文档介绍:Window2003 服务器安全配置方案第一节安装 Windows 2003 Server 一、注意授权模式的选择(每服务器,每客户): 建议选择“每服务器”模式, 用户可以将许可证模式从“每服务器”转换为“每客户”, 但是不能从“每客户”转换为“每服务器”模式。,以后可以免费转换为“每客户”模式。所谓许可证( CAL )就是为需要访问 Windows Server 2003 的用户所购买的授权。有两种授权模式:每服务器和每客户。每服务器: 该许可证是为每一台服务器购买的许可证, 许可证的数量由“同时”连接到服务器的用户的最大数量来决定。每服务器的许可证模式适合用于网络中拥有很多客户端, 但在同一时间“同时”访问服务器的客户端数量不多时采用。并且每服务器的许可证模式也适用于网络中服务器的数量不多时采用。每客户: 该许可证模式是为网络中每一个客户端购买一个许可证, 这样网络中的客户端就可以合法地访问网络中的任何一台服务器,而不需要考虑“同时”有多少客户端访问服务器。该许可证模式适用于企业中有多台服务器,并且客户端“同时”访问服务器的情况较多时采用。微软在许可数上只是给了你一个法律上的限制,而不是技术上的。所以假如你希望服务器有更多的并发连接,只要把每服务器模式的数量改的大一些即可。这个数量会限制到 windows 中所有的网络应用,包括数据库。二、安装时候使用 NTFS 分区格式,设定好 NTFS 磁盘权限。 C 盘赋给 administrators 和 system 用户组权限,删除其他用户组,其它盘也可以同样设置。注意网站最好不要放置在 C 盘。 Windows 目录要加上给 users 的默认权限,否则 ASP 和 ASPX 等应用程序就无法运行。另外, 还将 c:\windows\system32 目录下的一些 DOS 命令文件: , , , , , , , , 这些文件都设置只允许 administrators 访问。另外在 c:/Documents and Settings/ 这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了 C 盘给 administrators 权限,而在 All Users/Application Data 目录默认 everyone 用户有权限, 这样入侵这可以跳转到这个目录, 写入脚本或只文件, 再结合其他漏洞来提升权限; 譬如利用 serv-u 的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等方法,在用做 web/ftp 服务器的系统里,建议是将这些目录都设置的限定好权限。三、禁止不必要的服务和增强网络连接安全性把不必要的服务都禁止掉, 尽管这些不一定能被攻击者利用得上, 但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、