Windows server 2008 R2 服务器系统安全防御加固方法说明

Windows server 2008 R2 服务器系统安全防御加固方法说明如下：

一.更改终端默认端口号
步骤：
1.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如12345
3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，将PortNumber的值（默认是3389）修改成端口12345（自定义）。
4.防火墙中设置ipsec 编辑规则修改完毕，重新启动电脑，以后远程登录的时候使用端口12345就可以了。

二.NTFS权限设置
注意：
1、2008R2默认的文件夹和文件所有者为TrustedInstaller，这个用户同时拥有所有控制权限。
2、注册表同的项也是这样，所有者为TrustedInstaller。
3、如果要修改文件权限时应该先设置 管理员组 administrators 为所有者，再设置其它权限。
4、如果要删除或改名注册表，同样也需先设置 管理员组 为所有者，同时还要应该到子项，直接删除当前项 还是删除不掉时可以先删除子项后再删除此项
步骤：
1.C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置（web目录权限依具体情况而定）
2.这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。
Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行（如果你使用IIS的话，要引用windows下的dll文件）。
3.c:/user/ 只给administrators 和system权限

三.删除默认共享
步骤：
1.打开dos，net share 查看默认共享
2.新建文本文档输入命令
net share c$ /del net share d$ /del //如有E盘可再添加 默认共享名均为c<span id="MathJax-Element-1-Frame" class="MathJax" data-mathml="、d      、d">、d、d、d等net share IPC$ /del net share admin$ /del 另存为sharedelte.bat
3.运行gpedit.msc，展开windous设置—脚本（启动\关机）—启动）—右键属性—添加sharedelte.bat同理可编辑其它规则四.ipsec策略
以远程终端为例1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp（如3389）——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽（如80端口）

• 如何关掉IPv6？