企业服务器安全篇之Windows Server( 二 ) _服务器安全

结语：关于全局策略的各类安全策略已经做完了，接下来就是让设置的组策略生效，以cmd打开“命令提示符” ，以管理员身份运行，在命令提示符对话框里输入“gpupdate /force” ，来强制刷新组策略，让全局策略应用生效。

3. 危险服务和端口的关闭
打开“运行”对话框输入命令“services.msc”打开系统服务管理，以下服务先Stop再Disabled 。
3.1.1 Disabled Remote Registry

文章插图
Disabled Remote Registry
这个服务一定要关闭，一定要。135 ， 139 ， 445端口，都是这个服务，一定要关闭
3.1.2 Disabled Shell Hardware Detection

文章插图
Disabled Shell Hardware Detection
3.1.3 Disabled Printer Spooler

文章插图
Disabled Printer Spooler
3.1.3 关闭危险端口（135 ， 137 ， 138 ， 139 ， 443 ， 445）

文章插图
创建IP安全策略
打开“控制面板>管理工具>本地安全策略>创建IP安全策略，阻止其他IP访问本地IP的危险端口。

文章插图
Disable the protocol and port
阻止135 ， 137 ， 138 ， 139 ， 443 ， 445的所有TCP/UDP连接，建立规则列表。

文章插图
IP筛选列表

文章插图
筛选器操作阻止

文章插图
分配策略
4. 系统的安全保护加固
4.1.1 启用DEP

文章插图
启用DEP
依次打开“此电脑>属性>高级系统设置>性能>设置>数据执行保护>仅为基本Windows程序和服务启用DEP(T)” 。
更改系统配置后重启后才能生效。
4.2.1 安装企业版杀毒软件和更新系统安全补丁
打开系统防火墙并安装企业版杀毒软件，定期更新系统安全补丁。
4.1.3 域安全
不得把个人域账户加入到域管理员组，功能账号的管理到人，定期复核清理。域管理的用户密码建议在12位至以上。
4.1.4 远程用户管理
4.1.4.1 限制IP地址段的访问，策略放通部分管理地址通过，只允许指定的IP连接，或者利用第三方软件设置只允许指定的计算机名称或特征电脑远程连接。
4.1.4.2 修改默认的RDP端口3389 ，更改到1024以后都可以，避免端口重复。
4.1.4.3 在服务器上建立监控脚本，在一个位置上建立一个存放日志和监控程序的目录。
4.1.4.4 在其目录下建立一个名为RDPlog.txt的文本文件。
4.1.4.5 在其目录下建立一个名为RDPlog.bat的批处理文件。

文章插图
RDPlog
本文以3389端口为例，更改为其他的端口号后将脚本中的3389替换成更改的端口号。
4.1.4.6 进入系统管理工具中的“终端服务器配置” ，进入到默认RDP-TCP属性中。
4.1.4.7 切换到“环境”页下，启用“用户登录时启用下列程序” 。
PS:为了以免入侵者发现最好将文件设置在C盘下的其他目录,且把目录和文件设置成隐藏如我们在C:Program Files目录下创建的RDPlog.bat则在程序路径和文件名处填写：C:Program FilesRDPlog.bat 并在起始于填写：C:Program Files
完成以上的配置步骤后，当再次登录服务器时就会记录当前登录者的时间和IP.
PS:为了以免非法访问发现，最好将文件设置在C盘下的其他目录，且把目录和文件设置成隐藏。
4.1.5 备份
备份，备份，备份，重要的事情说三遍。虚拟机快照，系统备份，备整机，一个目的就是在灾难的时候能快速恢复业务运转，以支持业务连续性。