)，XP SP3不支持这种网络级的身份验证，vista跟win7支持。然而在XP系统中修改一下注册表，即可让XP SP3支持网络级身份验证。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中双击Security Pakeages，添加一项“tspkg”。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Securit yProviders，在右窗口中双击SecurityProviders，添加credssp.dll;请注意，在添加这项值时，一定要在原有的值后添加逗号后，别忘了要空一格(英文状态)。然后将XP系统重启一下即可。再查看一下，即可发现XP系统已经支持网络级身份验证

3、修改远程访问服务端口

更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。更改3389端口为8208，重启生效!

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin al Server\Wds\rdpwd\Tds\tcp]

"PortNumber"=dword:000xx

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin al Server\WinStations\RDP-Tcp]

"PortNumber"=dword:0000xx

(1)在开始--运行菜单里,输入regedit,进入注册表,按下面的路径进入修改端口的地方

(2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Term inal Server\WinStations\RDP-Tcp

(3)找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口

(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Term inal Server\Wds\rdpwd\Tds\tcp

(5)找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为同上的端口

(6)在控制面板--Windows 防火墙--高级设置--入站规则--新建规则

(7)选择端口--协议和端口--TCP/特定本地端口：同上的端口

(8)下一步，选择允许连接

(9)下一步，选择公用

(10)下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。[TCP 同上的端口]

(11)删除远程桌面(TCP-In)规则

(12)重新启动计算机

4、配置本地连接

网络--〉属性--〉管理网络连接--〉本地连接，打开“本地连接”界面，选择“属性”，左键点击“Microsoft网络客户端”，再点击“卸载”，在弹出的对话框中“是”确认卸载。点击“Microsoft网络的文件和打印机共享”，再点击“卸载”，在弹出的对话框中选择“是”确认卸载。

解除Netbios和TCP/IP协议的绑定139端口：打开“本地连接”界面，选择“属性”，在弹出的“属性”框中双击“Inter协议版本(TCP/IPV4)”，点击“属性”，再点击“高级”—“WINS”，选择“禁用TCP/IP上的NETBIOS”，点击“确认”并关闭本地连接属性。

禁止默认共享：点击“开始”—“运行”，输入“Regedit”，打开注册表器，打开注册表项

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanm anserver\parameters”，在右边的窗口中新建Dword值，名称设为AutoShareServer，值设为“0”。

关闭 445端口：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\ Parameters，新建 Dword(32位)名称设为SMBDeviceEnabled 值设为“0”