Windows Server 2008 R2常规安全设置及基本安全策略比较重要的几部1.更改默认administrator用户名，复杂密码2.开启防火墙3.安装杀毒软件1)新做系统一定要先打上补丁2)安装必要的杀毒软件3)删除系统默认共享4)修改本地策略——>安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许SAM 帐户和共享的匿名枚举启用网络访问: 不允许存储网络身份验证的凭据或.NET Passports 启用网络访问：可远程访问的注册表路径和子路径全部删除5)禁用不必要的服务TCP/IP NetBIOS Helper、Server、Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation6)禁用IPV6server 2008 r2交互式登录: 不显示最后的用户名一、系统及程序1、屏幕保护与电源桌面右键--〉个性化--〉屏幕保护程序，屏幕保护程序选择无，更改电源设置选择高性能，选择关闭显示器的时间关闭显示器选从不保存修改2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite 环境。

在这里我给大家可以推荐下阿里云的服务器一键环境配置，全自动安装设置很不错的。

点击查看地址二、系统安全配置1、目录权限除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全)。

备注：方便多种版本Windows远程管理服务器。

windows server 2008的远程桌面连接，与2003相比，引入了网络级身份验证（NLA，network level authentication)，XP SP3不支持这种网络级的身份验证，vista 跟win7支持。

然而在XP系统中修改一下注册表，即可让XP SP3支持网络级身份验证。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中双击Security Pakeages，添加一项“tspkg”。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders，在右窗口中双击SecurityProviders，添加credssp.dll；请注意，在添加这项值时，一定要在原有的值后添加逗号后，别忘了要空一格（英文状态）。

然后将XP系统重启一下即可。

再查看一下，即可发现XP系统已经支持网络级身份验证3、修改远程访问服务端口更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208，重启生效！Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002010（1）在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp（3）找到右侧的"PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp（5）找到右侧的"PortNumber"，用十进制方式显示，默认为3389，改为同上的端口（6）在控制面板--Windows 防火墙--高级设置--入站规则--新建规则（7）选择端口--协议和端口--TCP/特定本地端口：同上的端口（8）下一步，选择允许连接（9）下一步，选择公用（10）下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。

[TCP 同上的端口]（11）删除远程桌面(TCP-In)规则（12）重新启动计算机4、配置本地连接网络--〉属性--〉管理网络连接--〉本地连接，打开“本地连接”界面，选择“属性”，左键点击“Microsoft网络客户端”，再点击“卸载”，在弹出的对话框中“是”确认卸载。

点击“Microsoft 网络的文件和打印机共享”，再点击“卸载”，在弹出的对话框中选择“是”确认卸载。

解除Netbios和TCP/IP协议的绑定139端口：打开“本地连接”界面，选择“属性”，在弹出的“属性”框中双击“Internet协议版本（TCP/IPV4）”，点击“属性”，再点击“高级”—“WINS”，选择“禁用TCP/IP上的NETBIOS”，点击“确认”并关闭本地连接属性。

禁止默认共享：点击“开始”—“运行”，输入“Regedit”，打开注册表编辑器，打开注册表项“HKEY_LOCAL_MACHIN E\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”，在右边的窗口中新建Dword值，名称设为AutoShareServer，值设为“0”。

关闭445端口：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建Dword （32位）名称设为SMBDeviceEnabled 值设为“0”5、共享和发现右键“网络” 属性网络和共享中心共享和发现关闭，网络共享，文件共享，公用文件共享，打印机共享，显示我正在共享的所有文件和文件夹，显示这台计算机上所有共享的网络文件夹6、用防火墙限制Ping网上自己查吧，ping还是经常需要用到的7、防火墙的设置控制面板→Windows防火墙设置→更改设置→例外，勾选FTP、HTTP、远程桌面服务核心网络HTTPS用不到可以不勾3306：Mysql1433：Mssql8、禁用不需要的和危险的服务，以下列出服务都需要禁用。

控制面板管理工具服务Distributed linktracking client 用于局域网更新连接信息PrintSpooler 打印服务Remote Registry 远程修改注册表Server 计算机通过网络的文件、打印、和命名管道共享TCP/IP NetBIOS Helper 提供TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持Workstation 泄漏系统用户名列表与Terminal Services Configuration 关联Computer Browser 维护网络计算机更新默认已经禁用Net Logon 域控制器通道管理默认已经手动Remote Procedure Call (RPC) Locator RpcNs*远程过程调用(RPC) 默认已经手动删除服务sc delete MySql9、安全设置-->本地策略-->安全选项在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-->Windows设置-->安全设置-->本地策略-->安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许SAM帐户的匿名枚举启用已经启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许储存网络身份验证的凭据启用网络访问：可匿名访问的共享内容全部删除网络访问：可匿名访问的命名管道内容全部删除网络访问：可远程访问的注册表路径内容全部删除网络访问：可远程访问的注册表路径和子路径内容全部删除帐户：重命名来宾帐户这里可以更改guest帐号帐户：重命名系统管理员帐户这里可以更改Administrator帐号10、安全设置-->账户策略-->账户锁定策略在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-->Windows设置-->安全设置-->账户策略-->账户锁定策略，将账户锁定阈值设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

11、本地安全设置选择计算机配置-->Windows设置-->安全设置-->本地策略-->用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger通过终端服务允许登陆：加入Administrators、Remote Desktop Users组，其他全部删除12、更改Administrator，guest账户，新建一无任何权限的假Administrator账户管理工具→计算机管理→系统工具→本地用户和组→用户新建一个Administrator帐户作为陷阱帐户，设置超长密码，并去掉所有用户组更改描述：管理计算机(域)的内置帐户13、密码策略选择计算机配置-->Windows设置-->安全设置-->密码策略启动密码必须符合复杂性要求最短密码长度14、禁用DCOM （"冲击波"病毒RPC/DCOM 漏洞）运行Dcomcnfg.exe。

控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式COM”复选框。

15、ASP漏洞主要是卸载WScript.Shell 和Shell.application 组件，是否删除看是否必要。

regsvr32/u C:\WINDOWS\System32\wshom.ocxregsvr32/u C:\WINDOWS\system32\shell32.dll删除可能权限不够del C:\WINDOWS\System32\wshom.ocxdel C:\WINDOWS\system32\shell32.dll如果确实要使用，或者也可以给它们改个名字。