【原创】Windows 2008 R2服务器的安全加固

【原创】Windows 2008 R2服务器的安全加固

最近托管了一台2U服务器到机房，安装的是Windows 2008系统，打算

用IIS做web server，因此需要把没用的端口、服务关闭，减小风险。

我发现现在网络上有价值的东西实在是太少了，很多人都是转载来转载

去，学而不思，没有一点营养。还是自己总结总结吧，大概有以下几

步：

1. 如何关掉IPv6？

这一点国内国外网站上基本上都有了共识，都是按照下面两步来进行。

据说执行之后就剩本地换回路由还没关闭。但关闭之后我发现某些端口

还是同时监听ipv4和ipv6的端口，尤其是135端口，已经把ipv4关闭了，

ipv6竟然还开着。匪夷所思啊……

先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6)

然后再修改注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Paramete 增加一个Dword项，名字：DisabledComponents，值：ffffffff（十六位

的8个f）

重启服务器即可关闭ipv6

2. 如何关闭135端口？

这个破端口是RPC服务的端口，以前出过很多问题，现在貌似没啥漏洞

了，不过还是心有余悸啊，想关的这样关：

开始->运行->dcomcnfg->组件服务->计算机->我的电脑->属性->默认属

性->关闭“在此计算机上启用分布式COM”->默认协议->移除“面向连接的

TCP/IP”

但是感觉做了以上的操作还能看到135在Listen状态，还可以试试这

样。

在cmd中执行：netsh rpc add 127.0.0.0，这样135端口只监听

127.0.0.1了。

3. 如何关闭445端口？

445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器

不需要对LAN开放什么共享，所以可以关闭。

修改注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Paramete 则更加一个Dword项：SMBDeviceEnabled，值：0

4. 关闭Netbios服务（关闭139端口）

网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS-

>禁用TCP/IP上的NetBIOS

5. 关闭LLMNR（关闭5355端口）

什么是LLMNR？本地链路多播名称解析，也叫多播DNS，用于解析本

地网段上的名称，没啥用但还占着5355端口。

使用组策略关闭，运行->gpedit.msc->计算机配置->管理模板->网络-

>DNS客户端->关闭多播名称解析->启用

还有一种方法，我没尝试，如果没有组策略管理的可以试试，修改注册

表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof\Windows

NT\DNSClient，新建一个Dword项，名字：EnableMulticast，值：0

6. 关闭Windows Remote Management服务（关闭47001端口）

Windows远程管理服务，用于配合IIS管理硬件，一般用不到，但开放

了47001端口很不爽，关闭方法很简单，禁用这个服务即可。

7. 关闭UDP 500，UDP 4500端口

这两个端口让我搜索了半天，虽然知道应该和VPN有关，但是不知道是

哪个服务在占用。最后终于找到了，其实是IKE and AuthIP IPsec

Keying Modules服务在作怪。如果你的服务器上不运行基于IKE认证的

VPN服务，就可以关闭了。（我用的是PPTP方式连接VPN，把ipsec和

ike都关闭了）

8. 删除文件和打印机共享

网络连接->本地连接->属性，把除了“Internet协议版本 4”以外的东西都

勾掉。

9. 关闭文件和打印机共享

直接停止“server”服务，并设置为禁用，重启后再右键点某个磁盘选属

性，“共享”这个页面就不存在了。