2024年4月28日发(作者:)

一、

原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁

修改3389

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal

ServerWdsRepwdTdsTcp, 看到那个PortNumber没有?0xd3d,这个是16进制,就是

3389啦,我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建

的RDP服务的,要改已经建立的RDP服务,我们去下一个键值:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStatio

ns这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一

样改掉PortNumber。

修改系统日志保存地址

默认位置为

应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%system32config,

默认文件大小512KB,管理员都会改变这个默认大小。

安全日志文件:%systemroot%

系统日志文件:%systemroot%

应用程序日志文件:%systemroot%

Internet信息服务FTP日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认

每天一个日志

Internet信息服务WWW日志默认位置:%systemroot%system32logfilesw3svc1,默认

每天一个日志

Scheduler(任务计划)服务日志默认位置:%systemroot%

应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog

Schedluler(任务计划)服务日志在注册表中

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

SQL

删掉或改名

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparamet

ers]

"AutoShareServer"=dword:00000000

"AutoShareWks"=dword:00000000

// AutoShareWks 对pro版本

// AutoShareServer 对server版本

// 0 禁止管理共享admin$,c$,d$之类默认共享

[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]

"restrictanonymous"=dword:00000001

//0x1 匿名用户无法列举本机用户列表

//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动)

本地安全策略

封TCP端口:21(FTP,换FTP端

口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389

可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)

封UDP端口:1434(这个就不用说了吧)

封所有ICMP,即封PING

以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的

审核策略为

审核策略更改:成功,失败

审核登录事件:成功,失败

审核对象访问:失败

审核对象追踪:成功,失败

审核目录服务访问:失败

审核特权使用:失败

审核系统事件:成功,失败

审核账户登录事件:成功,失败