Win 2003 Server 服务器安全设置(六)本地安全策略

第6章实现组策略本章概述本章节主要是和大家介绍了实现组策略的知识和技能。

通过本章节的学习，我们可以了解Microsoft® Windows® Server 2003 环境中组策略的用途和功能，以及如何使用和管理组策略对象（GPO，Group Policy Object）。

教学目标●掌握使用本地组策略对象的方法。

●掌握在域上实现组策略对象的方法。

●掌握管理组策略部署的技能。

教学重点●组策略是进行Windows Server 2003管理的最常用的方法，学习好组策略才能真正的发挥Windows Server 2003的功效，掌握本地组策略和域上组策略非常重要。

●组策略制定好了，最重要的是能部署到每一个需要被管理的机器和用户上，所以光有一个好的策略是没用的，掌握好部署的技能也非常重要。

教学难点●组策略的内容对于整个Windows Server 2003的管理来说，是重点也同样是难点。

所以对于本章节的内容，都需要耐心讲解。

先修知识建议学时课堂教学（2课时）+实验教学（1课时）教学过程总结经过本章的学习，我们了解了下列的知识和内容：●掌握使用本地组策略对象的方法。

●掌握在域上实现组策略对象的方法。

●掌握管理组策略的部署的技能。

在第7章中，我们将学习使用组策略管理用户环境的知识，了解如何使用Windows Server 2003进行实现使用组策略管理用户环境。

随堂练习1．你是活动目录域的管理员。

网络中只有一个域，所有域服务器安装Windows Server 2003系统。

所有3500个用户账户保存在默认用户容器中。

所有用户的部门属性都已经设置好。

你现在需要将所有部门属性设置为Sales的账户放在Sales OU中。

由于时间紧急，你希望自动完成添加过程。

你应当执行哪两个步骤？A.使用适当的命令参数运行dsmod命令B.使用适当的命令参数运行dsget命令C.使用适当的命令参数运行dsquery命令D.使用适当的命令参数运行dsmove命令E.使用适当的命令参数运行dsrm命令F.使用适当的命令参数运行find命令答案：C，D分析：使用Dsmove命令行工具可以重命名和移动活动目录中的对象。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

win2003server组策略设计方案-回复Win2003Server组策略设计方案引言组策略是Windows操作系统中一种非常强大的管理工具，它可以通过统一的方式集中管理网络中的计算机和用户。

在Win2003Server中，组策略可以应用于域中所有计算机和用户，通过定义和配置适当的组策略对象（GPO），管理员可以实现对不同用户、计算机和组织单元（OU）的灵活控制。

本文将详细介绍Win2003Server组策略设计方案，并提供一步一步的指导。

一、环境设计在开始组策略设计之前，我们需要考虑和了解现有的环境和需求。

以下是一些需要考虑的方面：1.1 网络拓扑了解网络拓扑对组策略设计非常重要。

网络拓扑可以包括域林的结构、域的数量和位置、域之间的信任关系等。

1.2 用户需求根据不同用户的角色和需求，我们可以对他们应用不同的组策略。

例如，可以设置某些用户只能使用特定的应用程序，而其他用户则可以使用更多的应用程序。

1.3 安全需求了解安全需求可以让我们根据实际需要设计合适的组策略。

例如，对于具有更高权限的管理员账户，可以设置更严格的安全策略，如密码复杂度要求和账户锁定策略。

二、设计和配置组策略在了解环境和需求之后，我们可以开始设计和配置组策略。

以下是一些重要的步骤和注意事项。

2.1 基于角色和需求的策略设计根据用户角色和需求，我们可以将用户分组，并为每个组应用适当的组策略。

例如，可以创建一个"销售"组，为该组用户应用一组与销售相关的策略，如设置销售软件的访问权限和设置销售人员的桌面背景。

2.2 配置组策略可以通过组策略管理工具（GPMC）来配置组策略。

打开GPMC，展开"域"节点，右键单击"组策略对象"，并选择"新建"。

根据需要，可以创建多个组策略对象，并将它们链接到相应的域、OU或站点。

2.3 设置组策略设置对于每个组策略对象，可以设置多个组策略设置。

现在说第二篇:注册表修改删除不安全组件禁用无关服务.(1)服务器安全设置篇(3-1) - 入侵方法介绍端口限制磁盘权限设置(2)服务器安全设置篇(3-2) - 注册表修改删除不安全组件禁用无关服务(3)服务器安全设置篇(3-3) - 网站WEB目录权限 SQL SERVER2000设置(4)服务器安全设置篇(3-4) - 备份杀毒审计1注册表是啥东西?注册表包含Windows 在运行期间不断引用的信息，例如，每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,也只是随便说说,改注册表,,限一些东西而已点击"开始" -- "运行" -- "regedit" -- "确定"就可以打开注册表了..(1).关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled” 数据为默认值“0”(0在十六进制,十进制都是一样) 如图:(以下就不做图例了,差不多的.看看也懂.)(2).禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous” 数据值为“1” [2003默认为1](3).禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareServer” 数据值为“0”(4).禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareWks” 数据值为“0”(5).通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”值名为“SynAttackProtect” 数据值为“1”2.禁止dump file我的电脑>点击右键"属性">高级>启动和故障恢复把写入调试信息改成无。

Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

功能还可以！Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows2003服务器的安全性。

网络安全/2003 server 域密码策略设置解析在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。

在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。

问题：1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。

要求域用户的口令必须符合复杂性要求，且密码最小长度为7。

口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。

操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令。

（推荐使用这个）说明：2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。

命令格式如下：仅刷新计算机策略：gpupdate /target:computer仅刷新用户策略：gpupdate /target:user二者都刷新：gpupdate此命令也适用于，修改了域/OU上的组策略，欲对客户机或用户马上生效。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

计算机考试之三级网络技术模拟题及答案解析41选择题第1题：以下不是使用telnet配置路由器的必备条件的是______。

A.在网络上必须配备一台计算机作为telnet ServerB.作为模拟终端的计算机与路由器都必须与网络连通，它们之间能相互通信C.计算机必须有访问路由器的权限D.路由器必须预先配置好远程登录的密码参考答案：A答案解析：[解析] 在网络上的任意一台计算机，只要权限许可，都可以远程登录到路由器上，作为路由器的一个模拟终端，对它进行配置。

为了网络的安全，对远程登录的权限应严加限制，一般只允许网络管理员具有远程登录到路由器的权限。

选项B、C和D都是使用telnet配置路由器的必备条件。

A不是。

第2题：以下关于loopback接口配置的叙述中，错误的是______。

A.在路由器上，loopback接口没有与其他网络结点连接的物理链路B.loopback可以作为OSPF和RIP的router idC.在每台路由器上都配置有loopback接口，它永远处于激活状态D.loopback接口号的有效值为0～2 147 483 647参考答案：B答案解析：[解析] loopback是一个虚拟的接口，在路由器上，没有一个实际的物理接口与之对应，也没有与其他网络结点相连接的物理链路。

所以，A正确。

loopback 接口是不会被关闭的，即总是处于激活状态。

所以，C是正确的，D也是正确的，只有B是错误的。

loopback可以作为OSPF和BGP的router id，但是不能作为RIP的router id。

第3题：以下关于路由器结构的描述中，错误的是______。

A.路由器有不同的接口类型，可以连接不同标准的网络B.路由器软件主要有路由器的操作系统IOS组成C.lOS是运行在Cisco网络设备上的操作系统软件，用于控制和实现路由器的全部功能D.保存在闪存中的数据在关机或路由器重启时会丢失参考答案：D答案解析：[解析] 闪存是可擦写的，一般容量比较大，用来保存路由器当前使用的操作系统映像文件和一些微代码，还有备份的配置文件等。

win2003防火墙设置
Window2003设置防火墙的方法
一种就是我们最常使用的，也是一般意义上的Window防火墙。

如下图：通常的操作方法是，点击启用防火墙，但是注意要在“例外”里面把
一些常用的端口和软件排除出去，如远程桌面，80端口，FTP服务等。

开
启Window自带的防火墙后，服务器的IP一般就无法ping通了，这样也
就无法检测服务器的网络环境。

因此对于服务器管理人员来说，不建议开
启Window自带的防火墙。

第二种所谓的“防火墙”是TCP/IP筛选，可能有的人不知道在哪里。

这个项目也是在本地连接属性，点击Internet协议，点击属性，再点击
高级，点击选项，就看到这项了。

实例图如下：我们点击属性后，就可以
设置只允许某些端口访问服务器，这里的限制是很严格的。

如果服务器中
毒后对外发包，在这里设置很有效。

一般我们需要开启
20,21,80,53,1433,3306,3389等这些常用的端口。

除非特殊情况下，也
不建议开启TCP/IP筛选。

第三种是本地策略中的IP安全策略。

本地安全策略在控制面板->工
具中，如下图：在这里我们可以设置允许某一个IP或某一段IP访问我们
服务器，还可以设置只访问服务器的某一端口。

一般用于屏蔽某个端口或
允许某些特别IP访问这个端口，其他IP一律封锁。

IP安全策略一般都
是要启用的，建议使用专业公司制作好的策略文件直接导入。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

Windows2003密码策略设置密码对服务器安全是一个重要的部分，设置安全的密码和符合复杂度的密码是服务器安全保障的重要组成部分，在windows server2003系统的“账户和本地安全策略”中包括“账户策略”和“本地策略”两个方面，而其中账户策略又包括密码策略，账户锁定策略和kerberos|三个方面，下面我们重点介绍“密码策略”的设置。

密码策略的设置密码策略作用于域账户或本地账户，其中包含以下几个方面：1.密码必须符合复杂性要求2.密码长度最小值3.密码最长试用期限4.密码最短使用期限5.强制密码历史6.用可以还原的加密来存储密码下面来介绍本地计算机上配置密码安全策略的方法。

对于本地计算机本地账户，密码策略是在本地安全设置中进行的。

下面是具体方法。

第一部选择《开始菜单》—管理工具—本地安全策略菜单操作打开本地安全设置页面。

对于本地计算机中的用户“账户和本地策略”都是在这个管理工具中进行配置的。

如下图：第二部因为密码策略是属于用户策略范围，所以单击选择《用户策略》选项，然后再选择《密码策略》选项，在右面的窗口中将可以选择密码策略的详细配置项。

如下图：密码必须符合复杂性要求。

此安全设置确定密码是否必须符合复杂性要求，在更改或创建密码时执行复杂性要求。

如果启用此策略，密码必须符合下列最低要求：《1》不能包含用户的账户名，不能包含用户用户姓名中超过两个连续字符的部分《2》最少有6个字符长《3》必须包含一下字符中的三类字符英文大小字母A到Z英文小写字母a到z10个基本数字非字母符号如果永乐此项策略，而您的用户和密码不超过此要求时系统会提示报错。

如果报错了，您可能回想自己写的密码已经满足了密码策略的要求。

因为你所写的密码可能包含了以上四种中的三种，如果达不到密码复杂性的要求。

更改或者是创建密码时，会强制执行密码复杂性的要求。

默认情况下，在服务器上执行是禁用的。

这个选项的配置方法是双击《密码复杂性的要求》选项打开对话框。

2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般入侵，需要高级服务器安全维护，请联系我。

我们一起交流一下！做为一个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的密码一定要强壮！服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。

)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

Win-2003-Com+服务器配置Win-2003-Com+服务器配置在企业信息化建设的过程中，服务器的配置是至关重要的一环。

而Win-2003-Com+服务器作为一种成熟的服务器系统，其配置对于企业的运营效率和信息安全具有重要的影响。

本文将详细介绍Win-2003-Com+服务器的配置过程，并提供一些优化建议，以帮助企业充分利用该服务器系统的功能与优势。

一、硬件准备在进行服务器配置之前，首先要进行适当的硬件准备。

以下是Win-2003-Com+服务器的一些基本硬件要求：1.服务器硬件要求- CPU：至少2个物理处理器- 内存：建议最低为2GB，但实际应根据企业需求进行调整- 存储：至少2个物理磁盘，并配置RAID 1或RAID 5，以提高数据安全性和可靠性- 网卡：至少1个以太网卡，建议支持千兆以太网- 光驱：配备DVD-ROM或CD-ROM光驱2.其他硬件设备除了服务器硬件要求外，还需要准备以下设备：- 键盘、鼠标、显示器：用于服务器的控制与管理- UPS电源：用于保护服务器在电力故障时的安全关机- 网络交换机：用于连接服务器和其他设备二、操作系统安装成功配置Win-2003-Com+服务器的第一步是安装操作系统。

以下是安装过程的具体步骤：1.准备安装镜像文件获取Win-2003-Com+服务器操作系统的光盘或镜像文件，并将其存储在适当的位置。

2.设置启动顺序进入服务器的BIOS设置界面，将启动顺序设置为从光驱启动。

保存设置并重新启动服务器。

3.安装操作系统按照系统提示，选择合适的安装选项，指定安装目标磁盘并进行分区。

然后，系统将自动进行操作系统的安装。

4.安装驱动程序完成操作系统的安装后，安装相应的硬件驱动程序，以确保服务器的正常工作。

三、网络配置成功安装操作系统后，接下来需要进行网络配置，以确保服务器能够与其他设备正常通信。

以下是网络配置的基本步骤：1.设置IP地址访问服务器的网络设置界面，指定服务器的IP地址、子网掩码、默认网关和DNS服务器。