Windows服务器上的一些安全配置

端口限制:
关闭所有协议端口
仅开放 WEB TCP 80 任意IP
数据库 TCP 1484 局域网IP
NetOP TCP 6502 任意IP
PcAnyWhere TCP 5631 5632 任意IP
安全配置已经完成部分:
===============================================================
更改SQLSERVER端口
配置管理器-网络配置-属性隐藏实例
配置管理器-网络配置-Tcp/IP-属性 更改端口
->1484
===============================================================
修改管理员帐号名称与来宾帐号名称
此步骤主要是为了防止入侵者使用默认的系统用户名或者来宾帐号马上进行暴利特别(合法性请自查),在更改完后,不要忘记修改强悍的密码。
控制面板――管理工具――本地安全策略――本地策略――安全选项
在右边栏的最下方
===============================================================
组策略
创建一个名为Administrator的本地用户,把它的权限设置成最低,并且加上一个超过10位的超级复杂的密码,不隶属任何组
创建一个备用属于Administrators组的用户,防止管理员锁死
计算机配置-安全配置-帐户策略-帐户锁定策略 阈值设为5次,锁定时间30分钟(默认)
开始 > 程序 > 管理工具 > 本地安全策略 > 安全选项 >
清除虚拟内存页面文件 更改为”已启用”
不显示上次的用户名 更改为”已启用”
不需要按CTRL+ALT+DEL 更改为”已启用”
===============================================================
禁止 Windows 系统进行空连接
如微软的SQL Server数据库,必须要启用IPC$共享命名管道。否则的话,数据库就无法正常运行。
在注册表中找到相应的键值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORD值RestrictAnonymous的键值改为1
如果设置为1,则表示匿名用户无法列举本机的用户列表。如果设置为2,则表示匿名用户无法连接这台主机的IPC$共享。一般情况下,是不建议设置为2,因为这会导致依赖于共享命名管道的一些应用服务无法正常启动。
===============================================================
关闭不需要的端口
本地连接–属性–Internet协议(TCP/IP)–高级–选项–TCP/IP筛选–属性–把勾打上,然后添加你需要的端口即可。(如:3389、21、1433、3306、80)
===============================================================

在Windows上关闭外网对1433端口的访问

一.创建IP筛选器和筛选器操作 1.”开始”->”程序”->”管理工具”->”本 …
    如果不是做虚拟主机的服务器。我们强列建意关闭1433端口。因此百分之九十的黑客是通过数据库提权建利管理员帐号和密码。
    一.创建IP筛选器和筛选器操作
    1.”开始”->”程序”->”管理工具”->”本地安全策略”。微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的。
    2.右击”Ip安全策略,在本地机器”,选择”管理 IP 筛选器表和筛选器操作”,启动管理 IP 筛选器表和筛选器操作对话框。我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略。
    3.在”管理 IP 筛选器表”中,按”添加”按钮建立新的IP筛选器:
    1)在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用”tcp1433″,描述随便填写.单击右侧的”添加”按钮,启动IP筛选器向导。
    2)跳过欢迎对话框,下一步。
    3)在IP通信源页面,源地方选”任何IP地址”,因为我们要阻止传入的访问。下一步。
    4)在IP通信目标页面,目标地址选”我的IP地址”。下一步。
    5)在IP协议类型页面,选择”TCP”。下一步。
    6)在IP协议端口页面,选择”到此端口”并设置为”1433″,其它不变。下一步。
    7)完成。关闭IP筛选器列表对话框。会发现tcp1433IP筛选器出现在IP筛选器列表中。
    4.选择”管理筛选器操作”标签,创建一个拒绝操作:
    1)单击”添加”按钮,启动”筛选器操作向导”,跳过欢迎页面,下一步。
    2)在筛选器操作名称页面,填写名称,这儿填写”拒绝”。下一步。
    3)在筛选器操作常规选项页面,将行为设置为”阻止”。下一步。
    4)完成。
    5.关闭”管理 IP 筛选器表和筛选器操作”对话框。
    二.创建IP安全策略
    1.右击”Ip安全策略,在本地机器”,选择”创建IP安全策略”,启动IP安全策略向导。跳过欢迎页面,下一步。
    2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写”拒绝对tcp1433端口的访问”,描述可以随便填写。下一步。
    3.在安全通信要求页面,不选择”激活默认响应规则”。下一步。
    4.在完成页面,选择”编辑属性”。完成。
    5.在”拒绝对tcp1433端口的访问属性”对话框
    中进行设置。首先设置规则:
    1)单击下面的”添加 “按钮,启动安全规则向导。跳过欢迎页面,下一步。
    2)在隧道终结点页面,选择默认的”此规则不指定隧道”。下一步。
    3)在网络类型页面,选择默认的”所有网络连接”。下一步。
    4)在身份验证方法页面,选择默认的”windows 2000默认值(Kerberos V5 协议)”。下一步。
    5)在IP筛选器列表页面选择我们刚才建立的”tcp1433″筛选器。下一步。
    6)在筛选器操作页面,选择我们刚才建立的”拒绝”操作。下一步。
    7)在完成页面,不选择”编辑属性”,确定。
    6.关闭”拒绝对tcp1433端口的访问属性”对话框。
    三.指派和应用IPsec安全策略
    1.缺省情况下,任何IPsec安全策略都未被指派。首先我们要对新建立的安全策略进行指派。在本地安全策略MMC中,右击我们刚刚建立的””拒绝对tcp1433端口的访问属性”安全策略,选择”指派”。