Windows服务器安全加固极简清单

一、后门防范

1. 封高危端口

   New-NetFirewallRule -DisplayName "Block_Risky_Ports" -Protocol TCP -LocalPort 135,139,445,3389 -Action Block

2. 杀毒监控
   ▸ 每日全盘扫描：clamscan -r / --remove

3. 查可疑进程

   Get-Process | Where CPU -gt 50 | Stop-Process -Force  # 终止CPU>50%的异常进程

   二、Web服务器加固（IIS）

   1. 关键操作

      • 迁移安装目录：C:\Inetpub → D:\WebRoot

      • 删除虚拟目录：scripts, print

      • 仅保留ASP映射

   2. 权限控制

      icacls D:\WebRoot /grant "IIS_IUSRS:(RX)"  # 只读权限

   3. 防数据库泄露

      • 重命名.mdb为复杂名

      • 禁止.mdb下载：

        appcmd set config /section:requestFiltering /+fileExtensions.[fileExtension='.mdb',allowed='false']

        三、SQL Server安全

        -- 1. 禁用SA账户
        ALTER LOGIN sa DISABLE;  
        
        -- 2. 创建最小权限用户
        CREATE LOGIN webuser WITH PASSWORD = 'S7r0ngP@ss!';  
        GRANT SELECT ON DATABASE::MyDB TO webuser;  

        四、终极防御

        风险	解决方案
        暴力破解	启用账户锁定：secpol.msc → 账户锁定策略
        数据泄露	全盘加密：Manage-bde -on C:
        0day漏洞	停用老旧系统 → 迁移至Server 2022

        紧急响应命令：

        # 一键阻断攻击IP  
        Get-NetTCPConnection | Where {$_.RemoteAddress -eq '1.2.3.4'} | Stop-Process -Id {$_.OwningProcess} -Force  

        安全铁律：

        • 🔒 每日备份：wbadmin start backup -backupTarget:E: -include:D:\WebRoot

        • 🛡️ 服务分离：Web 与 DB 独立部署，数据库禁用公网IP