Windows2003网络服务器安全攻略

Windows Server 2003网络服务器安全攻略

安全配置Windows Server 2003服务器

启动安全配置向导

在Windows Server 2003服务器中，可以通过以下两种方法之一启动安全配置向导：

• 方法一：单击“开始”→“运行”，在运行对话框中执行SCW.exe命令。
• 方法二：单击“开始”→“程序”→“管理工具”→“安全配置向导”，启动“安全配置向导”对话框，开始安全策略配置过程。

建立安全策略

首次启用“SCW”时，需要为Windows Server 2003服务器创建一个安全策略。可以根据实际需求为一个服务器配置多个“安全策略”文件，也可以对一个安全策略文件进行适当的编辑，以满足自己的工作要求。一次只能加载一个策略文件。

基于角色服务器配置

• 选择服务器：在“选择服务器”对话框中输入要进行安全配置的服务器的机器名或IP地址。
• 基于角色的服务配置：可以对服务器角色、客户端角色、系统服务、应用程序以及管理选项等内容进行配置。
• 选择客户端功能：服务器可以是其他服务器的客户端，客户端功能必须启用角色特定的服务。
• 选择管理和其他选项：可以选择管理选项（如远程管理和备份）以及使用服务及端口的其他应用程序选项和Windows功能。
• 选择其他服务：选定服务器所承担的一些角色可能会映射到某些在安全配置数据库中找不到的服务。检查每个其他服务并确定是否需要运行该服务。

“网络安全”配置

在完成基于角色服务器配置后，可以通过“网络安全”配置向导开放各项服务所需的端口。这种向导化配置过程与手工配置Windows防火墙相比，更加简单、方便和安全。还可以限制访问端口并使用Internet协议安全(IPSec)指明端口通讯是否经过签名或加密。

安装和配置IIS及其他软件

安装系统

• 至少需要两个分区，分区格式采用NTFS格式。
• 断开网络的情况下安装好2003系统。
• 安装IIS，仅安装必要的IIS组件（禁用不需要的如FTP和SMTP服务）。
• 安装MSSQL及其他所需要的软件并进行Update。

使用Microsoft Baseline Security Analyzer (MBSA)进行安全分析

使用MBSA工具分析计算机的安全配置，并标识缺少的修补程序和更新。

设置和管理账户

系统管理员账户管理

• 更改默认的管理员账户名（Administrator）和描述。
• 设置复杂密码，长度不少于14位。

创建陷阱账户

新建一个名为Administrator的陷阱帐号，为其设置最小的权限，并设置不低于20位的密码。

禁用Guest账户

将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码。

设置账户锁定策略

在组策略编辑器中设置账户锁定策略，将账户设为三次登陆无效，锁定时刷新0分钟，复位锁定计数设为30分钟。

配置安全选项和用户权利分配

• 在安全设置中将不显示上次的用户名设为启用。
• 在用户权利分配中将从网络访问此计算机中只保留Internet来宾账户、启动IIS进程账户。

注意事项和额外建议

端口配置和重启

设置完端口需要重新启动服务器。更改远程连接端口方法：`PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效!。

使用Windows连接防火墙

在2003系统里，增加的Windows连接防火墙能很好的解决使用TCP/IP筛选里的端口过滤功能时出现的问题，不推荐使用网卡的TCP/IP过滤功能。

通过以上步骤和建议，可以有效提高Windows Server 2003网络服务器的安全性。