服务器|云|数据中心

服务器|云主机|vps|站群

Windows server 2008R2远程桌面3389端口修改方法技巧

Windows server 2008R2远程桌面3389端口修改方法技巧

windows server的服务器远程桌面默认端口号是3389,在工作中经常使用远程桌面连接服务器,但是这也是常常被黑客利用的端口号,但是如何修改掉默认端口,预防被黑客利用呢?

可以如下操作配置:
很多人在使用windows操作系统的时候,由于修改端口的方法错误,导致自己不能远程操作服务器,给自己带来了麻烦,在这里,我给大家简单的演示一下正确修改远程端口的方法。

服务器ip:192.168.0.103

客户机ip:192.168.0.105

———————————————————————————————————

ctrl+r(快捷键)-输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

找到下面的 “PortNumber“,用十进制方式显示,默认为3389,改为任意可用端口。演示:(7788)

请注意:

在这里修改过了以后,若还没有修改成功,注册表文件的另外一个位置也必须做相应的修改,路径如下 :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

找到下面的 “PortNumber“,用十进制方式显示,并做出相应的修改。

到这里,你已经成功修改完注册表,重新启动计算机,你就可以通过新的远程端口号连接了。

windows server 2008 R2 系统安全配置

window 安全配置规则

一、开启防火墙

二、允许远程网络进行远程桌面连接

如果使用默认的远程端口的话,按照下图,允许远程桌面通过防火墙就行了;

如果你的远程端口号不是默认的,则需要按照(四)中新建入站规则

三、修改远程端口号

运行中输入regedit(打开注册表编辑器)

  1. 在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目录下,修改PortNumber数值,这边将其端口修改为33899(十进制)
  2. 在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目录下,修改PortNumber数值,将其端口修改为33899(十进制)

重启服务器生效,使用IP + 端口,远程访问

四、只允许固定源IP访问远程端口

  1. 进入控制面板
  2. 找到Windows 防火墙
  3. 左边高级设置
  4. 点击入站规则
  5. 右上角新建规则
  6. 打开新建入站规则向导界面,规则类型:选择自定义,点击下一步,程序选择默认,点击下一步
  7. 协议和端口:协议类型选择TCP,本地端口选择特定端口下方输入11650远程端口选择所有端口,点击下一步
  8. 作用域:在 此规则应用于哪些远程ip地址 选择下列ip地址,点击添加输入您的指定ip,点击下一步,操作和配置文件选择默认,点击下一步
  9. 名称:命名为11650,描述写上特定IP访问指定端口至此设置完成

五、更改管理员密码

  1. 进入开始面板,点击管理工具
  2. 双击打开计算机管理
  3. 依次打开系统工具->本地用户和组->用户,找到administrator管理员用户
  4. 右键administrator管理员用户,选择 设置密码,弹出的提示框,点击
  5. 进入设置密码提示框,输入您想要设置的密码,点击确定即可。 注意:系统会强制密码复杂性,密码最好由大小写字母+数字组成
  6. 设置成功之后会提示成功,下次登录时就可以用新的密码登陆了

六、密码错误几次后锁定该用户

  1. 依次打开管理工具->本地安全策略->账户策略->账户锁定策略
  2. 双击账户锁定阈值,这里,我们设置5次失败后,锁定账户30分钟

七、禁用Guest帐号

默认情况下,新安装的windows操作系统,都是禁用该帐号的。为了安全起见,可以按照以下步骤检查系统是否禁用了该帐号

  1. 进入开始面板,点击管理工具
  2. 双击打开计算机管理
  3. 依次打开系统工具->本地用户和组->用户 ,找到Guest帐号

    如果帐号名称左下角有个向下的箭头,说明已经禁用了

    如果帐号名称左下角没有箭头,

  4. 右键Guest管理员用户,选择 属性,选中下图中的位置

  5. 设置拒绝远程访问

八、删除不必要的用户

  1. 进入开始面板,点击管理工具
  2. 双击打开计算机管理
  3. 依次打开系统工具->本地用户和组->用户
  4. 左键单机,选中不必要的用户,点击红叉进行删除操作

九、创建新用户作为管理员进行远程登录,加入Administrator用户组,禁止Administrator远程登录服务器

考虑到有些服务需要作为administrator用户运行,所以不建议对administrator用户进行改名,我们选择新建用户并加入管理员组

  1. 进入开始面板,点击管理工具
  2. 双击打开计算机管理
  3. 依次打开系统工具->本地用户和组->用户
  4. 创建新用户,用户名xiaomi,密码自己设置

  5. 把新用户xiaomi加入管理员组

    Administrators属性对话框中,选择确定

  6. 禁止Administrator远程登录服务器

    控制面板->管理工具->本地安全策略->本地策略->用户权限分配->
    双击拒绝通过远程桌面服务登录

    这样设置之后,administrator用户依然可以弹出远程桌面连接,并让输入密码,但是无法进入远程桌面

十、更改文件共享的默认权限

将共享文件的权限从“Everyone”更改为”授权用户”,”Everyone”意味着任何有权进入网络的用户都能够访问这些共享文件。

十一、安全密码

安全密码的定义是:安全期内无法破解出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码)。

十二、屏幕保护 / 屏幕锁定 密码

防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。

十三、安装防病毒软件

Windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !

这里我们用安全狗这个第三方安全软件,安装之后,会提示让体检,检查结果如下:

我们来看下帐号风险里有什么需要修复的,提示xiaomi这个帐号没必要启用,但是,我们认为xiaomi这个必须是要启用的,所以这项选择忽略

其它风险项可以查看一下,必要修复就修复,像系统漏洞这些,强烈建议修复,虽然系统会很卡

前面我们设置了只允许固定的源IP地址访问远程桌面端口号

这里我们通过安全狗,再增加设置,只允许固定的主机名可以访问远程桌面端口号,截图如下:

十四、定时备份服务器上的重要文件到本地或其它服务器

备份到本服务器是没有多大意义的,所以建议备份到别的机器

备份的方式,建议选择对目标文件或目录进行压缩后拷贝出来

十五、系统防火墙和安全狗的防火墙关系

安全狗的防火墙是在系统防火墙之上的

也就是说外界想要访问你服务器上某个端口,先经过安全狗的防火墙,再经过系统防火墙

实验过程:

在服务器上开启80端口的web服务后

  1. 安全狗的防火墙设置允许通过,系统防火墙设置不允许通过,结果:不允许通过
  2. 安全狗的防火墙设置允许通过,系统防火墙设置允许通过,结果:允许通过
  3. 安全狗的防火墙设置不允许通过,系统防火墙设置允许通过,结果:不允许通过
  4. 安全狗的防火墙设置不允许通过,系统防火墙设置不允许通过,结果:不允许通过

所以,当服务器上某个端口外网无法访问时,需要排查这2个防火墙,是不是很烦。建议用系统自带的防火墙,安全狗的防火墙保持默认就行

十六、堡垒机

堡垒机作为服务器的最后一道屏障,其安全方面需要做到以上十五点,更需要开启审计功能。

十七、特别提醒

我们在第点和第十三点分别提到了限制源IP访问远程桌面端口和限制源主机名访问远程桌面端口

所以:

  1. 如果你的办公网的出网IP是变动的公网IP
  2. 如果你需要用不同的终端主机访问服务器的远程桌面端口

这两种情况,根据实际情况选择使用系统自带的策略或是选择安全狗的策略,但是个人建议使用系统自带的策略安全狗的策略保持默认即可。

紧急 | 微软远程桌面服务高危漏洞(CVE-2019-0708)预警!

2019年5月14日,微软发布补丁修复了一个远程桌面服务高危漏洞(CVE-2019-0708),该漏洞影响部分Windows操作系统。当未经身份验证的攻击者使用远程桌面连接到目标系统并发送特制请求时,可以在目标系统上执行任意代码。此漏洞是预身份验证,无需用户交互。

微软将此漏洞定义为严重级别,强烈建议广大用户及时更新,以免遭受攻击。特别地,微软此次还为已经不再支持的Windows XP和Windows 2003操作系统提供了补丁,由此可见漏洞的危害性。

 

微软同时警告,虽然截至目前还未发现漏洞利用代码被公开,但该漏洞随时有被蠕虫病毒利用的风险,从而造成类似2017年“WannaCry”勒索病毒的严重后果。

影响范围

1、受影响的操作系统:

 

Windows XP

Windows Server 2003

Windows 7

Windows Server 2008 R2

Windows Server 2008

2、不受影响的操作系统:

Windows 10

Windows 8.1

Windows 8

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

目前全球范围内约有400万,国内约有80万主机开启了远程桌面服务并暴露在互联网上。一旦攻击代码公开,这些主机随时都有可能成为黑客攻击的目标。

解决方案

1. 目前,微软已经发布针对该漏洞的补丁,请使用上述受影响的操作系统用户及时更新。

• 针对Windows XP,Windows 2003系统的补丁:

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

• 针对Windows 7,Windows Server 2008 R2,Windows Server 2008系统的补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

2. 无法及时更新补丁的用户,请尽量关闭远程桌面服务,避免主机被直接暴露在互联网上。

 

如何关闭Windows 2008中IE浏览器增强的安全配置

当在使用Windows Server 2003/2008操作系统时,打开IE浏览网页时,发现浏览器总提示 “是否需要将当前访问的网站添加到自己信任的站点中去”,要是不信任的话,就无法打开指定网页;要是信任的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。一次尚可接受,不过每次访问网页,都要经过这样的步骤,就显然就太烦琐了。其实我们可以通过下面的方法来取消IE对网站安全性的检查。

如何关闭Windows 2008中IE浏览器增强的安全配置

在这里选择好以后 点进服务器管理器里面,来进行设置IE浏览器的增强级别。

如何关闭Windows 2008中IE浏览器增强的安全配置

然后来点击配置IE的ESC服务

如何关闭Windows 2008中IE浏览器增强的安全配置

管理员和用户都给禁用掉!

Windows2008中IIS7配置Fastcgi+Php详细教程

今天闲来无事,继而顺手截图做一些IIS7的安装图文教程,以及fastcgi模式下配置PHP,现在网上很多IIS7下配置PHP的教程还停顿在IIS6的配置阶段,还在用isapi模式,如果是这样,还是直接用IIS6好了,不然IIS7再好也是浪费。废话不多说了,教程以图片示例,所以简单的地方就不用文字说明了,大家一看图就会了,其实最关键的还是要自己多摸索,要有不怕重装系统的精神。

1、右键”计算机”,点击”管理”

windows2008中IIS7配置fastcgi+php详细教程

2、添加角色

 

windows2008中IIS7配置fastcgi+php详细教程

windows2008中IIS7配置fastcgi+php详细教程

3、添加角色服务

windows2008中IIS7配置fastcgi+php详细教程

如果你的程序在IIS7下出错,记得选择服务的时候添加IIS6兼容模块,如果无问题,这个可以不用选择;

windows2008中IIS7配置fastcgi+php详细教程

4、打开”处理程序映射”

选择”添加模块映射”,添加你PHP目录中的php-cgi;

windows2008中IIS7配置fastcgi+php详细教程

windows2008中IIS7配置fastcgi+php详细教程

5、选择fastcgi配置(注意,这里如果是IIS7,则需要手动安装Administration Pack for IIS 7.0 ,如果是IIS7.5,则无需下载,IIS7.5已经集成此功能);

点击”Edit.。.”,则弹出如下图:

windows2008中IIS7配置fastcgi+php详细教程

windows2008中IIS7配置fastcgi+php详细教程

添加:PHP_FCGI_MAX_REQUESTS , value 数值10000;

windows2008中IIS7配置fastcgi+php详细教程

进入你PHP的存放目录,复制一份php.ini-disk,改名为php.ini;

windows2008中IIS7配置fastcgi+php详细教程

fastcgi.impersonate = 1

cgi.fix_pathinfo=1

cgi.force_redirect = 0

以上3个前的;去掉,并修改以上相应数值,如下图所示:

这样就可以完整的运行PHP了,可以用

windows2008中IIS7配置fastcgi+php详细教程

<?php phpinfo();?>

复制代码

测试是否正常;

以上PHP的配置,只是配置以fastcgi模式运行php,