2003年5月22日，微软的新一代操作系统Windows Server 2003中文版开始在国内发行。从Windows95一路用到现在，笔者觉得微软在安全方面做的还算是说的过去的，虽然说漏洞很多。2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的这款Windows Server 2003是按默认安装的，机器配置一般。目的是通过下面介绍的安全配置，使其安全性大大加强。



　　一、高级安全设置



　　1．禁止不必要的服务，杜绝隐患。

　　　　

　　服务从本质上说也只是一个程序而已，它与其他程序所不同的地方在于它提供一种特殊的功能来支持系统完成特定的工作。Windows Server 2003安装完后默认有84项服务，默认随系统启动的有36项。这里面每一项服务是否安全，特别是那些随系统启动的服务是否有被利用的可能性，这对安全来说是非常重要的。在Windows Server 2003发行后不到2个月就被人发现有了一个基于一项默认服务的漏洞，幸好这个漏洞对Windows Server 2003的危害程度较低，而且这项服务默认状态下是关闭的。



　　从“管理工具”里打开“服务”，可以看到系统所有服务的具体情况。这里仅以典型的Remote Registry服务为例介绍，目的在于提供一个安全配置服务的方法。在服务列表里找到Remote Registry服务，可以看到左面空白部分对这一服务的解释为“使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表……”，可以看出，正常情况下并不需要这项服务，而且如果启用这项服务还可能给系统带来安全隐患，所以必须禁用。双击Remote Registry服务进入其属性设置，图21。在“启动类型”里把默认的“自动”修改为“禁用”，最后确定即可。当此服务被关闭后，一切和注册表有关的远程行为都被终止，这也使得一些恶意网页对本地注册表的修改成了泡影，网上的恶意用户也别想对注册表进行修改和设置，大大降低了系统被破坏和被中上木马的几率，达到了维护系统安全的目的。



    2．配置本地安全设置。



　　虽然微软声称Windows Server 2003按默认安装后其安全性很强，但笔者发现其实不然，也有很多地方需要经过细心配置才能达到所需要的安全性。“本地安全设置”就是需要好好配置的一块地方。



　　从“管理工具”里打开“本地安全设置”，。其中的密码策略、帐户锁定策略、审核策略、拥护权限分配、安全选项等都需要仔细配置。笔者以“用户权限分配”为例介绍方法。选中“用户权限分配”后可以看到可进行某一行为的所有默认组，双击这一项打开其属性。这里可以删除Everyone、Power Users和Users组，或者也可以单击“添加用户或组”来从新确定可从远程访问此计算机的用户或组。



　　上面所介绍的只是方法，具体要设置那些行为的权限，就要看用户的具体情况了。虽然这需要有较大的耐心一项一项的配置，但它却是一劳永逸的做法。另外每一项策略，都需要具体配置，这样才能打造出一道坚不可摧的系统防线。



　　二、一些安全常识和注意事项



　　1．杜绝基于Guest帐户的系统入侵。



　　很多文章中都介绍过如何利用Guest用户得到Admin权限的方法，思路和手段不局一格，看了让人不禁叫绝。为什么会出现这样的问题呢？如何解决这个问题呢？



　　Guest用户作为一个来宾帐户，他的权限是很低的，而且默认密码为空，这就使得入侵者可以利用种种途径，通过Guest登录并最终拿到Admin权限。如何做到这一点不在本文讨论的范围内，这里只介绍如何防御这种基于Guest的入侵。通过对入侵者行为的分析，笔者发现进禁用或彻底删除Guest帐户是最好最根本的办法。但在某些必须得使用到Guest帐户的情况下，就需要通过其他途径来做好防御工作了。首先是要给Guest加一个强的密码，这一步可在“管理工具”----“计算机管理”----“本地用户和组”----“用户”里面设置。然后，按照初级安全配置里面介绍的方法，详细设置Guest帐户对物理路径的访问权限。



    2．为Administrator用户改名，并设置复杂密码。



　　Administrator帐户拥有最高的系统权限，一旦此帐户被人利用，后果不堪设想。这就使得必须加强此帐户的管理，首先当然也是为其设置一个强大复杂的密码。



　  3．其他需要注意的地方。

　　

　　随时警惕系统、安全、和应用程序的日志，警惕注册表启动项的变化、警惕用户帐户等敏感的地方是保证你系统安全的必要条件。经常备份数据以应付灾难性事故。用户和权限的分配应当本着最小权限原则，即在不影响用户正常使用的情况下，为其分配最小的权限。感觉有时候也是很重要的，系统突然变慢就要先凭感觉判断一下是否感染了病毒等。系统安全就如同计划生育，是个长期性的工作，就算你配置的再好的系统，也可能被人利用新的漏洞攻破，这就使得管理员必须随时学习。