14
win2003服务器的一些安全设置

将远程桌面系统默认端口 3389 改为 8933。

hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp, portnumber, 9833

hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp, portnumber, 9833

同时建议安装一下杀毒软件(例如:360杀毒),特别是从网上下载的一些采集、游戏类插件,一般都有后门,容易被人入侵,变成肉鸡。修改端口后,检查一下是否有开启系统自带的防火墙,如有开启,需提前将新的远程端口添加至“例外”选项卡中,防止被拦截。打开系统自带防火墙运行:firewall.cpl或使用软件修改,

下载地址1:windows 端口修改

下载地址2:pc远程端口修改

启用 windows 系统的防火墙,开放如下端口:

21 ftp

25 邮件

80 http

110 邮件 143 邮件

3389 假远程桌面,用户迷惑攻击者

9833 远程桌面端口

在网络组件中,设置 tcp/ip 端口过滤,仅启用上述端口。

增加一个超级管理员帐户,以备不时之需。

通过 gpedit.msc 组策略工具,将 administrator 用户改名为 xxxxxxxx,密码不变同时,新建了一个 administrator 假超级用户帐号,并设置了一个100位长的密码,此用户不属于任何组,不具有任何权限,用于迷惑攻击者,俗称“陷阱帐号”。

将 guest 来宾帐号改名为 xxxxxxxx,请将其从 guests 组删除。设置了一个100位长的密码。

在网络组件中,禁用了 tcp/ip 中启用 neibios 协议。

设置 sqlserver sa 用户的密码,为每个数据库独立创建一个用户, 用于访问数据库。将 sqlserver 的集成系统用户选项设置为不允许,以提高数据安全。

防止密码被 dump,在服务里面关掉 remote regisitery services。

修改注册表,以防止 syn 洪水攻击 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, synattackprotect, 2 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, enablepmtudiscovery, 0 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, nonamereleaseondemand, 1

修改注册表,以禁止死网关监测技术 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, enabledeadgwdetect, 0 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, keepalivetime, 300000 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, performrouterdiscovery, 0 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, enableicmpredirects, 0

修改注册表,禁止响应 icmp 路由通告报文 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters\interfaces\interface, performrouterdiscovery, 0

如没有该值,新建dword值,名为performrouterdiscovery 值为0

修改注册表,防止 icmp 重定向报文的攻击 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, enableicmpredirects, 0

修改注册表,使系统不支持 igmp 协议 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, igmplevel, 0

修改注册表,禁止 ipc 空连接(限制 ipc$ 缺省共享) hkey_local_machine\system\currentcontrolset\control\lsa, restrictanonymous, 1

修改注册表,使系统不支持路由功能 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, ipenablerouter, 0

更改ttl值 (黑客可以根据ping回的ttl值来大致判断你的操作系统,如: ttl=107(winnt); ttl=108(win2000); ttl=127或128(win9x); ttl=240或241(linux); ttl=252(solaris); ttl=240(irix); :defaultttl reg_dword 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦 hkey_local_machine\system\currentcontrolset\services\tcpip\parameters, defaultttl, 200

修改注册表,删除了系统默认的共享(c$, d$ …) hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters, autoshareserver, 0

修改注册表, 禁止 admin$ 缺省共享 hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters, autosharewks, 0

修改注册表, 禁止在登陆时显示上次登陆的用户名 hkey_current_user\software\microsoft\windowsnt\currentversion\winlogon, don’t display last user name, 1


这条帮助是否解决了您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好! 很抱歉未能解决您的疑问。我们已收到您的反馈意见,同时会及时作出反馈处理!

"));