Windows Server 2008常见的安全设置

第六章配置本地安全策略一、账户策略的应用1、以管理员账户Administrator登录到服务器2、单击“开始”→“管理工具”→“本地安全策略”（或者“开始”→“运行”→输入“secpol.msc”）,打开本地安全策略。

3、选择“账户策略”→“密码策略”→设置密码长度最小值为7，启用密码必须符合复杂性要求，密码使用最长期限为30天4、选择“账户策略”→“账户锁定策略”，设置账户锁定阈值为3.5、单击“开始”→“运行”→，输入“gpupdate”，刷新策略。

6、管理员administrator打开“服务器管理器”控制台。

7、展开“配置”→“本地用户和组”→“用户”，右击账户UserA，选择“重设密码”，输入新密码和确认密码“aaa”，单击“确定”按钮，提示密码不符合密码策略的要求。

8、输入旧密码，输入新密码和确认新密码“aaa”，单击“确定”同样提示密码不符合密码策略要求。

9、以账户UserA在计算机上登录，故意输错3次密码，提示账户被锁定10、以administrator登录没有被锁定的提示。

对计算机解锁。

11、以管理员账户登录服务器解锁UserA账户。

12、在“服务器管理器”中，展开“配置”→“本地用户和组”→“用户”，右击账户UserA，选择“属性”→“常规”，可以看到账户以锁定的。

13、清除“账户以锁定”的复选框。

14、以UserA账户登录服务器，输入正确的密码可以正常登陆。

审核策略的应用1、以管理员账户登录到服务器，在D盘创建一个名字为“sss”的文件夹。

2、单击“开始”→“程序”→“管理工具”→“本地安全策略”，打开本地安全策略。

3、选择“本地策略”→“审核策略”→，双击“审核对象访问”策略，选择“成功”和“失败”4、刷新策略。

5、右击文件夹sss，选择“属性”→“安全”→“高级”→“审核”，添加“everyone”6、选择全部审核项目细节（完全控制：成功和失败），单击“确定”按钮。

7、注销“administrator”，以“UserA”登录到服务器访问“sss”文件夹。

Windows Server 2008 R2 WEB 服务器安全设置指南(三)之文件夹权限设置通过控制文件夹权限来提高站点的安全性。

这一篇权限设置包括二个方面，一个是系统目录、盘符的权限，一个是应用程序的上传文件夹权限设置。

系统目录确保所有盘符都是NTFS格式，如果不是，可以用命令convert d:/fs:ntfs 转换为NTFS格式。

所有磁盘根目录只给system和administrators权限，其它删除。

其中系统盘符会有几个提示，直接确定就可以了。

在做这步操作之前，你的运行环境软件必须都安装好以后才能做。

不然可能会导致软件安装错误，记住一点所有安全性的操作设置都必须在软件安装完以后才能进行。

站点目录每个网站对应一个目录，并为这个网站目录加上IUSR和IIS_IUSRS权限，都只给“列出文件夹内容”和“读取”权限。

例如我在D盘根目录下创建了一个wwwroot的目录，再在里面创建了一个的目录，这个目录里面放的是我的网站程序。

其中wwwroot只要继存d盘的权限即可，而这个目录，我们需要再添加二个权限，即IUSR和IIS_IUSRS。

wwwroot权限：站点目录权限：一般的网站都有上传文件、图片功能，而用户上传的文件都是不可信的。

所以还要对上传目录作单独设置。

上传目录还需要给IIS_IUSRS组再添加“修改”、“写入”权限。

经过上面这样设置承在一个执行权限，一旦用户上传了恶意文件，我们的服务器就沦陷了，但是我们这里又不能不给，所以我们还要配合IIS来再设置一下。

在iis7以上版本里，这个设置非常的方便。

打开IIS管理器，找到站点，选中上传目录，在中间栏IIS下双击打开“处理程序映射”，再选择“编辑功能权限”，把“脚本”前面的勾掉就可以了。

好了，我们打开upload文件夹看一下，是不是多了一个web.config。

web.config里的内容如下：意思是upload目录下的所有文件（包括所有子文件夹下的）将只有只读权限。

（1）防止黑客建立IPC$空连接打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右边修改RestrictAnonymous为1.（2）账户问题。

首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次选中组策略编辑界面左侧列表中的"计算机配置"节点选项，再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Windows登录选项"分支选项，从目标分支选项下面找到"在用户登录期间显示有关以前登录的信息"目标组策略选项，并用鼠标双击该选项，进入如图8所示的选项设置界面；(图挂了你自己猜吧) 在该选项设置界面中检查"已启用"选项有没有被选中，倘若看到该选项还没有被选中时，我们应该重新选中它，再单击"确定"按钮保存上面的设置操作，这样的话Windows Server 2008服务器系统自带的显示以前登录信息功能就被成功启用了。

日后，当有危险登录行为发生在Windows Server 2008服务器系统中时，目标危险登录账号信息就会被Windows Server 2008系统自动跟踪记忆下来，网络管理员下次重启服务器系统时，就能非常清楚地看到上次登录系统的所有账号信息，其中来自陌生账号的登录行为可能就是危险登录行为，根据这个危险登录行为网络管理员应该及时采取安全措施进行应对，以便杜绝该现象的再次发生。

（3）加强连接安全保护Windows Server 2008服务器系统自带的防火墙功能比以往进步了不少，为了让本地系统中的所有网络连接安全性及时地得到Windows防火墙的保护，我们需要对该系统环境下的组策略参数进行合适设置，来让Windows Server 2008服务器系统下的所有网络连接都处于Windows防火墙的安全保护之中，下面就是具体的设置步骤：首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次将鼠标定位于组策略编辑界面左侧列表区域中的"计算机配置"节点选项上，再从该节点选项下面依次点选"管理模板"、"网络"、"网络连接"、"Windows防火墙"、"标准配置文件"组策略子项，在目标组策略子项下面，找到"Windows防火墙：保护所有网络连接"选项，并用鼠标双击该选项，进入如图7所示的选项设置界面；（图挂了你自己猜）检查该设置界面中的"已启用"选项是否处于选中状态，要是发现该选项还没有被选中时，我们应该及时将它选中，再单击"确定"按钮保存上述设置操作，那样的话Windows Server 2008系统下的所有网络连接日后都会处于Windows防火墙的安全保护之下了。

Windows 2008服务器安全设置技术实例目录Windows 2008服务器安全设置技术实例 (1)一、服务器安全设置之--硬盘权限篇 (2)二、服务器安全设置之--系统服务篇(设置完毕需要重新启动) (13)三、服务器安全设置之--组件安全设置篇 (18)四、服务器安全设置之--本地安全策略设置（重要） (20)A、策略——>密码策略 (20)B、策略——>锁定策略 (20)D、本地策略——>用户权限分配 (21)E、本地策略——>安全选项 (21)五、服务器安全设置之--本地安全策略-IP安全策略 (22)六、服务器安全设置之--高级安全windows防火墙(掌握好很重要) (23)七、服务器安全设置之--本地安全策略-高级审核策略配置 (24)a. 系统审核策略——>登录 (24)b. 系统审核策略——>管理 (24)c. 系统审核策略——>详细跟踪 (25)d. 系统审核策略——>DS访问 (25)e. 系统审核策略——>登陆/注销 (25)f. 系统审核策略——>对象访问 (25)g. 系统审核策略——>策略更改 (25)h. 系统审核策略——>特权使用 (25)八、服务器安全设置之--远程桌面服务策略 (26)九、服务器安全设置之--组策略配置（掌握好很重要） (26)十、服务器安全设置之--用户安全设置 (28)十一、选配—防御PHP木马攻击的技巧 (30)一、服务器安全设置之--硬盘权限篇这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。

本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了（注：红色背景为主要审查配置对象）。

注：其他应用程序相关权限，除主要的权限访问继承上一级文件夹以外，需对指定的文件夹或文件进行单独的权限设置，规则按最小权限给予。

Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口1给administrator用户加密码，开始运行control userpassword2控制面板\用户帐户给administrator设密码control userpasswords2这个运行命令，可以取消输入密码你输入的没有错误，可能是你机子根本没有密码吧，你仔细看会发现你的指针是闪过一下漏斗的。

下面的效果一样的开始--运行，输入“rundll32 netplwiz.dll,UsersRunDll”，按回车键后弹出“用户帐户”窗口，看清楚，这可跟“控制面板”中打开的“用户账户”面板窗口不同哦！然后取消选定“要使用本机，用户必须输入用户名和密码”选项，单击确定，在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可。

2修改远程访问端口，这个可以在使用的软件上修改修改远程访问服务端口更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208，重启生效！Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002010（1）在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp（3）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp（5）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为同上的端口（6）在控制面板--Windows 防火墙--高级设置--入站规则--新建规则（7）选择端口--协议和端口--TCP/特定本地端口：同上的端口（8）下一步，选择允许连接（9）下一步，选择公用（10）下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。

WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略，密码策略，密码过期默认42天服务账户设置成永不过期，帐户锁定策略，本地策略，审核策略，计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。

1.在⼯作组中的安全策略，打开本地安全策略。

2.打开本地安全策略之后选择密码策略，可以看到有很多的策略，先看第⼀个密码复杂性要求。

3.打开密码必须符合复杂性要求，默认是打开的，我们在设置密码的时候，不能设置纯数字或者纯字母，必须要有数字加⼤⼩写。

4.密码长度最⼩值，这个是设置密码最低⼩于⼏位数，默认是0，这⾥修改为6位，在设置密码的时候必须满⾜6位，包括数字字母⼤⼩写或者特殊符号。

5.密码最短使⽤期限，默认是0天这⾥设置为30天，在30天不会提⽰你修改密码，必须要使⽤30天才能改密码。

6.密码最长使⽤期限，默认是42天，这⾥修改为60天超过60天之后会提⽰让你修改密码。

7.强制密码历史，这个选项是你修改密码时不能⼀样，默认是0，这⾥设置为3次，修改3次密码之后才能修改回第⼀次使⽤的密码。

8.打开账户锁定策略，账户锁定值默认是0次，可以设置5次超过5次就会把这个账户锁定，为了防⽌别⼈⼊侵你的电脑，等待半个⼩时之后就会⾃动解锁，或者联系管理员⾃动解锁。

9.账号锁定时间，默认是30分钟⾃动解锁，也可以⾃⼰修改，这⾥修改为3分钟⾃动解锁。

10.现在lisi这个⽤户输错五次密码，就算输⼊正确的密码，提⽰账户已锁定，⽆法登录。

11.打开服务器管理器，选择本地⽤户和组，可以查看lisi这个⽤户，输错5次密码之后账户已锁定，管理员可以⼿动把这个勾去掉，然后确定就能登⼊了，或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。

12.打开本地策略，选择审核登录事件，默认是⽆审核，这⾥我勾选成功跟失败，然后确定。

13.打开事件查看器，选择安全把⾥⾯的事件先全部删除，然后使⽤lisi远程登录到这台计算机。

1.在系统安装过程中进行安全性设置要创建一个强大并且安全的服务器必须从一开始安装的时候就注重每一个细节的安全性。

新的服务器应该安装在一个孤立的网络中，杜绝一切可能造成攻击的渠道，直到操作系统的防御工作完成。

在开始安装的最初的一些步骤中，你将会被要求在FAT（文件分配表）和NTFS（新技术文件系统）之间做出选择。

这时，你务必为所有的磁盘驱动器选择NTFS格式。

FAT是为早期的操作系统设计的比较原始的文件系统。

NTFS是随着Windows NT的出现而出现的，它能够提供了一FAT不具备的安全功能，包括存取控制清单（Access Control Lists 、ACL）和文件系统日志（File System Journaling），文件系统日志记录对于文件系统的任何改变。

接下来，你需要安装最新的Service Pack （ SP2 ）和任何可用的热门补丁程序。

虽然Service Pack中的许多补丁程序相当老了，但是它们能够修复若干已知的能够造成威胁的漏洞，比如拒绝服务攻击、远程代码执行和跨站点脚本。

2.配置安全策略安装完系统之后，你就可以坐下来做一些更细致的安全工作。

提高Windows Server 2003免疫力最最简单的方式就是利用服务器配置向导（Server Configuration Wizard 、SCW），它可以指导你根据网络上服务器的角色创建一个安全的策略。

SCW与配置服务向导（Configure Your Server Wizard）是不同的。

SCW不安装服务器组件，但监测端口和服务，并配置注册和审计设置。

SCW并不是默认安装的，所以你必须通过控制面板的添加/删除程序窗口来添加它。

选择“添加/删除Windows组件”按钮并选择“安全配置向导”，安装过程就自动开始了。

一旦安装完毕，SCW就可以从“管理工具”中访问。

通过SCW创建的安全策略是XML文件格式的，可用于配置服务、网络安全、特定的注册表值、审计策略，甚至如果可能的话，还能配置IIS。

详细图文内容见附件凭借新鲜超强的功能以及更胜一筹的安全优势，Windows Server 2008系统吸引了许多网络管理员在不知不觉中前来试用尝鲜。

可是，这并不能说明Windows Server 2008系统在安全方面就可以高枕无忧了，因为在不同的使用环境下，Windows Server 2008系统表现出来的安全防范能力是不一样的，甚至该系统在某些方面没有一点安全抵抗能力，这时就需要我们自己动手来保护Windows Server 2008系统的运行安全了。

下面，本文就为各位朋友总结几则保护Windows Server 2008系统安全的技巧，希望大家能从中获得一些帮助!Windows2008 安装后的初始配置安全设置取消登录时要按Ctrl+Alt+Delete组合键登录的方法点桌面任务栏的“开始-->运行”在弹出的窗口中输入gpedit.msc，输入gpedit.msc后，点击确定即打开了组策略编辑器。

在组策略编辑器的左框内依次序展开（点前面的“+”号）-->计算机配置-->Windows设置-->安全设置-->本地策略，这时在本地策略下面可见到有“安全选项”，点击“安全选项”在右侧的框内找到“交互式登录:不要按CTRL+ALT+DEL右键点击“交互式登录:不要按CTRL+ALT+DEL”，在弹出的菜单中点“属性”，在属性选项卡中点击“已启用”前的圆圈以选取它。

确认“已启用”前面的圆圈中在一黑色小点后，点击“确定”，然后关闭窗口。

这样以后启动计算机时就不必按“CTRL+ALT+DEL”组合键登陆了取消关机原因的提示gpedit.msc，计算机配置-> 管理模板-> 系统-> 显示关机事件跟踪-> 禁用。

取消必须输入密码登录系统的方法gpedit.msc,计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

windows server 2008防火墙规则
Windows Server 2008防火墙规则是用于确保服务器的网络安
全的措施。

以下是一些常见的Windows Server 2008防火墙规则：
1. 允许特定的端口进行通信：可以设置防火墙规则允许特定的端口进行通信，比如HTTP（端口80）、FTP（端口21）等。

2. 阻止特定的端口通信：可以设置防火墙规则阻止特定的端口进行通信，比如关闭FTP（端口21）的访问。

3. 允许特定的应用程序进行通信：可以设置防火墙规则允许特定的应用程序进行通信，比如只允许某个特定的应用程序使用特定的端口进行通信。

4. 阻止特定的应用程序进行通信：可以设置防火墙规则阻止特定的应用程序进行通信，比如阻止某个应用程序使用特定的端口进行通信。

5. 允许特定的IP地址进行通信：可以设置防火墙规则允许特
定的IP地址进行通信，比如只允许特定的IP地址访问服务器。

6. 阻止特定的IP地址进行通信：可以设置防火墙规则阻止特
定的IP地址进行通信，比如阻止某个特定的IP地址访问服务器。

这些是一些常见的Windows Server 2008防火墙规则，具体的
防火墙规则设置需要根据服务器的实际需求和安全策略来确定。

1. 启用internet进程在运行里输入gpedit.msc->计算机配置->管理模板->windows组件->internet explorer->安全功能->限制文件下载->internet进程->选择已启用，日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。

(作用：防止恶意代码直接下载到本机上)2. 对重要文件夹进行安全审核、打开组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核对象访问,右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选中该属性设置窗口中的“成功”和“失败”复选项，再单击“确定”按钮，如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败，都会被Windows Server 2008系统自动记录保存到对应的日志文件中，我们只要及时查看服务器系统的相关日志文件，就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了，一旦发现系统存在安全隐患的话，我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。

3. 禁止改变本地安全访问级别打开组策略->用户配置->管理模板->Windows组件->InternetExplorer->Internet控制模板->禁用安全页,右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选择已启用4. 禁用internet选项打开组策略->用户配置->管理模板->Windows组件->Internet Explorer->浏览器菜单->禁用“Internet选项”组策略的属性设置窗口打开，然后选中其中的“已启用”选项，最后单击“确定”按钮就能使设置生效了。

Windows 2008服务器安全设置技术实例目录Windows 2008服务器安全设置技术实例 (1)一、服务器安全设置之--硬盘权限篇 (2)二、服务器安全设置之--系统服务篇(设置完毕需要重新启动) (13)三、服务器安全设置之--组件安全设置篇 (18)四、服务器安全设置之--本地安全策略设置（重要） (20)A、策略——>密码策略 (20)B、策略——>锁定策略 (20)D、本地策略——>用户权限分配 (21)E、本地策略——>安全选项 (21)五、服务器安全设置之--本地安全策略-IP安全策略 (22)六、服务器安全设置之--高级安全windows防火墙(掌握好很重要) (23)七、服务器安全设置之--本地安全策略-高级审核策略配置 (24)a. 系统审核策略——>登录 (24)b. 系统审核策略——>管理 (24)c. 系统审核策略——>详细跟踪 (25)d. 系统审核策略——>DS访问 (25)e. 系统审核策略——>登陆/注销 (25)f. 系统审核策略——>对象访问 (25)g. 系统审核策略——>策略更改 (25)h. 系统审核策略——>特权使用 (25)八、服务器安全设置之--远程桌面服务策略 (26)九、服务器安全设置之--组策略配置（掌握好很重要） (26)十、服务器安全设置之--用户安全设置 (28)十一、选配—防御PHP木马攻击的技巧 (30)一、服务器安全设置之--硬盘权限篇这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。

本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了（注：红色背景为主要审查配置对象）。

注：其他应用程序相关权限，除主要的权限访问继承上一级文件夹以外，需对指定的文件夹或文件进行单独的权限设置，规则按最小权限给予。

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口安全是重中之重，以最少的服务换取最大的安全。

通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务，这样最大程度来提高安全性。

作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务都可以禁用。

当然了，你的系统补丁也需要更新到最新，一些端口的漏洞已经随着补丁的更新而被修复了。

网上的一些文章都是相互复制且是基于win2003系统较多，而win2008相比win2003本身就要安全很多。

那我们为什么还要谈关闭端口呢，因为我们要防患于未然，万一服务器被黑就不好玩了。

禁用不必要的服务控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。

TCP/IP NetBIOS HelperServer 这个服务器需要小心。

天翼云主机需要用到这个服务，所以在天翼云主机上不能禁用。

Distributed Link Tracking ClientMicrosoft Search 如果有，则禁用Print SpoolerRemote Registry因为我们使用的是云主机，跟单机又不一样，所以有些服务并不能一概而论，如上面的Server服务。

例如天翼云的主机，上海1和内蒙池的主机就不一样，内蒙池的主机需要依赖Server服务，而上海1的不需要依赖此服务，所以上海1的可以禁用，内蒙池就不能禁用了。

所以在禁用某一项服务时必须要小心再小心。

删除文件打印和共享本地连接右击属性，删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。

打开防火墙，入站规则，所的“网络发现”和“文件和打印机共享”的规则全部禁用。

关闭端口关闭139端口本地连接右击属性，选择“TCP/IPv4协议”，属性，在“常规”选项卡下选择“高级”，选择“WINS”选项卡，选中“禁用TCP/IP 上的NetBIOS”，这样即关闭了139端口。

Windows Server 2008 R2 常规安全设置及基本安全策略1、目录权限除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全)。

备注：方便多种版本Windows远程管理服务器。

windows server 2008的远程桌面连接，与2003相比，引入了网络级身份验证（NLA，network level authentication)，XP SP3不支持这种网络级的身份验证，vista跟win7支持。

然而在XP系统中修改一下注册表，即可让XP SP3支持网络级身份验证。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中双击Security Pakeages，添加一项“tspkg”。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders，在右窗口中双击SecurityProviders，添加credssp.dll；请注意，在添加这项值时，一定要在原有的值后添加逗号后，别忘了要空一格（英文状态）。

然后将XP系统重启一下即可。

再查看一下，即可发现XP系统已经支持网络级身份验证3、修改远程访问服务端口更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208，重启生效！Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002010（1）在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp （3）找到右侧的"PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp （5）找到右侧的"PortNumber"，用十进制方式显示，默认为3389，改为同上的端口（6）在控制面板--Windows 防火墙--高级设置--入站规则--新建规则（7）选择端口--协议和端口--TCP/特定本地端口：同上的端口（8）下一步，选择允许连接（9）下一步，选择公用（10）下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。

网管入门:巧妙设置让Win2008系统更安全2008-05-27 00:33本文来自太平洋电脑网伴随着Internet网络中的病毒、黑客、木马不断泛滥，以及Windows系统漏洞的不断增多，无论是普通电脑还是服务器所受到的安全威胁也是越来越多。

即使新推出的Windows Server 2008系统，在安全性方面有了很大的提高和改善，但是我们仍然难以保证它就一定不会受到病毒、黑客或木马的袭击；为了更好地保证Windows Server 2008系统的安全，相信多数网络管理员都会不惜重金“请”来各式各样的专业安全工具，对服务器系统进行安全“护驾”！其实，在手头没有任何专业安全工具可以利用的情况下，我们可以依靠Windows Server 2008系统自身的力量，来将该系统各方面的安全防范性能全部发挥起来，这样同样能够为Windows Server 2008安全运行“护航”！让更少的人看到自己一般来说，局域网中的普通电脑在默认状态下能通过“网上邻居”窗口看到网络中的所有共享主机，这当然也包括Windows Server 2008服务器主机；由于服务器系统中存储有许多重要的资源，它就特别容易受到普通用户的随意访问，这么一来服务器系统受到非法攻击的可能性也就增大了。

为了不让Windows Server 2008服务器系统遭受非法攻击，我们只要想办法让普通电脑在默认状态下无法使用“网上邻居”窗口找到目标服务器主机，要做到这一点，其实很简单，因为Windows Server 2008系统特意为我们提供了一个网络发现功能，只要将该功能给关闭掉，那么局域网中的任何一台普通电脑都无法从“网上邻居”窗口中找到Windows Server 2008服务器主机的“身影”，那样的话服务器系统自然也就不会受到来自普通电脑的非法威胁了；下面是关闭Windows Server 2008系统网络发现功能的具体操作步骤：首先以系统管理员身份登录进Windows Server 2008服务器系统，在该系统桌面中用鼠标右键单击“网络”图标，从其后的快捷菜单中选择“属性”命令，打开服务器系统的“网络和共享中心”窗口，在这里的“共享和发现”列表下面，我们会看到不少与网络共享访问操作有关的设置内容；图1 关闭网络发现功能接着单击“网络发现”选项旁边的下拉按钮，打开如图1所示的设置区域，选中“关闭网络发现”选项，再单击“应用”按钮，最后再将服务器系统重启一下，如此一来本地服务器主机的“身影”就不会被普通电脑看到了，那么普通用户也就不能通过网上邻居窗口来对服务器实施非法攻击了。

Windows Server 2008 设置2009年08月09日一、取消必须输入密码登录系统的方法“运行”中输入：“gpedit.msc“，“计算机配置”→“WINDOWS设置”→“”→“帐户策略”→“密码策略”。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了。

二、安装桌面体验安装完毕后，看到桌面了，这和VISTA一点都不一样，由于是服务器系统，默认是没有华丽的效果的。

开启方法如下：“开始”→“服务器管理”→“服务器管理器”在右边一栏找到“功能摘要”，然后点击“添加功能”，滑动找到“桌面体验” 当然如果是无线使用笔记本的话，无线功能也要加上。

之后应该是重启。

三、开启Aero 要开启Aero效果需要启动相关服务。

“开始”--运行（或者Win+R键）services.Msc找到Themes 右键开启服务。

然后右键属性，把启动方式改为自动。

注意：开启Aero，显卡硬件必须要支持DX9.0和PS2.0，128M以上显存。

四：关闭IE SEC 服务器系统要求很高性，所以微软给ie添加了安全增强。

这就使得ie在Internet区域级别一直是最高的，而且无法进行整体调整。

点击快速运行栏的“服务器管理器”，开启服务器管理器。

1.勾选“登录时不要显示此控制台” 2.点击“配置IE ESC”，将对“管理员”和“用户”设置成“禁用”五、去掉关机事件跟踪每次关机都要求给出原因，用起来很烦人。

去掉的方法不难。

“开始”“运行”键入gpedit.Msc 打开“开始”->运行->输入“gpedit.msc”，在出现的窗口的左边部分，选择“计算机配置”->“管理模板”->“系统”，在右边窗口双击“关机事件跟踪”，在出现的对话框中选择“禁止”.六、让计算机直登陆而无须按ctrl+alt+del 方法1：在运行框中键入“gpedit.msc”进入主策略编辑器。