1、服務器主機安全規范啟用防火墻阿里云windows Server 2008 R2默認居然沒有啟用防火墻。2012可能也是這樣的，不過這個一定要檢查！補丁更新啟用windows更新服務，設置為自動更新狀態，以便及時打補丁。阿里云windows Server 2008 R2默認為自動更新狀態，2012可能也是這樣的，不過這個一定要檢查！賬號口令優化賬號操作目的減少系統無用賬號，降低風險加固方法“Win+R”鍵調出“運行”-compmgmt.msc（計算機管理）-本地用戶和組。1、刪除不用的賬號，系統賬號所屬組是否正確。云服務剛開通時，應該只有一個administrator賬號和處于禁用狀態的gues

2、t賬號；2、確保guest賬號是禁用狀態3、買阿里云時，管理員賬戶名稱不要用administrator備注口令策略操作目的增強口令的復雜度及鎖定策略等，降低被暴力破解的可能性加固方法“Win+R”鍵調出“運行”-secpol.msc （本地安全策略）-安全設置1、賬戶策略-密碼策略密碼必須符合復雜性要求：啟用密碼長度最小值：8個字符密碼最短使用期限：0天密碼最長使用期限：90天強制密碼歷史：1個記住密碼用可還原的加密來存儲密碼：已禁用2、本地策略-安全選項交互式登錄：不顯示最后的用戶名：啟用備注“Win+R”鍵調出“運行”-gpupdate /force立即生效網絡服務優化服務（1）操作目的關

3、閉不需要的服務，減小風險加固方法“Win+R”鍵調出“運行”-services.msc，以下服務改為禁用：Application Layer Gateway Service（為應用程序級協議插件提供支持并啟用網絡/協議連接）Background Intelligent Transfer Service（利用空閑的網絡帶寬在后臺傳輸文件。如果服務被停用，例如Windows Update和MSN Explorer的功能將無法自動下載程序和其他信息）Computer Browser（維護網絡上計算機的更新列表，并將列表提供給計算機指定瀏覽）DHCP ClientDiagnostic Policy S

4、erviceDistributed Transaction CoordinatorDNS ClientDistributed Link Tracking ClientRemote Registry（使遠程用戶能修改此計算機上的注冊表設置）Print Spooler（管理所有本地和網絡打印隊列及控制所有打印工作）Server（不使用文件共享可以關閉，關閉后再右鍵點某個磁盤選屬性，“共享”這個頁面就不存在了）Shell Hardware DetectionTCP/IP NetBIOS Helper（提供TCP/IP (NetBT)服務上的NetBIOS和網絡上客戶端的NetBIOS名稱解析的支持，

5、從而使用戶能夠共享文件、打印和登錄到網絡）Task Scheduler（使用戶能在此計算機上配置和計劃自動任務）Windows Remote Management(47001端口，Windows遠程管理服務，用于配合IIS管理硬件，一般用不到)Workstation（創建和維護到遠程服務的客戶端網絡連接。如果服務停止，這些連接將不可用）備注用服務需謹慎，特別是遠程計算機優化服務（2） 在網絡連接里，把不需要的協議和服務都移除 去掉Qos數據包計劃程序關閉Netbios服務（關閉139端口）網絡連接-本地連接-屬性-Internet協議版本 4-屬性-高級-WINS-禁用TCP/IP上的NetB

6、IOS。說明：關閉此功能，你服務器上所有共享服務功能都將關閉，別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。 Microsoft網絡的文件和打印機共享網絡連接-本地連接-屬性，把除了“Internet協議版本 4”以外的東西都勾掉。 ipv6協議先關閉網絡連接-本地連接-屬性-Internet協議版本 6 (TCP/IPv6)然后再修改注冊表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters，增加一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

7、重啟服務器即可關閉ipv6 microsoft網絡客戶端（主要是為了訪問微軟的網站） 關閉445端口445端口是netbios用來在局域網內解析機器名的服務端口，一般服務器不需要對LAN開放什么共享，所以可以關閉。修改注冊表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，則更加一個Dword項：SMBDeviceEnabled，值：0 關閉LLMNR（關閉5355端口）什么是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用于解析本地網段上的名稱，沒啥用但還占著5355端口。使用組策略關閉，運行-gpedit

8、.msc-計算機配置-管理模板-網絡-DNS客戶端-關閉多播名稱解析-啟用網絡限制操作目的網絡訪問限制加固方法“Win+R”鍵調出“運行”-secpol.msc -安全設置-本地策略-安全選項網絡訪問: 不允許 SAM 帳戶的匿名枚舉：已啟用網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉：已啟用網絡訪問: 將 Everyone權限應用于匿名用戶：已禁用帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄：已啟用備注“Win+R”鍵調出“運行”-gpupdate /force立即生效遠程訪問一定要使用高強度密碼更改遠程終端默認端口號步驟：1.防火墻中設置1.控制面板windows防火墻高級設置入站

9、規則新建規則端口特定端口tcp（如13688）允許連接 2.完成以上操作之后右擊該條規則作用域本地ip地址任何ip地址遠程ip地址下列ip地址 添加管理者ip 同理其它端口可以通過此功能對特定網段屏蔽（如80端口）。請注意：不是專線的網絡的IP地址經常變，不適合限定IP。2.運行regedit 2.HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds rdpwdTds tcp 和 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinSta

10、tionsRDP-TCP，看見PortNamber值了嗎？其默認值是3389，修改成所希望的端口即可，例如136883.HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStations RDPTcp，將PortNumber的值（默認是3389）修改成端口13688（自定義）。4.重新啟動電腦，以后遠程登錄的時候使用端口13688就可以了。文件系統檢查Everyone權限操作目的增強Everyone權限加固方法鼠標右鍵系統驅動器（磁盤）-“屬性”-“安全”，查看每個系統驅動器根目錄是否設置為Everyone有所有

11、權限刪除Everyone的權限或者取消Everyone的寫權限備注NTFS權限設置注意：1、2008 R2默認的文件夾和文件所有者為TrustedInstaller，這個用戶同時擁有所有控制權限。 2、注冊表同的項也是這樣，所有者為TrustedInstaller。 3、如果要修改文件權限時應該先設置 管理員組 administrators 為所有者，再設置其它權限。 4、如果要刪除或改名注冊表，同樣也需先設置 管理員組 為所有者，同時還要應該到子項，直接刪除當前項還是刪除不掉時可以先刪除子項后再刪除此項。步驟：1. C盤只給administrators 和system權限，其他的權限不給，其

12、他的盤也可以這樣設置（web目錄權限依具體情況而定）2. 這里給的system權限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。3. Windows目錄要加上給users的默認權限，否則ASP和ASPX等應用程序就無法運行（如果你使用IIS的話，要引用windows下的dll文件）。4. c:/user/ 只給administrators 和system權限日志和授權增強日志操作目的增大日志量大小，避免由于日志文件容量過小導致日志記錄不全加固方法“Win+R”鍵調出“運行”-eventvwr.msc -“windows日志”-查看“應用程序”

13、“安全”“系統”的屬性建議設置：日志上限大小：20480 KBWindows server 2008 R2默認就是這樣設置的備注增強審核操作目的對系統事件進行審核，在日后出現故障時用于排查故障加固方法“Win+R”鍵調出“運行”-secpol.msc -安全設置-本地策略-審核策略建議設置：審核策略更改：成功審核登錄事件：成功，失敗審核對象訪問：成功審核進程跟蹤：成功，失敗審核目錄服務訪問：成功，失敗審核系統事件：成功，失敗審核帳戶登錄事件：成功，失敗審核帳戶管理：成功，失敗備注“Win+R”鍵調出“運行”-gpupdate /force立即生效授權進入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權利指派”:把“關閉系統”設置為“只指派給Administrators組”把“從遠端系統強制關機”設置為“只指派Administrators組”設置“取得文件或其它對象的所有權”設置為“只指派給Administrators組攻擊保護關閉ICMP也就是平時說的PING，讓別人PING不到服務器，減少不必要的軟件掃描麻煩。在服務器的控制面板中打開windows防火墻， 點擊高級設置：點