一、Windows Server2003的安裝

1、安裝（zhuāng）係統（tǒng）最（zuì）少兩需要個分區，分區格式都采用NTFS格式

2、在斷開（kāi）網絡的情況（kuàng）安裝好2003係統

3、安裝（zhuāng）IIS，僅安裝必要的 IIS 組（zǔ）件(禁用（yòng）不需要的如FTP 和 SMTP 服務)。默認情況（kuàng）下，IIS服務沒（méi）有安裝，在添加/刪除Win組件中選擇“應用程（chéng）序服務器（qì）”，然（rán）後（hòu）點擊“詳細信（xìn）息”，雙擊（jī）Internet信（xìn）息服務(iis)，勾選（xuǎn）以下選項：

Internet 信息服務管理器;

公用文件;

後（hòu）台（tái）智能傳輸服務 (BITS) 服（fú）務器擴（kuò）展;

萬維網服務。

如果你（nǐ）使用 FrontPage 擴（kuò）展的 Web 站點再勾選：FrontPage 2002 Server Extensions

4、安裝MSSQL及其它（tā）所需要的軟件（jiàn）然後進行Update。

5、使用Microsoft 提（tí）供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析計（jì）算機的安全配置，並標識缺（quē）少的修補程序和更新。下載地（dì）址：見（jiàn）頁（yè）末的鏈（liàn）接

二、設置和管理賬戶

1、係統賬戶最（zuì）好少建，更（gèng）改默認的帳戶名(Administrator)和（hé）描述，密碼最（zuì）好采（cǎi）用（yòng）數字加（jiā）大小寫字母加數字的（de）上檔鍵組合，長度最好不少於（yú）14位。

2、新建一個名（míng）為Administrator的陷阱帳號，為其設（shè）置最小的權限，然後隨便輸入組（zǔ）合的最好不低於（yú）20位的密碼

3、將（jiāng）Guest賬戶禁（jìn）用（yòng）並更改名（míng）稱和描述，然後（hòu）輸入一個複雜（zá）的密碼（mǎ），當然現（xiàn）在也有一（yī）個（gè）DelGuest的工具，也許你也可以利用它來刪除Guest賬戶，但我（wǒ）沒有試過。

4、在運行中（zhōng）輸入（rù）gpedit.msc回車，打開組（zǔ）策略編輯器，選擇計（jì）算機配置-Windows設置-安全（quán）設置-賬戶（hù）策略-賬戶鎖定策略，將賬戶（hù）設為“三（sān）次登陸無（wú）效（xiào）”，“鎖定時瀋（shěn）櫛?0分鍾”，“複位鎖定計數設為30分鍾”。

5、在安全設置-本地（dì）策略-安全選項（xiàng）中（zhōng）將（jiāng）“不顯示上次的用戶名”設為啟用

6、在安全設置-本地策略-用戶（hù）權（quán）利分配（pèi）中將“從網絡訪問此計算機”中隻（zhī）保（bǎo）留Internet來（lái）賓（bīn）賬戶、啟動IIS進程賬戶（hù）。如果你使用了Asp.net還要保留Aspnet賬（zhàng）戶。

7、創建（jiàn）一個User賬戶，運行係（xì）統，如果要運（yùn）行特權命令使用Runas命令。

三、網（wǎng）絡服務安（ān）全管理

1、禁止C$、D$、ADMIN$一類的缺省共享

打（dǎ）開注冊表（biǎo），HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的（de）窗口中新建Dword值，名稱設為AutoShareServer值設為（wéi）0

2、 解除NetBioses與TCP/IP協議的綁（bǎng）定（dìng）

右擊網上（shàng）鄰居-屬性（xìng）-右擊本（běn）地連接（jiē）-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的（de）NETBioses

3、關閉不需要的服務（wù），以下為建議選項

Computer Browser:維護網絡計（jì）算機更新，禁用

Distributed File System: 局域網管理共享文（wén）件，不需（xū）要禁用（yòng）

Distributed linktracking client：用於（yú）局域網更新連（lián）接信息，不需（xū）要禁（jìn）用

Error reporting service：禁（jìn）止發送（sòng）錯誤（wù）報告

Microsoft Serch：提（tí）供快速（sù）的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務（wù）和Microsoft Serch用的，不需（xū）要禁用（yòng）

PrintSpooler：如果沒有打印機（jī）可（kě）禁用

Remote Registry：禁止遠程修改注冊表

Remote Desktop Help Session Manager：禁止遠程（chéng）協助

四、打開相應的審核策（cè）略（luè）

在運（yùn）行中輸（shū）入gpedit.msc回（huí）車，打開組策略編（biān）輯器，選擇計算機配置-Windows設置（zhì）-安全設置-審（shěn）核策略在（zài）創建審（shěn）核項目（mù）時需要注意的是如果審核的項（xiàng）目太多，生成的事件也（yě）就越多，那麽要想發（fā）現嚴重的事（shì）件（jiàn）也越難（nán）當然如果審核的太少也（yě）會影響你（nǐ）發（fā）現嚴重（chóng）的事件，你需要根據情況在這二者之間做（zuò）出選擇。

推薦（jiàn）的要審核的項目是：

登錄事件 成功 失敗

賬戶（hù）登（dēng）錄事件 成功（gōng） 失敗

係統事件 成功 失敗

策略（luè）更改 成功 失（shī）敗

對象訪問 失（shī）敗目錄服務訪問 失敗

特權使（shǐ）用 失敗

五、其它安全相關設置（zhì）

1、隱藏重要文件/目錄

可以修改（gǎi）注（zhù）冊（cè）表實現完（wán）全（quán）隱藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標右擊“CheckedValue”，選（xuǎn）擇修改，把數值由（yóu）1改為0

2、啟（qǐ）動（dòng）係統自帶的（de）Internet連（lián）接（jiē）防火牆，在設置（zhì）服務選項中（zhōng）勾選Web服（fú）務器。

3、防止（zhǐ）SYN洪水攻（gōng）擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名（míng）為SynAttackProtect，值為2

4. 禁止響應ICMP路由通（tōng）告報（bào）文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface

新建DWORD值，名（míng）為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

將EnableICMPRedirects 值設（shè）為0

6. 不支持IGMP協議（yì）

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名為IGMPLevel 值（zhí）為0

7、禁用DCOM：

運行中輸入 Dcomcnfg.exe。 回車， 單擊“控製台根節（jiē）點”下（xià）的“組件服務”。 打開“計算機”子文件夾。

對（duì）於本地計算機，請以右鍵單擊“我的電（diàn）腦（nǎo）”，然（rán）後選擇“屬性”。選擇“默認屬性”選項卡。

清除“在這台計算機上啟用分（fèn）布式 COM”複（fù）選框。

注：3-6項內容我（wǒ）采用的是Server2000設（shè）置，沒有測試過（guò）對2003是否起作用。但有（yǒu）一點（diǎn）可（kě）以肯（kěn）定我用了一段（duàn）的時間（jiān）沒有發現其它（tā）副麵（miàn）的影響。

六、配（pèi）置 IIS 服務：

1、不使用（yòng）默認的Web站（zhàn）點，如果使用（yòng）也要將 將IIS目錄與係統磁盤（pán）分開。

2、刪除IIS默（mò）認創建（jiàn）的（de）Inetpub目錄(在（zài）安裝（zhuāng）係（xì）統的盤上)。

3、刪除係統（tǒng）盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不（bú）必要的IIS擴展名映射。

右鍵單擊“默認Web站點→屬性→主（zhǔ）目錄→配（pèi）置”，打（dǎ）開（kāi）應用程（chéng）序窗口，去掉（diào）不必要的應用程序映射。主要（yào）為.shtml, .shtm, .stm

5、更改IIS日誌的路徑

右鍵單擊“默（mò）認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性

6、如果（guǒ）使用的是2000可以使用iislockdown來保護（hù）IIS，在（zài）2003運行的IE6.0的版（bǎn）本不需（xū）要（yào）。

7、使用UrlScan

UrlScan是一個ISAPI篩選器，它對傳入的（de）HTTP數據包進行分析並可（kě）以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安裝（zhuāng）1.0或2.0的版（bǎn）本。下載（zǎi）地址見頁未的（de）鏈接

如果沒有特殊（shū）的要求（qiú）采用UrlScan默認配（pèi）置就可以了。

但（dàn）如果你（nǐ）在服務器運行ASP.NET程序，並要進（jìn）行調試你需打（dǎ）開要%WINDIR%System32InetsrvURLscan

文（wén）件夾中的URLScan.ini 文（wén）件，然後（hòu）在UserAllowVerbs節添加debug謂詞，注（zhù）意此（cǐ）節是（shì）區分大小寫的。

如果你（nǐ）的網頁是.asp網頁你需（xū）要在DenyExtensions刪（shān）除.asp相關的內容。

如（rú）果（guǒ）你的網頁使用了非ASCII代碼，你需要在Option節（jiē）中將AllowHighBitCharacters的值設為1

在對（duì）URLScan.ini 文件做了更改後，你需要重啟IIS服務才能生效，快速方（fāng）法運行中輸入iisreset

如果你在配（pèi）置（zhì）後出現什（shí）麽問題，你可以通過添加/刪（shān）除程序刪除UrlScan。

8、利用（yòng）WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性（xìng）掃描.

下載地址（zhǐ）：VB.NET愛好者

七、配（pèi）置Sql服務器

1、System Administrators 角色最好不要超過兩（liǎng）個

2、如（rú）果是在本機最好將身份（fèn）驗證配置為Win登陸

3、不（bú）要使用Sa賬戶，為（wéi）其配（pèi）置一個（gè）超級複（fù）雜（zá）的（de）密碼

4、刪除以下（xià）的擴（kuò）展存儲過程格式為：use master

sp_dropextendedproc '擴展存儲過程（chéng）名'

xp_cmdshell：是進入（rù）*作係統的最佳捷徑，刪（shān）除

訪問注冊表的存儲（chǔ）過（guò）程，刪除（chú）

Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalsue　　Xp_regenumvalues

Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

OLE自動（dòng）存儲過程，不需要（yào）刪除

Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty

Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

5、隱藏 SQL Server、更改默認的1433端口

右擊實例選屬（shǔ）性-常（cháng）規-網（wǎng）絡配置中（zhōng）選擇TCP/IP協（xié）議的屬性，選擇隱藏 SQL Server 實例，並改原默認的1433端口。

八、如（rú）果隻做服務器，不進行其它*作，使用IPSec

1、管理工具—本地安全策略—右擊IP安全策略—管理IP篩（shāi）選器表和篩選器（qì）*作—在管理IP篩選器表選項下點擊

添加—名稱設為Web篩選器—點擊添加—在描述中輸入Web服（fú）務器—將源地址設為任何IP地址（zhǐ）——將目標地址設（shè）為我的IP地址——協議類（lèi）型設為Tcp——IP協議（yì）端（duān）口第一項設為從任（rèn）意端口，第二項到此端口80——點擊完成——點擊（jī）確定（dìng）。

2、再（zài）在管理IP篩選器表選（xuǎn）項下點擊（jī）

添加—名（míng）稱（chēng）設為（wéi）所有入站篩選器—點擊添加—在（zài）描述中輸（shū）入所（suǒ）有入站篩（shāi）選—將源地址設為任何（hé）IP地址（zhǐ）——將目標地（dì）址設為（wéi）我的IP地（dì）址——協議類型設（shè）為（wéi）任（rèn）意——點擊下一（yī）步——完成——點擊確定。

3、在管理篩選（xuǎn）器*作選項下點擊添加——下一步——名稱中輸入阻（zǔ）止（zhǐ）——下一步——選擇阻止——下一步（bù）&md