在我们接手一台装了Windows Server 2008 R2系统的VPS主机时，需要对其进行一些相关的设置，才能使其不至于很容易地就被入侵。下面我们就来看一下如何对一台VPS主机进行设置。

用户账号及密码

1. Windows Server 2008系统装好之后默认开启的账号只有Administrator，这是Windows系统的超级管理员账号，由于权限较大，也就存在不小的风险，我们应该对其进行一些设置，以降低安全风险。我们可以这样设置：选择 单击 开始→运行 ，在弹出的运行对话框中输入 gpedit.msc 打开本地组策略编辑器，依次展开 计算机配置→Windows设置→安全设置→本地策略→安全选项 ，在左侧最下方找到 账户：重命名系统管理员账户，输入不容易被恶意攻击者轻易就能猜到的用户名，当然更重要的是给该账号设置一个复杂的密码，复杂密码的要求是包含数字、大小写字母和特殊符号四者中的至少三者，长度尽量要超过10位。这里一定不要在控制面板里改系统管理员Administrator，不起作用的；另一种做法是创建一个管理员账号，禁用Administrator账号。

2. 有时一些恶意攻击者会利用木马程序偷偷在计算机系统中恶意创建登录账号，以便日后可以利用该账号来对本系统实施非法攻击。为了及时监控本地系统中是否有新的账号被偷偷创建，我们可以利用Win2008系统的附加任务功能，针对系统帐号创建事件添加自动报警任务，确保系统中有新的登录帐号生成时，及时向系统管理员发出报警信息，确保系统管理员及时判断出新创建的登录帐号是否合法，步骤如下：在 运行 里输入secpol.msc命令，进入本地安全策略设置界面，从该窗口的左侧位置展开：安全设置→本地策略→审核策略 选项，再从目标节点下面找到 审核帐户管理 组策略选项，再打开的对话框中，将该对话框中的 成功、失败 选项全部选中，再单击 确定 按钮保存好上述设置操作，再打开系统的计算机管理对话框，在该对话框的左侧显示区域依次点选 服务器管理器配置→本地用户和组→用户 选项，同时用鼠标右键单击该选项，并执行快捷菜单中的 新用户 命令，在其后出现的新用户创建对话框中，随意创建一个用户账号，一旦创建成功后，系统就会自动生成一个登录账号创建成功日志记录，接着单击 开始→管理工具→事件查看器 选项，打开事件查看器控制台窗口，从该控制台窗口的左侧位置处依次点选 Windows日志→系统 分支选项，并从目标分支下面找到刚刚生成的新用户账号创建成功的日志记录，再用鼠标右键单击该记录选项，同时执行右键菜单中的“将任务附加到此事件”命令，在接下来的设置里，可以通过邮件或者显示消息，在账号被创建时及时的通知系统管理员，这样就一定程度的提高了系统的安全等级。
   
   3. 设置密码锁定策略：在 运行 里输入gpedit.msc，之后定位 计算机配置→Windows设置→账户策略→密码策略→账户锁定策略，在右侧双击 账户锁定阀值，输入你希望的数字，这样系统就会在几次输入密码错误后锁定该账号。

修改远程桌面的设置

Windows系统远程桌面使用的默认端口号是3389，Windows Server 2008系统默认安装是关闭了远程桌面的，我们在对VPS主机进行管理的时候，用的就是这个远程桌面这个功能，而这个端口也是存在一定风险的，我们可以修改成其他的端口，过程如下：在 运行 里输入regedit，打开注册表编辑器，定位到如下位置HKEY\_LOCAL\_MACHINE-SYSTEM-CurrentControlSet-Control-TerminalServer-Wds-rdpwd-Tds-tcp，找到PortNumber，将其十进制默认值3389改成2000以后的端口号，例如62313，再定位到HKEY\_LOCAL\_MACHINE-SYSTEM-CurrentControlSet-Control-TenninalServer-WinStationsRDPTcp，在左侧找到PortNumber，将其十进制值改成和上面一样，修改了远程桌面端口号以后，就是在 高级安全Windows防火墙 里面设置放行规则了：打开 高级安全Windows防火墙，在 入站规则 点右键，新建规则，在弹出的 新建入站规则向导 对话框里我们选择 端口，直接点击下一步，之后输入刚才的端口号62313，一直下一步，最后为该规则取一个容易识别的名字即可。之后我们就打开系统属性，在 远程 标签页，选择最下面的 仅允许运行使用网络级别身份验证的远程桌面的计算机连接（更安全）(N)，选择 选择用户，之后将你创建的管理员账号添加进去，这里要注意，如果你使用的客户端系统是Windows XP，有可能无法连接，要在该客户端上做些设置，或者在服务器端 远程 标签页选择 允许运行任意版本远程桌面的计算机连接（较不安全）(L)，最后，我们再在 高级安全Windows防火墙→入站规则 里找以 远程桌面 开头的两条规则，删掉它们。

默认共享

网上有不少说Windows系统的默认共享存在安全隐患建议关闭的，但也有人持不同看法，我们的看法是假设真的存在安全隐患，微软为什么让其一直都存在呢？即使是Windows Server 2008 web版也是开启了默认共享的。不过，这里也提供关闭该共享的方法：一是建立一个开机即启动的批处理文件，内容如下：

net share c$ /del

net share d$ /del

net share e$ /del

net share f$ /del

net share ipc$ /del

net share admin$ /del

视你的系统有多少个分区而定。另一种方法则是打开注册表编辑器，定位到 HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-LanmanServer-Parameters，新建 DWORD值 ，名为 AutoShareServer，数据值为 0.

139、445端口

Windows系统下的这两个端口，可以说是毁誉参半。在Windows Server 2008以前的系统，我们若想关闭这些端口，很多时候都是通过修改注册表来达到目的，但Windows Server 2008在系统默认安装时就关闭了139端口，只开启了445端口用来与其他系统进行文件共享，如果我们用不到该功能，那么，我们也可以一并关闭它，操作如下：打开 高级安全Windows防火墙，选择 入站规则，在右侧找到 DFS管理(SMB-In)，点右键，选择 禁用规则 即可。另外说一句，Windows Server 2008的 高级安全Windows防火墙较之前的Windows防火墙改进真是还是不小的。

其他一些功能的设置

1. IE增强的安全配置：如果在服务器配置之初，有上网需要，比较的不方便，我们可以将其关闭，再在配置完成后，将其开启，步骤如下，打开 服务器管理器，之后在左上角选择 服务器管理器，在右侧找到 配置IE ESC，打开Internet Explorer增强的安全配置，之后选择你需要禁用的选项，确定即可。

2. Ping：Windows Server 2008默认安装是不响应外部主机的ping请求的，在服务器配置之初如果需要这个功能，那么，我们可以照如下操作启用该功能：打开 高级安全Windows防火墙，选择 入站规则，在右侧找到 文件和打印机共享（回显请求 – ICMPv4-In），点右键选择 启用规则 即可开启次功能。

3. 显示“关闭时间跟踪程序”：在服务器配置之初，该功能在我们每次重启或者关机的时候是相当的麻烦，这时我们可以先暂时的关闭它：在 运行 里输入 gpedit.msc，打开 本地组策略编辑器，定位 计算机配置→管理模板→系统，之后在右侧找到 显示“关闭时间跟踪程序”，打开它，选择 已禁用，确定，即关闭了该功能。