Windows Server 2003是目前成熟的网络服务器系统，提供了强人的网络服务功能，而且极易上手，网络管理者不需要太多的培训即可配置和管理。不过，要配置一个安全的网络服务器难度是比较高的，需要有经验的网络管理者手动配置很长时间。笔者为网络管理员，结合近几年的网络安全管理实施过程，总结出一些经验来提高网络服务器的安全性。

    一、安装Windows Server 2003时应注意的问题

    1.确保操作系统的来源合法性。不要使用非正常渠道得到的系统安装盘。防止在安装操作系统的同时就被安装了木马或者间谍软件。

    2.保证硬件设备的可靠性。尽量使系统运行在RAIDS方式的磁盘阵列中，确保服务器环境的稳定。

    3.将操作系统安装在一个十净的系统中。在软件安装之前，确定磁盘所有的数据都已经删除十净，磁盘完好无损。

    4.在操作系统安装完成但没有正式运行前，保证系统在安装过程中不与仟何公共的系统相连。如果必须要有网络安装，要确保服务器在一个独立可信的网段中，建议拔掉网线安装操作系统。

    5.尽量安装操作系统的笑文版木。因为微软总是最先发布笑文版木的补丁，中文版木的补丁相对滞后一段时间。

    6.使用NTFS分区作为唯一的系统文件分区标准。NTFS是真正的日志性文件系统，使用日志和检查点信息，即使在系统崩溃或者电源故障时也能保证文件系统的一致性。

    7.安装TCP/IP协议，不要安装其他仟何协议。

    8.在选择安装程序的时候不要安装仟何额外的程序和服务。

    9.服务器最好不加入到域，要安装成独立服务器模式。

    10.为系统管理员设置一个足够强壮的密码，长度最好在20位以上。

    二、安装防病毒系统

    防病毒软件设置时应注意的问题：

    1.确认防病毒软件来源的合法性、完整性及可升级性。

    2.在没有接人网络环境前安装防病毒软件，同时安装最新防病毒软件的病毒库。

    3.运行防病毒程序的病毒实时监测系统，同时配置防病毒软件的自动更新、扫描、受感染文件的处理方式等操作。

    4.对刚安装完成的操作系统进行一次完整的病毒扫描。

    5.经常查看防病毒系统产生的日志文件。

    三、配置应用程序

    在服务器上安装正常使用的应用程序（包括更新的IE浏览器版木），同时安装配置网络服务的程序（如微软的IIS服务、FTP服务、SQL Server数据库服务等）。

[page]    注意事项：

    1.不要安装仟何多余的程序。服务器仅提供网络服务，不是个人电脑，不需要安装其他程序。

    2.安装服务和应用程序，尽量选择最新的安装版木，这通常可以保证没有近期发布的程序漏洞。不需要的应用程序服务尽量不要安装，或者配置成禁止使用的模式。

    3.不要在服务器上运行系统提供的应用程序访问网络，服务器的漏洞有时会被恶意利用。

    4.为安全起见，建议将系统附件中除写字板、记事木以外的所有应用程序删除。

    5.不要在服务器上安装仟何开发工具、软件调试器、扇区读写编辑器等可对系统底层进行操作的应用软件，可执行程序越少越好。

    四、账户管理注意事项

    配置服务器系统时，应当注意对系统账户的管理。

    1.重新命名管理员账号。这是为了防止对“Administrator"账号的密码猜测行为。

    2.禁用或者删除“Guest"账号。Windows 2003操作系统默认此账号禁止使用，必须检查此账号是否处于启用状态。

    3.检查系统中存在的账号的状况。审核不必要的账号和组，审核账号隶属的组权限和用户权限井定期记录；对于长时间不使用的账号应该查明原因；对于因为员工离职等原因废弃的账号要立即删除。

    4.建议使用非管理员账号来管理系统，只有在必须使用管理员权限的时候才采用管理员账号。

    5.建议新用户赋予User或者Guest组权限，不要赋予“Power Users”组权限，对于仟何特定的操作在建立一个特定组的同时赋予其权限来执行。

    五、启用日志审核

    审核是Windows 2003中木地安全策略的一部分，它是一个维护系统安全性的工具，允许跟踪用户的活动和Windows NT/2000系统的活动。

    根据监控审核结果，管理员可以将计算机资源的非法使用消除或减到最小。

    微软操作系统的日志审核默认是关闭的，必须手动开启。

    六、禁止远程注册表访问

    Windows Server 2003在默认安装的时候启用了允许远程访问注册表如果开启此功能，服务的启动、ACL权限的修改、用户名的建立等信息，都可以在注册表中完成，严禁使用远程注册表访问功能。

    七、设定访问控制的文件权限

    在使用NTFS文件系统的基础上定制分区和文件访问条件，加强Windows Server 2003在默认状态下的访问权限，构建一个更加安全的系统。

    1.取消默认安装时“Everyone”组拥有的对所有磁盘的完全控制权限。

    2.取消系统的文件保护功能。移除系统中备份的系统文件，包括在根分区“Winnt Driver cache”目录下的所有文件以及如果在安装SP包时选择了“存档”选项时要移除的存档文件夹。移除系统文件以后，在命令行模式下先执行“SFC/Purgccache”命令清除缓存文件，再执行“SFC/cachcsize=0”命令井重新启动系统，就可以取消操作系统的文件保护功能。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。