1、除了服務器需要用的一些正規軟件,其它都不要安裝。
2、在用戶中把administrator改名,這樣做的目的是即使對方暴破了我們的密碼用戶名也不容易猜住,相當于又加了一道關卡。
設置一個復雜的密碼,這個不多說。
然后空白處右擊新建一個administrator普通的賬戶,并設置一個復雜的密碼。
新建一個沒有什么權限的賬戶讓對方破吧,破了用這個賬戶登陸也沒有什么權限。讓對方想方設法提權相當又增添了一道關卡。
3、禁用guest及其它無用的賬戶
4、能不用3389遠程盡量不用,把下面的勾去掉。
如果要用,請修改默認端口。
5、路由中不要映射關于服務器的端口,意思就是不要把服務器的端口公布到外網,小心被端口掃描。每個端口都相當于系統的一道小門。
6、關閉文件共享,在網卡屬性中把"網絡的文件和打印機共享"前面的勾去掉。實際是把445端口給封了。
7、禁用NetBIOS,實際就是把139端口給封了。這個是黑客常常光臨的端口。
8、把以下保存為.bat在服務器上執行一次,可以屏蔽一些常見的危險端口。第6和7可以省略。本批處理源于網絡,在此感謝寫此批處理的作者。
@echo off
sc config BFE start= auto
sc config PolicyAgent start= auto
sc start BFE
sc start PolicyAgent
title 創建IP安全策略,屏蔽135、139 . . . 等端口
netsh ipsec static add policy name=qianye
netsh ipsec static add filterlist name=Filter1
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=700 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=720 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=722 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=8083 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=23246 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1045 protocol=TCP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=UDP
netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1045 protocol=UDP
netsh ipsec static add filteraction name=FilteraAtion1 action=block
netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1
netsh ipsec static set policy name=qianye assign=y
exit
9、NtLmSsp登錄爆破防御(下面的操作會影響遠程桌面,遠程非常重要的不要設置)
運行——gpedit.msc——計算機管理——windows設置——安全設置——本地策略——安全選項——設置看下圖。
10、運行——gpedit.msc——計算機管理——windows設置——安全設置——帳戶策略——帳戶鎖定策略——設置如下圖
賬戶鎖定閾值:設置成3到5次或更多,比如設置的是3次無效登陸,意思是3次輸入錯誤系統會鎖定。而鎖定多長時間可以再次輸入密碼登陸,就需要設置“賬戶鎖定時間”一般設置個30分鐘到1個小時,這個看個人了。
11、定期更新重要安全補丁。方法1去微軟官方下載更新「鏈接」方法2:通過安全軟件更新補丁。
以上方法不能保證100%,最少可以保證98%,僅供參考。
