Windows服务器系统安全防御加固方法

4

关闭netbios服务（关闭139端口）：

网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。

说明：关闭此功能，你服务器上所有共享服务功能都将关闭，别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。

5

关闭网络文件和打印共享：网络连接->本地连接->属性，把除了“Internet协议版本 4”以外的东西都勾掉。

6

关闭IPV6：

先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6)

然后再修改注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一个Dword项，名字：DisabledComponents，值：ffffffff（十六位的8个f）

7

关闭microsoft网络客户端（关闭445端口）

445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器不需要对LAN开放什么共享，所以可以关闭。

修改注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，则更加一个Dword项：SMBDeviceEnabled，值：0

8

关闭LLMNR（关闭5355端口）

使用组策略关闭，运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用

9

增加网络访问限制：

使用Win+R键调出运行，输入secpol.msc->安全设置->本地策略->安全选项:

网络访问: 不允许 SAM 帐户的匿名枚举：已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用

网络访问: 将 Everyone权限应用于匿名用户：已禁用

帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用

10

修改3389远程访问默认端口：

1.防火墙中设置

1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp（如13688）——允许连接 　　2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址——添加管理者ip 　　同理其它端口可以通过此功能对特定网段屏蔽(如80端口).

2 .运行注册表编辑器 　　2。[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ \控制终端 　　tcp服务器\ Wds \ rdpwd \ Tds \]和 　　控制[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ \ TerminalServer \ WinStations \ RDP-TCP],看见PortNamber值了吗?其默认值是3389年修改成所希望的端口即可,例如13688

3。[HKEY_LOCAL_MACHINE \ \ CurrentContro1Set \ \ Tenninal控制系统 　　Tcp服务器\ WinStations \ RDP \],将PortNumber的值(默认是3389)修改成端口13688年(自定义)。

11给每个人都降权:

Windows服务器系统安全防御加固方法