1) 設(shè)置復(fù)雜密碼

服務(wù)器設(shè)置大寫、小寫、特殊字符、數(shù)字組成的12-16位的復(fù)雜密碼 ，也可使用密碼生成器自動生成復(fù)雜密碼，這里給您一個(gè)鏈接參考：https://suijimimashengcheng.51240.com/

2) 更改 3389 遠(yuǎn)程登錄端口

• 先選擇開始–>運(yùn)行，輸入regedit，點(diǎn)擊確認(rèn)，打開注冊表，然后找到路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Teminal Server\WinStations\RDP-Tcp]，到PortNamber，然后右鍵–>修改，選擇到十進(jìn)制，你就會看到現(xiàn)在您使用的端口號（默認(rèn)值是3389），然后修改為您想要使用的端口就可以了，如3390，但是不要選擇一些我們常用的端口或者您的軟件需要使用的端口，否則會出現(xiàn)端口沖突。
• [HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],也是找到PortNumber，同上面一樣修改一下端口值3390就可以了

修改防火墻策略開放更改后的端口

注意：修改完畢后，重啟服務(wù)器，才會生效

3）帳戶鎖定策略

對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過10次后，鎖定該用戶使用的帳戶。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 帳戶鎖定策略 中，配置 帳戶鎖定閾值 不大于10次。

4）賬戶安全

Windows服務(wù)器一般默認(rèn)情況下會禁用guest賬戶，同時(shí)服務(wù)器只保留guest(禁用狀態(tài))和administrator(管理員)賬戶。

• 禁用Guest賬戶。
• 禁用或刪除其他無用賬戶（建議先禁用賬戶三個(gè)月，待確認(rèn)沒有問題后刪除。）

操作步驟

打開 控制面板 > 管理工具 > 計(jì)算機(jī)管理，在 系統(tǒng)工具 > 本地用戶和組 > 用戶 中，雙擊 Guest 帳戶，在屬性中選中 帳戶已禁用，單擊 確定。

5) 日志配置操作

日志配置

審核登錄

設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄。記錄內(nèi)容包括用戶登錄使用的帳戶、登錄是否成功、登錄時(shí)間、以及遠(yuǎn)程登錄時(shí)、及用戶使用的IP地址。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核登錄事件。

審核策略

啟用本地安全策略中對Windows系統(tǒng)的審核策略更改，成功和失敗操作都需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核策略更改。

審核對象訪問

啟用本地安全策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗操作都需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核對象訪問。

審核事件目錄服務(wù)訪問

啟用本地安全策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，僅需要審核失敗操作。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核目錄服務(wù)器訪問。

審核特權(quán)使用

啟用本地安全策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗操作都需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核特權(quán)使用。

審核系統(tǒng)事件

啟用本地安全策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗操作都需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核系統(tǒng)事件。

審核帳戶管理

啟用本地安全策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗操作都要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核帳戶管理。

審核過程追蹤

啟用本地安全策略中對Windows系統(tǒng)的審核進(jìn)程追蹤，僅失敗操作需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核進(jìn)程追蹤。

6）日志文件大小

設(shè)置應(yīng)用日志文件大小至少為8192 KB，可根據(jù)磁盤空間配置日志文件大小，記錄的日志越多越好。并設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要輪詢記錄日志。

操作步驟

打開控制面板>管理工具>事件查看器，配置應(yīng)用日志、系統(tǒng)日志、安全日志屬性中的日志大小，以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)的相應(yīng)策略。

8）關(guān)閉默認(rèn)共享

非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C，D。

操作步驟

打開注冊表編輯器，根據(jù)推薦值修改注冊表鍵值。

注意

Windows Server 2012版本已默認(rèn)關(guān)閉Windows硬盤默認(rèn)共享，且沒有該注冊表鍵值。

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer推薦值：0

9）禁用TCP/IP上的NetBIOS（關(guān)閉139端口）

禁用TCP/IP上的NetBIOS協(xié)議，可以關(guān)閉監(jiān)聽的UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及TCP 139（netbios-ssn）端口。

操作步驟

1. 在計(jì)算機(jī)管理>服務(wù)和應(yīng)用程序>服務(wù)中禁用TCP/IP NetBIOS Helper服務(wù)。

2. 在網(wǎng)絡(luò)連接屬性中，雙擊Internet協(xié)議版本4（TCP/IPv4），單擊高級。在WINS頁簽中，進(jìn)行如下設(shè)置：

   

10）禁用不必要的服務(wù)

Print Spooler（管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作）

Server（不使用文件共享可以關(guān)閉，關(guān)閉后再右鍵點(diǎn)某個(gè)磁盤選屬性，“共享”這個(gè)頁面就不存在了）

禁用不必要的服務(wù)，請參考：

11）關(guān)閉445端口

1、打開注冊表

按組合鍵 WIN+R 打開運(yùn)行窗口，然后輸入 regedit ，之后按回車鍵，即可打開注冊表。

2、打開NetBT項(xiàng)目

依次點(diǎn)擊注冊表選項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters“，如圖：

打開NetBT項(xiàng)目

3、新建“QWORD（64位）值”

在右邊空白處右擊新建“QWORD（64位）值”，然后重命名為“SMBDeviceEnabled”。如圖：

新建“QWORD（64位）值”（點(diǎn)擊圖片放大）

重命名為“SMBDeviceEnabled” ，值：0

注冊表修改完畢，關(guān)閉注冊表。

4、禁用Server服務(wù)

修改完注冊表后，還要去禁用Server服務(wù)。按 WIN+R 打開運(yùn)行窗口，輸入 services.msc ，按回車鍵，即可打開服務(wù)管理器。

找到 Server 名稱，右鍵點(diǎn)擊它，然后點(diǎn)擊“屬性”進(jìn)入屬性設(shè)置窗口。

在屬性窗口點(diǎn)擊“停止”按鈕，“啟動類型”選擇“禁用”，最后點(diǎn)擊“確定”按鈕。

禁用Server服務(wù)

5、重啟電腦

因?yàn)樾薷牧俗员?，所以需要重啟電腦才生效。重啟電腦后，445端口就關(guān)閉了。

6、檢測端口是否關(guān)閉成功

按 WIN+R，輸入 cmd ，按回車鍵，進(jìn)入 dos 窗口。

輸入命令：

netstat -ano -p tcp | find “445”

沒有任何記錄返回，則說明該端口關(guān)閉成功了

12）防火墻中設(shè)置允許遠(yuǎn)程連接RDP的ip

1.控制面板——windows防火墻——高級設(shè)置——入站規(guī)則——新建規(guī)則——端口——特定端口tcp（如13688）——允許連接

2.完成以上操作之后右擊該條規(guī)則屬性——作用域——本地ip地址——任何ip地址——遠(yuǎn)程ip地址——下列ip地址—— 添加管理者ip

同理其它端口可以通過此功能對特定網(wǎng)段屏蔽（如80端口）。

請注意：不是專線的網(wǎng)絡(luò)的IP地址經(jīng)常變，不適合限定IP。文章來源地址http://www.zghlxwxcb.cn/news/detail-460829.html

到了這里，關(guān)于針對windows操作系統(tǒng)vps的一些安全加固方法的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！