windows2008安全配置以及优化

admin管理员组

文章数量:1532270

2024年1月4日发(作者：)

（1）防止黑客建立IPC$空连接 打开注册表编辑器，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA分支，在右边修改RestrictAnonymous为1.

（2）账户问题。 首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入""字符串命令，单击回车键后，进入对应系统的组策略编辑界面； 其次选中组策略编辑界面左侧列表中的"计算机配置"节点选项，再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Windows登录选项"分支选项，从目标分支选项下面找到"在用户登录期间显示有关以前登录的信息"目标组策略选项，并用鼠标双击该选项，进入如图8所示的选项设置界面；(图挂了你自己猜吧) 在该选项设置界面中检查"已启用"选项有没有被选中，倘若看到该选项还没有被选中时，我们应该重新选中它，再单击"确定"按钮保存上面的设置操作，这样的话Windows Server

2008服务器系统自带的显示以前登录信息功能就被成功启用了。 日后，当有危险登录行为发生在Windows Server 2008服务器系统中时，目标危险登录账号信息就会被Windows Server

2008系统自动跟踪记忆下来，网络管理员下次重启服务器系统时，就能非常清楚地看到上次登录系统的所有账号信息，其中来自陌生账号的登录行为可能就是危险登录行为，根据这个危险登录行为网络管理员应该及时采取安全措施进行应对，以便杜绝该现象的再次发生。

（3）加强连接安全保护 Windows Server 2008服务器系统自带的防火墙功能比以往进步了不少，为了让本地系统中的所有网络连接安全性及时地得到Windows防火墙的保护，我们需要对该系统环境下的组策略参数进行合适设置，来让Windows Server 2008服务器系统下的所有网络连接都处于Windows防火墙的安全保护之中，下面就是具体的设置步骤： 首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入""字符串命令，单击回车键后，进入对应系统的组策略编辑界面； 其次将鼠标定位于组策略编辑界面左侧列表区域中的"计算机配置"节点选项上，再从该节点选项下面依次点选"管理模板"、"网络"、"网络连接"、"Windows防火墙"、"标准配置文件"组策略子项，在目标组策略子项下面，找到"Windows防火墙：保护所有网络连接"选项，并用鼠标双击该选项，进入如图7所示的选项设置界面；（图挂了你自己猜） 检查该设置界面中的"已启用"选项是否处于选中状态，要是发现该选项还没有被选中时，我们应该及时将它选中，再单击"确定"按钮保存上述设置操作，那样的话Windows Server

2008系统下的所有网络连接日后都会处于Windows防火墙的安全保护之下了。

（4）不让恶意插件偷袭 当我们使用Windows Server 2008系统自带的IE浏览器访问Internet网络中的站点内容时，经常会看到有一些恶意插件程序偷偷在系统后台进行安装操作，一旦安装完毕后，我们往往很难将它们从系统中清除干净，并且它们的存在直接影响着Windows Server 2008系统的工作状态以及运行安全。为了不让恶意插件程序偷袭Windows

Server 2008系统，我们可以通过下面的设置操作，来阻止任何来自Internet网络中的下载文件安装保存到本地系统中： 首先以系统管理员身份进入Windows Server 2008系统，在该系统桌面中依次点选"开始"、"运行"命令，在弹出的系统运行文本框中，输入""字符串命令，单击"确定"按钮后，进入对应系统的组策略编辑窗口； 其次将鼠标定位于组策略编辑窗口左侧的"计算机配置"节点选项上，再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Internet Explorer"、"安全功能"、"限制文件下载"组策略子项，在对应"限制文件下载"子项下面找到"Internet Explorer进程"目标组策略，并用鼠标双击该选项，进入如图5所示的属性设置界面；（图挂了自己猜吧潇潇） 在该属性设置界面中检查"已启用"选项是否处于选中状态，如果发现该选项还没有被选中时，我们应该将它重新选中，最后单击"确定"按钮保存上述设置操作，这样的话日后要是有恶意插件程序想偷偷下载保存到本地系统硬盘中时，我们就能看到对应的系统提示，单击提示窗口中的"取消"按钮就能阻止恶意

插件程序下载安装到Windows Server 2008系统硬盘中了。

5、阻止恶意Ping攻击

在Windows Server 2008系统环境下，我们可以利用该系统提供的强大Windows防火墙功能，来阻止黑客向Windows Server 2008服务器系统实施恶意Ping攻击，下面就是具体的阻止步骤：

首先以超级管理员权限进入Windows Server 2008系统，打开该系统的"开始"菜单，从中逐一点选"所有程序"/"管理工具"/"高级安全Windows防火墙"命令，打开Windows Server 2008系统的高级安全Windows防火墙管理窗口，如图3所示；

其次在该管理窗口的左侧显示区域中，单击"入站规则"选项，在对应该选项的操作列表区域单击"新规则"选项，打开新建入站规则向导设置窗口；根据向导窗口的提示，先设置好要创建的防火墙规则类型，这里我们选中的是"自定义"类型，之后向导窗口会要求我们指定此规则匹配的程序完整路径和可执行程序名称，此时我们可以选中"所有程序"选项，紧接着再将此规则的协议类型参数设置为"ICMPv4"，并将本地端口以及远程端口参数全部设置为"所有端口"，再将此规则设置为匹配任何IP地址，最后将"阻止连接"项目选中，同时单击"确定"按钮关闭入站规则向导设置界面，如此一来一个拒绝黑客向Windows Server 2008系统实施的恶意Ping攻击规则就算创建好了；

完成上面的各项设置操作后，将Windows Server 2008系统重新启动一下，那样一来黑客就无法通过恶意Ping攻击方式来干扰Windows Server 2008服务器系统的正常工作状态了。

6、加强系统安全提示

接触过Windows Vista系统的朋友，肯定会被该系统的UAC功能（用户帐号控制功能）所吸引，因为每次用户在该系统中尝试进行一些影响系统安全的操作时，屏幕上总会及时出现提示，要求用户进行确认操作，这无形之中就为系统安全增添了一层保险。然而，当我们尝试在Windows Server 2008系统环境下，进行删除类似系统文件这样的危险操作时，系统屏幕上并没有及时出现相应的安全提示，如此说来这是否意味着Windows Server 2008系统不支持UAC功能？

其实，Windows Server 2008系统同样也具有UAC功能，只是在默认状态下没有将该功能

启用起来罢了；为了防止在Windows Server 2008服务器系统中不小心进行了一些不安全操作，我们建议各位还是将该系统自带的UAC功能启用起来，并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作，下面就是具体的启用步骤：

首先以系统管理员身份进入Windows Server 2008系统，在该系统桌面中依次点选"开始"、"运行"命令，在弹出的系统运行文本框中，输入"msconfig"字符串命令，单击"确定"按钮后，进入对应系统的实用程序配置界面；

其次在实用程序配置界面中单击"工具"标签，进入如图4所示的标签设置页面，从该设置页面的工具列表中找到"启用UAC"项目，再单击"启动"按钮，最后单击"确定"按钮并重新启动一下Windows Server 2008系统，如此一来用户日后在Windows Server 2008服务器系统中不小心进行一些不安全操作时，系统就能及时弹出安全提示。

7、修改端口，谨防非法远程连接

一旦启用了Windows Server 2008服务器系统的远程桌面连接功能后，在默认状态下，对应该系统的3389端口会被自动开启;但由于该端口很容易被人非法利用，出于安全考虑，我们应该为Windows Server 2008服务器系统设置一个陌生的远程桌面连接端口;要修改远程桌面连接端口时，我们应该按照如下步骤来操作：

首先在Windows Server 2008服务器依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“regedit”，单击回车键后，打开对应系统的注册表编辑界面;

其次在该编辑界面左侧位置处，展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp注册表分支选项，在目标分支下面双击PortNumber键值，打开PortNumber键值的数值设置窗口，在其中输入新的端口号码，例如要将新的远程桌面连接端口号码设置成8866时，我们只要选中对应窗口中的“十进制”选项，同时将“8866”数字填写在数值文本框中(如图4所示)，最后单击“确定”按钮保存好上述设置操作。

图4 为远程连接限制端口号

日后，当我们再次使用远程桌面连接功能与目标服务器系统建立远程控制连接时，必须

在目标服务器主机后面添加上新的远程连接端口号码，这样才能成功连接到目标服务器系统上，那些不知道新远程桌面端口号码的用户是不能随便与Windows Server 2008服务器系统建立远程桌面连接的。



只安装必要的选件

空间面板中可选择删除Windows组件。

如何安装IIS？

计算机右键→管理→服务器管理器→角色摘要→添加角色→服务器角色→Web服务器（IIS）。



关闭界面美化选项

如在Windows操作系统，系统属性里，有一个性能选项（Performance Options），一般选择性能优先，而不是显示优先。如应用系统中不做三维图形显示，可将操作系统中的显示属性/Settings/Advanced/Troubleshoot中，硬件加速（Hardware

acceleration）调到None。

如何打开显卡的硬件加速？

桌面右键→个性化→显示设置→高级设置→疑难解答→更该设置→硬件加速→完全。然后运行dxdiag，打开显示选项卡，会发现DirectX功能已经全部启用了。



设后台服务优先

在“系统属性”的“性能选项”中，“高级”页面，调整Processor Scheduling为后台服务优先（Background services）。



关闭不必要的服务和端口

检查您操作系统中所有的服务和端口，对于一些用不到的服务和端口，可将其停止或关闭。

如何打开索引功能？

计算机右键→管理→服务器管理器→角色摘要→添加角色→服务器角色→文件服务→角色服务→选择Windows 搜索服务。但是索引功能，会在系统空闲时运行，出现系统空闲时硬盘狂转的现象。另外可能会造成长时间的I/O操作的内容主要有：1磁盘碎片整理计划。2

Windows Defender计划。3 Windows Search 服务。4 Superfetch 服务。

1 Computer Browser（默认禁用）

有了网络和共享中心的网络发现，这个服务应该没什么用了。

2 Distributed Link Tracking Client

个人用户一般用不到，设置为手动。

3 Distributed Transaction Coordinator

个人用户一般用不到，也容易受到远程拒绝服务攻击，设置为手动。

4 Remote Registry

这个服务应该算是必停的服务之一，设置为禁用。

5 Secondary Logon

对于多用户，可以给某用户分配临时的管理员权限，一般不会用到，设置为手动。

6 TCP/IP NetBIOS Helper

如果你的网络不使用NetBIOS或是WINS，设置为手动。

7 Terminal Services

用于远程桌面控制，存在安全隐患，设置为手动。

8 Windows Defender

四大拖慢你机器的功能之一，当然前提是你不需要这个功能，设置为禁用。

9 Windows Error Reporting Service

生成错误报告，个人觉得意义不大，设置为手动。

[根据情况可以关闭的服务]

1 Netlogon（默认手动）

如果你不是处在域管理当中，设置为手动。

2 Server

如果你不会共享你的文件或打印机，设置为手动。

3 Smart Card（默认手动）

如果你不用U盾等智能卡，设置为禁用。

4 Tablet PC Input Service

如果你没有这样的设备，设置为手动。

5 Windows Update

如果你不用自动更新。设置为手动。

开始→运行→输入"msconfig"确定→

①启动→点击[全部禁用]→[确定]后，不要重新启动

②服务→勾上"隐藏所有Microsoft服务"的勾→点击[全部禁用]，[应用]→再去掉"隐藏所有Microsoft服务"的勾→将"windows time， wireless zero configuration， task scheduler，

Fast user switching compatibility，Netmeeting remote desktop sharing，terminal services,

automatic updates， remote registry,removable storage, Indexing service， messenger，

server, Computer browser，Print Spooler"服务前的勾去掉（请仔细查找，大小写忽略。电脑若在局域网内，用时将server,Computer browser手动打开，若有打印机，用时将Print

Spooler手动打开）[确定]后，重新启动。



尽量将数据库服务器与WebGIS服务器分开

多数情况下，针对数据库服务器和WebGIS服务器的优化是有冲突的，而且若这两者在同一台设备上，也会产生资源争用的情形，WebGIS服务器对内存的消耗也是非常大。另外，有一点值得注意，最好不要将这两类服务器分到两个子网中，即中间最好不要有路由器。



关于杀毒软件

一些杀毒软件在运行查毒时，非常消耗资源，服务器尽量不要安装杀毒软件，在一些优化措施已实施的情况下，比如关掉不必要的服务和端口，病毒一般也不会感染服务器。在Windows Server下若要安装杀毒软件，也尽量将查毒时间放在系统闲时；而在Solaris，AIX或Linux下，最好不要安装杀毒软件。

本文标签： 系统设置服务器选项端口