你的問題，有我回答，我是IT屠工！

1、用戶安全

(1) 運行 lusrmgr.msc,重命名原 Administrator 用戶為自定義一定長度的名字， 并新建同名Administrator 普通用戶，設置超長密碼去除所有隸屬用戶組。

(2) 運行 gpedit.msc ——計算機配置—安全設置—賬戶策略—密碼策略 啟動密碼復雜性要求，設置密碼最小長度、密碼最長使用期限，定期修改密碼保證 服務器賬戶的密碼安全。

(3) 運行 gpedit.msc ——計算機配置—安全設置—賬戶策略—賬戶鎖定策略 啟動賬戶鎖定，設置單用戶多次登錄錯誤鎖定策略，具體設置參照要求設置。

(4) 運行 gpedit.msc ——計算機配置—安全設置—本地策略—安全選項 交互式登錄 :不顯示上次的用戶名；——啟動 交互式登錄：回話鎖定時顯示用戶信息；——不顯示用戶信息

(5) 運行 gpedit.msc ——計算機配置—安全設置—本地策略—安全選項

網絡訪問：可匿名訪問的共享；——清空

網絡訪問：可匿名訪問的命名管道；——清空

網絡訪問：可遠程訪問的注冊表路徑；——清空

網絡訪問：可遠程訪問的注冊表路徑和子路徑；——清空

(6) 運行

gpedit.msc

ASPNET

Guest IUSR_***** IWAM_*****

NETWORK SERVICE

SQLDebugger

注：用戶添加查找如下圖：

(7) 運行 gpedit.msc ——計算機配置—安全設置—本地策略—策略審核 即系統日志記錄的審核消息，方便我們檢查服務器的賬戶安全，推薦設置如下：

2、共享安全

(1) 運行 Regedit——刪除系統默認的共享 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter

s]增加一個鍵：名稱 : AutoShareServer ; 類型 : REG_DWORD值; : 0

(2) 運行 Regedit——禁止 IPC 空連接 [Local_Machine/System/CurrentControlSet/Control/LSA] 把 RestrictAnonymous 的鍵值改成 ”1”。

3. 服務端口安全

(1) 運行 Regedit——修改 3389 遠程端口

打開 [HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal

ServerWds dpwdTds cp]，將 PortNamber 的鍵值（默認是3389 ）修改成自定義端 口:14720

打開 [HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp] ，將 PortNumber 的鍵值（默認是3389）修改成自定義 端口 :14720

(2) 運行 services.msc——禁用不需要的和危險的服務 以下列出建議禁止的服務，具體情況根據需求分析執行：

Alerter 發送管理警報和通知

Automatic Updates Windows 自動更新服務

Computer Browser 維護網絡計算機更新（網上鄰居列表）

Distributed File System 局域網管理共享文件

Distributed linktracking client 用于局域網更新連接信息

Error reporting service 發送錯誤報告

Remote Procedure Call (RPC) Locator RpcNs*遠程過程調用(RPC)

Remote Registry 遠程修改注冊表

Removable storage 管理可移動媒體、驅動程序和庫

Remote Desktop Help Session Manager 遠程協助

Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務

Shell Hardware Detection 為自動播放硬件事件提供通知。

Messenger 消息文件傳輸服務

Net Logon 域控制器通道管理

NTLMSecuritysupportprovide telnet 服務和 Microsoft Serch 用的

PrintSpooler 打印服務

telnet telnet 服務

Workstation 泄漏系統用戶名列表（注：如使用局域網請勿關閉）

(3) 運行 gpedit.msc —— IPSec安全加密端口，內部使用加密訪問。

原理：利用組策略中的“ IP 安全策略”功能中，安全服務器（需要安全）功能。

將 所有訪問遠程如13013 端口的請求篩選到該ip安全策略中來， 使得該請求需要通過 雙方的預共享密鑰進行身份認證后才能進行連接，其中如果一方沒有啟用“需要安全”時，則無法進行連接，同時如果客戶端的預共享密鑰錯誤則無法與服務器進行 連接。在此條件下，不影響其他服務的正常運行。

操作步驟：

1) 打開

GPEDIT.MSC

2) 退回到 “編輯規則屬性” 中，在此再選擇“身份驗證方法” 。刪除“ Kerberos 5”,

點擊添加，在“新身份驗證方法”中，選擇“使用此字符串（預共享密鑰） ，然后填寫服務器所填的預共享密鑰 （服務器的預共享密鑰為 ”123abc,.”）。然后確 定。

3) 選擇“安全服務器（需要安全）”右鍵指派即可。 附截圖：

以上是我的回答，希望可以幫助到您！

這個問題非常好，有助于提高大家安全意識。防止服務器被入侵是網絡安全的范疇。我們要系統性思維來考慮。

中國在2016年推出了《網絡安全法》，同時，在2019年12月發布了《等級保護》2.0。這里頭都對網絡安全要求提高到了更高的高度。按國家要求，我們安全至少需要從兩方面來防護：

技術手段

在計算機安全技術上，我們可以從4個方面來著手分析服務器存在的風險，以及防范措施。

①、物理環境安全

物理環境就是指我們服務器存放的位置，我們需要分析它是否存在風險，比如：

• 如果是自有服務器，你必須要有相對隔離的專用空間，并配上門禁和視頻監控控制出入。因為如果服務器人人都可以觸碰到它，那它沒有任何安全可言。因為只要物理上可以接觸到，那就有可能會被惡意的人盜走服務器，然后在慢慢破解服務器，獲取服務器的信息。

• 如果服務器是托管，你必須要求托管方有上面提到的門禁、視頻監控等。不過，一般都會有。

• 如果是云服務器，也就是虛擬機，那你要求云服務商的物理服務器必須在國內，同樣有上面提到的基本物理安全。

②、通訊網絡安全

通訊網絡就是服務器需要對外提供服務使用的網絡系統。這一塊是我們比較熟悉的。我們需要做如下措施來保障安全：

• 出口必須有防火墻，（有條件用雙機）通過防火墻的的規則，可以屏蔽不需要開放的端口。使得黑客們的攻擊面變窄。

• 服務器和桌面終端不能在同一個區域，至少需要劃分VLAN隔離。

• 對外服務的訪問盡量采用加密訪問，比如：web服務就盡量采用HTTPS來提供；

• 有分支結構訪問的，采用加密IPsec VPN或者SSL VPN來訪問。

• 服務器本身需要有 TPM 芯片（現在一般都有），該芯片是可信計算模塊，可以幫助我們的服務器對內部的計算信息進行加密。確保不會在計算過程中因為信息被竊取而出現安全問題。

③、區域邊界安全

這里說的區域是指我們內部網絡進行區域劃分，比如：桌面處于一個區域（安全級別較低），服務器處于一個區域（安全級別較高）；

• 不同的區域之間雖然有前面提到的VLAN隔離，但是我們還需要部署防火墻系統，讓低安全等級的區域不能隨意進入高安全等級區域。

• 出口的邊界區域，除了前面提到需要出口防火墻外，還可以配備入侵防御系統IPS、來防范攻擊。因為防火墻只是收窄了攻擊面。相當于只是一個小區保安幫忙過濾了一下進出人員。但無法防范偽冒正常流量的攻擊。所以需要配備IPS，來對入侵進行防御。

• 服務器必須配備防病毒系統。如果服務器眾多，可以配備防病毒網關。服務器就1-2臺，那就在服務器上安全企業殺毒軟件，防止病毒入侵。

④、計算安全

計算安全就是服務器本身的計算安全。這里需要防止服務器本身的軟硬件不安全和內部人員的惡意行為。

• 系統要加固，也就是操作系統要及時打補丁，尤其是安全補丁。如果服務器眾多，可以考慮上服務器加固系統。

• 身份安全：也就是服務器的密碼必須復雜口令、并且定時更換。有條件的可以采用動態密碼和靜態密碼結合的雙因子認證。

• 定期要進行漏洞掃描，防止服務器在使用過程中出現漏洞。一旦掃描發現漏洞，需要立即進行修復。

• 服務器日志要集中收集，運維人員定時分析日志。發現異常入侵行為日志，應該立即預警，并作出防御行動。

• 最后，為了防止內部人員惡意入侵，我們還需要一套堡壘機，通過堡壘機來控制所有的運維人員對服務器的操作。確保其權限始終，并且操作行為可被追蹤。

管理手段

管理手段是指我們服務器在持續運營的階段，我們要保障它的安全性可以持續。我們需要通過建立以下管理手段：

• 建立安全管理制度，制定安全策略、發布完整的安全管理制度；

• 建立安全管理機構：落實安全崗位、人員職責，并有監督機制；

• 人員安全管理：對安全人員要定期進行安全培訓，對人員入職、離職做好安全管理。對于來訪人員應該做好安全管控，比如：必須明確可以進入的區域，不能進入的區域；

• 采購安全設備，要關注安全設備廠商的資質、設備的認證情況；

• 建立安全運維制度：無論自己運維還是第三方運維，都必須有一套安全運維管理制度來管理整個安全運維

結束語

從系統化思維出發，可以全面防范服務器入侵。由于整個安全防范是非常大的一個范圍。每個范圍都是很大的技術知識體系。這里只是簡要描述。如有疑問可以關注評論。

最安全的方法，把服務器關掉[捂臉]

開個玩笑，防止服務器入侵是一個長期化的工程，沒有一個辦法能一勞永逸，除非，你把服務器關了；

入侵服務器有以下幾個關鍵突破口:

1、操作系統漏洞

操作系統是一個龐大的代碼集合，上千萬行甚至上億行的代碼，為了兼容各種設備，運行各種軟件，想要徹底的指望系統沒有bug，沒有漏洞是不可能的，只能指望廠家勤更新，自己勤打補丁，并且關閉不必要的服務，減少系統的漏洞；

2、業務系統漏洞

您本身運行在系統上運行的業務軟件，未客戶提供的服務，這些都是由程序員開發的，一個業務系統或軟件，做的在精細，都不可避免的出現bug或者漏洞，只能發現問題，解決問題，做好數據備份是最至關重要的；

3、其他軟件

在服務器上不可避免的運行著除操作系統和業務服務的一些軟件和工具，這些軟件或工具本身就存在bug或漏洞，會被利用，多升級軟件或者多做數據備份。

古話說:只有千日做賊，哪有千日防賊的，信息安全就是一場弄不結束的矛與盾的戰爭，這個世界上應該還內有完美的、0漏洞的系統，做好日常的檢查、升級、防護、預警和數據備份，才是做重要的。

希望我的回答對您有所幫助。

[呲牙]

您好！很高興回答您的問題！

防止黑客入侵服務器第一步：防ACCESS數據庫下載

添加MDB的擴展映射就可以了。方法：IIS屬性，主目錄，配置，映射，應用程序擴展里添加。mdb的應用解析，至于選擇的解析文件大家可以自已測試，只要訪問數據庫時出現無法找到該頁就可以了，這里給出一個選擇為wam.dll

防止黑客入侵服務器第二步：防上傳

以MSSQL數據庫為例。在IIS的WEB目錄，在權限選項里只能IIS用戶讀取和列出目錄的權限，然后進入上傳文件保存和存放數據庫的目錄，給IIS用戶加上寫入的權限，然后在這二個目錄的屬性，執行權限選項

防止黑客入侵服務器第三步：防MSSQL注入

這很重要，在一次提醒，連接數據庫萬萬不能用SA帳號。一般來說可以使用DB——OWNER權限來連接數據庫。不過這存在差異備份來獲得WEBSHELL的問題。下面就說一下如何防差異備份。

差異備份是有備份的權限，而且要知道WEB目錄?，F在找WEB目錄的方法是通過注冊表或是列出主機目錄自已找，這二個方法其實用到了XP_REGREAD和XP_DRITREE這二個擴展存儲，我們只要刪除他們就可以了。但是還有一點就是萬一程序自已爆出目錄呢。所以要讓帳號的權限更低，無法完成備份。操作如下：在這個帳號的屬性，數據庫訪問選項里只需要選中對應的數據庫并賦予其DB_OWNER權限，對于其它數據庫不要操作，接著還要到該數據庫，屬性，權限，把該用戶的備份和備份日志的權限去掉就可以了，這樣入侵者就不能通過差異備份來獲取WEBSEHLL了。

要進行安全部屬，符合國家等保的級別，這也是防止攻擊的一個標準。

服務器本身也要具備安全的能力，比如，權限控制，web注入這些也要有一定的防御能力。

安全部屬就是要建立防御體系，這里就需要找安全廠商提供解決方案，比如流量分析設備，入侵防御設備，傳統防火墻，云服務等等進行協作，來搭建一個整套的安全體系。

總之，防御是根本，黑客的攻擊層出不窮，想要徹底擋住，也是一個非常大的挑戰，所以現在才有了護網行動，來為我國的安全建設，提前進行預警。

很高興能回答您的問題，對于如何防范服務器被入侵攻擊建議如下：

1、安裝殺毒軟件、服務器安全狗，網站安全狗，D盾之類的一些防護軟件，對服務器系統進行漏洞掃描，修復漏洞，及時更新系統補丁，開啟防火墻，對服務器的入站規則進行設置。

2、對端口策略進行設置，禁用所有TCP/IP端口，然后只開啟80，修改遠程端口3389并開啟修改后的端口，設置遠程允許登陸IP白名單，如果需要ftp可以修改ftp21端口并開啟修改后的端口，如果需要sqlserver可以修改SQLServer1433端口并開啟修改后的端口，如果需要mysql可以修改mysql3306端口并開啟修改后的端口，修改端口方法可以網上搜索。

3、對系統磁盤目錄和網站存放目錄進行權限訪問設置，將每個分區的權限只給administrator和system權限，其它都刪掉。對于網站上傳(如：圖片，文件)存放目錄只設寫入權限。

4、禁用所有默認用戶，并重新新建用戶，禁用系統guest用戶，adminstrator用戶，然后新建管理員用戶并加入管理員組和遠程桌面組，密碼設置為復雜密碼。

5、開啟遠程桌面服務，關閉系統不必要的服務如：Print Spooler，Microsoft Serch，Remote Registry。

6、設置服務器本地安全策略如：

7、對服務器系統進行日常維護，病毒查殺，對網站程序進行漏洞掃描，發現一些可疑文件如（.asp文件）及時處理。

8、做好服務器raid備份、系統備份、網站文件備份。

以上是對服務器入侵的一些防范措施，不是很全面，希望對您有幫助。

1、在部署應用系統時，對代碼和中間件進行漏洞掃描，避免應用開發不完善導致應用漏洞

2、對操作系統進行最新補丁升級，避免操作系統漏洞

3、關閉操作系統常見端口和服務，如137、445、3389等

4、禁用操作系統非必要的賬戶，將操作系統超級用戶改名，設置復雜密碼

5、邊界設置防火墻，如無必要，關閉訪問互聯網權限，進入端口進行策略設置，關閉其它非業務端口

6、開啟web防火墻，將web應用加入到策略中

7、開啟動ips入侵防御系統

8、設置地域來源，如有必要，可關閉國外訪問

公司的服務器一般都安裝有安全軟件，去保護計算機的安全，但是還是會有病毒出現，是服務器宕機。下面提出我的幾點建議：

1.做好常規檢查，定期檢查是不是出現了一些非常規的文件，早發現早刪除。

2.修改默認的用戶名和密碼，還要修改默認的開放端口，關閉一些不常用的端口，防止成為病毒入侵的門徑。

3.盡量使用大公司的云服務器，例如ucloud云、ucloud云等，大公司的安全還是值得信賴的。

大致就這么些，希望可以幫到你。[來看我]

瀉藥。

防火墻這些不說，常規操作，上就行了。

此外，我一般是通過監控日志方式來保護服務器，可以對敏感文件進行實時監控，釘釘微信告警。

監控工具也很多，比較輕量的開源監控工具，推薦wgcloud監控系統，主要是安裝上手簡單，體驗好

一、配置加固

1)限制連續密碼錯誤的登錄次數，是對抗密碼暴力破解的重要手段；

2)拆分系統管理員的權限，取消超級管理員，從而限制入侵者獲取管理員賬戶時的權限；

3)刪除不需要的各種賬戶，避免被攻擊者利用；

4)關閉不需要的服務端口，一是減少攻擊者的入侵點，二是避免被入侵者當作后門利用；

5)限制遠程登錄者的權限，尤其是系統管理權限；

二、合規性加固

比如權限劃分

三、反控制加固

比如：掌握控制權、發現隱藏者、監控操作者

景安網絡專業的數據中心服務商，值得你托管租用服務器！