環境

windows server 2012

原理

注冊表簡介:

注冊表（Registry，繁體中文版Windows操作系統稱之為登錄檔）是Microsoft Windows中的一個重要的數據庫，用于存儲系統和應用程序的設置信息。早在Windows 3.0推出OLE技術的時候，注冊表就已經出現。隨后推出的Windows NT是第一個從系統級別廣泛使用注冊表的操作系統

步驟

1.打開注冊表運行-- “regedit”

2.修改注冊表增強安全性

(1)禁用139端口

對于NT來說，通常139端口是開放的。黑客可以利用NETBIOS的漏洞和NT進行連接：net use [[本地ip地址]ipc$](http://49.123.82.67//xn??[ip]?lu4gc6iv59l/ipc$) “” /user:””這樣，黑客就具有了everyone組成員的權限，在NT中，目錄的默認權限就是everyone完全控制，這是十分危險的在運行命令regedit打開注冊表，打開HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA鍵

修改值為1，重啟計算機后生效。

(2)設置服務器端SMB版本進行認證

NT是使用SMB協議來進行資源訪問的，在進行連接的時候服務器和客戶端協商使用何種認證方式，默認情況下將采取客戶端的SMB版本，這是十分不安全的，必須改變。同樣在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA鍵，在LSA的右欄中，如果沒有就添加一個名為“Imcompatibilitylevel”，類型為REG_DWORD的鍵值，將其值賦為1。這樣在服務器和客戶端進行連接時，將采用服務器端的SMB版本。

我們還要設置SMB數據包的簽名以防止偽造的數據包在網絡中傳輸。打開注冊表，選取中的HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters項，如果沒有就添加一個名為“requiresecuritysignature”，類型為REG_DWORD的鍵值，將其值賦為1。

(3)禁用修改注冊表

有時我們不想他人隨意更改注冊表。首先在注冊表編輯界面中，找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies鍵值；然后在Policies鍵值的下面新建一個新建項，如果該主鍵已經存在，可以直接進行下一步；

接著在對應System主鍵右邊窗口的空白處再新建一個DWORD串值，并命名為DisableRegistryTools，把DisableRegistryTools的值設置為1即可。

(4)隱藏特定服務器

為了保證局域網中服務器上的資源不受其他人的非法訪問和攻擊，我們有時需要把局域網中指定的服務器計算機名稱隱藏起來，以便讓其他局域網用戶無法訪問到。

打開注冊表編輯器，并在編輯器對話框中用鼠標依次單擊如下分支：HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters鍵值。

用鼠標單擊該鍵值下面的Hidden數值名稱，如果未發現此名稱，那么添加一個，其數據類型為REG_DWORD，將值修改為1

(5)修改3389端口防止爆破

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，在右邊窗口找到PortNamber值，它默認值是3389，這樣我們可以修改成自己的想要的端口號，修改的時候要點十進制。

3.結束，關閉計算機