服務環境以及所需要的軟件都已安裝完畢（ 記住一點所有安全性的操作設置都必須在軟件安裝完以后才能進行。）

 最少的服務+最小的權限=最大的安全 

Windows  常規設置

        1，用戶權限。設置對應服務對應用戶，都是最小權限，夠用就行，不夠再加。

        2、目錄權限

            除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權，之后再對其下的子目錄作單獨的目錄權限

        3、修改遠程訪問服務端口

            更改遠程連接端口方法，可用windows自帶的計算器將10進制轉為16進制.

        4、用防火墻限制Ping

Windows 組、用戶設置

    1、所有盤符根目錄只給system和Administrator的權限，其他的刪除

    2、重命名帳戶Administrator和Guest。禁用Guest賬號，并加一個超級復雜的密碼，密碼可以是復制一段文本進去。

禁用SQLDebugger帳號。重命名管理員用戶組Administrators

    3、更改Administrator，guest賬戶，新建一無任何權限的假Administrator賬戶作為陷阱帳戶，設置超長密碼，并去掉所有用戶組

系統軟件權限設置

    1、微軟最新補丁

     2，安全軟件加固（安全狗，D盾，360）

Windows 端口設置

    1、只開啟需要用的端口，關閉不必要的，以減少攻擊面。（用不到的端口一律不要開啟）

        80：IIS7 21：FTP 3389：遠程 3306：MySQL 1433：Mssql

Windows 防火墻設置

    1、開啟防火墻

    2、防火墻高級設置（設置出入站規則）

    3、控制面板→Windows防火墻設置→更改設置→例外，勾選FTP、HTTP、遠程桌面服務 核心網絡

        HTTPS用不到可以不勾、3306：Mysql、1433：Mssql

目錄權限設置

    系統目錄：

        1、確保所有盤符都是NTFS格式（如果不是，可以用命令 convert d:/fs:ntfs 轉換為NTFS格式）

        2、所有磁盤（系統盤、數據盤）根目錄只給system和administrators權限，其它刪除。

    站點目錄：

        1、每個網站對應一個目錄，并為這個網站目錄加上IUSR和IIS_IUSRS權限，都只給“列出文件夾內容”和“讀取”權限。

        2、上傳目錄還需要給IIS_IUSRS組再添加“修改”、“寫入”權限。

        3、打開IIS管理器，找到站點，選中上傳目錄，在中間欄IIS下雙擊打開“處理程序映射”，再選擇“編輯功能權限”，把“腳本”前面的勾掉就可以了。（防止用戶上傳惡意文件并執行）

Web服務安全策略

1 啟用日志記錄功能

Web服務器應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。

不管是iis,還是apache nginx tomcat。都注意查看日志。

2 HTTPS協議

對于通過HTTP協議進行遠程維護的設備，設備應支持使用HTTPS等加密協議。

配置域名證書，通過加密的安全協議，網站更安全。

3 錯誤頁面重定向

出現錯誤時系統可能會將錯誤堆棧信息打印到頁面，使得攻擊人員可以根據錯誤信息進行有效的攻擊。更改錯誤頁面并重定向頁面,增加系統安全性

4 禁止列表顯示文件

禁止列表顯示文件,增加系統安全性。

每個網站程序的功能不同，設置也各不相同。最少的權限就是最大的安全   

常見問題

1. 如何關閉135端口？

這個破端口是RPC服務的端口，以前出過很多問題，現在貌似沒啥漏洞了，不過還是心有余悸啊，想關的這樣關：

開始->運行->dcomcnfg->組件服務->計算機->我的電腦->屬性->默認屬性->關閉“在此計算機上啟用分布式COM”->默認協議->移除“面向連接的TCP/IP”

但是感覺做了以上的操作還能看到135在Listen狀態，還可以試試這樣。

在cmd中執行：netsh rpc add 127.0.0.0，這樣135端口只監聽127.0.0.1了。

2. 如何關閉445端口？

445端口是netbios用來在局域網內解析機器名的服務端口，一般服務器不需要對LAN開放什么共享，所以可以關閉。

修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0

3. 關閉Netbios服務（關閉139端口）

網絡連接->本地連接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS

4. 關閉LLMNR（關閉5355端口）

什么是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用于解析本地網段上的名稱，沒啥用但還占著5355端口。

使用組策略關閉，運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啟用

還有一種方法，我沒嘗試，如果沒有組策略管理的可以試試，修改注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof\Windows NT\DNSClient，新建一個Dword項，名字：EnableMulticast，值：0

5. 關閉Windows Remote Management服務（關閉47001端口）

Windows遠程管理服務，用于配合IIS管理硬件，一般用不到，但開放了47001端口很不爽，關閉方法很簡單，禁用這個服務即可。

6. 關閉UDP 500，UDP 4500端口

這兩個端口讓我搜索了半天，雖然知道應該和VPN有關，但是不知道是哪個服務在占用。最后終于找到了，其實是IKE and AuthIP IPsec Keying Modules服務在作怪。如果你的服務器上不運行基于IKE認證的VPN服務，就可以關閉了。（我用的是PPTP方式連接VPN，把ipsec和ike都關閉了）

7. 刪除文件和打印機共享

網絡連接->本地連接->屬性，把除了“Internet協議版本 4”以外的東西都勾掉。

8. 關閉文件和打印機共享

直接停止“server”服務，并設置為禁用，重啟后再右鍵點某個磁盤選屬性，“共享”這個頁面就不存在了。