[转载]十招搞定windows 2003 server的系统安全

zz775520666

　　一、用户名及口令的安全保护
　　
　　
　　1、修改超级用户名
　　
　　WINDOWS系统默认的用户名都是administrator，为了安全起见，我们可以自定义超级用户名，方法如下：
　　
　　打开“控制面板”，进入“管理工具”，打开“本地安全策略”，点击“安全设置”下的“本地策略”里
　　
　　的“安全选项”，找到“帐户：重命名系统管理员帐户”，双击打开它，把里面的“administrator”修改成自己想要的，如“pcjiaahdzwsy"
　　
　　2、修改超级用户密码
　　
　　超级用户有计算机的绝对使用权，所以要妥善的保护起密码，密码设置繁杂一些。操作如下：
　　
　　同时按下CTRL+ALT+DEL键，选择“更改密码”项,首先输入旧密码，然后输入新的密码，密码不建议少于八位，用数字字母及标点共同组成，如“bd43%.as8q”，然后在确定密码。
　　
　　3、来宾用户的关闭
　　
　　来宾用户Guest关闭的方法：打开“控制面板”进入“管理工具”，打开“计算机管理”，在“系统工具”下的“本地用户和组”找到“用户”一项，里面“Guest”，双击打开它，把“用户已禁用”打上勾。这样GUEST用户就被禁用了。
　　
　　4、删除多余的管理员用户
　　
　　一般系统安全完成以后，会默认多一个管理员用户，这个多出来的管理员用户就是自定义用户的，实则没什么必要存在，我们完全可以把它删除掉。删除方法：
　　
　　我们重新注销用户，以administrator（这里可能是第一项所修改的用户名pcjiaahdzwsy，这里还是以administrator用户名为例）用户登陆，然后打开“控制面板”进入“管理工具”，打开“计算机管理”，在“系统工具”下的“本地用户和组”找到“用户”一项,删除多余的用户。然后点击“我的电脑”右键“属性”，点击“高级”，点击“用户配置文件”下的“设置”，把未知名帐户配置给删除掉。
　　
　　这样就删除了多余的管理员帐户，同理也可以用这种方法删除其它不必要的帐户。
　　
　　5、密码策略的应用
　　
　　计算机内密码的设置通常是不受限制的，也就是说，你设置两位数或是一位数的密码都是可以的，我们可以通过修改密码策略来定制密码的最小长度，方法如下：
　　
　　打开“控制面板”，进入“管理工具”，打开“本地安全策略”，点击“安全设置”下的“帐户策略”里的“密码策略”，它的里面有个“密码长度最小值”，这里可以设置为6或是8，不能太短。同时可启用“密码必须符合复杂性要求”。
　　
　　二、删除系统的默认共享
　　
　　目前删除系统默的共享(ipc$/admin$/C$……)通常有四种方法：
　　
　　1、批处理方法：
　　编辑一个批处理文件，内容如下：
　　
　　@echo off
　　net share ipc$ /del
　　net share admin$ /del
　　net share c$ /del
　　net share d$ /del
　　net share e$ /del
　　net share f$ /del
　　'(如果你还有其它的盘符，可以接着添加）
　　:END
　　
　　把这个批处理保存为一个名为"delshare.bat"文件
　　
　　然后单击“开始→运行”，输入“gpedit.msc”后回车，打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”，双击登录项，然后添加“delshare.bat”（参数不需要添加），从而删除Windows 2003默认的共享。
　　
　　2、注册表修改法：
　　
　　点击 开始-〉运行，键入 regedit , 点击确定。
　　
　　在注册表编辑器中找到并选中以下键
　　
　　[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters]如果AutoShareServer 或 AutoShareWks 项不存在，请按照步骤3新建注册表值。右键单击右部面板，选择新建-〉双字节值， 根据您的操作系统来命名该新值”AutoShareServer”双击键值，将数值数据设为0
　　
　　然后打开hkey_local_machine\system\carrentcontrolset\control\lsa下修改restrictanonymous的值为00000001
　　
　　这样就把默认共享给删除掉了。
　　
　　3、组策略的权限分配法：
　　
　　首先在“开始”菜单中，执行“运行”命令，在弹出的系统运行设置框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，再从弹出的组策略编辑窗口中，用鼠标逐一展开“计算机配置”文件夹、“Windows设置”文件夹、“安全设置”文件夹、“本地策略”文件夹、“用户权限分配”文件夹；
　　
　　在对应“用户权限分配”文件夹右侧的子窗口中，选中“拒绝从网络访问这台计算机”项目，并用鼠标双击之，在其后出现的“拒绝从网络访问这台计算机”属性窗口中，单击一下“添加”按钮，然后再从弹出的帐号选择窗口中，选中并导入合法用户的登录帐号，而把那些不信任的用户帐号统统排除在外，接着再单击“确定”按钮，如此一来那些不信任的用户日后就无法通过网络方式，来访问到服务器中的所有内容了。相反，那些被导入的用户帐号，仍然可以正常地通过默认共享文件夹，来高效地管理和维护服务器。
　　
　　这样也可以达到同样的效果。
　　
　　4、禁用SERVER服务法：
　　
　　进入“控制面板”，打开“管理工具”里面的“服务”，先后禁用“Computer Browser”、“Distributed File System”和“Server”服务。禁用的顺序不要搞错了。
　　
　　这样就完全的禁掉默认共享服务了。
　　
　　注意：禁用了默认共享，很可以造成了内网不能访问，请先确认网的访问在来选择哪种方法修改。
　　
　　
　　三、禁止从网上匿名获得本机信息
　　
　　这个可以通过修改注册来实现，防止别人从网上获得本机信息，注册表文件如下：
　　-----------------------------------------------------------
　　Windows Registry Editor Version 5.00
　　
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
　　"restrictanonymous"=dword:00000001
　　-----------------------------------------------------------
　　把它中存为REG文件，导入注册表（不包含虚线部份，下面如果出现，同样）。
　　
　　它还可以改成00000002或是00000003，级别过高可能造成内网无法正常访问。如果想恢复的话，把它改成“00000000”就可以了。
　　
　　
　　四、登陆时不显示上一次的登陆名
　　
　　系统默认登陆会保留上一次的登陆名的，如上次用administrator用户登陆的话，下次开机，它还地保留这个用户名的，这个方法就是用来登陆时不显示上次的登陆名，方法如下：
　　----------------------------------------------------------------
　　Windows Registry Editor Version 5.00
　　
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
　　"dontdisplaylastusername"=dword:00000001
　　----------------------------------------------------------------
　　把上面这段文件用记事本保存为reg文件，导入注册表里去，这样下次登陆就不夫显示了，如果想要还原的话，就把dword值改为：00000000即可。
　　
　　五、隐藏已知的扩张名
　　
　　打开“我的电脑”在“工具栏”里找到“工具”选项里的“文件夹选项……”，在查看栏里有一项为“隐藏已知文件类型的扩展名”，把它前面的勾打上，确定即可。
　　第五条 有什么用？
　　还是喜欢把扩展名打开，放心，避免病毒执行文件选个文本文件的图标
　　
　　
　　六、TCP/IP协议的阻击
　　
　　1、打开“网上邻居”的“属性”，然后打开“本地连接”的“属性”，找到“Microsoft网络的文件和打印机的共享“把这个协议给删除掉。
　　
　　2、同上，打开“Internet 协议（TCP/IP）”属性，点击下方的“高级”选项，找到最后一栏里的“选项”，选择“TCP/IP筛选”的“属性”，选择“启用TCP/IP筛选（所有适配器）”，在下方开启TCP你需要使用的端口，如：FTP端口21，WEB端口80，SQL端口1433，远程服务端口1433……等等，具体端口，可以自行查询。
　　
　　七、系统防火墙的使用
　　
　　其它2003 server SP1的系统防火墙也是非常不错的保护伞，你可以开启它，通过它可以帮到保护的作用。当然特殊使用的时候还需要对外特别开外端口，具体使和方法这里不多做说明，可以参考MS的文档。不是很难的。
　　
　　八、使用USER用户
　　
　　USER的权限非常有限，可以有效的保护系统文件，日常使用完全有必要创建一个USER用户来使用，它没有安装软件权限，也没有向系统盘写入文件权限。只是在安装文件或修改系统文件的时候会麻烦些，需要注销到管理员用户下操作。
　　
　　九、禁止安装垃圾软件和插键
　　
　　现在网上流行的垃圾软件有很多，如：3721、一搜、天下搜索……等等，这些东西的功能基本上都是无用的，还会给系统留下可怕的后门，可以使用工具来屏蔽它的，网上类似的工具有很多，如Upiea，它是一款不错的屏蔽工具。
　　
　　十、免费的Microsoft大餐
　　
　　Microsoft的在线升级系统，可以有效的保证你的系统安全，建议开启在线更新功能，这样能第一时间更新MS的系统，从而有效的防止恶意病毒及黑客的攻击。不花钱的东西不一定就是垃圾哦，记得时刻更新你的系统。
　　
　　就写到这里吧，希望对大家有帮助，同时有什么不正确的地方请指教，同时希望大家对以经内容进行补充。