Window2003系统安全配置指南

一、 Windows 2003安全配置确保所有磁盘分区为NTFS分区、操作系统、Web主目录、日志分别安装在不同的分区不要安装不需要的协议，比如IPX/SPX, NetBIOS?不要安装其它任何操作系统安装所有补丁（用瑞星安全漏洞扫描下载）关闭所有不需要的服务二、IIS的安全配置三、删除Windows Server 2003默认共享1、首先编写如下内容的批处理文件：@echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share admin$ /del以上文件的内容用户可以根据自己需要进行修改。

保存为delshare.bat，存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。

然后在开始菜单→运行中输入gpedit.msc‘回车即可打开组策略编辑器。

点击用户配置→Windows设置→脚本(登录/注销)→登录在出现的“登录属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。

重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了，这样就能将系统安全隐患降低到最低限度。

2、禁用IPC连接IPC$(Internet Process Connection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

它是Windows NT/2000/XP/2003特有的功能，但它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。

NT/2000/XP/2003在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。

Windows Server 2003安全设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator，并将其禁用b)创建一个用户账户并将其加入管理员组，日常管理工作使用这个账户完成2.启用账户锁定策略开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”3.创建一个日常登录账户通过Runas或者鼠标右键“运行方式”切换管理员权限4.修改本地策略限制用户权限开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”，限制从网络访问该服务器的账户二、服务器性能优化，稳定性优化1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始运行中输入:services.mscb)停止并禁用以下服务puter Browser2.Distributed Link Tracking Client3.Print Spooler（如果没有打印需求可以停止该服务）4.Remote Registry5.Remote Registry（如果没有无线设备可以停止该服务）6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新我的电脑右键属性——自动更新Windows Server 2003会自动下载更新，无须人为打补丁。

2.关闭端口，减少受攻击面（此处以仅提供HTTP协议为例）a)开始运行中输入cmd，运行命令提示符b)在命令提示符中输入netstat -an命令察看当前打开端口图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。

c)禁用TCP/IP 上的NetBIOS1.从“开始”菜单，右键单击“我的电脑”，然后单击“属性”。

漏洞发现：老寒组织名称:[[Kingdom China Team-中华帝盟安全小组]厂商名字：microsoft厂商地址：漏洞程序：windows2003服务器版漏洞类型：安全配置影响版本：Standard Edition，Enterprise Edition，Web Edition程序介绍: windos2003服务器安全配置我在写文章的时候查阅了不少资料不经常写文章重点我分不清楚大家就凑合着看吧总的来说还算是好文章（：一、安装篇1.win2003版本区别1）Windows Server 2003, Standard Edition （标准版）针对中小型企业的核心产品，他也是支持双路处理器，4GB的内存。

它除了具备 Windows Server 2003 Web Edition 所有功能外，还支持像证书服务、UDDI服务、传真服务、IAS 因特网验证服务、可移动存储、RIS、智能卡、终端服务、WMS和 Services for Macintosh。

支持文件和打印机共享。

提供安全的网络联接。

2）Windows Server 2003, Enterprise Edition （企业版）这个产品被定义为新一带高端产品，它最多能够支持8路处理器，32 GB内存，和28个节点的集群。

它是 Windows Server 2003 Standard Edition 的扩展版本，增加了Metadirectory Services Support、终端服务会话目录、集群、热添加（ Hot-Add）内存和 NUMA非统一内存访问存取技术。

这个版本还另外增加了一个支持64位计算的版本。

全功能的操作系统支持多达8个处理器。

提供企业级的功能例如8节点的集群，支持32GB 内存。

支持英特尔安腾Itanium 处理器。

将推出支持64位计算机的版本，可以支持8个64位处理器以及64GB的内存。

3）Windows Server 2003, Datacenter Edition （数据中心）像以往一样，这是个一直代表微软产品最高性能的产品，他的市场对象一直定位在最高端应用上，有着极其可靠的稳定性和扩展性能。

一、系统的安装1、系统补丁的更新2、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip 设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet 连接防火墙"，屏蔽端口，这样已经基本达到了一个IPSec的功能。

3、禁止ping（通过防火墙设置）4、修改3389远程连接端口修改注册表.开始--运行--regedit依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户安全设置1、禁用Guest账号设置复杂密码2、删除不必要用户3、把系统Administrator账号改名4、创建一个陷阱用户三、系统权限的设置１、磁盘权限系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全控制权限另将\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。

易用性和安全性的平衡——Windows 2003安全配置向导（SCW）作者：“在试图发现并利用网络或计算机系统中的每一个开放的端口，每一个细小的漏洞的过程中，黑客们对各种复杂的技术进行了细致的解剖。

在做这些事情的时候，他们就像神经外科专家做手术时那么精确。

”——ＪｏｅｌＳｃａｍｂｒａｙ微软公司在设计和开发产品时是以最大限度的易用性为出发点的，正是因为这一点，它们才会如此地受到欢迎。

很多人都忽略了一个这样的事实：安全问题是一种“零和”游戏——越是容易使用的东西，对它进行安全防护所需花费的时间和努力也就越多。

如果把100%的安全性和100%易用性看做信息安全问题的两个极端，那么，100%的安全性就意味着0的易用性，而100%的易用性则相当于0安全性。

我相信微软不会一直玩着这个游戏，下面我们就用Windows 2003安全配置向导（SCW）来这一游戏规则吧。

剖析了解SCW近日微软终于发布Windows Server 2003中文补丁包SP1，除了对系统中存在的漏洞进行修补外，还新增了一些实用功能，特别是安全配置向导（Security Configuration Wizard，简称SCW）功能，它成为Windows 2003 SP1新增功能中的亮点。

安全配置向导（SCW）是一个新增的安全配置功能，它可以最大限度地缩小服务器的受攻击面。

其实做安全管理的人士都明白一个原则，已知的远程攻击手段都与系统中运行的服务有关，因此，只要阻断有关的访问通道或者禁用有关的服务，就不会给相关的攻击手段留下可乘之机。

利用SCW所提供的功能，网管能非常轻松地完成服务器角色的指定，禁用不需要的服务和端口，配置服务器的网络安全，配置审核策略、注册表和IIS服务器等工作，对巩固服务器的安全有极大的帮助。

同时，由于整个配置过程都是在向导对话框中完成的，无需繁琐的手工设置，非专业的安全管理人员一样可以顺利完成服务器加固工作。

开启SCW要使用SCW功能集成到Windows 2003系统的SP1补丁包，但做到这一步还暂时不能使用，我们要手动的开启SCW服务功能。

Windows2003安全配置标准系统补丁安装标准Windows 2003的与安全相关的补丁大致分三类：1.Service Pack（补丁包）： Service Pack 是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。

Service Pack 还可能包含自产品发布以来针对内部发现的问题的其他修复以及设计上的更改或功能上的增加。

Service Pack补丁包涵盖了自发布之前的所有补丁，是重要的补丁集合。

2.Security Patch（安全补丁）：Security Patch是针对特定问题广泛发布的修复程序，用于修复特定产品的与安全相关的漏洞。

Microsoft在发布的安全公告中将Security Patch分级为严重、重要、中等、低四个等级。

严重的安全补丁缺失，会造成蠕虫快速传播(如振荡波，冲击波)，对系统本身和网络造成重大影响，这类补丁需要及时应用到操作系统。

3.Hotfix(修补程序)：Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序，如果在最近发布的Service Pack后面，出现安全方面的漏洞，通常对应的补丁会以Hotfix修补程序的形式发布。

3.3.1补丁安装的原则•新安装或者重新安装windows2003操作系统，必须安装最新的Service Pack补丁集。

•必须安装等级为严重和重要的Security Patch。

•有关安全方面的Hotfixes补丁应当及时安装。

•最新的安全补丁发布与升级步骤，以公司内部网上提供的信息为准。

注意：补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。

3.3.2账号和口令安全配置标准3.3.2.1“密码策略”配置要求通过“本地安全策略”调整默认的“密码策略”，提高系统的安全水平，“密码策略”中各选项的具体要求如下表列举：第1页，共7页。

完整windows server 2003系统安全配置教程网上流传的很多关于windows server 2003系统的安全配置，但是仔细分析下发现很多都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端BT的2003服务器的安全配置，让更多的网管朋友高枕无忧。

我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重复了，现在我们着重主要阐述下关于安全方面的配置。

先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。

1.C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

（右击‘c盘——>属性’）Windows目录要加上给users的默认权限，删除everyone即可。

否则ASP和ASPX等应用程序就无法运行。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：“只要给我一个webshell，我就能拿到system"，这也的确是有可能的。

Windows 2003系统最完美的安全权限设置方案（转）我在电信局做网管，原来管理过三十多台服务器，从多年积累的经验，写出以下详细的Windows2003服务系统的安全方案,我应用以下方案，安全运行了二年，无黑客有成功入侵的记录，也有黑客入侵成功的在案，但最终还是没有拿到肉鸡的最高管理员身份,只是可以浏览跳转到服务器上所有客户的网站。

服务器安全设置>> IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络 COM+ 访问（必选）|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务———Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）>> 在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

>>在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)>> IIS (Internet信息服务器管理器) 在"主目录"选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”>> 建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

windows2003安全配置大全windows2003安全配置大全一直以来，很少在网络上看到关于windows服务器管理的全方面的文章，即使是在windows网络安全设置方面，虽然网络上有着不少的关于这个方面的话题，但是这些文章当中并没有完全彻底的贯彻“最少的服务+最小的权限=最大的安全”这一原则，笔者由于前段时间工作于一家虚拟主机提供商,因工作需要对此进行了深入的探索。

本文所有的环境均是在windows 2000 adv server上测试，因此部分内容可能不适合于windows 2003系统，但是大部分内容是通用的。

这里我们以虚拟主机为例来探讨。

第一部分服务器安全设置安装之前的准备工作很多时候，一部分的安全问题在你将windows安装光盘放入光驱中的时候就已产生，所以，在安装之前我们必须做好一些必要的准备工作。

主要包括安装源和物理介质的安全检查以及服务器的安全规划。

这部分内容主要包括以下几个方面：1.确保你的安装光盘没有任何问题，这里所说的是指光盘内容没有经过第三方加以修改和光盘没有遭到物理损坏。

对于刻录的安装光盘请确认你的源文件安全可靠，尽量使用集成了SP4的安装光盘，以减少后面打补丁的工作量。

2.确保你的硬盘没有任何问题，请尽量使用新硬盘，对于使用过的硬盘应先进行低级格式化。

无论新旧硬盘需要确认硬盘本身没有遭受到病毒感染。

3.规划好系统安装过程与服务器的所需要的程序、服务等并准备好这些安装程序且确保这些安装程序没有任何问题，尽量使用官方提供的安装程序。

规划好硬盘的分区以及各分区的功用。

分区方案建议分四个分区，将系统存放在C盘，应用程序放在D盘，备份文件和一些重要的日志等放在E盘，用户站点等放在F盘中，尽可能少的向系统盘写入非系统文件以减少系统备份的工作量，至于各分区的容量视情况而定。

不要安装任何多余的程序或组件，遵循“最少的服务+最小的权限=最大的安全”原则。

4．完成之后以上工作，对bios进行所需的相关设置，便可以进行安装了，如需要做raid，则需要在安装前完成raid的设置工作。

windows2003主机最安全设置（原创）系统安装windows2003advserver版本,mcafree 8.0 企业版病毒防火墙,serv-u6.0,mdaemon系统得分区：至少3个区，c,d,e 推荐建立三个逻辑驱动器，第一个用来装系统和重要的日志文件；第二个放IIS；第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件系统管理：Terminal Service(修改端口)互补，如PcAnyWher,remoadmin安装顺序的选择安装系统前拔掉网线，先安装好后打补丁sp1，在设置本地安全策略IPSec，安全日志，密码策略等等1. 安全日志设置2. 管理工具－服务设置用stimulant.exe工具调整为高级模式保持确定退出3.目录和文件权限：为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。

在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。

在进行权限控制时，请记住以下几个原则：1>限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；2>拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。

所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；3>文件权限比文件夹权限高4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；取消C<D<E<F驱动盘得everyone权限改为user组。

Windows Server 2003 (企业版32位)系统安全设置系统中最多装一个杀毒软件和RAR解压缩工具和很小的一个流量监控软件。

其他的无关软件也一律不要安装，甚至不用装office。

多一个就会多一份漏洞和不安全隐患。

开启系统自带防火墙是正确有效的防护，请相信微软的智商。

通过以下基本安全设置后，加上服务器管理员规范的操作，服务器一般不会出现什么意外了，毕竟我们的服务器不是用来架设多个WEB网站的，造成漏洞的可能性大大降低。

当然，没有绝对的事，做好服务器系统和OA数据备份是必须的。

如果对以下操作不太熟悉，建议先在本地机器练练，不要拿用户服务器测试，以免造成其他问题。

另赠送32位和64位的系统解释：windows server 2003 32位和64位操作系统的区别问：1、windows server 2003 32位和64位操作系统的区别2、32位windows server 2003是否可以用在两路四核E5410 2.33GHz处理器和4x2GB内存上答：1、32位和64位的差别在于如果你的CPU是64位的，64位的OS能够完全发挥CPU的性能，而不需要使CPU运行在32位兼容模式下。

2、32位windows server 2003可以用在两路四核E5410 2.33GHz处理器和4x2GB内存上，通过PAE 模式也可以支持4G以上内存。

另外补充一下，Windows Server 2003的硬件支持特性并不是由32位或64位来决定的，而是由OS本身的版本来决定的。

以Windows Server 2003为例，标准版可以支持的最大CPU数为4路，最大内存数为4G，而企业版则可以支持最大CPU数8路，最大内存数32G。

回正题：(一)禁用不需要的服务Alerter 通知选定的用户和计算机管理警报。

Computer Browser 维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。

Error Reporting Service 收集、存储和向Microsoft 报告异常应用程序崩溃。

服务器系统环境配置操作手册V1.14编制说明及要求：编制本手册，是为了将运维的工作标准化、制度化，彻底避免操作层面上的错误以及人为的失误对业务正常运行的影响。

将本操作流程作为操作的标准严格执行，要细化到对操作系统有简单了解但不是专业技术人员可以按照执行的程度。

本手册根据Windows2003、IIS、SQL Server2000环境编写，有新的系统及应用环境时应及时补充和修改本手册。

如需对本手册修改，须经部门经理批准。

操作系统安装流程：1．备份数据到移动硬盘或其他服务器上2．断网3．服务器接软驱，将RAID驱动盘放入软驱SCSIRAID卡驱动光盘路径：Intel SRCZCRX:2000X:\Drivers\Windows\Win20002003X:\Drivers\Windows\Win2003Adaptec 2010S:2000X:\PACKAGES\WIN_2000\DRIVERIntel 7520:2000X:\Drivers\SATARAID\WindowsIntel 7501:2000 X:\...\ADPT_win_HostRAID_1.02.63_Alertutility.exe使用光盘新建raid驱动软盘的方法：将以上路径下文件直接copy至软盘。

注：各服务器RAID卡类型见机历本。

这一步可以不做.4．设置光盘启动，将win2003安装光盘放入光驱启动5．按F6进入RAID驱动安装界面，然后按S，然后回车这一步可以不做.6．格式化C盘为NTFS格式，开始安装系统C盘大小划分为10GB。

7．选择需要安装的组件和服务，安装时只选择需要的最小的安装不要安装Indexing Service(索引服务)安装IIS时只安装：Internet服务管理器、Word Wide Web服务器、公用文件注意要安装.NET组件。

并且不要安装2.0版本.设置administrator初始密码为：topsun按照命名规范设置机器名，记录于机历本，机器名与机器ID对应。

实验Windows 2003的安全配置实验目的1. 学会用户的建立及安全设置2. 学会对文件夹的权限配置3. 掌握设置安全审核的方法4. 学会分析计算机的系统信息。

5. 学会设置错误调试器及诊断信息的方法。

实验环境Windows Server 2003操作系统。

实验工具Windows Server 2003操作系统。

实验内容任务A Windows 2003的权限配置与安全审核一、建立一个拥有超级用户权限的用户，替代Administrator的权限1. 单击“开始”→“设置”→“控制面板”→“管理工具”→“计算机管理”，弹出“计算机管理”控制台窗口。

2. 双击左边目录树结构中的“本地用户和组”选项，右击“用户”→选择“新用户”，弹出“新用户”对话框。

3. 在“用户名”文本框中输入新用户的名称，如“Admin”，单击“创建”按钮，“关闭”按钮。

4. 单击目录树的“用户”选项之后，在右侧窗格即可看到新建的用户Admin。

5. 右击“Admin”→“属性”，弹出“Admin属性”对话框→“隶属于”选项卡→“添加”，弹出“选择组”对话框。

6. 单击“高级”按钮→“立即查找”按钮，选择“搜索结果”列表中的所有用户，两次单击“确定”按钮。

此时，Admin用户就成为了超级用户，替代了Administrator的权限。

二、Administrator账号更名和禁用Guest账号1. 单击目录树的“用户”选项，在右侧窗格中右击“Administrator”用户→“重命名”→输入新名字，如“A”，回车确认。

2. 单击目录树的“用户”选项，在右侧窗格中右击“Guest”用户→“属性”→“属性”窗口中，选择“帐户己禁用”→“确定”。

三、关闭默认共享1. 双击目录树的“共享文件夹”选项，单击“共享”，可以在右侧窗格看到当前系统中所有被设置了共享的文件夹。

注意：所有分区的根目录都会被自动设置为共享，而且即使取消了共享设置，在重新启动计算机后，共享会重新出现，这样对服务器的安全就会造成严重的威胁，所以需要禁止这些默认共享。

2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般入侵，需要高级服务器安全维护，请联系我。

我们一起交流一下！做为一个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的密码一定要强壮！服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。

)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。