如何防止服务器被入侵？

你的(de)问题，有我回答，我是IT屠工！1、用(yòng)戶(hù)安(ān)全

(1) 運(yùn)行(xíng) lusrmgr.msc,重命名原(yuán) Administrator 用(yòng)戶(hù)爲(wèi)自(zì)定義(yì)一定長(zhǎng)度的(de)名字， 并新建(jiàn)同(tóng)名Administrator 普通用(yòng)戶(hù)，設(shè)置(zhì)超長(zhǎng)密(mì)码去除所有隶屬(shǔ)用(yòng)戶(hù)組(zǔ)。

(2) 運(yùn)行(xíng) gpedit.msc ——计算機(jī)配置(zhì)—安(ān)全設(shè)置(zhì)—賬(zhàng)戶(hù)策略(lüè)—密(mì)码策略(lüè) 启动密(mì)码复杂性要求，設(shè)置(zhì)密(mì)码最小(xiǎo)長(zhǎng)度、密(mì)码最長(zhǎng)使用(yòng)期限，定期脩(xiū)改密(mì)码保证 服務(wù)器賬(zhàng)戶(hù)的(de)密(mì)码安(ān)全。

(3) 運(yùn)行(xíng) gpedit.msc ——计算機(jī)配置(zhì)—安(ān)全設(shè)置(zhì)—賬(zhàng)戶(hù)策略(lüè)—賬(zhàng)戶(hù)鎖(suǒ)定策略(lüè) 启动賬(zhàng)戶(hù)鎖(suǒ)定，設(shè)置(zhì)单用(yòng)戶(hù)多次登(dēng)录错誤(wù)鎖(suǒ)定策略(lüè)，具体設(shè)置(zhì)参照要求設(shè)置(zhì)。

(4) 運(yùn)行(xíng) gpedit.msc ——计算機(jī)配置(zhì)—安(ān)全設(shè)置(zhì)—本地策略(lüè)—安(ān)全選(xuǎn)項(xiàng) 交互式(shì)登(dēng)录 :不显示(shì)上次的(de)用(yòng)戶(hù)名；——启动 交互式(shì)登(dēng)录：回话鎖(suǒ)定时显示(shì)用(yòng)戶(hù)信息；——不显示(shì)用(yòng)戶(hù)信息

(5) 運(yùn)行(xíng) gpedit.msc ——计算機(jī)配置(zhì)—安(ān)全設(shè)置(zhì)—本地策略(lüè)—安(ān)全選(xuǎn)項(xiàng)

网絡(luò)访问：可匿名访问的(de)共享；——清(qīng)空

网絡(luò)访问：可匿名访问的(de)命名管道；——清(qīng)空

网絡(luò)访问：可遠(yuǎn)程(chéng)访问的(de)注(zhù)册表路径；——清(qīng)空

网絡(luò)访问：可遠(yuǎn)程(chéng)访问的(de)注(zhù)册表路径和子路径；——清(qīng)空

(6) 運(yùn)行(xíng) gpedit.msc

——计算機(jī)配置(zhì)—安(ān)全設(shè)置(zhì)—本地策略(lüè) 通过终耑(duān)服務(wù)拒绝登(dēng)陆——加入一下用(yòng)戶(hù)

ASPNET

Guest IUSR_***** IWAM_*****

NETWORK SERVICE

SQLDebugger

注(zhù)：用(yòng)戶(hù)添加查找如下图：

(7) 運(yùn)行(xíng) gpedit.msc ——计算機(jī)配置(zhì)—安(ān)全設(shè)置(zhì)—本地策略(lüè)—策略(lüè)审核 即系统日志记录的(de)审核消息，方便我们检查服務(wù)器的(de)賬(zhàng)戶(hù)安(ān)全，推荐設(shè)置(zhì)如下：

2、共享安(ān)全

(1) 運(yùn)行(xíng) Regedit——删除系统默认的(de)共享 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameter

s]增加一个键：名称 : AutoShareServer ; 类型 : REG_DWORD值; : 0

(2) 運(yùn)行(xíng) Regedit——禁止 IPC 空连接 [Local_Machine/System/CurrentControlSet/Control/LSA] 把 RestrictAnonymous 的(de)键值改成 ”1”。

3. 服務(wù)耑(duān)口安(ān)全

(1) 運(yùn)行(xíng) Regedit——脩(xiū)改 3389 遠(yuǎn)程(chéng)耑(duān)口

打开 [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal

Server\Wds\rdpwd\Tds\tcp]，将 PortNamber 的(de)键值（默认是3389 ）脩(xiū)改成自(zì)定義(yì)耑(duān) 口:14720

打开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp] ，将 PortNumber 的(de)键值（默认是3389）脩(xiū)改成自(zì)定義(yì) 耑(duān)口 :14720

(2) 運(yùn)行(xíng) services.msc——禁用(yòng)不需要的(de)和危险的(de)服務(wù) 以下列出建(jiàn)议禁止的(de)服務(wù)，具体情况根据需求分析执行(xíng)：

Alerter 发送管理(lǐ)警報(bào)和通知

Automatic Updates Windows 自(zì)动更新服務(wù)

Computer Browser 维护网絡(luò)计算機(jī)更新（网上邻居列表）

Distributed File System 局域网管理(lǐ)共享文件(jiàn)

Distributed linktracking client 用(yòng)于局域网更新连接信息

Error reporting service 发送错誤(wù)報(bào)告

Remote Procedure Call (RPC) Locator RpcNs*遠(yuǎn)程(chéng)过程(chéng)调用(yòng)(RPC)

Remote Registry 遠(yuǎn)程(chéng)脩(xiū)改注(zhù)册表

Removable storage 管理(lǐ)可移动媒体、驱动程(chéng)序和库

Remote Desktop Help Session Manager 遠(yuǎn)程(chéng)协助

Routing and Remote Access 在局域网以及广域网环境中爲(wèi)企业提供路由服務(wù)

Shell Hardware Detection 爲(wèi)自(zì)动播放硬件(jiàn)事(shì)件(jiàn)提供通知。

Messenger 消息文件(jiàn)传输服務(wù)

Net Logon 域控制器通道管理(lǐ)

NTLMSecuritysupportprovide telnet 服務(wù)和 Microsoft Serch 用(yòng)的(de)

PrintSpooler 打印服務(wù)

telnet telnet 服務(wù)

Workstation 泄漏系统用(yòng)戶(hù)名列表（注(zhù)：如使用(yòng)局域网请勿关闭）

(3) 運(yùn)行(xíng) gpedit.msc —— IPSec安(ān)全加密(mì)耑(duān)口，内部使用(yòng)加密(mì)访问。

原(yuán)理(lǐ)：利用(yòng)組(zǔ)策略(lüè)中的(de)“ IP 安(ān)全策略(lüè)”功能中，安(ān)全服務(wù)器（需要安(ān)全）功能。

将 所有访问遠(yuǎn)程(chéng)如13013 耑(duān)口的(de)请求筛選(xuǎn)到(dào)该ip安(ān)全策略(lüè)中来， 使得该请求需要通过 双方的(de)預(yù)共享密(mì)钥进行(xíng)身份认证後(hòu)才能进行(xíng)连接，其中如果一方没有启用(yòng)“需要安(ān)全”时，则无法进行(xíng)连接，同(tóng)时如果客戶(hù)耑(duān)的(de)預(yù)共享密(mì)钥错誤(wù)则无法与服務(wù)器进行(xíng) 连接。在此条件(jiàn)下，不影响其他服務(wù)的(de)正常運(yùn)行(xíng)。

操作步骤：

1) 打开 GPEDIT.MSC

，在计算機(jī)策略(lüè)中有“ IP 安(ān)全策略(lüè)” ,選(xuǎn)择“安(ān)全服務(wù)器（需要 安(ān)全）”項(xiàng)目屬(shǔ)性，然(rán)後(hòu)在IP 安(ān)全规则中選(xuǎn)择“所有IP 通信”打开編(biān)辑，在“編(biān) 辑规则屬(shǔ)性”中，双击“所有IP通信”，在 IP 筛選(xuǎn)器中，添加或編(biān)辑一个筛選(xuǎn)

2) 退回到(dào) “編(biān)辑规则屬(shǔ)性” 中，在此再選(xuǎn)择“身份验证方法” 。删除“ Kerberos 5”,

点击添加，在“新身份验证方法”中，選(xuǎn)择“使用(yòng)此字符串(chuàn)（預(yù)共享密(mì)钥） ，然(rán)後(hòu)填写服務(wù)器所填的(de)預(yù)共享密(mì)钥 （服務(wù)器的(de)預(yù)共享密(mì)钥爲(wèi) ”123abc,.”）。然(rán)後(hòu)确 定。

3) 選(xuǎn)择“安(ān)全服務(wù)器（需要安(ān)全）”右键指派即可。 附截(jié)图：

以上是我的(de)回答，希望可以帮助到(dào)您！