win2003 服务器安全设置教程(权限与本地策略)

服务器安全设置

1、系统盘和站点放置盘必须设置为NTFS格式，方便设置权限。

2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。

3、启用windows自带防火墙，只保留有用的端口，比如远程和Web、Ftp(3389、80、21)等等，有邮件服务器的还要打开25和130端口。

4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。

5、更改sa密码为你都不知道的超长密码，在任何情况下都不要用sa这个帐户。

6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户，设置超长密码，并去掉所有用户组。（就是在用户组那里设置为空即可。让这个帐号不属于任何用户组―样）同样改名禁用掉Guest用户。

7、配置帐户锁定策略（在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。）

8、在安全设置里本地策略-安全选项将

网络访问：可匿名访问的共享；

网络访问：可匿名访问的命名管道；

网络访问：可远程访问的注册表路径；

网络访问：可远程访问的注册表路径和子路径；

以上四项清空。

9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入

（****表示你的机器名,具体查找可以点击 添加用户或组  选  高级  选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。）

10、去掉默认共享，将以下文件存为reg后缀，然后执行导入即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]

"AutoShareServer"=dword:00000000

"AutoSharewks"=dword:00000000

11、 禁用不需要的和危险的服务，以下列出服务都需要禁用。