以下是一臺win2003服務器的基本安全，設置完相對會安全些。[br][br]1，打全補丁[br] 新裝好的系統(tǒng)直接用360安全衛(wèi)士打補丁最快。還有就是別忘記查查系統(tǒng)是不是已經(jīng)是sp2了。有時機房給裝的是sp1的。那就必須下載sp2。[br] 打開自動更新(我的電腦，右鍵屬性，自動更新)。一般默認是晚上3：00自動更新并重啟。這比較 重要。如果不是一定不能重啟的機器，這個一定要開。不然機器一多，你平時沒空管，那有新補丁出來你也就沒給服務器打上了。[br][br][br]2，帳號安全[br] 1)禁用guest帳號并改名。[br] 2)網(wǎng)站iis帳號最好用獨立的。（網(wǎng)站目錄也是）[br] 3)用戶名和密碼一定不能用容易被人猜到的。最好用雜亂的 7uxj2a這類。例如你是sms服務器，你密碼用smsserver就是弱密碼，容易被人猜到。人家只要通過你某個漏洞查到你的管理員名字就直接進了。[br] 4）不讓系統(tǒng)顯示上次登錄的用戶名，具體操作如下：修改注冊表“hklm\software\microsoft\windowsnt\current version\winlogon\dont display[br] last user name”的鍵值，把reg_sz 的鍵值改成1。[br][br][br]3，修改遠程端口[br] 運行--> regedit[br] 查找 portnumber，查以的所有原來為：3389的，全部更換為你的新端口號。（同樣如果你的防火墻原來有開了，記得要更改端口號，否則一重啟就生效，你就連不進服務器了）[br][br]4，關閉無用服務[br] 管理工具- 服務 （這里僅列出默認裝好的sp2系統(tǒng)要關閉的，要更高安全還有其它的要關，但會影響到其它服務）[br] dhcp client 停用，禁用。這是自動分配ip用的，正常的服務器我們都有指定了固定ip了，所以這個服務多余了。[br] print spooler 停用，禁用，打印服務，服務器誰能用來打印？[br] remote registry 停用，禁用，遠程注冊表操作，無用。漏洞。[br] wireless configuration 停用，禁用，服務器都是用網(wǎng)卡的，都不需要無線網(wǎng)卡，如果這個不關掉，去設置網(wǎng)卡屬性的時候老是會彈出個東西，極度不爽。所以一定要關掉。[br] tcp/ip netbios helper 停用，禁用。常用漏洞。[br] [br][br]5，開啟win2003自帶的防火墻。[br] 雖然這個系統(tǒng)網(wǎng)卡里的自帶防火墻并不強，但是有總比沒有好。至少不會把一些現(xiàn)成的漏洞直接暴露到黑客眼前。[br] 網(wǎng)上鄰居-右鍵屬性-網(wǎng)卡-右鍵屬性[br] 1）刪除文件共享服務。- 服務器哪里需要和別人共享？！[br] 2）打開防火墻 - 記得設置好端口再打開，否則沒設置好就連不上遠程桌面了。[br][br]6，關掉關機提醒[br] 關機或注銷的時候老彈出個提示要你填原因。麻煩。[br] 運行：gpedit.msc ，計算機配置 - 管理模板 - 系統(tǒng)[br] 顯示 “關閉事件跟蹤程序”- 選 “已禁用”[br][br]7，管理工具-- 本地安全策略[br] 這個也比較 重要，當你系統(tǒng)出漏洞的時候，有時候你都不知道人家從哪里進的，因為你日志什么都沒開。[br] 安全策略--本地策略-- 審核策略 (這里正常是這么設置：第1，2項和最后兩項，選上成功與失敗，其余的只記錄失敗)[br] 本地策略--安全選項 - 可遠程訪問的注冊表路徑和子路徑（有兩項），清空。[br][br]8，iis安全及優(yōu)化[br] 直接刪掉默認站點，刪除c:\inetpub ，(早期這個下面會有漏洞，現(xiàn)在應該沒了，但留著也礙眼)[br] 關掉默認的ftp服務，系統(tǒng)有時候有些裝機的人會給裝上ftp服務，最好關掉。[br] 站點屬性-- 主目錄--配置 --里面有一些如 .cdx .cer .idc要刪掉。這是非常老的漏洞。不管現(xiàn)在還能不能用，刪了最好。[br] 主目錄下，執(zhí)行權限，普通的網(wǎng)站，只能給“純腳本”權限，這樣正常的php,asp..net這些就已經(jīng)可以運行了。有些新手選擇了“腳本和可執(zhí)行文件”，天大的漏洞，我傳個.exe上來，直接ie用url來執(zhí)行.exe都可以了。所以這里千萬要小心。[br] web服務擴展- 看具體情況打開。服務器安全有一個準則：不用的服務堅決不打開。[br] [br] 關閉iis錯誤日志，經(jīng)常服務器c盤被占滿，都是這個原因。直接關了。(日志文件在c:\windows\system32\logfiles\httperr)