如何有效加强Windows 2003安全性

zsyzhou

　　专作为网络操作系统或服务器操作系统，高性能、高可靠性和高安全性是其必备要素，尤其是日趋复杂的企业应用和Internet应用，对其提出了更高的要求。
　　1． 设置用户名和口令设置　　
　　更改默认的管理员名称administrator,不包含"Administrator"或"Admin"。并设置一个强大的密码，在很大程度上可以避免口令***。密码设置的字符长度应当在8个以上，最好是字母、数字、特殊字符的组合，如“psp53,@pq”、“skdfksadf10@”等，可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。　　
　　杜绝基于Guest帐户的系统***，给Guest加一个强的密码。
　　Guest用户作为一个来宾帐户，他的权限是很低的，而且默认密码为空，这就使得***者可以利用种种途径，通过Guest登录并最终拿到 Admin权限。禁用或彻底删除 Guest帐户是最好最根本的办法。但在某些必须得使用到Guest帐户的情况下，就需要通过其他途径来做好防御工作了。首先是要给Guest加一个强的密码。
　　2． 删除默认共享　　
　　单击“开始→运行”，输入“gpedit.msc”后回车，打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”，双击登录项，然后添加“delshare.bat”（参数不需要添加），从而删除Windows 2003默认的共享。　
　　用记事本拷贝以下代码，另存为delshare.bat
　　net share admin$ /del
　　net share ipc$ /del
　　net share c$ /del
　　net share d$ /del
　　net share e$ /del
　　接下来 禁用IPC连接：打开注册表编辑器，依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支，在右侧窗口中找到“restrictanonymous”子键，将其值改为“1”即可。　　
　　3． 关闭自动播放功能　　
　　自动播放功能不仅对光驱起作用，而且对其它驱动器也起作用，这样很容易被***利用来执行***程序。　　
　　打开组策略编辑器，依次展开“计算机配置→管理模板→系统”，在右侧窗口中找到“关闭自动播放”选项并双击，在打开的对话框中选择“已启用”，然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”，按“确定”即可生效。　　

　　4． 清空远程可访问的注册表路径　　
　　将远程可访问的注册表路径设置为空，这样可以有效防止***利用扫描器通过远程注册表读取计算机的系统信息及其它信息。 打开组策略编辑器，依次展开“计算机配置→Windows 设置→安全设置--本地策略--→安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的如图所的窗口中，将可远程访问的注册表路径和子路径内容全部删除。

　　
　　5、修改默认远程桌面端口3389为其他端口
　　3389端口修改器
　　http://zjdx.downg.com:8881//200905/3389modifycrsky.rar
　　6、修改注册表，防止轻度DOS***
　　防范DDOS***并不一定非要用防火墙，首先可以尝试一下通过对服务器进行安全设置来防范DDOS***。如果通过对服务器设置不能有效解决，那么就可以考虑购买抗DDOS防火墙了。 其实从操作系统角度来说，本身就藏有很多的功能，只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何通过修改注册表，增强系统的抗DoS能力。 　
　　进入 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]   新建DWORD值，如下图：

　　WORD值详解：
　　’关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接
　　’第二个网关，通过关闭它可以优化网络。
　　"EnableDeadGWDetect"=dword:00000000
　　’禁止响应ICMP重定向报文。此类报文有可能用以***，所以系统应该拒绝接受ICMP重定向报文。
　　"EnableICMPRedirects"=dword:00000000
　　’不允许释放NETBIOS名。当***者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。
　　’注意系统必须安装SP2以上
　　"NoNameReleaseOnDemand"=dword:00000001
　　’发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，
　　’不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。
　　"KeepAliveTime"=dword:000493e0
　　’禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，
　　’可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。
　　"EnablePMTUDiscovery"=dword:00000000
　　’启动syn***保护。缺省项值为0，表示不开启***保护，项值为1和2表示启动syn***保护，设成2之后
　　’安全级别更高，对何种状况下认为是***，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
　　’设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
　　"SynAttackProtect"=dword:00000002
　　’同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
　　’的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
　　"TcpMaxHalfOpen"=dword:00000064
　　’判断是否存在***的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
　　"TcpMaxHalfOpenRetried"=dword:00000050