防火墙入站规则、出站规则关闭所有不需要的端口 限制同时只允许一个用户登录(原会话保持不变,原用户自动断开) Windows Server 2008 R2 [ 开始--管理工具--->远程桌面服务--->远程桌面会话主机配置 在“编辑设置”里面找到“限制每个用户只能进行一个会话”,选择 是 ] Windows Server 2016 [ gpedit.msc 计算机配置-->管理模板--->windows组件--->远程桌面服务 - 远程桌面会话主机 - 连接 设置: 将远程桌面服务用户限制到单独的远程桌面服务会话:已启用 限制连接的数量:已启用,允许的RD最大连接数:1 ] 修改远程登陆端口,按照路径打开,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp ,双击PortNamber,切换到十进制,默认是3389,将他修改为其他数字,比如8888,6666等等,确定。 修改端口2,按照路径,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp,修改PortNamber的值,方法同上。 关闭系统防火墙,添加上面所设置的端口到站规则、出站规则 启用防火墙 重启 “开始”/“运行”命令,在弹出的系统运行文本框中,输入“Secpol.msc”字符串命令,单击回车键后,打开对应系统的本地安全组策略控制台窗口; 安全设置 - 本地策略 - 安全选项”,在对应“安全选项”分支下面找到目标安全组策略“帐户:重命名系统管理员帐户” 重启 禁用Guest账户 网络--属性--除IPV4外,其他协议全部关闭。【可防止大部分登录类型为3的 登录,主要通过共享文件夹、共享打印机来破解登录】 禁止ntlmssp 登录,在禁用共享文件夹、共享打印机后,查看系统日志中仍然发现有登录类型为3的登录,发现它登录的进程为NtLmSsp,可在本地策略中禁用 Secpol.msc 安全设置 - 本地策略 - 安全选项 网络安全:LAN管理器身份验证级别=仅发送NTLMv2响应。拒绝LM和NTLM(&) 网络安全:限制NTLM:传入NTLM流量:拒绝所有账户(Win 2016要改为拒绝所有域账户) 安全设置 - 本地策略 - 用户权限分配 允许通过远程桌面登陆:去掉所有组,添加当前用户名 关闭系统:只有Administrators组、其它全部删除。 拒绝通过远程桌面服务登陆:加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger 从网络访问此计算机:去掉所有组,添加当前用户名 安全设置 - 本地策略 - 审核策略(酌情设置) 审核策略更改:成功 审核登陆事件:成功、失败 审核对象访问:成功 审核进程追踪:成功、失败 审核目录服务访问:成功、失败 审核系统事件:成功、失败 审核账户登陆事件:成功、失败 审核账户管理:成功,失败 设置结束后,执行下面命令生效: gpupdate /force 安装Windows Defneder (Windows Defneder包含在Desktop Experience中) 单击“开始”,指向“管理工具”,然后单击“服务器管理器”。 在“服务器管理器”中,单击“功能”,然后在“服务器管理器”细节窗格中的“功能摘要”下,单击“添加功能”。 此时会启动“添加功能向导”。 在“功能”列表中,选择“Desktop Experience”,然后单击“安装” 在控制面板中启用Windows Defneder 本地连接 - 属性,卸载 Microsoft网络客户端、Microsoft网络的文件和打印机共享 解除Netbios和TCP/IP协议的绑定139端口:本地连接 - 属性, 双击 Internet协议版本(TCP/IPV4), 点击“属性”,“高级”—“WINS”,选择“禁用TCP/IP上的NETBIOS” 禁止默认共享:打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”,在右边的窗口中新建Dword值,名称设为AutoShareServer,值设为“0” 关闭 445端口:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建 Dword(32位)名称设为 SMBDeviceEnabled值设为“0” 禁用不需要的和危险的服务,以下列出服务都需要禁用: 控制面板 - 管理工具 - 服务 Distributed link tracking client 用于局域网更新连接信息 PrintSpooler 打印服务 Remote Registry 远程修改注册表 Server 计算机通过网络的文件、打印、和命名管道共享 TCP/IP NetBIOS Helper 提供TCP/IP (NetBT)服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持 Workstation 泄漏系统用户名列表 与Terminal Services Configuration 关联 Computer Browser 维护网络计算机更新 默认已经禁用 NetLogon 域控制器通道管理 默认已经手动 Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) 默认已经手动 Microsoft Search 如果有,则禁用 在运行中输入gpedit.msc回车,打开组策略编辑器 选择计算机配置-Windows设置-安全设置-本地策略-安全选项 交互式登陆:不显示最后的用户名 启用 网络访问:不允许SAM帐户的匿名枚举 启用 已经启用 网络访问:不允许SAM帐户和共享的匿名枚举 启用 网络访问:不允许储存网络身份验证的凭据 启用 (注意:如果需要开机自动启动某些程序,请将上一选项设为禁止) 网络访问:可匿名访问的共享 内容全部删除 网络访问:可匿名访问的命名管道 内容全部删除 网络访问:可远程访问的注册表路径 内容全部删除 网络访问:可远程访问的注册表路径和子路径 内容全部删除 帐户:重命名来宾帐户 这里可以更改guest帐号 帐户:重命名系统管理员帐户 这里可以更改Administrator帐号 打开防火墙,入站出站规则,所的 播放到设备、AllJoyn、网络发现、文件和打印机共享 的规则全部禁用。 禁用DCOM ("冲击波"病毒 RPC/DCOM 漏洞) 运行Dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”→取消勾选“在这台计算机上启用分布式 COM”复选框。 控制面板 - windows 防火墙 - 更改通知设置:阻止新应用时通知我 2016 Tiworker.exe进程CPU占用率过高: 停止Windows Update(WUAUSERV)服务,注意要记得经常手动更新系统