# Windows Server 2008 R2 安全设置指南
## 一、更改终端默认端口号
1. 运行 `regedit`
2. 导航至 `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp`
3. 修改 `PortNumber` 值,例如从默认的 `3389` 改为 `1234`
4. 导航至 `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp`
5. 同样修改 `PortNumber` 值为 `12345`
6. 在防火墙中设置相应的规则
7. 重启电脑,使用新端口进行远程登录
## 二、NTFS 权限设置
1. 默认文件夹和文件所有者为 `TrustedInstaller`
2. 注册表项所有者同样为 `TrustedInstaller`
3. 修改文件权限前,设置 `administrators` 为所有者
4. 删除或重命名注册表项前,同样需要设置管理员组为所有者,并检查子项
## 三、删除默认共享
1. 打开命令提示符,使用 `netshare` 查看默认共享
2. 创建批处理文件,包含删除默认共享的命令
3. 使用 `gpedit.msc` 编辑启动脚本,添加批处理文件
## 四、IPSEC 策略配置
1. 控制面板 -> Windows 防火墙 -> 高级设置 -> 入站规则 -> 新建规则
2. 选择端口,特定 TCP 端口(例如 `3389`),允许连接
3. 配置规则作用域,指定远程 IP 地址
## 五、关闭不必要的端口和服务
1. 关闭 IPv6:修改网络连接属性和注册表 `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters`
2. 关闭 135 端口:通过组件服务管理控制
3. 关闭 445 端口:修改注册表 `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters`
4. 关闭 NetBIOS 服务(关闭 139 端口)
5. 关闭 LLMNR(关闭 5355 端口)
6. 关闭 Windows Remote Management 服务(关闭 47001 端口)
7. 关闭 UDP 500 和 UDP 4500 端口
## 六、系统安全加固
1. 更改默认管理员用户名,设置复杂密码
2. 开启防火墙
3. 安装杀毒软件,及时打补丁
4. 修改本地策略,禁用不必要的网络访问和注册表路径
5. 禁用不必要的服务
## 七、配置 IIS 和相关组件
1. 安装 IIS7 组件、FTP7、PHP、MySQL、phpMyAdmin 等
2. 配置目录权限,确保应用程序正常运行
## 八、系统安全配置
1. 设置目录权限,仅 Administrators 和 SYSTEM 有完全控制权
2. 配置远程连接设置,限制远程桌面访问
3. 修改远程访问服务端口,增强安全性
## 九、共享和发现设置
1. 关闭网络共享、文件共享、公用文件共享等
2. 禁用被动模式 FTP 端口范围
## 十、防火墙设置
1. 设置防火墙规则,允许必要的服务如 FTP、HTTP
2. 禁用不必要的服务端口
## 十一、禁用不需要的和危险的服务
1. 禁用 Distributed Link Tracking Client、Print Spooler 等服务
## 十二、安全设置
1. 设置本地策略,包括安全选项、账户策略、用户权限分配
2. 禁用 DCOM,减少“冲击波”病毒风险
## 十三、ASP 漏洞防护
1. 卸载或改名 WScript.Shell 和 Shell.application 组件
2. 禁用 FileSystemObject 组件
## 十四、Serv-U 安全配置
1. 使用最新版本,设置复杂密码
2. 修改 Serv-U 启动用户,提高安全性
## 十五、其他安全建议
1. 禁用 IPv6 和隧道适配器
2. 设置审核策略,监控系统安全
3. 禁用不必要的服务,减少攻击面
4. 设置站点文件夹安全属性,保护 Web 应用
---
**注意:** 以上步骤需要管理员权限执行,部分操作可能影响系统功能,请根据实际情况谨慎操作。
|