Windows_Server_2003_安全设置手册

Win 2003 Server 服务器安全设置（七）服务器安全设置之--本地安全策略设置
安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除
C、本地策略——>安全选项
交互式登陆：不显示上次的用户名启用
网络访问：不允许SAM帐户和共享的匿名枚举启用
网络访问：不允许为网络身份验证储存凭证启用
网络访问：可匿名访问的共享全部删除
网络访问：可匿名访问的命全部删除
网络访问：可远程访问的注册表路径全部删除
网络访问：可远程访问的注册表路径和子路径全部删除
帐户：重命名来宾帐户重命名一个帐户
帐户：重命名系统管理员帐户重命名一个帐户。

Windows server 2003安装和设置过程
开始安装了，可能直接进去或提示press any key key to boot from CD
第一种情况开始安装，第2种按任意键即可
如果没有进去，请重新设定BIOS
这是引导之后的情况，如果是正版提示欢迎画面后按ENTER，我用的是雨林木风
按C建立分区，按D删除分区
格式化（如果是已经建立并且空间足够的就可以不格式化）复制文件
重启之后进入Windows 2003继续安装，如果是正版按照提示输入用户名，密码，时间日期等等，我的雨林木风只需要等
重启之后进入系统，提示“管理您的服务器”，点下面的“登陆时不要显示此页”再关闭即可
进入“开始，程序，管理工具，服务”，打开“themes”属性，选择“自动”，应用，再点“启动”就可以换主题了
然后进行本地安全设置，取消密码复杂性设置
进入“开始，程序，管理工具，本地安全策略”，在“帐户策略，密码策略”里面
接下来取消CTRL+ALT+DEL登陆
在本地安全选项窗口里面，选择“本地策略，安全选项”，启动”不需要按CTRL+ALT+DEL“登陆
接下来，右击桌面，属性，设置，高级，疑难解答，把”硬件加速"拖到“完全”
接下来，如果你因为“本地安全策略”设置了密码，现在就可以删除了
按CTRL+ALT+DEL选“更改密码”，就可以更改了
接下来就可以像XP一样进行软件和驱动安装了，驱动程序可以用XP的。

WindowsServer2023安全配置1. 启用防火墙：Windows Server 2023内置了防火墙功能，用户可以通过配置防火墙规则来限制网络流量，防止恶意攻击和未经授权的访问。

2. 更新系统补丁：定期更新Windows Server 2023的系统补丁和安全更新，以修复已知的漏洞和安全问题。

3. 安装安全软件：安装杀毒软件、防火墙和其他安全工具，确保系统的安全状态。

4. 配置用户权限：合理配置用户权限，限制用户对系统和应用程序的访问权限，降低被恶意软件攻击和非法访问的风险。

5. 使用加密通信：启用SSL/TLS协议，使用HTTPS协议访问网页，使用加密协议进行远程访问等，以保障通信内容的机密性和完整性。

6. 启用安全审计：通过启用Windows Server 2023的安全审计功能，记录关键事件和活动，帮助追踪和排查安全问题。

7. 加强远程访问控制：对远程访问进行认证和授权管理，使用VPN等安全通道进行远程访问，提高远程访问的安全性。

8. 设定密码策略：设置密码复杂度要求、密码过期策略、账户锁定策略等，加强账户和密码安全管理。

综上所述，通过合理的安全配置，用户可以提高Windows Server 2023系统的安全性，降低面临的安全风险。

同时，用户也需要定期对系统进行安全评估和漏洞扫描，及时更新安全策略，以应对不断变化的安全威胁。

9. 数据备份与恢复：配置定期数据备份和灾难恢复策略，确保在系统遭受攻击或数据丢失时能够及时恢复数据。

备份数据应存储在安全可靠的地方，并进行加密保护，以免被恶意攻击者获取。

10. 关闭不必要的服务：在Windows Server 2023上，往往会默认安装一些不必要的服务和功能，这些服务可能会成为潜在的安全隐患。

建议管理员进行分类评估，关闭那些不必要的服务和功能，以减少系统的攻击面。

11. 加强身份验证：采用多因素身份验证(MFA)作为访问系统的标准，确保只有经过授权的用户才能够成功访问系统。

一、安装补丁安装好Windows 2003操作系统之后，在托管之前一定要完成补丁的安装，配置好网络后，最好安装上SP1，然后点击开始选择Windows Update，安装所有的关键更新。

二、安装杀毒软件目前的杀毒软件种类很多，其中瑞星、诺顿、卡巴斯基等都是很不错的选择。

不过，也不要指望杀毒软件能够杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决，这样比较好，比筛选更有灵活性，桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置，把服务器上面要用到的服务端口选中，例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389），在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号，如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。

注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

1、权限设置的原理1）WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。

在开始→程序→管理工具→计算机管理→本地用户和组，管理系统用户和用户组。

2）NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。

文件（夹）上右键→属性→安全，在这里管理NTFS文件（夹）权限。

3）IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

3、密码永不过期：在系统默认的情况下windows server2003用户帐户可使用密码最长为42天，选择该项的用户密码可以突破该项继续使用。

4、用户不能更改密码：密码是系统内定用户不可随意更改
.5、删除用户帐户myuser3：开始－控制面板－计算机管理－本地用户和组－右击myuser3
4、将mygroup2重命名为mygroup3：右击mygroup2选择重命名
5、将myuser1从中移除：双击mygroup3－点击myuser1－点击删除
6、删除组帐户mygroup3：右击mygroup3 －删除
2、密码必须符合复杂性要求：密码要包含至少6个字符，要含有英文大小写和10个基本数字和非字母字符
3、密码长度最小值：可以设置１到14中的某个值，若将字符设置为0可设置不需要密码
4、密码使用期限：可设置0到998的某个值，设为0表示要立即修改密码，密码默认的最长有效天数是42天，最短为0天
5、强制密码历史:该用户所使用的新密码不可以使用与该账户所使用的最近多少旧密码一样账户锁定安全设置：
1、账户锁定阈值：用户输入密码的期限设置，如超过所设定的值系统会锁定，可设范围为
0到999
2、账户锁定时间：如用户账户被锁定过多长时间可再次登陆
《操作系统》实训报告。

Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

功能还可以！Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows2003服务器的安全性。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

Windows Server 2003内置防火墙（ICF）配置方法ICF（Internet Connection Firewall，Internet连接防火墙）Windows Server 2003系统自带的防火墙工具一、启用ICF默认情况下，ICF并没有开启，我们需要手动启用它。

例如我们要启用“本地连接”的ICF，操作步骤如下：步骤一：右键点击“网上邻居”图标，执行“属性”命令，双击“本地连接”，接着点击“属性”，进入“本地连接属性”对话框。

步骤二：点击“高级”按钮切换至“高级”选项卡，勾选“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”选项，点击“确定”，这样即可开启ICF。

二、对ICF进行安全设置启用ICF后如果不进行任何设置，那么该服务器的所有端口将被禁用，相应的服务也将被停止。

因此，我们需要对ICF进行必要的设置以符合我们的实际需要。

1.设置常规服务这里所说的常规服务是指我们常常用到的WWW、FTP等服务。

ICF在默认情况下提供了几种常用服务供我们设置。

点击“高级”选项卡中的“设置”按钮，进入“高级设置”对话框。

在“服务”选项卡中，提供了常用服务的列表，如果我们的服务器需要提供FTP服务，则只须勾选“FTP服务器”选项（图1），在打开的“服务设置”对话框中保持默认的计算机名即可（请勿在例外中进行设置，一定要在本地设置）图 12.设置非常规服务为了防止用户的不良访问，我们常常需要将一些常规服务的默认端口屏蔽掉，而采用一些非默认端口提供常规服务。

例如，我们可以使用6000端口提供WWW服务。

点击图1中的“添加”按钮，打开“服务设置”对话框。

在该对话框中添加相应信息，注意一定要在外部和内部端口号中添加“6000”（图 2），然后点击“确定”按钮。

这时即可在服务列表中看到刚刚添加的服务。

图 23.ICMP设置ICMP即Internet控制信息协议，我们最常用的Ping命令就是基于ICMP的。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统，它基于 Windows NT 的架构，具有非常好的稳定性、可靠性和安全性，适用于企业实施各种应用解决方案。

本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。

安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤：1.选择安装语言和安装选项，例如安装 Windows Server 2003 标准版或企业版等。

2.选择安装位置，可以选择已有分区上进行安装，也可以新建分区。

3.设置管理员密码，以保证服务器的管理安全。

4.完成安装后，系统会自动重启，启动时将进入 Windows Server 2003配置向导。

配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术：配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。

2.双击“Internet 协议(TCP/IP)”选项卡，进入“属性”对话框。

3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。

配置域名和 DNS1.在“控制面板”中选择“管理工具”，然后单击“DNS”。

2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名，也可以直接在“区域”下输入域名。

3.单击“新建区域”，输入相应的域名和 IP 地址。

可以在“区域域名”下找到设置的域名。

配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务)，并选择“FTP站点”。

2.选择“FTP 站点”，点击“属性”按钮。

3.在“FTP 站点属性”对话框中，单击“高级”选项卡，随后将 FTP 主目录配置为指定目录。

配置防火墙1.在“控制面板”中找到“安全中心”，单击“Windows 防火墙”进行防火墙的配置。

windows2003安全设置之改注注册表注册表包含 Windows 在运行期间不断引用的信息，例如，每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,只是改注册表,限一些东西而已.点击【开始】-"运行"-"regedit"- "确定"就可以打开注册表了.(1).设置关闭445端口HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters新建“DWORD值”值名为“SMBDeviceEnabled” 数据为默认值“0”(0在十六进制,十进制都是一样)如图:(2).设置禁止建立空连接HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa新建“DWORD值”值名为“RestrictAnonymous” 数据值为“1” [2003默认为1](3).设置禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parame ters新建“DWORD值”值名为“AutoShareServer” 数据值为“0”(4).禁止系统自动启动管理共享HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parame ters新建“DWORD值”值名为“AutoShareWks” 数据值为“0”(5).通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters 新建“DWORD值”值名为“SynAttackProtect” 数据值为“1”。

2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般入侵，需要高级服务器安全维护，请联系我。

我们一起交流一下！做为一个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的密码一定要强壮！服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。

)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

一、Windows Server2003 的安装1、安装系统最少两需要个分区，分区格式都采用 NTFS 格式2、在断开网络的情况安装好2003 系统3、安装 IIS，仅安装必要的 IIS 组件（禁用不需要的如 FTP 和 SMTP 服务）。

默认情况 下，IIS 服务没有安装，在添加/删除 Win 组件中选择“应用程序服务器” ，然后点击“详细 ，双击 Internet 信息服务(iis)，勾选以下选项：信息”Internet 信息服务管理器；公用文件；后台智能传输服务 (BITS) 服务器扩展；万维网服务。

如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions4、安装MSSQL 及其它所需要的软件然后进行 Update。

5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分析计算 机的安全配置，并标识缺少的修补程序和更新。

下载地址：见页末的链接二、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密 码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于 14 位。

2、新建一个名为 Administrator 的陷阱帐号，为其设置最小的权限，然后随便输入组合 的最好不低于 20 位的密码3、将 Guest 账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一 个 DelGuest 的工具，也许你也可以利用它来删除 Guest 账户，但我没有试过。

4、在运行中输入gpedit.msc 回车，打开组策略编辑器，选择计算机配置‐Windows 设置 ‐安全设置‐账户策略‐账户锁定策略，将账户设为“三次登陆无效” ， “锁定时间为 30 分钟” ，。

“复位锁定计数设为 30 分钟”5、在安全设置‐本地策略‐安全选项中将“不显示上次的用户名”设为启用6、在安全设置‐本地策略‐用户权利分配中将“从网络访问此计算机”中只保留 Internet 来宾账户、启动 IIS 进程账户。