初探windowsserver2003操作系统的安全配置

　　1 磁盘划分
　　将硬盘建立三个及以上分区，并分配不同的用途。如：第一系统分区，安装操作系统；第二系统分区，安装常用应用程序；第三及以后的系统分区，存储备份数据。文件系统类型通常有fat、ntfs等。从安全角度考虑，文件系统类型应选择ntfs格式。
　　2 账户和安全策略设置
　　2.1 系统默认账户管理。固定的操作系统都有一个固定的超级管理员和来宾账户名称，有利于黑客利用此来进行远程攻击行为。因此要把administrator账户改为一个不容易被猜到的账户，同时设置一个虚假的超级管理员帐户并修改其描述。另外禁用gust账户，并给其加一个复杂的密码。
　　2.2 隐藏上次登录的用户名。默认情况下，windows操作系统都会记住上次登陆的用户名，给物理上可以接触到自己计算机的非法用户留下漏洞。要去掉此功能，设置如下：控制面板->管理设置->本地安全策略，在右边窗格中双击“交互式登录：不显示上次的用户名”，设置成“已启用”即可。
　　2.3 密码策略设置（见表1）
　　2.4 账户锁定策略设置。账户登录失败锁定的阀值设为6次，账户锁定的时长设为720分钟。
　　2.5 审核策略设置（见表2）
　　3 系统服务设置
　　2003操作系统一般使用时都不需要更改系统服务内容，不过有时候某些系统服务会成为服务器的隐患，所以除非特殊情况非开不可本文由论文联盟http://收集整理，下列系统服务要停止并禁用：alerter（通知选定的用户和计算机管理报警）；applicationlayergatewayservice（为应用程序级协议插件提供支持并启用网络/协议连接）；backgroundintelligenttransferservice（利用空闲的网络带宽在后台传输文件）；computerbrowser（维护网络上计算机的更新列表，并将列表提供给计算机指定浏览）；distributedfilesystem（将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷）；helpandsupport（启用在此计算机上运行帮助和支持中心）；messenger（传输客户端和服务器之间的netsend和警报器服务消息）；printspooler（管理所有本地和网络打印队列及控制所有打印工作）；remoteregistry（使远程用户能修改计算机上的注册表设置）；taskscheduler（使用户能在此计算机上配置和计划自动任务）；tcp/ipnetbioshelper（提供tcp/ip服务上netbios和网络上客户端的netbios名称解析的支持）；telnet（允许远程用户登录到此计算机并运行程序）；workstation（创建和维护到远程服务的客户端网络连接）等等，可根据应用对服务器的要求进行选择。Www.11665.CoM
　　4 关闭默认共享
　　在windowsserver2003系统中存在一些特定的默认共享，允许管理人员连接到驱动器根目录下的共享文件夹。可根据本地环境关闭不必要的共享，如：
　　4.1 关闭windows硬盘默认共享。在注册表中展开“hklm＼system＼currentcontrolset＼services＼lanmanserver＼parameters＼”，增加reg_dword类型的autoshareserver键，值为0；增加reg_dword类型的autosharewks键，值为0；
　　4.2 关闭ipc$默认共享。在注册表中展开“hkey_local_machine＼system＼currentcontrolset＼control＼lsa”注册表项，双击“restrictanonymous”将其键值设为“1”即可。
　　5 安装系统补丁
　　系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误。不法者通过网络植入木马、病毒等方式来窃取电脑中的重要资料和信息，甚至破坏系统。因此，我们应及时为系统安装补丁，填补漏洞。目前，大多数第三方杀毒软件或者防护软件中都带有漏洞修复功能，给我们带来很大方便。
　　6 防火墙、杀毒软件的安装
　　在windowsserver2003系统里，建议开启系统防火墙，根据需求关闭不必要的端口。
　　安装一款好的正版杀毒软件，能杀掉大量的病毒，还能查杀许多的木马及后门程序。另外，杀毒软件需要及时升级病毒库，增强防护。
　　7 数据备份和恢复
　　由于磁盘驱动器损坏、病毒感染、供电中断、网络故障以及其他一些原因，可能引起磁盘中数据的丢失和损坏。因此，定期备份服务器硬盘上的数据是非常必要的。数据备份要做到每月备份一次系统数据，每周或每天备份一次应用程序数据。并且要确保备份数据的安全。
　　8 其他配置操作
　　8.1 修改远程桌面端口。在注册表中展开“hkey_local_machine＼system＼currentcontrolset＼control＼terminalserver＼wds＼rdpwd＼tds＼tcp”，修改右边portnamber默认值为所希望的端口即可；在注册表编辑器中展开“hkey_local_machine＼system＼currentcontro1set＼control＼tenninalserver＼winstations＼rdp-tcp”，修改右边portnamber默认值为所希望的端口即可。修改完后需要重启生效，注意防火墙的问题！
　　8.2 屏幕保护。进入“控制面板->显示->屏幕保护程序”，设置等待时间为10分钟，启用“在恢复时使用密码保护”。
　　8.3 关闭自动播放。在组策略编辑器中展开“计算机配置→管理模板→系统”，双击右窗格中“关闭自动播放”，选择所有驱动器。
　　9 结论
　　以上内容从磁盘管理、账户管理、服务管理等方面，对2003操作系统的安全设置进行了探讨。但微软操作系统本身存在诸多安全隐患，因此我们应及时关注最新安全，掌握最新攻防技术，这样才能保证2003操作系统能够更加安全稳定，才能保证校园网络中应用服务器稳定运行。