1、Windows Server系統(tǒng)自身安全防護措施提示：為慎重操作，可以先在測試機做關閉測試，最好通過與廠方工程師商定后再設置。一、 關閉服務器不必要端口利用win2003自帶防火墻關閉所有端口，如就留一個端口：80 。（設置有兩種方法，一個使用windows自帶防火墻設，一個實在TCP/IP屬性里設。） 設置方法： 1、在“網絡連接”屬性里設置windows防火墻。2、將需要打開的端口添加進去。建議大家盡可能少打開端口。盡量不要開遠程桌面。二、 在服務中關閉不必要的服務以下服務可以關閉：Computer Browser 維護網絡上計算機的最新列表以及提供這個列表Task scheduler 允

2、許程序在指定時間運行Routing and Remote Access 在局域網以及廣域網環(huán)境中為企業(yè)提供路由服務Removable storage 管理可移動媒體、驅動程序和庫Remote Registry Service 允許遠程注冊表操作Print Spooler 將文件加載到內存中以便以后打印。要用打印機的朋友不能禁用這項IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE）和IP安全驅動程序Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發(fā)送通知Com+ Event System 提供事件的

3、自動發(fā)布到訂閱COM組件Alerter 通知選定的用戶和計算機管理警報Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息Telnet 允許遠程用戶登錄到此計算機并運行程序三、在”網絡連接”里，把不需要的協議和服務都刪掉。這里只安裝了基本的Internet協議（TCP/IP）和Microsoft網絡客戶端。在高級tcp/ip設置里-"NetBIOS"設置“禁用tcp/IP上的NetBIOS（S）”。四、運行pgedit.msc，配置“用戶權限分配

4、”>> 在安全設置里 本地策略-安全選項網絡訪問:可匿名訪問的共享; 網絡訪問:可匿名訪問的命名管道; 網絡訪問:可遠程訪問的注冊表路徑; 網絡訪問:可遠程訪問的注冊表路徑和子路徑; 將以上四項全部刪除 >> 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用" >> 不允許 SAM 賬戶和共享的匿名枚舉 更改為"已啟用" ;>> 網絡訪問: 不允許存儲網絡身份驗證的憑據或 .NET Passports 更改為"已啟用" ;>> 網絡訪問.限制匿名訪問命名管道和共享,更改為&qu

5、ot;已啟用" ;將以上四項通通設為“已啟用”五、關閉每個硬盤的默認共享。在Windows 2000/XP/2003系統(tǒng)中，邏輯分區(qū)與Windows目錄默認為共享，這是為管理員管理服務器的方便而設，但卻成為了別有用心之徒可趁的安全漏洞。六、IIS (Internet信息服務器管理器) 1、在"主目錄"選項設置以下：讀 允許寫 不允許腳本源訪問 不允許目錄瀏覽 建議關閉記錄訪問 建議關閉索引資源 建議關閉執(zhí)行權限 推薦選擇 “純腳本” 。2、建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。(最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和system為Full Control)。七、 SQL數據庫安全設置1