前天入手了一台腾讯云特价的云服务器，配置是1h1G，360元用6年半。。价格很实惠。

因为难得可以windows，所以我选择了windows2008R2，但开通后因为忙工作就没管它。

 

今天登录服务器，看了下日志，简直吓人，有人在暴力破解密码。虽然咱密码够复杂，但是这么一直让他破解也不是个事儿，而且可能会影响我机器性能啊。

 

言归正传，我打算简单搞一搞这windows服务器的安全。目前思路是：

1、修改远程桌面端口

2、修改管理员账户

3、设置本地策略。

4、超过设定次数的错误登录，就封锁ip半小时。

默认的3389和administrator是windows系统默认的，对付这些傻瓜爆破机，加上ip封锁，应该够了。

 

转入正题：

一、设置本地组策略，开启日志

1.运行: gpedit.msc ，进入本地组策略编辑器；

2.左侧目录一次选择“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”，双击其中的“审核登陆事件”，审核操作里勾上成功和失败-->点击应用-->点击确定。

（除了审核登录事件，还有审核账户登录事件，他们的区别我也说不明白，大家自行百度吧！）

因为目前机器正在被爆破，会记录大量日志，所以我暂时把失败的审核取消掉，只留下关键的成功信息。等修改完端口和账户后再来开启。

遗留问题：目前发现记录的日志看不到爆破方的ip，等有时间再查查。

 

二、事件查看器：查看日志

1、windows菜单输入“事件查看器”，就可以打开了；

2、左侧目录树，依次打开  “windows日志”—>“安全”。就可以看到日志了。

常规选项卡：

登录类型3，意思就是网络登录。即远程桌面。

失败信息-》失败原因：未知用户名或密码错误。。表示有人在登录但是账户或密码错误。

网络信息-》源网络地址：就是登陆这的ip地址。

 

更多详细内容可以参考《windows登录日志详解》

 

三、修改默认系统管理员用户名

1、以次点开：开始->管理工具->服务器管理器->配置->本地用户和组->用户

2、在用户窗口中选择administrator，鼠标右键—》重命名，输入新的用户名即可。

然后双击该项，在用户全名中将Administrator改为别的名字即可。

3、注销用户，重新登录即可

 

四、限制用户错误登录次数（不推荐）

限制用户错误登录的次数来防止这种方式的密码破解，但是在被暴力破解时，可能会导致你也无法登录。

1、依次点击开始->管理工具->本地安全策略，展开“帐户策略”，点击“帐户锁定策略”

2、右侧窗口中双击帐户锁定阀值，输入允许错误输入的次数，确定即可，如下图，设置错误登录次数为3的情况

 

五、登录时需要用户输入用户名

为了更好防止非法用户登录到系统，在用户登录时记用户输入用户名是一个不错的选择，这样可以有效的减少非法用户的试探成功的可能性，设置如下：

1、依次点击开始->管理工具->本地安全策略，展开“本地策略”，单击“安全选项”；

2、在右侧窗口中找到“交互式登录，不显示最后的用户名”一项，双击，选择“已启用”；

六、修改远程桌面端口(防火墙先把要设置的端口放行)

1、开启远程桌面：右击桌面上的“计算机”图标，选择“属性”，在弹出的窗口中选择“远程设置”，在接下来弹出的窗口中“远程桌面”区域选择“允许运行任意版本远程桌面的计算机连接”。默认管理员已经在运行用户中。

2、更改远程桌面默认的端口号（1）：

搜索框中输入“regedit”，回车打开注册表，进入以下注册表项

“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp”

，在右侧找到PortNamber，可以看见其默认值是3389，修改成所希望的端口(2000-65535间选择)即可，这里我们以33890为例，注意使用十进制。

3、更改远程桌面默认的端口号（2）：

再打开

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]

，将PortNumber的值修改成端口33890，注意使用十进制。

到此，端口号修改完成，重启电脑 或 右键“计算机”，点击“管理”，弹出的窗口左侧选“服务和应用程序”-->"服务"，找到“Remote Desktop Services”，右击，选择“重新启动”，即可使更改后的端口生效。

 

七、禁止ping

云服务器，暴破密码的太多了。都是先扫ip段找目标，可以把回显请求-ICMPv4-In禁止掉，不响应ping。

设置方法1：windows防火墙-》入站规则-》文件和打印机共享(回显请求 - ICMPv4-In。

方法2：命令提示符，更快速简洁的设置

开启：netsh firewall set icmpsetting 8

关闭: netsh firewall set icmpsetting 8 disable