现在很多企业网站或个人网站都是选择搭建在云服务器上，虽说这些网站的安全性比起搭建在传统服务器上的网站来说是更加安全的，但平时的维护也需要我们站长多加小心，以免被恶意挂马，导致网站被惩罚。

最近，换了新的云服务器，选购的是Windows Server 2008 R2的系统，很多安全设置就要重新做了，对于一些基本设置及基本安全策略，在网上搜了一下，整理大概有以下这些要点，如果有不足的设置，希望大家帮忙提出哈！

首先，先说几个比较重要的部分：

1、更改默认administrator用户名，复杂密码

2、开启防火墙

3、安装杀毒软件

细节部分包含：

1、新做系统一定要先打上补丁

2、安装必要的杀毒软件

3、删除系统默认共享

4、修改本地策略——>安全

选项

交互式登陆：不显示最后的用户名 启用

网络访问：不允许SAM 帐户和共享的匿名枚举 启用

网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用

网络访问：可远程访问的注册表路径和子路径 全部删除

5、禁用不必要的服务

TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation

6、禁用IPV6

server 2008 r2交互式登录: 不显示最后的用户名

其实最重要的就是开启防火墙+服务器安全狗（安全狗自带的一些功能基本上都设置的差不多了）+mysql(sqlserver)低权限运行基本上就差不多了。3389远程登录，一定要限制ip登录。

一、系统及程序

1、屏幕保护与电源

桌面右键--〉个性化--〉屏幕保护程序，屏幕保护程序 选择无，更改电源设置 选择高性能，选择关闭显示器的时间 关闭显示器选“从不”保存修改。

2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite环境。在这里我给大家可以推荐下阿里云的服务器一键环境配置，全自动安装设置很不错的（具体可查看马海祥博客《云主机iis_php_mysql一键安装包》的相关介绍）。

二、安全配置

接下来，我们重点讲一下系统上的安全配置，旨在指导系统管理人员或安全检查人员进行Windows操作系统的安全合规性检查和配置，需要的朋友可以参考下：

1、目录权限

除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限。

2、远程连接

我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全)。备注：方便多种版本Windows远程管理服务器。windows server 2008的远程桌面连接，与2003相比，引入了网络级身份验证（NLA，network level authentication)，XP SP3不支持这种网络级的身份验证，vista跟win7支持。然而在XP系统中修改一下注册表，即可让XP SP3支持网络级身份验证。HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\Lsa在右窗口中双击Security Pakeages，添加一项“tspkg”。HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\SecurityProviders，在右窗口中双击SecurityProviders，添加credssp.dll；请注意，在添加这项值时，一定要在原有的值后添加逗号后，别忘了要空一格（英文状态）。然后将XP系统重启一下即可。再查看一下，即可发现XP系统已经支持网络级身份验证。

3、修改远程访问服务端口

更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。更改3389端口为8208，重启生效！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\Terminal Server\\\\Wds\\\\rdpwd\\\\Tds\\\\tcp]

"PortNumber"=dword:0002010

[HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\Terminal Server\\\\WinStations\\\\RDP-Tcp]

"PortNumber"=dword:00002010

（1）、在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方

（2）、HKEY_LOCAL_MACHINE\\\\System\\\\CurrentControlSet\\\\Control\\\\Terminal Server\\\\WinStations\\\\RDP-Tcp

（3）、找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口

（4）、HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\Terminal Server\\\\Wds\\\\rdpwd\\\\Tds\\\\tcp

（5）、找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为同上的端口

（6）、在控制面板--Windows 防火墙--高级设置--入站规则--新建规则

（7）、选择端口--协议和端口--TCP/特定本地端口：同上的端口

（8）、下一步，选择允许连接

（9）、下一步，选择公用

（10）、下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。[TCP 同上的端口]

（11）、删除远程桌面(TCP-In)规则

（12）、重新启动计算机

4、配置本地连接

网络--〉属性--〉管理网络连接--〉本地连接，打开“本地连接”界面，选择“属性”，左键点击“Microsoft网络客户端”，再点击“卸载”，在弹出的对话框中“是”确认卸载。点击“Microsoft网络的文件和打印机共享”，再点击“卸载”，在弹出的对话框中选择“是”确认卸载。

解除Netbios和TCP/IP协议的绑定139端口：打开“本地连接”界面，选择“属性”，在弹出的“属性”框中双击“Internet协议版本（TCP/IPV4）”，点击“属性”，再点击“高级”—“WINS”，选择“禁用TCP/IP上的NETBIOS”，点击“确认”并关闭本地连接属性。

禁止默认共享：点击“开始”—“运行”，输入“Regedit”，打开注册表编辑器，打开注册表项“HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Services\\\\lanmanserver\\\\parameters”，在右边的窗口中新建Dword值，名称设为AutoShareServer，值设为“0”。

关闭 445端口：HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Services\\\\NetBT\\\\Parameters，新建 Dword（32位）名称设为SMBDeviceEnabled 值设为“0”

5、共享和发现

右键“网络” 属性 网络和共享中心  共享和发现。

关闭，网络共享，文件共享，公用文件共享，打印机共享，显示我正在共享的所有文件和文件夹，显示这台计算机上所有共享的网络文件夹。

6、防火墙的设置

控制面板→Windows防火墙设置→更改设置→例外，勾选FTP、HTTP、远程桌面服务 核心网络。

HTTPS用不到可以不勾

3306：Mysql

1433：Mssql

更多服务器安全设置的内容，可以关注蓝队云技术支持库，云服务器相关技术操作全在这里了。