新闻建站cms系统、政府cms系统定制开发

广州网站建设公司-阅速公司

asp.net新闻发布系统、报纸数字报系统方案
/
http://www.ysneo.com/
广州网站建设公司
您当前位置:首页>系统知识

系统知识

win2022 windows server 2022系统安全加固安全设置

发布时间:2026/7/3 22:44:11  作者:Admin  阅读:7  

广告:

禁用服务:
RemoteRegistry 远程注册表,木马常用提权通道
Print Spooler 打印服务,无打印需求直接关闭
Computer Browser、Server、Workstation 文件共享、SMB 445 端口攻击入口
Routing and Remote Access 路由远程访问
TCP/IP NetBIOS Helper NetBIOS 嗅探攻击
AzureAttestService 仅在本机接入 Azure 云、使用 Azure 可信计算 / 机密虚拟机场景下才会用到; 本地单机、内网数据库服务器完全不需要这个服务

以下一般默认没有
Telnet、FTPSVC、SMTPSVC 远程明文登录、FTP 邮件服务

本地安全策略加固(secpol.msc)
用户权限分配
允许本地登录:仅保留Administrators,删除 Users、Backup Operators
从网络访问此计算机:仅管理员组

安全选项:

网络访问:
可远程访问的注册表路径 → 全部清空

System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion


LAN 管理器身份验证级别:仅发送 NTLMv2 响应,拒绝 LM/NTLM
启用管理员账户批准模式 UAC,禁止自动提升权限
禁用来宾账户、匿名 SAM 枚举

Windows Defender 实时保护全开,排除仅网站运行目录,全盘定时扫描
关闭短文件名漏洞(CMD 执行):

fsutil behavior set disable8dot3 C: 1

目录 NTFS 最小权限(核心防 WebShell 提权)

IIS 系统目录 C:\inetpub

# 移除高危用户组权限
icacls C:\inetpub /remove Users /c
icacls C:\inetpub /remove Everyone /c
# 仅保留管理员、系统完全控制
icacls C:\inetpub /grant Administrators:(OI)(CI)F /c
icacls C:\inetpub /grant SYSTEM:(OI)(CI)F /c
# Temp目录仅给IIS读取,禁止写入执行
icacls C:\inetpub\temp /grant IIS_IUSRS:(OI)(CI)R /c

上传文件夹只给读取 + 写入,取消执行权限,禁止解析 ASP/ASPX:
IS 管理器 → 上传目录 → 处理程序映射 → 编辑功能权限 → 取消勾选「脚本」,仅保留读取。

出站限制
默认允许出站,但拦截 445、135 对外连接,防止木马内网横向渗透;限制陌生外联程序

全盘定期杀毒,删除 C:\ProgramData 下陌生 exe,清理开机自启项

广告:

相关文章
安全加固
cms新闻系统购买咨询
扫描关注 广州阅速软件科技有限公司
扫描关注 广州阅速科技