3306：Mysql

1433：Mssql

(1)開啟或關閉Windows防火墻

打開“控制面板”，依次選擇“系統和安全”-“Windows防火墻”，選擇左側的“啟用或關閉Windows防火墻”，根據需要選擇啟用或關閉Windows防火墻。如果采用了云服務商提供的防火墻的話，建議將Windows防火墻關閉。

PS:開啟防火墻之前需要允許遠程登錄的端口訪問，否則遠程連接會中斷！

(2)允許特定的端口訪問

這里以Windows防火墻為例進行說明（其實云服務商提供的防火墻規則是類似的），前提是防火墻是啟用的。

在“運行”中執行 WF.msc 打開“高級安全 Windows 防火墻”，點擊左側的“入站規則”，然后點擊右側的“新建規則…”打開“新建入站規則向導”窗口，選擇“端口”然后點擊“下一步”按鈕；端口類型選擇“TCP”，下面選擇“特定本地端口”，里面輸入設置的遠程登錄端口以及Web端口，如：80, 433, 3389，然后點擊“下一步”按鈕；選擇“允許連接”，然后點擊“下一步”按鈕；選中所有的選項，然后點擊“下一步”；最后輸入一個規則的名稱，比如“允許遠程連接和Web服務”，最后點擊“完成”保存。

(3)關閉ICMP（禁ping）

按照上面的步驟打開“高級安全 Windows 防火墻”并選中左側的“入站規則”，從默認的規則里面雙擊“文件和打印機共享(回顯請求 - ICMPv4-In)”，在“常規”中選中“已啟用”，并在“操作”中選中“阻止連接”，最后“確定”保存即可。

8、禁用不需要的和危險的服務，以下列出服務都需要禁用。

控制面板–〉管理工具–〉服務

Layer Gateway Service（為應用程序級協議插件提供支持并啟用網絡/協議連接）

Service（利用空閑的網絡帶寬在后臺傳輸文件。如果服務被停用，例如Windows Update 和 MSN 的功能將無法自動下載程序和其他信息）

Browser（維護網絡上計算機的更新列表，并將列表提供給計算機指定瀏覽,默認已經禁用 ）

DHCP Client

Policy Service

Link Client (用于局域網更新連接信息 )

DNS Client

Print Spooler（管理所有本地和網絡打印隊列及控制所有打印工作）

Remote （使遠程用戶能修改此計算機上的注冊表設置）

Server（不使用文件共享可以關閉，關閉后再右鍵點某個磁盤選屬性，“共享”這個頁面就不存在了）

Shell

TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服務上的NetBIOS 和網絡上客戶端的NetBIOS 名稱解析的支持，從而使用戶能夠共享文件、打印和登錄到網絡）

Task （使用戶能在此計算機上配置和計劃自動任務）

Windows Remote (47001端口，Windows遠程管理服務，用于配合IIS管理硬件，一般用不到)

（創建和維護到遠程服務的客戶端網絡連接。如果服務停止，這些連接將不可用.泄漏系統用戶名列表 與 關聯）

Net Logon 域控制器通道管理 默認已經手動

Remote Call (RPC) Locator RpcNs*遠程過程調用 (RPC) 默認已經手動

刪除服務sc delete MySql

*關閉“同步主機_xxx”服務

Windows 2016中有一個“同步主機_xxx”的服務，后面的xxx是一個數字，每個服務器不同。需要手動關閉，操作如下：

首先在“運行”中執行regedit打開注冊表，然后在 \SYSTEM\\ 下面找到 、、和四個項，依次將其中的 start 值修改為4，退出注冊表然后重啟服務器即可。

*關閉IPC共享

如果在上面停止并禁用 Server服務的話就不會出現IPC共享了，執行 net share 命令之后會提示“沒有啟動Server服務”，否則會類似C、D 、D、D等默認共享，可以使用 net share C$ /del 命令進行刪除。

在注冊表中找到 \SYSTEM\\\\，在右側空白處右鍵，依次選擇“新建”-“DWORD項”,名稱設置為，鍵值設置為0。

*關閉139端口（Netbios服務）、445端口、5355端口（LLMNR）

關閉139端口

依次打開“控制面板”-“查看網絡狀態和任務”，然后點擊左側的“更改適配器設置”，在網絡連接中雙擊激活的網卡，點擊“屬性”按鈕，雙擊“ 協議版本 4（TCP/IPv4）”，在打開的窗口中點擊右下角的“高級”按鈕，然后選擇上面的“WINS”標簽，在“NetBIOS設置”中選擇“禁用 TCP/IP上的NetBIOS”，最后依次“確定”。

關閉此功能，你服務器上所有共享服務功能都將關閉，別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。

*關閉445端口

445端口是netbios用來在局域網內解析機器名的服務端口，一般服務器不需要對LAN開放什么共享，所以可以關閉。

打開注冊表，在\SYSTEM\\\NetBT\位置，在右側右鍵并依次選擇“新建”-“Dword值”，名稱設置為，值設置為0。

*關閉5355端口（LLMNR）

LLMNR本地鏈路多播名稱解析，也叫多播DNS，用于解析本地網段上的名稱，可以通過組策略關閉將其關閉。

打開“運行”，輸入gpedit.msc打開“本地組策略編輯器”，依次選擇“計算機配置”-“管理模板”-“網絡”-“DNS客戶端”，在右側雙擊“關閉多播名稱解析”項，然后設置為“已禁用”。

*修改Session端口

端口，可編輯HKLM\SYSTEM\\\注冊表項中的Port值。

9、組策略，在“運行”中執行secpol.msc（或者輸入gpedit.msc回車,選擇計算機配置–>Windows設置–>安全設置），

依次打開安全設置–>本地策略–>安全選項

交互式登陸：不顯示最后的用戶名啟用

網絡訪問：不允許SAM帳戶的匿名枚舉 啟用 已經啟用

網絡訪問：不允許SAM帳戶和共享的匿名枚舉 啟用

網絡訪問：不允許儲存網絡身份驗證的密碼和憑據啟用

網絡訪問: 將 權限應用于匿名用戶：已禁用

網絡訪問：可匿名訪問的共享內容全部刪除

網絡訪問：可匿名訪問的命名管道內容全部刪除

網絡訪問：可遠程訪問的注冊表路徑內容全部刪除

網絡訪問：可遠程訪問的注冊表路徑和子路徑內容全部刪除

帳戶：來賓帳戶狀態 已禁用

帳戶: 使用空白密碼的本地帳戶只允許進行控制臺登錄：已啟用

帳戶：重命名來賓帳戶這里可以更改guest帳號

帳戶：重命名系統管理員帳戶這里可以更改帳號

安全設置–>賬戶策略–>賬戶鎖定策略，

將賬戶鎖定閾值設為“三次登陸無效”，“鎖定時間為30分鐘”，“復位鎖定計數設為30分鐘”。

在“運行”中執行secpol.msc，依次打開“本地策略”-“用戶權限分配”。

從網絡訪問此計算機 只保留“組”并將其他用戶組刪除

從遠程系統強制關機 只保留“組”并將其他用戶組刪除；

關閉系統 只保留“組”并將其他用戶組刪除；

取得文件或其它對象的所有權 只保留“組”并將其他用戶組刪除；

通過終端服務拒絕登陸：加入Guests組、IUSR_、IWAM_、NETWORK SERVICE、

通過終端服務允許登陸：加入、Remote Desktop Users組，其他全部刪除

輸入gpedit.msc回車，依次打開“計算機配置”-“管理模板”-“所有設置”，

雙擊“關閉自動播放”，然后選擇“已啟用”。

12、更改，guest賬戶，新建一無任何權限的假賬戶

管理工具→計算機管理→系統工具→本地用戶和組→用戶

新建一個帳戶作為陷阱帳戶，設置超長密碼，并去掉所有用戶組

更改描述：管理計算機(域)的內置帳戶

13、密碼策略

選擇計算機配置–>Windows設置–>安全設置–>密碼策略

啟動 密碼必須符合復雜性要求

最短密碼長度

14、禁用DCOM （"沖擊波"病毒 RPC/DCOM 漏洞）

運行.exe。控制臺根節點→組件服務→計算機→右鍵單擊“我的電腦”→屬性”→默認屬性”選項卡→清除“在這臺計算機上啟用分布式 COM”復選框。

15、ASP漏洞

主要是卸載WScript.Shell 和 Shell. 組件，是否刪除看是否必要。

/u C:\WINDOWS\\wshom.ocx

/u C:\WINDOWS\\shell32.dll

刪除可能權限不夠

del C:\WINDOWS\\wshom.ocx

del C:\WINDOWS\\shell32.dll

如果確實要使用，或者也可以給它們改個名字。

WScript.Shell可以調用系統內核運行DOS基本命令

可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

\WScript.Shell\及\WScript.Shell.1

改名為其它的名字，如：改為WScript. 或 WScript.Shell.

自己以后調用的時候使用這個就可以正常調用此組件了

也要將clsid值也改一下

\WScript.Shell\CLSID\項目的值

\WScript.Shell.1\CLSID\項目的值

也可以將其刪除，來防止此類木馬的危害。

Shell.可以調用系統內核運行DOS基本命令

可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

\Shell.\及\Shell..1\改名為其它的名字，如：改為Shell.me 或 Shell..

自己以后調用的時候使用這個就可以正常調用此組件了

也要將clsid值也改一下

\Shell.\CLSID\項目的值

\Shell.\CLSID\項目的值

也可以將其刪除，來防止此類木馬的危害。

禁止Guest用戶使用shell32.dll來防止調用此組件。

2000使用命令：cacls C:\WINNT\\shell32.dll /e /d guests

2003使用命令：cacls C:\WINDOWS\\shell32.dll /e /d guests

禁止使用組件，FSO是使用率非常高的組件，要小心確定是否卸載。改名后調用就要改程序了，Set FSO = Server.(“.”)。

可以對文件進行常規操作,可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

\.

改名為其它的名字，如：改為 ngeName

自己以后調用的時候使用這個就可以正常調用此組件了

也要將clsid值也改一下\.\CLSID\項目的值

也可以將其刪除，來防止此類木馬的危害。

2000注銷此組件命令： /u C:\WINNT\SYSTEM\scrrun.dll

2003注銷此組件命令： /u C:\WINDOWS\SYSTEM\scrrun.dll

如何禁止Guest用戶使用scrrun.dll來防止調用此組件？

使用這個命令：cacls C:\WINNT\\scrrun.dll /e /d guests

15、打開UAC

控制面板–>用戶賬戶 打開或關閉用戶賬戶控制

16、程序權限

“net.exe”,“net1.exe”,“cmd.exe”,“tftp.exe”,“netstat.exe”,“regedit.exe”,“at.exe”,“attrib.exe”,“cacls.exe”,“”,“c.exe”

或完全禁止上述命令的執行

gpedit.msc-〉用戶配置-〉管理模板-〉系統

啟用 阻止訪問命令提示符 同時 也停用命令提示符腳本處理

啟用 阻止訪問注冊表編輯工具

啟用 不要運行指定的windows應用程序，添加下面的

at.exe attrib.exe c.exe cacls.exe cmd.exe net.exe net1.exe netstat.exe regedit.exe tftp.exe

17、Serv-u安全問題（個人建議不是特別高的要求沒必要用serv_U可以使用FTP服務器 Server ）

安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口范圍（4001—4003）在本地服務器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截“FTP bounce”攻擊和FXP，對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個復雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限，否則會在連接的時候出現530 Not logged in, home does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權限，為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權限的。如果FTP不是必須每天都用，不如就關了吧，要用再打開。

下面是其它網友的補充：大家可以參考下

Windows Web Server 2008 R2服務器簡單安全設置

1、新做系統一定要先打上已知補丁，以后也要及時關注微軟的漏洞報告。略。

2、所有盤符根目錄只給system和的權限，其他的刪除。

3、將所有磁盤格式轉換為NTFS格式。

命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統

4、開啟Windows Web Server 2008 R2自帶的高級防火墻。

默認已經開啟。

5、安裝必要的殺毒軟件如mcafee，安裝一款ARP防火墻，安天ARP好像不錯。略。

6、設置屏幕屏保護。

7、關閉光盤和磁盤的自動播放功能。

8、刪除系統默認共享。

命令：net share c$ /del 這種方式下次啟動后還是會出現，不徹底。也可以做成一個批處理文件，然后設置開機自動執動這個批處理。但是還是推薦下面的方法，直修改注冊表的方法。

\SYSTEM\\\\下面新建 ,值為0 。。重啟一下，測試。已經永久生效了。

9、重命和Guest帳戶,密碼必須復雜。GUEST用戶我們可以復制一段文本作為密碼，你說這個密碼誰能破。。。。也只有自己了。…

重命名管理員用戶組。

10、創建一個陷阱用戶，權限最低。

上面二步重命名最好放在安裝IIS和SQL之前做好，那我這里就不演示了。

11、本地策略——>審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對象訪問 失敗

審核過程跟蹤 無審核

審核目錄服務訪問 失敗

審核特權使用 失敗

審核系統事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

12、本地策略——>用戶權限分配

關閉系統：只有 組、其它的全部刪除。

管理模板 > 系統 顯示“關閉事件跟蹤程序”更改為已禁用。這個看大家喜歡。

13、本地策略——>安全選項

交互式登陸：不顯示最后的用戶名 啟用

網絡訪問：不允許SAM 帳戶和共享的匿名枚舉 啟用

網絡訪問: 不允許存儲網絡身份驗證的憑據或 .NET 啟用

網絡訪問：可遠程訪問的注冊表路徑 全部刪除

網絡訪問：可遠程訪問的注冊表路徑和子路徑 全部刪除

14、禁止dump file 的產生。

系統屬性>高級>啟動和故障恢復把 寫入調試信息 改成“無”

16、站點方件夾安全屬性設置

刪除C:\ inetpub 目錄。刪不了，不研究了。把權限最低。。。禁用或刪除默認站點。我這里不刪除了。停止即可。一般給站點目錄權限為：

System 完全控制

完全控制

Users 讀

讀、寫

在IIS7 中刪除不常用的映射 建立站點試一下。一定要選到程序所在的目錄，這里是目錄，如果只選擇到wwwroot目錄的話，站點就變成子目錄或虛擬目錄安裝了，比較麻煩。所以一定要選擇站點文件所在的目錄，填上主機頭。因為我們是在虛擬機上測試，所以對hosts文件修改一下，模擬用域名訪問。真實環境中，不需要修改hosts文件，直接解釋域名到主機就行。目錄權限不夠，這個下個教程繼續說明。至少，我們的頁面已經正常了。

16.日志審計

(1)增強日志記錄

增大日志量大小，避免由于日志文件容量過小導致日志記錄不全。在“運行”中執行.msc命令，打開“事件查看器”窗口，打開“Windows 日志”文件，分別右鍵下面的“應用程序”、“安全”和“系統”項，選擇“屬性”，修改“日志最大大小”為 20480。

(2)增強審核

對系統事件進行記錄，在日后出現故障時用于排查審計。在“運行”中執行secpol.msc命令，打開“本地安全策略”窗口，依次選擇“安全設置”-“本地策略”-“審核策略”，建議將里面的項目設置如下：

審核策略更改：成功

審核登錄事件：成功，失敗

審核對象訪問：成功

審核進程跟蹤：成功，失敗

審核目錄服務訪問：成功，失敗

審核系統事件：成功，失敗

審核帳戶登錄事件：成功，失敗

審核帳戶管理：成功，失敗

上面的項目設置成功之后，在“運行”中執行 /force 命令使設置立即生效。

17.其它安全設置

(1)設置屏保，使本地攻擊者無法直接恢復桌面控制

打開“控制面板”，依次進入“外觀和個性化”-“個性化”-“屏幕保護程序”，選擇某一個屏保，然后選中“在恢復時顯示登錄屏幕”，并將等待時間設置為10分鐘。

18、禁用IPV6。看操作。

在windows server 2008 R2操作系統下部署 web ，部署完成后進行測試，發現測試頁的地址使用的是隧道適配器的地址，而不是靜態的ip地址，而且所在的網絡并沒有ipv6接入，因此決定將ipv6和隧道適配器禁用，操作如下：

禁用ipv6很簡單，進入 控制面板\網絡和 \網絡和共享中心 單擊面板右側“更改適配器設置”進入網絡連接界面，選擇要設置的連接，右鍵選擇屬性，取消 協議版本 6 (TCP/IPv6) 前面的選擇框確定即可。

要禁用隧道適配器需要更改注冊表信息，操作如下：

開始 -> 運行 - > 輸入 Regedit 進入注冊表編輯器

定位到：

[\SYSTEM\\\Tcpip6\]

右鍵點擊 ，選擇新建 -> DWORD (32-位)值

命名值為 ，然后修改值為 (16進制)

重啟后生效

值定義：

0， 啟用所有 IPv 6 組件，默認設置

，禁用所有 IPv 6 組件, 除 IPv 6 環回接口

0x20， 以前綴策略中使用 IPv 4 而不是 IPv 6

0x10， 禁用本機 IPv 6 接口

0x01， 禁用所有隧道 IPv 6 接口

0x11， 禁用除用于 IPv 6 環回接口所有 IPv 6 接口

OVER ! 重啟下服務器吧

————————————————

版權聲明：本文為CSDN博主「馬立弘」的原創文章，遵循 CC 4.0 BY-SA 版權協議，轉載請附上原文出處鏈接及本聲明。

原文鏈接：