云服務(wù)器（阿里云）的安全組設(shè)置

安全組 是一個ECS的重要安全設(shè)置，但對小白用戶來說卻很難理解其中晦澀難懂的專業(yè)術(shù)語。websoft9在此介紹個人的理解：

10年積累的成都網(wǎng)站制作、成都網(wǎng)站建設(shè)經(jīng)驗(yàn)，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程，更有鹽湖免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

阿里云官方解釋 ：安全組是一種虛擬防火墻，用于設(shè)置單臺或多臺云服務(wù)器的網(wǎng)絡(luò)訪問控制，它是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分安全域。每個實(shí)例至少屬于一個安全組，在創(chuàng)建的時候就需要指定。

注解：簡單理解：服務(wù)器什么端口（服務(wù)）可以被訪問，什么端口可以被封鎖

例子：服務(wù)器80端口是用來提供http服務(wù)，如果服務(wù)器部署了網(wǎng)站，而沒有開放80端口，這個網(wǎng)站肯定訪問不了，http: //ip 是打不開的。

這是很常見的問題，用戶第一感覺就是購買的服務(wù)器有問題或購買的鏡像用不了。

遠(yuǎn)程連接（SSH）Linux 實(shí)例和遠(yuǎn)程桌面連接 Windows 實(shí)例可能會失敗。

遠(yuǎn)程 ping 該安全組下的 ECS 實(shí)例的公網(wǎng) IP 和內(nèi)網(wǎng) IP 可能會失敗。

HTTP 訪問該安全組下的 ECS 實(shí)例暴漏的 Web 服務(wù)可能會失敗。

該安全組下 ECS 實(shí)例可能無法通過內(nèi)網(wǎng)訪問同地域（或者同 VPC）下的其他安全組下的 ECS 實(shí)例。

該安全組下 ECS 實(shí)例可能無法通過內(nèi)網(wǎng)訪問同地域下（或者同 VPC）的其他云服務(wù)。

該安全組下 ECS 實(shí)例可能無法訪問 Internet 服務(wù)。

當(dāng)用戶購買一個新的服務(wù)器的時候，阿里云會提醒選擇安全組，對于一部分入門用戶來說，第一感覺就是選擇一個等級比較高的安全組，這樣更為保險(xiǎn)。實(shí)際上，等級越高，開放的端口越少。甚至連80端口、21端口都被封鎖了，導(dǎo)致服務(wù)器ping不通、http打不開。這樣最常見的訪問都無法進(jìn)行，用戶第一感覺就是購買的服務(wù)器有問題或購買的鏡像用不了。

在Websoft9客服工作中統(tǒng)計(jì)發(fā)現(xiàn)，96%的用戶瀏覽器http://公網(wǎng)IP 打不開首頁，都是因?yàn)榘踩M的設(shè)置關(guān)閉了80端口所導(dǎo)致。

第一，找到對應(yīng)的實(shí)例，通過安全組配置選項(xiàng)進(jìn)入設(shè)置。

第二，點(diǎn)擊“配置規(guī)則”，進(jìn)入安全組規(guī)則設(shè)置。

如何在Windows2003下編輯組策略對象上的安全設(shè)置

1.執(zhí)行這些步驟中的某個步驟：

如果

執(zhí)行

您正在使用加入域的工作站或服務(wù)器，可以修改組策略對象安全設(shè)置

單擊“開始”，指向“運(yùn)行”，鍵入“mmc”，然后單擊“確定”。

在“文件”菜單上，單擊“添加/刪除管理單元”。

選擇組策略對象”中，單擊“瀏覽”，找到并單擊要修改的策略對象，然后單擊“完成”。

單擊“關(guān)閉”，然后單擊“確定”。

正在使用域控制器，且要修改組織單位的安全設(shè)置

Active Directory 用戶和計(jì)算機(jī)。

在控制臺樹中，右鍵單擊要設(shè)置組策略的域或組織單位。

單擊“屬性”，然后單擊“組策略”選項(xiàng)卡。

執(zhí)行以下的某項(xiàng)操作：

要創(chuàng)建新的組策略對象，請?jiān)凇拔募辈藛紊希瑔螕簟靶陆ā?，然后單擊“編輯”?/p>

要更改現(xiàn)有的組策略對象，請單擊要更改的對象，然后單擊“文件”菜單上的“編輯”。

2.在控制臺目錄樹中，單擊“安全設(shè)置”。

位置

GroupPolicyObject [ComputerName] Policy （組策略對象 [計(jì)算機(jī)名] 策略）

計(jì)算機(jī)配置

Windows 設(shè)置

安全設(shè)置

3.在控制臺樹中，執(zhí)行以下一種操作：

要編輯“密碼策略”或“帳戶鎖定策略”，請雙擊“帳戶策略”和“密碼策略”，或“帳戶鎖定策略”。

要編輯“審核策略”、“用戶權(quán)利指派”或“安全措施選項(xiàng)”，請雙擊“本地策略”、“審核策略”、“用戶權(quán)利指派”或“安全措施選項(xiàng)”。

4.在詳細(xì)信息窗格中，右鍵單擊要修改的策略，然后單擊“屬性”。

5.選中“定義這些策略設(shè)置”復(fù)選框。

6.更改本策略的設(shè)置，然后單擊“確定”。

注意

必須以管理員或 Administrators 組成員身份登錄才能完成該過程。如果計(jì)算機(jī)與網(wǎng)絡(luò)連接，則網(wǎng)絡(luò)策略設(shè)置也可以阻止您完成此步驟。

始終在將新創(chuàng)建的策略應(yīng)用到網(wǎng)絡(luò)之前在測試組織單位上對其進(jìn)行測試。

更改了安全設(shè)置后，一旦單擊“確定”，下次刷新設(shè)置之后，該更改就會生效。

在工作站或服務(wù)器上，每 90 分鐘刷新一次安全設(shè)置；在域控制器上，每 5 分鐘刷新一次安全設(shè)置。不管是否進(jìn)行更改，安全設(shè)置都是每 16 小時刷新一次。

希望本文介紹的windows 2003系統(tǒng)下編輯組策略對象上的安全裝置的方法能夠?qū)ψx者有所幫助，更多有關(guān)組策略的知識還有待于讀者去探索和學(xué)習(xí)。

如何設(shè)置Windows服務(wù)器安全設(shè)置

如何設(shè)置Windows服務(wù)器安全設(shè)置

一、取消文件夾隱藏共享在默認(rèn)狀態(tài)下，Windows 2000/XP會開啟所有分區(qū)的隱藏共享，從“控制面板/管理工具/計(jì)算機(jī)管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”，就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”。但是只要鍵入“計(jì)算機(jī)名或者IPC$”，系統(tǒng)就會詢問用戶名和密碼，遺憾的是，大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空，入侵者可以輕易看到C盤的內(nèi)容，這就給網(wǎng)絡(luò)安全帶來了極大的隱患。

怎么來消除默認(rèn)共享呢?方法很簡單，打開注冊表編輯器，進(jìn)入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個名為“AutoShareWKs”的雙字節(jié)值，并將其值設(shè)為“0”，然后重新啟動電腦，這樣共享就取消了。關(guān)閉“文件和打印共享”文件和打印共享應(yīng)該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，我們可以將它關(guān)閉。用鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對話框中的兩個復(fù)選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器，進(jìn)入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協(xié)議對于服務(wù)器來說，只安裝TCP/IP協(xié)議就夠了。鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，再鼠標(biāo)右擊“本地連接”，選擇“屬性”，卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源，對于不需要提供文件和打印共享的主機(jī)，還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉，避免針對NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級”，進(jìn)入“高級TCP/IP設(shè)置”對話框，選擇“WINS”標(biāo)簽，勾選“禁用TCP/IP上的NETBIOS”一項(xiàng)，關(guān)閉NETBIOS。四、禁用不必要的服務(wù):Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠(yuǎn)程修改注冊表)Server(文件共享)Task Scheduler(計(jì)劃任務(wù))TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設(shè)置一個強(qiáng)大復(fù)雜的密碼(個人建議至少12位)，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險(xiǎn)性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進(jìn)一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計(jì)算機(jī)給別人當(dāng)玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項(xiàng)卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點(diǎn)擊右鍵，選擇屬性，在“常規(guī)”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計(jì)算機(jī)安全。七、防范木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預(yù)防的作用。

● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項(xiàng)里看是否有不明的運(yùn)行項(xiàng)目，如果有，刪除即可。

● 將注冊表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務(wù)，還需要對IIS服務(wù)進(jìn)行安全配置：

(1) 更改Web服務(wù)主目錄。右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

(2) 刪除原默認(rèn)安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認(rèn)安裝沒有打開任何安全審核，所以需要進(jìn)入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。系統(tǒng)提供了九類可以審核的事件，對于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對象訪問：失敗事件過程追蹤：根據(jù)需要選用目錄服務(wù)訪問：失敗事件特權(quán)使用：失敗事件系統(tǒng)事件：成功和失敗賬戶登錄事件：成功和失敗賬戶管理：成功和失敗十、安裝必要的安全軟件

我們還應(yīng)在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網(wǎng)時打開它們，這樣即便有黑客進(jìn)攻我們的安全也是有保證的。當(dāng)然我們也不應(yīng)安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統(tǒng)打上補(bǔ)丁，微軟那些沒完沒了的補(bǔ)丁還是很有用的。

windows2003服務(wù)器安全配置的建議

設(shè)置和管理賬戶

1、系統(tǒng)管理員賬戶最好少建，更改默認(rèn)的管理員帳戶名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14位。

2、新建一個名為Administrator的陷阱帳號，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼

3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復(fù)雜的密碼，當(dāng)然現(xiàn)在也有一個DelGuest的工具，也許你也可以利用它來刪除Guest賬戶，但我沒有試過。

4、在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無效”，“鎖定時瀋櫛?0分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。

5、在安全設(shè)置-本地策略-安全選項(xiàng)中將“不顯示上次的用戶名”設(shè)為啟用

6、在安全設(shè)置-本地策略-用戶權(quán)利分配中將“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”中只保留Internet來賓賬戶、啟動IIS進(jìn)程賬戶。如果你使用了Asp點(diǎn)虐 還要保留Aspnet賬戶。

7、創(chuàng)建一個User賬戶，運(yùn)行系統(tǒng)，如果要運(yùn)行特權(quán)命令使用Runas命令。

三、網(wǎng)絡(luò)服務(wù)安全管理

1、禁止C$、D$、ADMIN$一類的缺省共享

打開注冊表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer值設(shè)為0

2、 解除NetBios與TCP/IP協(xié)議的綁定

右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS

3、關(guān)閉不需要的服務(wù)，以下為建議選項(xiàng)

Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新，禁用

Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用

Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用

Error reporting service：禁止發(fā)送錯誤報(bào)告

Microsoft Serch：提供快速的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用

PrintSpooler：如果沒有打印機(jī)可禁用

Remote Registry：禁止遠(yuǎn)程修改注冊表

Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助

四、打開相應(yīng)的審核策略

在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項(xiàng)目時需要注意的是如果審核的項(xiàng)目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情況在這二者之間做出選擇。

推薦的要審核的項(xiàng)目是：

登錄事件 成功 失敗

賬戶登錄事件 成功 失敗

系統(tǒng)事件 成功 失敗

策略更改 成功 失敗

對象訪問 失敗

目錄服務(wù)訪問 失敗

特權(quán)使用 失敗

五、其它安全相關(guān)設(shè)置

1、隱藏重要文件/目錄

可以修改注冊表實(shí)現(xiàn)完全隱藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標(biāo)右擊“CheckedValue”，選擇修改，把數(shù)值由1改為0

2、啟動系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

4. 禁止響應(yīng)ICMP路由通告報(bào)文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報(bào)文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7、禁用DCOM：

運(yùn)行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開“計(jì)算機(jī)”子文件夾。

對于本地計(jì)算機(jī)，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡。

清除“在這臺計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。

注：3-6項(xiàng)內(nèi)容我采用的是Server2000設(shè)置，沒有測試過對2003是否起作用。但有一點(diǎn)可以肯定我用了一段的時間沒有發(fā)現(xiàn)其它副面的影響。

六、配置 IIS 服務(wù)：

1、不使用默認(rèn)的Web站點(diǎn)，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。

3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴(kuò)展名映射。

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm

5、更改IIS日志的路徑

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性

6、如果使用的是2000可以使用iislockdown來保護(hù)IIS，在2003運(yùn)行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一個ISAPI篩選器，它對傳入的HTTP數(shù)據(jù)包進(jìn)行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。下載地址見頁未的鏈接

如果沒有特殊的要求采用UrlScan默認(rèn)配置就可以了。

但如果你在服務(wù)器運(yùn)行ASP.NET程序，并要進(jìn)行調(diào)試你需打開要%WINDIR%\System32\Inetsrv\URLscan

文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節(jié)添加debug謂詞，注意此節(jié)是區(qū)分大小寫的。

如果你的網(wǎng)頁是.asp網(wǎng)頁你需要在DenyExtensions刪除.asp相關(guān)的內(nèi)容。

如果你的網(wǎng)頁使用了非ASCII代碼，你需要在Option節(jié)中將AllowHighBitCharacters的值設(shè)為1

在對URLScan.ini 文件做了更改后，你需要重啟IIS服務(wù)才能生效，快速方法運(yùn)行中輸入iisreset

如果你在配置后出現(xiàn)什么問題，你可以通過添加/刪除程序刪除UrlScan。

8、利用WIS (Web Injection Scanner)工具對整個網(wǎng)站進(jìn)行SQL Injection 脆弱性掃描.

下載地址：VB.NET愛好者

七、配置Sql服務(wù)器

1、System Administrators 角色最好不要超過兩個

2、如果是在本機(jī)最好將身份驗(yàn)證配置為Win登陸

3、不要使用Sa賬戶，為其配置一個超級復(fù)雜的密碼

4、刪除以下的擴(kuò)展存儲過程格式為：

use master

sp_dropextendedproc '擴(kuò)展存儲過程名'

xp_cmdshell：是進(jìn)入操作系統(tǒng)的最佳捷徑，刪除

訪問注冊表的存儲過程，刪除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自動存儲過程，不需要刪除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隱藏 SQL Server、更改默認(rèn)的1433端口

右擊實(shí)例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實(shí)例，并改原默認(rèn)的1433端口。

八、如果只做服務(wù)器，不進(jìn)行其它操作，使用IPSec

1、管理工具—本地安全策略—右擊IP安全策略—管理IP篩選器表和篩選器操作—在管理IP篩選器表選項(xiàng)下點(diǎn)擊

添加—名稱設(shè)為Web篩選器—點(diǎn)擊添加—在描述中輸入Web服務(wù)器—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為Tcp——IP協(xié)議端口第一項(xiàng)設(shè)為從任意端口，第二項(xiàng)到此端口80——點(diǎn)擊完成——點(diǎn)擊確定。

2、再在管理IP篩選器表選項(xiàng)下點(diǎn)擊

添加—名稱設(shè)為所有入站篩選器—點(diǎn)擊添加—在描述中輸入所有入站篩選—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為任意——點(diǎn)擊下一步——完成——點(diǎn)擊確定。

3、在管理篩選器操作選項(xiàng)下點(diǎn)擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關(guān)閉管理IP篩選器表和篩選器操作窗口

4、右擊IP安全策略——創(chuàng)建IP安全策略——下一步——名稱輸入數(shù)據(jù)包篩選器——下一步——取消默認(rèn)激活響應(yīng)原則——下一步——完成

5、在打開的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網(wǎng)絡(luò)連接——下一步——在IP篩選器列表中選擇新建的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定

6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器，點(diǎn)擊指派，不需要重啟，IPSec就可生效.

九、建議

如果你按本文去操作，建議每做一項(xiàng)更改就測試一下服務(wù)器，如果有問題可以馬上撤消更改。而如果更改的項(xiàng)數(shù)多，才發(fā)現(xiàn)出問題，那就很難判斷問題是出在哪一步上了。

十、運(yùn)行服務(wù)器記錄當(dāng)前的程序和開放的端口

1、將當(dāng)前服務(wù)器的進(jìn)程抓圖或記錄下來，將其保存，方便以后對照查看是否有不明的程序。

2、將當(dāng)前開放的端口抓圖或記錄下來，保存，方便以后對照查看是否開放了不明的端口。當(dāng)然如果你能分辨每一個進(jìn)程，和端口這一步可以省略。

改3389

將下列兩個注冊表鍵中的 PortNumber 均改成自定義的端口即可：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

分享名稱：windows服務(wù)器安全組設(shè)置 服務(wù)器的安全組怎么設(shè)置
標(biāo)題網(wǎng)址：http://www.rwnh.cn/article12/ddgoggc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供、ChatGPT、軟件開發(fā)、品牌網(wǎng)站設(shè)計(jì)、動態(tài)網(wǎng)站、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)