Windows Server 2003安全性措施

1、端口端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。一般来说，比较安全的做法是，只打开你需要使用的端口。很多黑客攻击程序是针对特定服务和特定服务端口的，因此，为了降低遭受黑客攻击的危险，应该关闭那些不必要的服务和服务端口。

2、IIS服务IIS是微软的组件中漏洞最多的一个，平均两鹩梏钔喔三个月就要出一个漏洞，所以我们应该细致配置IIS。例如，信息服务发布目录Inetpub安装在非系统分区上，如D盘，更改名字不用系统默认目录名。在IIS管理器中将主目录指向你自己设定的路径即可。又如，删除IIS安装时默认的scripts等虚拟目录，谨慎建立所需目录，同时需要什么权限开什么权限。特别注意写权限和执行程序的权限，没有绝对需要不要给目录分配这些权限。

3、应用程序配置删除IIS管理器中不必要的映射。例如，在IIS管理器中鼠标单击主机，选择“网站”，鼠标右键点击选择“属性”菜单，选择“主目录”配置页，选择“配置”，打开“应用程序配置”对话框，在“映射”选项页中根据需要可以删除不必要的应用程序类型。选择“调试”选项页，将脚本错误消息改为发送文本，否则ASP出错的时候用户将知道你的程序、网络、数据库结构。错误文本可自己定制，设置好后点按“确定”退出。

4、删除不需要的服务Windows Server 2003的许多服务器允许用户远程访问本机，如用户通过Teln髫潋啜缅et方式登录等，并可在控制台上执行一系列操作，如装载和卸载模块，安装和删除软件。这虽然带来了一些方便，但也给非法用户访问和控制服务器带来了可乘之机。可以通过以下方法关掉一些不必要的服务，选择“开始”/“管理工具”/“服务”，打开“服务”管理窗口，查找并选中要停止的服务（如Telnet），鼠标右键单击选择“停止”即可。

5、账号安全Windows Server 2003的账号安全管理十分重要。首先，Windows Server 2003的默认安装允许任何用户通过匿名用户得到系统所有账号、共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并从而设法破解用户密码。

6、安全日志Windows Server 2003的默认安装是不开任何安全审核的。在“本地安全设置”管理程序的“本地策略”/“审核策略”中设置相应的审核。

7、目录和文件权限（1）权限是累计的。（2）拒绝的权限要比允许的权限级别高（拒绝优先）（3）文件权限比文件夹权限高。（4）仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。