1、除了服务器需要用的一些正规软件,其它都不要安装。
2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住,相当于又加了一道关卡。
设置一个复杂的密码,这个不多说。
然后空白处右击新建一个administrator普通的账户,并设置一个复杂的密码。
新建一个没有什么权限的账户让对方破吧,破了用这个账户登陆也没有什么权限。让对方想方设法提权相当又增添了一道关卡。
3、禁用guest及其它无用的账户
4、能不用3389远程尽量不用,把下面的勾去掉。
如果要用,请修改默认端口。
5、路由中不要映射关于服务器的端口,意思就是不要把服务器的端口公布到外网,小心被端口扫描。每个端口都相当于系统的一道小门。
6、关闭文件共享,在网卡属性中把"网络的文件和打印机共享"前面的勾去掉。实际是把445端口给封了。
7、禁用NetBIOS,实际就是把139端口给封了。这个是黑客常常光临的端口。
8、把以下保存为.bat在服务器上执行一次,可以屏蔽一些常见的危险端口。第6和7可以省略。本批处理源于网络,在此感谢写此批处理的作者。
@echo off
sc config BFE start= auto
sc config PolicyAgent start= auto
sc start BFE
sc start PolicyAgent
title 创建IP安全策略,屏蔽135、139 . . . 等端口
netsh ipsec static add policy name=qianye
netsh ipsec static add filterlist name=Filter1
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=700 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=720 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=722 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=8083 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=23246 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1045 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1045 protocol=UDP
netsh ipsec static add filteraction name=FilteraAtion1 action=block
netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1
netsh ipsec static set policy name=qianye assign=y
exit
9、NtLmSsp登录爆破防御(下面的操作会影响远程桌面,远程非常重要的不要设置)
运行——gpedit.msc——计算机管理——windows设置——安全设置——本地策略——安全选项——设置看下图。
10、运行——gpedit.msc——计算机管理——windows设置——安全设置——帐户策略——帐户锁定策略——设置如下图
账户锁定阈值:设置成3到5次或更多,比如设置的是3次无效登陆,意思是3次输入错误系统会锁定。而锁定多长时间可以再次输入密码登陆,就需要设置“账户锁定时间”一般设置个30分钟到1个小时,这个看个人了。
11、定期更新重要安全补丁。方法1去微软官方下载更新「链接」方法2:通过安全软件更新补丁。
以上方法不能保证100%,最少可以保证98%,仅供参考。