Windows服務器安全設置

一、取消文件夾隱藏共享 　　在默認狀態下，Windows 2000/XP會開啟所有分區的隱藏共享，從“控制面板/管理工具/計算機管理”窗口下選擇“系統工具/共享文件夾/共享”，就可以看到硬盤上的每個分區名後面都加了一個“$”。但是只要鍵入“計算機名或者IPC$”，系統就會詢問用戶名和密碼，遺憾的是，大多數個人用戶系統Administrator的密碼都為空，入侵者可以輕易看到C盤的內容，這就給網絡安全帶來了極大的隱患。 
　　怎麼來消除默認共享呢?方法很簡單，打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個名為“AutoShareWKs”的雙字節值，並將其值設為“0”，然後重新啟動電腦，這樣共享就取消了。   關閉“文件和打印共享” 　　文件和打印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，我們可以將它關閉。用鼠標右擊“網絡鄰居”，選擇“屬性”，然後單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對話框中的兩個復選框中的鉤去掉即可。      二、禁止建立空連接 　　打開注冊表編輯器，進入 “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa”， 將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。     三、刪掉不必要的協議 　　對於服務器來說，只安裝TCP/IP協議就夠了。鼠標右擊“網絡鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源，對於不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS關閉，避免針對NETBIOS的攻擊。選擇“TCP/IP協議/屬性/高級”，進入“高級TCP/IP設置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關閉NETBIOS。   四、禁用不必要的服務: Automatic Updates(自動更新下載) Computer Browser DHCP Client DNS Client Messenger Print Spooler Remote Registry(遠程修改注冊表) Server(文件共享) Task Scheduler(計劃任務) TCP/IP NetBIOS Helper Themes(桌面主題) Windows Audio Windows Time Workstation   五、更換管理員帳戶
Administrator帳戶擁有最高的系統權限，一旦該帳戶被人利用，後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。
首先是為Administrator帳戶設置一個強大復雜的密碼(個人建議至少12位)，然後我們重命名Administrator帳戶，再創建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性   六、把Guest及其它不用的賬號禁用 有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權限的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。   七、防范木馬程序
木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：
● 在下載文件時先放到自己新建的文件夾裡，再用殺毒軟件來檢測，起到提前預防的作用。
● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項裡看是否有不明的運行項目，如果有，刪除即可。
● 將注冊表裡 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”為前綴的可疑程序全部刪除即可。   八、如果開放了Web服務，還需要對IIS服務進行安全配置：
    (1) 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。
    (2) 刪除原默認安裝的Inetpub目錄。(或者更改文件名)
    (3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。   九、打開審核策略 　　Windows默認安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應的審核。系統提供了九類可以審核的事件，對於每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核 策略更改：成功或失敗 登錄事件：成功和失敗 對象訪問：失敗事件 過程追蹤：根據需要選用 目錄服務訪問：失敗事件 特權使用：失敗事件 系統事件：成功和失敗 賬戶登錄事件：成功和失敗 賬戶管理：成功和失敗   十、安裝必要的安全軟件
我們還應在電腦中安裝並使用必要的防黑軟件，殺毒軟件和防火牆都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。 當然我們也不應安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的後門.   最後建議大家給自己的系統打上補丁，微軟那些沒完沒了的補丁還是很有用的。