一:修改默认的3389端口给改为任意的数字。
1.开始---运行---输入regedit.exe
2.查找:
HKEY_LOCAL_MACHINE---SYSTEM---CurrentControlSet---Control---Terminal Server--WinStations---RDP-Tcp
3.我们找到rdp-tcp后就会在注册表的右边查找PortNumber(在PortNumber后面有3389的一串数字!)
然后在点PortNumber(右键)这个时候会出来一个提示框----点修改----点10进制----修改3389为
你想要的数字比如9999什么的----再点16进制(系统会自动转换)----最后确定!这样就ok了。
这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还是修改不了的!
重其起后下次就可以用新端口进入了! (注意:修改了以后登陆的格式改为 假如IP为:192.168.1.20:9999)
4.我个人的意见推荐大家最好使用其它的远程控制软件,比如大家常说的灰鸽子,影子,Symantec pcAnywhere ,
这里提醒大家灰鸽子一般需要定做,避免被你的服务器杀毒软件所查杀。
5.一般服务器都会用到FTP,我推荐使用 SERVE-U 非常的简单。
二:关闭不需要的服务。
  Messenger (信差)
微软: 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。
如果停止这个服务,Alerter 讯息将不会被传输。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 允许网络之间互相传送提示讯息的功能,如 net send 功能,如不想被骚扰话可关了
依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
建议: 已停用
  Remote Registry (远程登录服务)
微软: 启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止,登录只能由这个计算机上的使用者修改。
如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 基于安全性的理由,如果没有特别的需求,建议最好关了它,除非你需要远程协助修改你的登录设定
依存: Remote Procedure Call (RPC)
建议: 已停用   (注意:这个服务根据个人的情况而定,如果服务器本地操作比较方便我建议可以关闭,如果本地操作不方便不建议关闭。)
  Server (服务器)
微软: 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务,将无法使用这些功能。
如果停用这个服务,所有依存于它的服务将无法启动。
补充: 简单的说就是档案和打印的分享,除非你有和其它计算机分享,不然就关了
依存: Computer Browser
建议: 已停用
还有这些服务可以尝试关闭
Computer Browser
Help and Support
Print Spooler
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation
还有一些服务的关闭网上有很多的帖子大家可以对照,根据实际情况而定。
三:用户配置。
1.将administrator改名,例子中改为root
  取消所有除管理员root外所有用户属性中的 远程控制->启用远程控制
  以及终端服务配置文件->允许登陆到终端服务器
2.将guest改名为administrator并且修改密码
3.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等
(根据实际情况而定,论坛型的服务器需要开启SQL)
4.目录权限
  将所有盘符的权限,全部改为只有
  administrators组 全部权限
  system 全部权限
  将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
  然后做如下修改
  C:Program FilesCommon Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
  C:WINDOWS 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
  C:WINDOWSTemp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
  现在WebShell就无法在系统目录内写入文件了.
  当然也可以使用更严格的权限.
  在WINDOWS下分别目录设置权限.
  可是比较复杂.效果也并不明显.
5.利用已有用户或添加用户
  入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
  对应措施:设置ACL权限.修改用户
  将除管理员外所有用户的终端访问权限去掉.
  限制CMD.EXE的访问权限.
  限制SQL SERVER内的XP_CMDSHELL
四:添加TCP/IP筛选。
1.一般服务器常用的端口有21,80,3389(或改为其它的参数) 还有一些端口根据服务器的需求开放的。
  比如服务器需要开放端口3352,我的个人意见TCP可以这样添加,21,80,3352,3353,3354,3356,3357,3389,
  (其中增加的3353-3357端口是没用的,用来迷惑别人的。)
2.UDP跟IP建议不做改动。
五:其它综合
  1.如果服务器不需要FSO
  regsvr32 /u c:windowssystem32scrrun.dll 注销组件
  使用regedit将/HKEY_CLASSES_ROOT下的WScript.Network
                          WScript.Network.1
                          WScript.Shell
                          WScript.Shell.1
                          Shell.Application
                          Shell.Application.1
                          键值改名或删除
                          将这些键值下CLSID中包含的字串
                          如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
                          到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值全部删除

  2.修改CMD.EXE以及NET.EXE权限
  将两个文件的权限.修改到特定管
理员才能访问,比如本
例中.我们如下修改
  cmd.exe   root用户   所有权限
  net.exe   root用户   所有权现
  这样就能防止非法访问.
  还可以使用例子中提供的comlog程序
  将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令
3.备份
  使用ntbackup软件.备份系统状态.
  使用reg.exe 备份系统关键数据
  如reg export HKLMSOFTWAREODBC e:backupsystemodbc.reg /y 来备份系统的ODBC
  
4.审计
  本地安全策略->本地策略->审核策略
  打开以下内容
  审核策略更改     成功,失败
  审核登陆事件     成功,失败
  审核对象访问     失败
  审核跟踪过程     无审核
  审核目录服务访问 失败
  审核特权使用     失败
  审核系统事件     成功,失败
  审核帐户登陆事件 成功,失败
  审核帐户管理     成功,失败