Windows_Server_2003_安全加固设置

Windows 2003服务器安全加固方案sql服务器安全加固安装最新的mdac()5.1 密码策略由于sql server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号。

新建立一个拥有与sa一样权限的超级用户来管理数据库。

同时养成定期修改密码的好习惯。

数据库管理员应该定期查看是否有不符合密码要求的帐号。

比如使用下面的sql语句：use masterselect name,password from syslogins where password is null5.2 数据库日志的记录核数据库登录事件的"失败和成功"，在实例属性中选择"安全性"，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。

5.3 管理扩展存储过程xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。

请把它去掉。

使用这个sql语句：use mastersp_d ropextendedproc ’xp_cmdshell’注：如果你需要这个存储过程，请用这个语句也可以恢复过来。

sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’ole自动存储过程(会造成管理器中的某些特征不能使用)，这些过程包括如下(不需要可以全部去掉：sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetpropertysp_oamethod sp_oasetproperty sp_oastop去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：xp_regaddmultistring xp_regkey xp_regvalue xp_regenumvaluesxp_regread xp_regremovemultistring xp_regwrite5.4 防tcp/ip端口探测在实例属性中选择tcp/ip协议的`属性。

清除“在这台计算机上启用分布式 COM”复选框。
注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
配置 IIS 服务：
1、不使用默认的Web站点，如果使用也要将 将IIS目录
可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0
如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行程序，并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。
访问注册表的存储过程，删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
设置和管理账户
1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

硬盘目录权限设置和删除不需要的目录1．C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了2．Windows目录要加上给users的默认权限，删除everyone即可。

否则ASP和ASPX 等应用程序就无法运行。

c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限，在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

3．删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击4．打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscrīpt.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey .exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限禁用不必要的服务Remote Registry服务[禁止远程连接注册表]命令：sc config RemoteRegistry start= disabledtask schedule服务[禁止自动运行程序]命令：sc config Schedule start= disabledserver服务 [禁止默认共享]命令：sc config lanmanserver start= disabledTelnet服务 [禁止telnet远程登陆]命令：sc config TlntSvr start= disabledworkstation服务 [防止一些漏洞和系统敏感信息获取]命令：sc config lanmanworkstation start= disabledError Reporting Service服务[禁止收集、存储和向Microsoft 报告异常应用程序]命令：sc config ERSvc start= disabledMessenger服务[禁止传输客户端和服务器之间的NET SEND 和警报器服务消息]命令：sc config Messenger start= disabledHelp and Support服务[禁止在此计算机上运行帮助和支持中心]命令：sc config helpsvc start= disabledNetwork Location Awareness (NLA)服务[禁止收集并保存网络配置和位置信息]命令：sc config Nla start= disabledSERV-U FTP 服务器的设置1.选中“Block "FTP_bounce"attack and FXP”。

限制命令权限
操作目的 检查方法 加固方法 限制部分命令的权限 使用cacls命令或资源管理器查看以下文件权限 建议对以下命令做限制，只允许system、Administrator组访问 %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\ %systemroot%\system32\at.exe 备注 可能会影响业务系统正常运行
安全配置windows2003和IIS

© 2011 绿盟科技
1 Windows Server 2003 安全加固 2 IIS 6.0 安全加固
Windows Server 2003安全加固
优化账号
操作目的 检查方法
减少系统无用账号， 减少系统无用账号，降低风险 开始->运行 开始 运行->compmgmt.msc（计算机管理）->本地用户和 运行 （计算机管理） 本地用户和 查看是否有不用的账号， 组，查看是否有不用的账号，系统账号所属组是否正确以及 guest账号是否锁定 账号是否锁定进行审核， 对系统事件进行审核，在日后出现故障时用于排查故障 开始->运行->secpol.msc ->安全设置->本地策略->审核策略 建议设置： 审核策略更改：成功 审核对象访问：成功，失败 审核系统事件：成功，失败 审核帐户登录事件：成功，失败 审核帐户管理：成功，失败

LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支，在右侧窗口中找到“restrictanonymous”子键，将其值改为“1”即可。
3．关闭自动播放功能
自动播放功能不仅对光驱起作用，而且对其它驱动器也起作用，这样很容易被黑客利用来执行黑客程序。
2．删除默认共享
单击“开始→运行”，输入“gpedit.msc”后回车，打开组策略编辑器。依次展开“用户配置→Windows设置→脚本(登录/注销)”，双击登录项，然后添加“delshare.bat”（参数不需要添加），从而删除Windows 2003默认的共享。
接下来再禁用IPC连接：打开注册表编辑器，依次展开[HKEY_
打开组策略编辑器，依次展开“计算机配置→Windows设置→安全设置→安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的如图所的窗口中，将可远程访问的注册表路径和子路径内容全部删除。
文章引用自：
打开组策略编辑器，依次展开“计算机配置→管理模板→系统”，在右侧窗口中找到“关闭自动播放”选项并双击，在打开的对话框中选择“已启用”，然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”，按“确定”即可生效。
4．清空远程可访问的注册表ห้องสมุดไป่ตู้径
将远程可访问的注册表路径设置为空，这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
Windows2003安全设置
Windows 2003以其稳定的性能越来越受到用户的青睐，但面对层出不穷的新病毒，你仍然有必要再加强Windows 2003的安全性。
1．用户口令设置
设置一个键的密码，在很大程度上可以避免口令攻击。密码设置的字符长度应当在8个以上，最好是字母、数字、特殊字符的组合，如“psp53,@pq”、“skdfksadf10@”等，可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。

维普资讯
：
强｜
。 一
பைடு நூலகம்
实 指 ｌ 务 ■ 战 南ｌ ｉ Ｂ ［ ÷ ∞
导 安全加固方案
意
哄电局 ，广东 江门 ５ ９ ０ ） ２２ ０
摘 要 ： 当 Ｗｎ ｗ ｉｏｓ ｄ
其 他 应 用场 合 ， 系 殊 文 件 的权 限设 置
系统 的安 全性 进 行
．，
羹
藿
蔓
ｏ Ｓ ｒ ｅ ２０ ｗｓ ｅ ｖ ｒ ０３
置 于 公 网之 中对 外提 供服 务 时 ， 面临 的安 全威胁 要 远 大 于
不 的 服 几 面何 Ｗ 必 系务个 对增ｉ 要 统 等 方 如 强ｄ ｎ
够 ， 需要 人 为加 １ 。该 文从 安 全 策略 、默 认共 享 的 清 除和 特 １ １
Ｋｅ ｗ ｏ ｄ ｙ ｒ ｓ： Ｗｉ ｎ ２００ ３； Ｓ ｃｒｔ ｅｕｉｙ； Ｎ ｔ ｒ Ｏｐｒｉｇ ｙ ｔ ｍ ｅ Ｗｏｋ ｅｔｎ Ｓ ｓｅ
本 文 主 要 探 讨 当 Ｗ ｉｄ ｗｓ ｅ ｖ ｒ ０３服 务 器 被 用 作 ｎ ｏ Ｓ ｒ ｅ ２ ０ Ｗ ｅ 、ＤＮＳ ＴＰ ｍａ ｌ ｂ 、Ｆ 、Ｅ ｉ 等服 务器 ，置 于 公 网之 中时 ，如 何 从 操 作 系统 设 置 方 面 来 增 强 其 安 全 性 。 系统 安 全是 一 个 系 统 工 程 ，需 要 方 方 面 面 的 密切 配 合 ，限 于 篇 幅 ，本 文 的 内 容
操作系统本身设置方面来讲 ，我们就 可以采用多种方法来增
强 Ｗ ｉｄ ｗｓ ｅ ｖ ｒ ０ ３系统 的 安 全 性 。 本 文 将分 别从 安 ｎ ｏ Ｓ ｒ ｅ ２ ０
全 策略、默认共 享的清除和特殊文件 的权 限设置 、注册表 的

"EnableICMPRedirects"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0
Win 2003 Server服务器安全设置
（五、六）服务器安全和性能配置
5、 服务器安全设置之--服务器安全和性能配置
把下面文本保存为:windows2000-2003服务器安全和性能注册表自动配置文件.reg运行即可。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000
任何IP地址-任意端口
灰鸽子-1026
阻止
UDP
1027
我的IP地址-1027
任何IP地址-任意端口
灰鸽子-1027
阻止
UDP
1028
我的IP地址-1028

Windows 2003 Server 服务器安全设置完整版第一步：一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389 21 80 1433（MYSQL）有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上然后添加你需要的端口即可。

PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效!还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。

所做FTP下载的用户看仔细点，表怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在\\system32\\drivers\\etc\\services中有列表，记事本就可以打开的。

如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

Win 2003 Server 服务器安全设置防御PHP木马攻击的技巧Win 2003 Server服务器是一种常用的服务器操作系统，然而，安全性始终是我们在使用服务器时需要重点关注的问题之一。

本文将向您介绍一些Win 2003 Server服务器安全设置中，防御PHP木马攻击的一些技巧。

一、安装最新版本的Win 2003 Server操作系统首先，为了确保服务器的安全性，我们需要安装最新版本的Win 2003 Server操作系统。

最新版本通常会修复许多安全漏洞，并提供更好的安全性保障。

同时，我们还需要确保操作系统的自动更新功能已开启，以获取最新的补丁和安全更新。

二、使用强密码保护服务器的登录账户其次，为了防止恶意用户猜测登录账户的密码，我们应该使用强密码保护服务器的登录账户。

一个强密码应该包含至少8个字符，并且包括字母、数字和特殊字符。

此外，为了增加密码的安全性，我们还应定期更换密码，以防止攻击者获取密码信息。

三、禁用不必要的服务和端口Win 2003 Server默认启动了许多不必要的服务和端口，这些服务和端口可能成为黑客攻击的目标。

为了增强服务器的安全性，我们应该禁用那些不必要的服务和端口，只保留必需的服务和端口，以减少攻击者的攻击面。

四、安装可信的安全软件安装可信的安全软件是防御PHP木马攻击的重要措施之一。

这些安全软件可以及时检测出服务器上的恶意代码，并进行相应的处理。

我们应选择那些具有实时监测和防御功能的安全软件，并定期更新其病毒库，以保持最新的恶意代码识别能力。

五、加强服务器的访问控制为了防止未经授权的访问，我们需要加强服务器的访问控制。

首先，我们应该限制服务器仅接受来自信任IP地址范围的连接。

其次，我们可以使用防火墙来过滤入站和出站的流量，只允许必要的网络服务通信。

此外，我们还可以设置访问控制列表（ACL）来限制特定用户或用户组的访问权限。

六、定期备份服务器数据定期备份服务器的数据对于防御PHP木马攻击至关重要。

Wind ows server2003服务器的安全配置以下是我服务器的安全配置情况,写得没好,请没要介意.也没要拿砖头砸我一.磁盘权限的设置c:\Administrators 完全控制System 完全控制Users 读取读取运行列出文件夹目录(为了让防盗链能正常运行)Guest 拒绝所有权限.并只应用到“只有该文件夹”C:\Documents and SettingsAdministrators 完全控制System 完全控制C:\Documents and Settings\All UsersAdministrators 完全控制System 完全控制C:\php读取读取运行列出文件夹目录C:\Program FilesAdministrators 完全控制System 完全控制C:\Program Files\Common Files\System把Everyone权限加上去，赋予读取读取运行列出文件夹目录权限C:\WINDOWSAdministrators 完全控制System 完全控制IIS_WPG 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”Users 读取读取运行列出文件夹目录,并应用到“只有该文件夹”C:\WINDOWS\system32Administrators 完全控制System 完全控制Everyone 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”搜索cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉！D盘看不到，不用管E:\Administrators 完全控制E:\webAdministrators 完全控制e:\web下面是网站目录，每个站点使用独立的匿名用户，这个不用多说了.F:\Administrators 完全控制f:\webadministrators 完全控制f:\web下面也是用户目录。

Windows Server系统安全加固1.1系统基础信息查看命令1.Windows微标键+R#打开cmd命令窗口2.winver#查看系统版本3.wmic os get ServicePackMajorVersion#查看系统SP版本号4.wmic qfe get hotfixid,InstalledOn#查看系统已安装的hotfix安全补丁5.hostname#查看系统所设置的主机名称6.ipconfig /all#查看系统中所有网卡的网络配置7.ipconfig /flushdns#清空本机的DNS缓存8.route print#查看Windows系统中的路由信息9.arp -a#查看Windows系统中的ARP缓存表stat -ano#查看Windows系统已开放的端口信息1.2安全补丁升级Windows操作系统从发布到生命周期结束的过程中会不断的曝出系统漏洞，微软公司就会不停的打补丁进行BUG和安全漏洞的修复，所以及时的更新系统补丁(尤其是安全补丁)对于系统安全性是非常有效的。

但是注意本项操作存在一定的风险，尤其是生产环境中，系统更新之后需要重启生效，需要选择一个合适的时间段进行；所以一般是在初始部署的时候进行系统版本和补丁更新，正式使用之后，建议关闭自动更新功能，后期只针对安全性漏洞进行手动打补丁。

如下图所示，找不到位置的可以直接搜索“更新”，点击“检查更新”按钮，如果微软官网有更新的补丁就会自动检测并安装。

1.3账号优化1.使用“compmgmt.msc”命令打开“计算机管理”，也可以右击“此电脑”选择管理在“工具”项中选择“计算机管理”。

统默认的、业务系统交互所必须的账户禁用，尤其是Guest账户。

3.禁用指定账户操作步骤如下图所示，也可以使用以下cmd命令行进行账户的禁用操作net user test /del #删除系统账户名称为test的账户net user xxxx /add #创建系统账户名称为test的账户net user test /active:yes #激活test账户net user xxxx /active:no #禁用test账户1.4账号锁定和密码策略优化通过密码策略的优化配置，增强系统密码的复杂度及账户锁定策略，可以极大的降低被暴力破解的可能性。

Windows Server 2003安全加固设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator,并将其禁用。

右击“我的电脑”,在单击“管理”，选择“本地用户和组"，选择“用户”，右侧窗口的“administrator”右击“重命名”“administrator”右击“属性”b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成。

操作步骤：在右侧窗口空白处右击鼠标，再单击“新用户”a)即可以用创建的“test"用户名和密码，赋予“test”用户管理员的权限，日常管理工作使用这个账户完成.当我们再次登录时，administrator用户无法登陆用“test”用户登录系统，才能成功,且“test”用户拥有管理员的权限。

思考：我们为什么要这么做？?2.启用账户锁定策略开始—-程序——管理工具—-本地安全策略-—账户策略——账户锁定策略-—设置“账户锁定阈值为3”3.修改本地策略限制用户权限开始——程序—-管理工具——本地安全策略——本地策略——用户权限分配—-设置“拒绝从网络访问这台计算机”，限制从网络访问该服务器的账户。

二、服务器性能优化，稳定性优化1.“我的电脑"右键属性——高级-—性能-—设置-—设置为“性能最佳”2.“我的电脑”右键属性——高级——性能-—设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始“运行”中输入:services.mscb)停止并禁用以下服务puter Browser 计算机浏览2.Distributed Link Tracking Client如果此服务被停用，这台计算机上的链接将不会维护或跟踪.3.Print Spooler（如果没有打印需求可以停止该服务)4.Remote Registry 远程注册表5.Remote Registry（如果没有无线设备可以停止该服务）6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新“我的电脑"右键“属性”--“自动更新"Windows Server 2003会自动下载更新，无须人为打补丁。

2003系统安全设置第一篇：2003系统安全设置Windows Server 2003(企业版32位)系统安全设置系统中最多装一个杀毒软件和RAR解压缩工具和很小的一个流量监控软件。

其他的无关软件也一律不要安装，甚至不用装office。

多一个就会多一份漏洞和不安全隐患。

开启系统自带防火墙是正确有效的防护，请相信微软的智商。

通过以下基本安全设置后，加上服务器管理员规范的操作，服务器一般不会出现什么意外了，毕竟我们的服务器不是用来架设多个WEB网站的，造成漏洞的可能性大大降低。

当然，没有绝对的事，做好服务器系统和OA数据备份是必须的。

如果对以下操作不太熟悉，建议先在本地机器练练，不要拿用户服务器测试，以免造成其他问题。

另赠送32位和64位的系统解释：windows server 200332位和64位操作系统的区别问：1、windows server 2003 32位和64位操作系统的区别2、32位windows server 2003是否可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上答：1、32位和64位的差别在于如果你的CPU是64位的，64位的OS能够完全发挥CPU的性能，而不需要使CPU运行在32位兼容模式下。

2、32位windows server 2003可以用在两路四核E5410 2.33GHz处理器和4x2GB内存上，通过PAE模式也可以支持4G以上内存。

另外补充一下，Windows Server 2003的硬件支持特性并不是由32位或64位来决定的，而是由OS本身的版本来决定的。

以Windows Server 2003为例，标准版可以支持的最大CPU数为4路，最大内存数为4G，而企业版则可以支持最大CPU数8路，最大内存数32G。

回正题：(一)禁用不需要的服务Alerter通知选定的用户和计算机管理警报。

Computer Browser维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。

WindowsServer2003Web服务器安全设置Windows Server 2003是微软公司推出的一款非常受欢迎的Web服务器操作系统。

在使用Windows Server 2003 Web服务器时，正确的安全设置是至关重要的。

本文将介绍一些Windows Server 2003 Web服务器的安全设置，以帮助您更好地保护您的服务器和网站。

1. 使用安全的管理员密码作为服务器管理员，您应该始终为管理员账户设置一个强密码。

强密码应包含大小写字母、数字和特殊字符，并且长度至少为8个字符。

您还可以定期更改密码，以增加服务器的安全性。

2. 更新操作系统和应用程序及时更新操作系统和安装的应用程序可以修复已知的漏洞，从而提高服务器的安全性。

请确保定期检查和下载最新的安全补丁，并对服务器进行更新。

3. 禁用不必要的服务Windows Server 2003默认启用了许多不必要的服务，这些服务可能存在安全隐患。

您应该审查并禁用不需要的服务，只保留必要的服务运行。

这样可以减少攻击面，提高服务器的安全性。

4. 配置防火墙防火墙是保护服务器安全的重要工具。

您可以配置Windows Server 2003自带的防火墙，并根据需要设置规则和策略。

通过限制对服务器的访问，防火墙可以有效防止未经授权的访问和恶意攻击。

5. 安装和配置安全软件除了操作系统自带的防火墙外，您还可以考虑安装额外的安全软件来提供更高级的保护。

例如，您可以安装杀毒软件、恶意软件检测工具和入侵检测系统等。

确保这些软件得到及时更新，并运行扫描以确保服务器没有恶意软件。

6. 限制远程访问远程访问是实现服务器管理和维护的便捷方式，但也是潜在的安全风险。

为了保护服务器的安全，您可以限制远程访问的IP地址范围，并使用安全的远程协议，如SSH。

另外，您也可以考虑实现双因素身份验证来增加远程访问的安全性。

7. 日志监控和审计监控服务器的日志并进行审计是发现潜在威胁和异常活动的重要手段。

WIN2003服务器安全加固方案关键词：安全加固方案服务器 WIN2003因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。

但是，IIS的安全性却一直令人担忧。

如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS 安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

二．我们通过一下几个方面对您的系统进行安全加固：1．系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2． IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3．系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

三．系统的安全加固：1．目录权限的配置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM 有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。

Windows-Server-2003安全(ānquán)设置Windows-Server-2003安全(ānquán)设置2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置，使Windows Server 2003安全性大大加强。

一、安装过程中的安全问题1．NTFS系统。

老生长谈的话题了。

NTFS系统为一种高级的文件系统，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能，通过它可以实现任意文件及文件夹的加密和权限设置（这是最直观的安全设置了），磁盘配额和压缩等高级功能。

通过它，你还可以更好的利用磁盘空间，提高系统运行速度……自WindowsNT系统以来，使用NTFS系统已经逐渐成了一种共识。

为了体验NTFS系统带来的这些免费的优惠，笔者特意把硬盘所有分区都转成了NTFS 系统。

如果你在安装时不选用NTFS系统，那么后面的很多安全配置如用户权限设置等你将都不能实现。

2．安装过程中有关安全的提示。

在安装过程中需要输入Administrator密码，新的Windows Server 2003提供了一个比较成熟的密码规则，当你输入的密码不符合规则时，就会以图片形式出现如下提示（由于安装未完成，不能抓图，请谅解。

内容已经抄下来了）：您已经指定的管理员帐户的密码不符合密码的条件，建议使用的密码应符合下列条件之中的前二个及至少三个：- 至少6个字符- 不包含"Administrator"或"Admin"- 包含大写字母（A、B、C等等）- 包含小写字母（a、b、c等等）- 包含数字（0、1、2等等）- 包含非字母数字字符（#、&、~等等）您确定要继续使用当前密码吗？之所以说是“比较成熟”的密码规则，因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装，这就为以后的系统安全埋下了隐患。

Windows 2003系统安全配置一、2003系统配置三、IIS配置四、其它设置(可选用)1、任何用户密码都要复杂，不需要的用户---删。

2、防ping处理防ping处理建意大家用防火墙一类的软件，这样可以大大降低服务器被攻击的可能性，为什么这样说呢？主要是现在大部份的入侵者都是利用软件扫一个网段存活的主机，一般判断主机是否存活就是看ping的通与不通了！3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为SynAttackProtect，值为24、禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值，名为PerformRouterDiscovery 值为05、防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects 值设为06、不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为IGMPLevel 值为07、禁用DCOM：运行中输入Dcomcnfg.exe。

回车，单击“控制台根节点”下的“组件服务”。

打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。

选择“默认属性”选项卡。

清除“在这台计算机上启用分布式COM”复选框。