windows2008R2安全加固
2014-03-16 11:26
246 查看
一.更改终端默认端口号
步骤:
1.运行regedit
2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如12345
3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],将PortNumber的值(默认是3389)修改成端口12345(自定义)。
4.防火墙中设置ipsec 编辑规则修改完毕,重新启动电脑,以后远程登录的时候使用端口12345就可以了。
二.NTFS权限设置
注意:
1、2008R2默认的文件夹和文件所有者为TrustedInstaller,这个用户同时拥有所有控制权限。2、注册表同的项也是这样,所有者为TrustedInstaller。3、如果要修改文件权限时应该先设置 管理员组administrators 为所有者,再设置其它权限。4、如果要删除或改名注册表,同样也需先设置 管理员组 为所有者,同时还要应该到子项,
直接删除当前项 还是删除不掉时可以先删除子项后再删除此项
步骤:
1.C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置(web目录权限依具体情况而定)
2.这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行(如果你使用IIS的话,要引用windows下的dll文件)。
3.c:/user/ 只给administrators 和system权限
三.删除默认共享
步骤:
1.打开dos,net share 查看默认共享
2.新建文本文档输入命令
net share c$ /del net share d$ /del //如有E盘可再添加 默认共享名均为c$、d$等
net share IPC$ /del net share admin$ /del 另存为sharedelte.bat
3.运行gpedit.msc,展开windous设置—脚本(启动\关机)—启动)—右键属性—添加sharedelte.bat
同理可编辑其它规则
四.ipsec策略
以远程终端为例1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端
口tcp(如3389)——允许连接2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——
远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)
其它和win2003安全优化都一样了!
步骤:
1.运行regedit
2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如12345
3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],将PortNumber的值(默认是3389)修改成端口12345(自定义)。
4.防火墙中设置ipsec 编辑规则修改完毕,重新启动电脑,以后远程登录的时候使用端口12345就可以了。
二.NTFS权限设置
注意:
1、2008R2默认的文件夹和文件所有者为TrustedInstaller,这个用户同时拥有所有控制权限。2、注册表同的项也是这样,所有者为TrustedInstaller。3、如果要修改文件权限时应该先设置 管理员组administrators 为所有者,再设置其它权限。4、如果要删除或改名注册表,同样也需先设置 管理员组 为所有者,同时还要应该到子项,
直接删除当前项 还是删除不掉时可以先删除子项后再删除此项
步骤:
1.C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置(web目录权限依具体情况而定)
2.这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行(如果你使用IIS的话,要引用windows下的dll文件)。
3.c:/user/ 只给administrators 和system权限
三.删除默认共享
步骤:
1.打开dos,net share 查看默认共享
2.新建文本文档输入命令
net share c$ /del net share d$ /del //如有E盘可再添加 默认共享名均为c$、d$等
net share IPC$ /del net share admin$ /del 另存为sharedelte.bat
3.运行gpedit.msc,展开windous设置—脚本(启动\关机)—启动)—右键属性—添加sharedelte.bat
同理可编辑其它规则
四.ipsec策略
以远程终端为例1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端
口tcp(如3389)——允许连接2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——
远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)
其它和win2003安全优化都一样了!
相关文章推荐
- Oracle的一些安全加固配置
- 通过Web应用漏洞扫描工具加固Web应用程序的安全 ZT
- Windows XP用组策略加固系统安全
- Linux系统加固之用户口令时效机制及GRUB安全设置
- linux云主机加固系列_Tomcat配置安全优化
- 教你如何修改ecshop2.7.3管理员后台登录地址加固网站安全
- app 安全 加固
- oracle 11g数据库安全加固注意事项
- Cisco路由器及交换机安全加固
- 数据安全加固 NPM/nTracker 网络流量行为监控系统的解决方案
- Oracle数据库安全加固记录
- elasticsearch如何安全加固?
- Rpm另类用法加固Linux安全
- windows server 2003 安全加固(二)
- 云栖大会移动安全专场——APP加固新方向(演讲速记)
- nginx 安全加固心得
- Discuz论坛安全加固浅析
- 个人电脑系统安全加固