青岛做网站
新闻动态

如何对Win2008 R2 WEB网站服务器进行安全设置

2019-08-22来源:青岛做网站
现在随着云服务器得普及,使用windows server 2008 R2作为web服务器的人越来越多,今天笔者就跟大家分享一下如何对Win2008 R2 WEB网站服务器进行安全设置,提升服务器得安全性能。
第一:修改远程桌面连接端口
修改win2008的远程桌面端口是我们首先要做的,一般来说远程连接的默认端口3389,按Win+R,输入regedit,找开注册表,进入[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],右侧找到PortNamber,双击,默认显示的是十六进制数据d3d,点击选择十进制后变为3389,这个就是远程连接的端口,修改它就是修改远程连接的端口,如把它修改为8579,确定保存。
再进入[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp],同里修改PortNamber的值为8579,保存并关闭注册表。
 
修改远程桌面连接端口
 
经过上面二步,远程连接的端口已经在注册表里修改好了,但是这时千万不要重新启动服务器,不然你将自己关在外面了。
接着上面的步骤,打开系统自带的Windows防火墙,进入高级设置,进入“入站规则”,点击“新建规则”,规则类型选择“端口”,
 
修改远程桌面连接端口
 
下一步,选择"TCP",指定端口处填上面在注册表里的修改好的端器,我这里是8579,
 
 
下一步,连接指定条件这里选择“允许连接”。
 
 
下一步,作用域一般都全选,
 
 
下一步,为这条规则设置一个名称以方便记忆,并设置一个简单的描述。点“完成”保存以上设置。这样这条规则就生效了。
 
 
新的规则已经设置好了,再检查下前面的每一步设置是否正确,确定无误后重新启动服务器。
重新启动远程桌面连接,在IP地址后加上设置的新端口号,
只要前面的设置无误,这里应该能正常连接到服务器。
登录到服务器后,将系统自带的远程连接规则给禁用或删除,因为它已经不起作用了。找到“远程桌面(TCP-In)”,右击禁用。
最后一步,进一步提高远程桌面连接的安全性,设置“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”,这将只有Win Vista以上的系统才能连接到服务器。
 
 
第二:设置服务器密码策略
系统密码的强弱直接关系到系统的安全,如果你的密码太简单,万一你的远程连接端口被扫到,那破解你的密码就是分分钟钟后了。所以,我们的系统密码必须要设置一个符合安全性要求的密码,如使用大小写英文、数字、特殊符号、长度不小于6位等措施来加强密码安全性。在Windows 2008以上系统中,系统提供了一个“密码策略”的设置,我们来设置它,先进入“本地安全策略”,
 
设置服务器密码策略
 
依次打开 "安全设置"-----"帐户策略"-----"密码策略"-----密码必须符合复杂性要求,启用.
 
 
审核策略
审核策略的作用就是万一有恶意用户在破解你的密码、登录你的系统,或者修改你的系统等事件,你可以及早发现并处理。
默认都是无审核,我们必须修改它,如下是我修改的审核策略,
 
 
己基本能捕捉所需信息,我们只要分析这些产生的日志,就能发现问题所在。
用户权限分配
这里主要是限制哪些用户可以使用远程连接登录到服务器,默认是Administrators组和Remote Desktop Users组,这二个组的成员都可以远程登录到服务器,而我们一般作为WEB服务器,用户不会太多,可能就只有一个管理员,所以就没必要指定组,直接指定用户就可以了。
 
 
修改系统用户和组
1、对系统默认用户名和用户组进行重命名,这里分二步。
 ⑴、重命名默认管理员administrator和来宾帐户,如我就将administrator重命名为wobushiad,将guest重命名为wobushiguest,
 
 
以后登录服务器就要使用修改后的用户名wobushiad来登录。
⑵、新建一个名为administrator,隶属于Guests组的用户,设置一个超级复杂的密码(在记事本里打一串字符包括大小写、数字、特殊符号复制进去,你自己无需记住此密码),并禁用帐户。这个帐户是一个陷阱帐户,我们自己并不会使用此帐户。
 
 
 
再修改默认管理员组administrators和Guest组,
 
 
 
第三:设置服务器安全选项
交互式登录: 不显示最后的用户名,启用
网络访问:不允许SAM帐户和共享的匿名枚举,启用
网络访问:不允许存储网络身份验证的密码和凭据,启用
网络访问:可远程访问的注册表路径,清空
网络访问:可远程访问的注册表路径和子路径,清空
 
 
第四:更新系统补丁
及时更新系统补丁也是提高服务器安全性的必不可少的步骤,补丁更新就比较简单了,直接打开Windows Update 更新即可。把自动更新给打开,并且设置一下自动安装的时间,一般选在零晨更新补丁。