如何讓win更安全

“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計算機欣賞音樂、上網沖浪、運行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓Windows Server 2003更加安全，成為廣大用戶十分關注的問題。 下面讓我們來討論如何讓Windows Server 2003更加安全。

我們提供的服務有：做網站、成都做網站、微信公眾號開發(fā)、網站優(yōu)化、網站認證、隴縣ssl等。為上千多家企事業(yè)單位解決了網站和推廣的問題。提供周到的售前咨詢和貼心的售后服務，是有科學管理、有技術的隴縣網站制作公司

理解你的角色

理解服務器角色絕對是安全進程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務器、基礎設施服務器、文件服務器、打印服務器、IIS服務器、IAS服務器、終端服務器等等。一個服務器甚至可以被配置為上述角色的組合。

現在的問題是每種服務器角色都有相應的安全需求。例如，如果你的服務器將作為IIS服務器，那么你將需要開啟IIS服務。然而，如果服務器將作為獨立的文件或者打印服務器，啟用IIS服務則會帶來巨大的安全隱患。

我之所以在這里談到這個的原因是我不能給你一套在每種情況下都適用的步驟。服務器的安全應該隨著服務器角色和服務器環(huán)境的改變而改變。

因為有很多強化服務器的方法，所以我將以配置一個簡單但安全的文件服務器為例來論述配置服務器安全的可行性步驟。我將努力指出當服務器角色改變時你將要做的。請諒解這并不是一個涵蓋每種角色服務器的完全指南。

物理安全

為了實現真正意義上的安全，你的服務器必須被放置在一個安全的位置。通常地，這意味著將將服務器放置在上了鎖的門后。物理安全是相當重要的，因為現有的許多管理和災難恢復工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務器的時候攻擊服務器。唯一能夠避免這種攻擊的方法是將服務器放置在安全的地點。對于任何角色的Windows Server 2003，這都是必要的。

創(chuàng)建基線

除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時候，應該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

實現這一目的最好的方法是創(chuàng)建一個安全基線(security baseline)。安全基線是文檔和公認安全設置的清單。在大多數情況下，你的基線會隨著服務器角色的不同而產生區(qū)別。因此你最好創(chuàng)建幾個不同的基線，以便將它們應用到不同類型的服務器上。例如，你可以為文件服務器制定一個基線，為域控制器制定另一個基線，并為IAS服務器制定一個和前兩者都不同的基線。

windows 2003包含一個叫"安全配置與分析"的工具。這個工具讓你可以將服務器的當前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內建的安全模板。

安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個體模板最簡單的方法是使用管理控制臺(MMC)。

要打開這個控制 臺，在RUN提示下輸入MMC命令，在控制臺加載后，選擇添加/刪除管理單元屬性命令，Windows就會顯示添加/刪除管理單元列表。點擊"添加"按鈕，你將會看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點擊添加，關閉和確認按鈕。

在安全模板管理單元加載后，你就可以察看每一個安全模板了。在遍歷控制臺樹的時候，你會發(fā)現每個模板都模仿組策略的結構。模板名反映出每個模板的用途。例如，HISECDC模板就是一個高安全性的域控制器模板。

如果你正在安全配置一個文件服務器，我建議你從SECUREWS模板開始。在審查所有的模板設置時，你會發(fā)現盡管模板能被用來讓服務器更加安全，但是不一定能滿足你的需求。某些安全設置可能過于嚴格或過于松散。我建議你修改現有的設置，或是創(chuàng)建一個全新的策略。通過在控制臺中右擊C:WINDOWSSecurityTemplates文件夾并在目標菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個新的模板。

在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個安全配置與分析的管理單元。在這個管理單元加載后，右擊"安全配置與分析"容器，接著在結果菜單中選擇"打開數據庫"命令，點擊"打開"按鈕，你可以使用你提供的名稱來創(chuàng)建必要的數據庫。

接下來，右擊"安全配置與分析"容器并在快捷菜單中選擇"導入模板"命令。你將會看到所有可用模板的列表。選擇包含你安全策略設置的模板并點擊打開。在模板被導入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現在就分析計算機"命令。Windows將會提示你寫入錯誤日志的.位置，鍵入文件路徑并點擊"確定"。

在這樣的情況下，Windows將比較服務器現有安全設置和模板文件里的設置。你可以通過"安全配置與分析控制臺"看到比較結果。每一條組策略設置顯示現有的設置和模板設置。

在你可以檢查差異列表的時候，就是執(zhí)行基于模板安全策略的時候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現在就配置計算機"命令。這一工具將會立即修改你計算機的安全策略，從而匹配模板策略。

組策略實際上是層次化的。組策略可以被應用到本地計算機級別、站點級別、域級別和OU級別。當你實現基于模板的安全之時，你正在在修改計算機級別的組策略。其他的組策略不會受到直接影響，盡管最終策略可能會反映變化，由于計算機策略設置被更高級別的策略所繼承。

修改內建的用戶賬號

多年以來，微軟一直在強調最好重命名Administrator賬號并禁用Guest賬號，從而實現更高的安全。在Windows Server 2003中，Guest 賬號是缺省禁用的，但是重命名Administrator賬號仍然是必要的，因為黑客往往會從Administrator賬號入手開始進攻。

有很多工具通過檢查賬號的SID來尋找賬號的真實名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測Administrator賬號真實名稱的辦法。即便如此，我還是鼓勵每個人重命名Administrator 賬號并修改賬號的描述信息，有兩個原因:

首先，誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號為一個獨特的名稱讓你能更方便的監(jiān)控黑客對此賬號的進攻。

另一個技巧適用于成員服務器。成員服務器有他們自己的內建本地管理員賬號，完全獨立于域中的管理 員賬號。你可以配置每個成員服務器使用不同的用戶名和密碼。如果某人猜測出你的本地用戶名和密碼，你肯定不希望他用相同的賬號侵犯其他的服務器。當然，如果你擁有良好的物理安全，誰也不能使用本地賬號取得你服務器的權限。

服務賬號

Windows Server 2003在某種程度上最小化服務賬號的需求。即便如此，一些第三方的應用程序仍然堅持傳統(tǒng)的服務賬號。如果可能的話，盡量使用本地賬號而不是域賬號作為服務賬號，因為如果某人物理上獲得了服務器的訪問權限，他可能會轉儲服務器的LSA機密，并泄露密碼。如果你使用域密碼，森林中的任何計算機都可以通過此密碼獲得域訪問權限。而如果使用本地賬戶，密碼只能在本地計算機上使用，不會給域帶來任何威脅。

系統(tǒng)服務

一個基本原則告訴我們，在系統(tǒng)上運行的代碼越多，包含漏洞的可能性就越大。你需要關注的一個重要安全策略是減少運行在你服務器上的代碼。這么做能在減少安全隱患的同時增強服務器的性能。

在Windows 2000中，缺省運行的服務有很多，但是有很大一部分服務在大多數環(huán)境中并派不上用場。事實上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務器。而在Windows Server 2003中，微軟關閉了大多數不是絕對必要的服務。即使如此，還是有一些有爭議的服務缺省運行。

其中一個服務是分布式文件系統(tǒng)(DFS)服務。DFS服務起初被設計簡化用戶的工作。DFS允許管理員創(chuàng)建一個邏輯的區(qū)域，包含多個服務器或分區(qū)的資源。對于用戶，所有這些分布式的資源存在于一個單一的文件夾中。

我個人很喜歡DFS，尤其因為它的容錯和可伸縮特性。然而，如果你不準備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強的安全性。在我看來，DFS的利大于弊。

另一個這樣的服務是文件復制服務(FRS)。FRS被用來在服務器之間復制數據。它在域控制器上是強制的服務，因為它能夠保持SYSVOL文件夾的同步。對于成員服務器來說，這個服務不是必須的，除非運行DFS。

如果你的文件服務器既不是域控制器，也不使用DFS，我建議你禁用FRS服務。這么做會減少黑客在多個服務器間復制惡意文件的可能性。

另一個需要注意的服務是Print Spooler服務(PSS)。該服務管理所有的本地和網絡打印請求，并在這些請求下控制所有的打印工作。所有的打印操作都離不開這個服務，它也是缺省被啟用的。

不是每個服務器都需要打印功能。除非服務器的角色是打印服務器，你應該禁用這個服務。畢竟，專用文件服務器要打印服務有什么用呢?通常地，沒有人會在服務器控制臺工作，因此應該沒有必要開啟本地或網絡打印。

我相信通常在災難恢復操作過程中，打印錯誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務器上簡單的關閉這一服務。

信不信由你，PSS是最危險的Windows組件之一。有不計其數的木馬更換其可執(zhí)行文件。這類攻擊的動機是因為它是統(tǒng)級的服務，因此擁有很高的特權。因此任何侵入它的木馬能夠獲得這些高級別的特權。為了防止此類攻擊，還是關掉這個服務吧。

Windows Server 2003作為Microsoft 最新推出的服務器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實得到了增強，尤其在安全方面，總體感覺做的還算不錯.但如果你曾經配置過Windows NT Server或是windows 2000 Server，你也許發(fā)現這些微軟的產品缺省并不是最安全的。但是,你學習了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.

Windows 服務器安全設置的方法教程

阿江的Windows 2000服務器安全設置教程

前言

其實，在服務器的安全設置方面，我雖然有一些經驗，但是還談不上有研究，所以我寫這篇文章的時候心里很不踏實，總害怕說錯了會誤了別人的事。

本文更側重于防止ASP漏洞攻擊，所以服務器防黑等方面的講解可能略嫌少了點。

基本的服務器安全設置

安裝補丁

安裝好操作系統(tǒng)之后，最好能在托管之前就完成補丁的安裝，配置好網絡后，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然后點擊開始→Windows Update，安裝所有的關鍵更新。

安裝殺毒軟件

雖然殺毒軟件有時候不能解決問題，但是殺毒軟件避免了很多問題。我一直在用諾頓2004，據說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機好，不過我沒用過。

不要指望殺毒軟件殺掉所有的木馬，因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。

設置端口保護和防火墻、刪除默認共享

都是服務器防黑的措施，即使你的服務器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區(qū)，大概知道屏蔽端口用本地安全策略，不過這方面的東西網上攻略很多，大家可以擻出來看看，晚些時候我或者會復制一些到我的網站上。

權限設置

阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優(yōu)秀的權限設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

權限設置的原理

WINDOWS用戶，在WINNT系統(tǒng)中大多數時候把權限按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統(tǒng)用戶和用戶組。

NTFS權限設置，請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū)，然后我們可以確定每個分區(qū)對每個用戶開放的權限。【文件（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）權限。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫“IIS匿名用戶），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的權限，就是這個“IIS匿名用戶所具有的權限。

權限設置的思路

要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創(chuàng)建一個系統(tǒng)用戶，讓這個站點在系統(tǒng)中具有惟一的可以設置權限的身份。

在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個用戶名。

設置所有的分區(qū)禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父權限，并且要加上超管組和SYSTEM組）。

這樣設置了之后，這個站點里的ASP程序就只有當前這個文件夾的權限了，從探針上看，所有的硬盤都是紅叉叉。

我的設置方法

我是先創(chuàng)建一個用戶組，以后所有的站點的用戶都建在這個組里，然后設置這個組在各個分區(qū)沒病權限。然后再設置各個IIS用戶在各在的文件夾里的權限。

因為比較多，所以我很不想寫，其實知道了上面的原理，大多數人都應該懂了，除非不知道怎么添加系統(tǒng)用戶和組，不知道怎么設置文件夾權限，不知道IIS站點屬性在那里。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，如果我有空，我會寫我的具體設置方法，很傲能還會配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我的在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發(fā)現他的服務器支持很多不安全組件。

其實，只要做好了上面的權限設置，那么FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的權限。那個歡樂時光更不用怕，有殺毒軟件在還怕什么時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬盤里的EXE等程序，比如它可以運行提升程序來提升SERV-U權限甚至用SERVU來運行更高權限的系統(tǒng)程序。

卸載最不安全的組件

最簡單的辦法是直接卸載后刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然后運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下服務器，你會發(fā)現這三個都提示“×安全了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，并且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】，然后【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項：“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_ajiang

那么，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然后把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名后的注冊表項之后，別忘記了刪除原有的`那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改后的代碼（兩個文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

防止列出用戶組和系統(tǒng)進程

我在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

防止Serv-U權限提升

其實，注銷了Shell組件之后，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字符就可以了，ServUAdmin.exe也一樣處理。

另外注意設置Serv-U所在的文件夾的權限，不要讓IIS匿名用戶有讀取的權限，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防范

一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了權限，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然后用木馬上傳提升工具來獲得更高的權限，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網論壇并且數據庫忘記了改名，人家就可以直接下載你的數據庫了，然后距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個服務器，因為如果你的服務器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些權限設置和防提升之后，黑客就算是進入了一個站點，也無法破壞這個網站以外的東西。

Win server 應用組策略和安全

組策略用于從一個單獨的點對多個Microsoft Active Directory目錄服務用戶和計算機對象進行配置。在默認情況下，策略不僅影響應用該策略的容器中的對象，還影響子容器中的對象。

組策略包含了"計算機配置、Windows 設置、安全設置"下的安全設置。您可將預先配置的安全模板導入策略，來完成對這些設置的配置。

應用組策略

下列步驟顯示了如何應用組策略，以及如何向"用戶權限分配"添加安全組。

將組策略應用于組織單位或域

1.依次單擊"開始"、"管理工具"、"Active Directory 用戶和計算機"，打開"Active Directory 用戶和計算機"。

2.突出顯示相關域或組織單位，單擊"操作"菜單，選擇"屬性"。

3.選擇"組策略"選項卡。

注意：每個容器可應用多個策略。這些策略的處理順序是從列表的底部向上。如果出現沖突，最后應用的策略優(yōu)先。

4.單擊"新建"創(chuàng)建一個策略，并為其指定有實際意義的名稱，如"域策略"。

注意：單擊"選項"按鈕可配置"禁止替代"設置。"禁止替代"是為每個單獨的策略配置的，而不是為整個容器；"阻止策略繼承"則是為整個容器配置的。如果"禁止替代"和"阻止策略繼承"設置發(fā)生沖突，"禁止替代"設置優(yōu)先。要配置"阻止策略繼承"，請選中 OU 屬性中的復選框。

組策略可自動更新，但為了立即啟動更新過程，可在命令提示符下使用下面的 GPUpdate 命令：GPUpdate /force

向"用戶權限分配"添加安全組

1.依次單擊"開始"、"管理工具"、"Active Directory 用戶和計算機"，打開"Active Directory 用戶和計算機"。

2.突出顯示相關 OU(如"成員服務器")，單擊"操作"菜單，選擇"屬性"。

3.單擊"組策略"選項卡，選擇相關策略(如"成員服務器基準策略")，然后單擊"編輯"。

4.在"組策略對象編輯器"中，依次展開"計算機配置"、"Windows 設置"、"安全設置"、"本地策略"，然后突出顯示"用戶權限分配"。

5.在右側窗格中，右鍵單擊相關用戶權限。

6.選中"定義這些策略設置"復選框，單擊"添加用戶和組"修改該列表。

7.單擊"確定"。

將安全模板導入組策略

下列步驟顯示了如何向組策略導入安全模板。

導入安全模板

1.依次單擊"開始"、"管理工具"、"Active Directory 用戶和計算機"，打開"Active Directory 用戶和計算機"。

2.突出顯示相關域或 OU，單擊"操作"菜單，選擇"屬性"。

3.選擇"組策略"選項卡。

4.突出顯示相關策略，單擊"編輯"。

5.依次展開"計算機配置"、"Windows 設置"，然后突出顯示"安全設置"。

6.單擊"操作"菜單，選擇"導入策略"。

7.導航到 Security GuideJob Aids，選擇相關模板，單擊"打開"。

8.在"組策略對象編輯器"中，單擊"文件"菜單，選擇"退出"。

9.在容器屬性中，單擊"確定"。

使用"安全配置和分析"

下列步驟顯示了如何使用"安全配置和分析"來導入、分析和應用安全模板。

導入安全模板

1.依次單擊"開始"、"運行"。在"打開"文本框中鍵入 mmc，然后單擊"確定"。

2.在 Microsoft 管理控制臺中，單擊"文件"，選擇"添加/刪除管理單元"。

3.單擊"添加"，突出顯示列表中的"安全配置和分析"。

4.依次單擊"添加"、"關閉"、"確定"。

5.突出顯示"安全配置和分析"，單擊"操作"菜單，選擇"打開數據庫"。

6.鍵入新的`數據庫名稱(如 Bastion Host)，單擊"打開"。

7.在"導入模板"界面中，導航到 Security GuideJob Aids，選擇相關模板。單擊"打開"。

分析導入的模板并與當前設置比較

1.突出顯示 Microsoft 管理單元中的"安全配置和分析"，單擊"操作"菜單，并選擇"立即分析計算機"。

2.單擊"確定"，接受默認的"錯誤日志文件路徑"。

3.完成分析后，展開節(jié)點標題對結果進行研究。

應用安全模板

1.突出顯示 Microsoft 管理單元中的"安全配置和分析"，單擊"操作"菜單，選擇"立即配置計算機"。

2.單擊"確定"，接受默認的"錯誤日志文件路徑"。

3.在 Microsoft 管理控制臺，單擊"文件"，然后選擇"退出"關閉"安全配置和分析"。

如何設置Windows服務器安全設置

如何設置Windows服務器安全設置

一、取消文件夾隱藏共享在默認狀態(tài)下，Windows 2000/XP會開啟所有分區(qū)的隱藏共享，從“控制面板/管理工具/計算機管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”，就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”。但是只要鍵入“計算機名或者IPC$”，系統(tǒng)就會詢問用戶名和密碼，遺憾的是，大多數個人用戶系統(tǒng)Administrator的密碼都為空，入侵者可以輕易看到C盤的內容，這就給網絡安全帶來了極大的隱患。

怎么來消除默認共享呢?方法很簡單，打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個名為“AutoShareWKs”的雙字節(jié)值，并將其值設為“0”，然后重新啟動電腦，這樣共享就取消了。關閉“文件和打印共享”文件和打印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，我們可以將它關閉。用鼠標右擊“網絡鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對話框中的兩個復選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協議對于服務器來說，只安裝TCP/IP協議就夠了。鼠標右擊“網絡鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS關閉，避免針對NETBIOS的攻擊。選擇“TCP/IP協議/屬性/高級”，進入“高級TCP/IP設置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關閉NETBIOS。四、禁用不必要的服務:Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠程修改注冊表)Server(文件共享)Task Scheduler(計劃任務)TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設置一個強大復雜的密碼(個人建議至少12位)，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權限的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規(guī)”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。七、防范木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預防的作用。

● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務，還需要對IIS服務進行安全配置：

(1) 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

(2) 刪除原默認安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應的審核。系統(tǒng)提供了九類可以審核的事件，對于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對象訪問：失敗事件過程追蹤：根據需要選用目錄服務訪問：失敗事件特權使用：失敗事件系統(tǒng)事件：成功和失敗賬戶登錄事件：成功和失敗賬戶管理：成功和失敗十、安裝必要的安全軟件

我們還應在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。當然我們也不應安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統(tǒng)打上補丁，微軟那些沒完沒了的補丁還是很有用的。