Windows服务器安全性检查

问题现象：
1.服务器非常卡，CPU占用100%，结束后还是这样（如图）；
2.客户机有时候卡DHCP。
排查：
1.检查服务器安全策略：发现没有屏蔽局域网的高危端口；

2.检查用户名：发现有一个陌生的用户名；

3.检查系统日志：发现很多登入   审核失败   密码错误，应该是有人一直在爆破密码；



4.检查服务器上还有没有别的远程软件
发现安装了radmin,维护大师，检查这两款软件的远程日志，发现并没有什么异常
我们要看异常与否，结合，时间，密码错误，文件传输这些日志来排查
经过询问，他的用户名，端口都是修改过的。影子被爆还是
渺小的，被爆的，都是4899默认端口的。所以修改端口是必要的。
5.安装杀毒软件进行排查
通过安装杀毒软件扫描后发现，很多异常进程，进程路径也很异常，在字体目录下
结束了最占CPU的那个进程后，过一下又启动

6.检查异常服务
那个结束又自动启动，原来就是这个病毒，是以服务的形式启动



解决方法：

1.如果是正在营业，先找到最占CPU的进程，结束，然后找到路径，删除这个文件，然后安装杀毒软件，等人少的时候，直接重做系统；

2.屏蔽掉高危端口；

工作站：
TCP   25 135 139 593 1025 2745 3127 6129 3389 445   
UDP   25 135 137 138 445      
服务器 ：  
TCP 25 135 139 593 1025 2745 3127 6129 3389   
UDP 25 135 137 138

https://jingyan.baidu.com/article/0320e2c1de6d1d1b87507b88.html

3.远程工具，建议只选择一样，然后把密码设置非常复杂，端口  用户名，都不要用默认的；

4.只要发现任何病毒，建议直接重做系统。






转自@  http://www.clxp.net.cn/thread-15303-1-1.html