服务器安全性

安装2003系统，所有磁盘选择NTFS分区。

打sp1补丁，修补系统漏洞（推荐使用【瑞星卡卡上网安全助手】扫描系统漏洞）。 IIS6.0的安装

开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件

应用程序———（必选）

|——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）

|——公用文件（必选）

|——万维网服务———Active Server pages（如果发布asp程序，必选）|——Internet 数据连接器（可选）

|——WebDA V 发布（可选）

|——万维网服务（必选）

|——在服务器端的包含文件（可选）

关闭不需要的端口

在『网络连接』里，把不需要的协议和服务都删掉，安装基本的Internet协议（TCP/IP）。卸载【Microsoft 网络客户端】与【Microsoft网络的文件和打印机共享】两个协议后，重启服务器。如果服务器上已经安装sql server数据库，服务器会报一个系统错误，在事件查看器中找到该错误来源为MSSQLServer，事件ID为19011。产生这个错误的原因是随服务器启动的sql server的服务（除SQL Server服务外的三个），如果这三个服务不需要，可以停止它们随服务器自动启动。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS （S）"。

开启windows2003自带防火墙。

修改3389远程连接端口。开始--运行—regedit，依次展开

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP，右边键值中PortNumber 改为你想用的端口号.注意使用

十进制(例9358 )。

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINA L SERVER/WINSTA TIONS/RDP-TCP/，右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例9358)。

重新启动服务器，设置生效。

注意：开放新设置的端口，如9358。

开放需要的端口。Windows2003防火墙—高级—本地连接—设置中，添加开放的端口。

我的电脑—属性—远程—启用这台计算机上的远程桌面。

用户安全设置

帐号密码。下面涉及到的帐号密码均设置成强密码，即由大小写字母、数字、特殊符号等组成的无规律的20位以上（推荐）密码。测试密码强度，访问页面/protect/yourself/password/checker.mspx。

禁用Guest帐号。在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。

把系统Administrator账号改名，并创建一个陷阱用户。在运行中输入gpedit.msc，如图：

修改Administrator账号名称。然后创建一个没有任何权限的帐号Administrator，设置复杂密码，加入到Guests组。禁止用户更改密码。

不让系统显示上次登录的用户名。默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。

系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、文件只给Administrators 组和SYSTEM 的完全控制权限

删除c:\inetpub目录。

本地策略——>审核策略。

本地策略——>用户权限分配。关闭系统：只有Administrators组其它全部删除，通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除。通过终端服务拒绝登陆：加入ASPNET、IUSR_ 、IWAM_、NETWORK SERVICE。

开启用户策略。使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

本地策略——>安全选项。

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命名管道全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

禁用不必要的服务。TCP/IPNetBIOS Helper、Server、Computer Browser、Task scheduler、Messenger、Distributed File System、Distributed linktracking client、Error reporting service、Microsoft Serch、NTLMSecuritysupportprovide、NTLMSecuritysupportprovide、PrintSpooler、Remote Registry、Remote Desktop Help Session Manager、Workstation。以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。