可通过什么方法对windows *** 作系统进行加固

一）安装对策
在进行系统安装时，采取以下对策：
1、在完全安装、配置好 *** 作系统，给系统全部安装系统补丁之前，一定不要把机器接入网络。
2、在安装 *** 作系统时，建议至少分三个磁盘分区。第一个分区用来安装 *** 作系统，第二分区存放IIS、FTP和各种应用程序，第三个分区存放重要的数据和日志文件。
3、采用NTFS文件格式安装 *** 作系统，可以保证文件的安全，控制用户对文件的访问权限。
4、在安装系统组件时，不要采用缺省安装，删除系统缺省选中的IIS、DHCP、DNS等服务。
5、在安装完 *** 作系统后，应先安装在其上面的应用系统，后安装系统补丁。安装系统补丁一定要全面。
6、做系统的ghost以备还原。
（二）运行对策
在系统运行时，采取以下对策：
1、关闭系统默认共享
修改系统注册表，禁止默认共享功能。在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=dword:00000000。
2、删除多余的不需要的网络协议，只保留TCP/IP网络通讯协议。
3、关闭不必要的有安全隐患的服务
用户可以根据实际情况，关闭如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP　Services 、Terminal Services 等有安全隐患的系统服务。　
4、启用安全策略（Gpeditmsc 打开系统策略编辑器）
（1）帐号锁定策略。设置帐号锁定阀值，3次无效登录后，即锁定帐号。
（2）密码策略。
一是密码必须符合复杂性要求，即密码中必须包括字母、数字以及特殊字符。
二是服务器密码长度最少设置为8位字符以上。
（3）审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。建议至少审核登录事件、帐户登录事件、帐户管理三个事件。
（4）“用户权利指派”。在“用户权利指派”中，将“从远端系统强制关机”权限设置为禁止任何人有此权限，防止黑客从远程关闭系统。
（5）“安全选项”。在“安全选项”中，将“对匿名连接的额外限制”权限改为“不允许枚举SAM帐号和共享”。也可以通过修改注册表中的值来禁止建立空连接，[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。可以有效地防止利用IPC$空连接枚举SAM帐号和共享资源，造成系统信息的泄露。
5、加强对Administrator帐号和Guest帐号的管理监控
将Administrator帐号重新命名，创建一个陷阱账号，名为“Administrator”，口令为10位以上的复杂口令，其权限设置成最低，即：将其设为不隶属于任何一个组，并通过安全审核，借此发现攻击者的入侵企图。设置2个管理员用账号，一个具有一般权限，用来处理一些日常事物；另一个具有Administrators 权限，只在需要的时候使用。修改Guest用户口令为复杂口令，并禁用GUEST用户帐号。
6、 关闭文件和打印共享
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork] "NoFileSharingControl"=0000001

最后希望别再被攻击了~~~~

用户安全设置中绑定MFA，增加部分 *** 作的二次认证。绑定过程需要微信添加虚拟MFA， *** 作还是比较简单的，可以自行参阅指导文档。

选中自己的服务器，点击更多，重装系统后，提示以上页面。

在服务市场选中需要安装的镜像，我这里选的是<u> 腾讯云安全加固镜像-centos7 </u>

可以先选中密码或者直接密钥登陆，如果使用密码建议使用随机16位密码进行配置。

最后开始重装，系统一会就重装好了。

这里介绍VNC登陆方式，主要是避免一部分无法使用ssh登陆服务器的，如果可以直接ssh登陆服务器的可以不用vnc登陆

点击VNC方式登陆，提示登陆用户名和密码，输入即可登陆服务器。

需要从控制台加载sshkey的话，需要关闭服务器。

加载完成后，服务器开机，尝试使用ssh登陆服务器

不想增加小号也可以修改为不允许密码登陆root

将sysrls用户加入sudo列表中，方便从sysrls用户切换用户等 *** 作。

同时增加安全组配置（如果服务器firewalld或者iptables服务开着，还需要在服务器中配置端口放行）

禁用用户登陆的方法

或者可以使用 passwd -l 用户来禁用用户

在系统加固安全防护上我还是个弟弟，所以只能稍微尽点人事，降低被木马的概率。

服务器系统全部安全加固。
全加固服务器是服务器系统全部安全加固，是可以防止木马病毒入侵，防止核心数据被破坏、被偷窥、被篡改、被窃取的，保证了系统的安全性。

个人站长的win2003服务器配置与安全- Discuz实例，适合菜鸟教程!现在用vps的站长越来越多了，用vps就需要装系统，一般vps系统用的比较多的有linux与windouws。目前使用win系统做服务器的大型网站还是有蛮多的。例如易名中国，西部数码，爱名。他们的安全都做得很好。 作者是从去年开始用vps，开始是使用win2003-iis，各种的被挂黑链，还被站群盯上了，竟然黑了我的vps做站群!!!还被改了首页，十几个站 全部被k。万不得与，备份数据，装linux，但是在使用过程中，linux还是有很多不便，特别是备份数据这块。(win系统用百度云盘备份，很方 便。)。现在又改用win了，呵呵。与大家一起讨论学习win服务器安全(适合技术小白的)。有疑问或建议可以加我QQ交流：344-298-296 。 1/act=caoheicom 希望转载的时候保留链接，谢谢!

服务器安全加固系统即SSR，例如中超伟业SSR服务器安全加固系统，采用内核加固技术，在 *** 作系统核心层设置一个自主可控的安全壳，拦截威胁对资源的访问行为，按照智能的白名单控制访问策略，确保系统中人员、应用程序可信，权限可控，全面保护加固 *** 作系统。

加固服务器和服务器的安全性不同，性能不同。
1、安全性不同：加固服务器是通过对硬件、软件和网络安全方面进行加固措施，提高服务器的安全性和稳定性，保护服务器免受各种威胁的影响，从而防止数据泄露、黑客攻击等安全问题。而普通服务器没有经过专门的加固和安全措施，安全性相对较低，容易受到各种网络攻击的威胁。
2、性能不同：加固服务器在硬件、软件等方面都配备了更加强大的设备和应用程序，以提供更高效、稳定的性能，支持更大规模的业务需求。而普通服务器通常只提供基本的计算和存储功能，适合小型业务环境下的应用。

关于IIS服务器的安全主要包括六步：
1、使用安全配置向导（Security Configuration Wizard）来决定web服务器所需的最小功能，然后禁止其他不需要的功能。具体地说，它能帮你
1》禁止不需要的服务
2》堵住不用的端口
3》至于打开的端口，对可以访问的地址和其他安全做进一步的限制
4》如果可行，禁止不需要的IIS的web扩展
5》减小对SMB，LAN Manager，和LDAP协议的显露
6》定义一个高信噪比的对策
2、把网站文件放在一个非系统分区（partition）上，防止directory traversal的缺陷，对内容进行NTFS权限稽查（Audit）。
3、对自己的系统定期做安全扫描和稽查，在别人发现问题前尽早先发现自己的薄弱处。
4、定期做日志分析，寻找多次失败的登陆尝试，反复出现的404，401，403错误，不是针对你的网站的请求记录等。
5、如果使用IIS 6的话，使用Host Headers ，URL扫描，实现自动网站内容和IIS Metabase的Replication，对IUSR_servername帐号户使用标准的名称等。
6、总的web架构的设计思路：别把你的外网web服务器放在内网的活动目录（Active Directory）里，别用活动目录帐号运行IIS匿名认证，考虑实时监测，认真设置应用池设置，争取对任何活动做日志记录，禁止在服务器上使用Internet Explorer等。

1、明确加固目标
明确加固和优化后的系统所要达到的安全级别。
2、明确系统运行状况
系统运行的用途，系统正常运行所需要的服务，从网络扫描和人工评估中收集系统运行状况。
3、明确加固风险
风险包括停机、应用不能正常使用、系统被破坏无法使用。
4、系统备份
备份包括文件系统、关键数据、配置信息、口令、用户权限等内容。

---