热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全

windows2008R2系统安全防御加固

发布时间:2012-09-06 11:08文章来源:网络文章作者:秩名 点击次数:
摘要:一 . 更改终端默认端口号 步骤: 1.运行 regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] ,看见 PortNamber 值了吗?其默认值是 3389 ,修改成所希望的端口即可,例如 12345 3.[HKEY_LOCAL_MACHINE\...

.更改终端默认端口号

步骤:

1.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],将PortNumber的值(默认是3389)修改成端口12345(自定义)。

4.防火墙中设置ipsec 编辑规则修改完毕,重新启动电脑,以后远程登录的时候使用端口12345就可以了。

二.NTFS权限设置

注意:

12008R2默认的文件夹和文件所有者为TrustedInstaller,这个用户同时拥有所有控制权限。 2、注册表同的项也是这样,所有者为TrustedInstaller 3、如果要修改文件权限时应该先设置 管理员组 administrators 为所有者,再设置其它权限。 4、如果要删除或改名注册表,同样也需先设置 管理员组 为所有者,同时还要应该到子项,

直接删除当前项 还是删除不掉时可以先删除子项后再删除此项

步骤:

1.C盘只给administrators system权限,其他的权限不给,其他的盘也可以这样设置(web目录权限依具体情况而定

2.这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。

Windows目录要加上给users的默认权限,否则ASPASPX等应用程序就无法运行(如果你使用IIS的话,要引用windows下的dll文件)。

3.c:/user/ 只给administrators system权限

.删除默认共享

步骤:

1.打开dosnet share 查看默认共享

2.新建文本文档输入命令

net share c$ /del net share d$ /del //如有E盘可再添加 默认共享名均为c$d$

net share IPC$ /del net share admin$ /del 另存为sharedelte.bat

3.运行gpedit.msc,展开windous设置—脚本(启动\关机)—启动)—右键属性—添加sharedelte.bat

同理可编辑其它规则

.ipsec策略

以远程终端为例1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端

tcp(如3389)——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——

远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)

其它请参考win2003安全优化

标签分类:

上一篇:如何防止入侵者嗅探web密码
下一篇:让常见的提权大杀器失效