如果你曾經配置過Windows NT Server或是Windows 2000 Server,你也許發現這些微軟的產品缺省並不是最安全的。雖然微軟提供了很多安全機制,但是依然需要你來實現它們。然而當微軟發布Windows Server 2003的時候,改變了以往的哲學體系。新的理念是,服務器缺省就應該是安全的。這的確是一個不錯的理念,不過微軟貫徹得還不夠徹底。雖然缺省的Windows 2003安裝絕對比確省的Windows NT或 Windows 2000安裝安全許多,但是它還是存在著一些不足。下面讓我教大家如何讓windows Server 2003更加安全。
第一步:修改管理員帳號和創建陷阱帳號:
修改內建的用戶賬號多年以來,微軟一直在強調最好重命名Administrator賬號並禁用Guest賬號,從而實現更高的安全。在windows Server 2003中,Guest 賬號是缺省禁用的,但是重命名Administrator賬號仍然是必要的,因為黑客往往會從Administrator賬號入手開始進攻。方法是:打開“本地安全設置”對話框,依次展開“本地策略”→“安全選項”,在右邊窗格中有一個“賬戶:重命名系統管理員賬戶”的策略,雙擊打開它,給Administrator重新設置一個平淡的用戶名,當然,請不要使用Admin之類的名字,改了等於沒改,盡量把它偽裝成普通用戶,比如改成:guestone 。然後新建一個名稱為Administrator的陷阱帳號“受限制用戶”,把它的權限設置成最低,什麼事也干不了的那種,並且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了,並且可以借此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。
第二步刪除默認共享存在的危險
windows2003安裝好以後,系統會創建一些隱藏的共享,你可以在cmd下打 net share 查看他們。網上有很多關於IPC入侵的文章,相信大家一定對它不陌生。所以我們要禁止或刪除這些共享以確保安全,方法是:首先編寫如下內容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
以上批處理內容大家可以根據自己需要修改。保存為delshare.bat,存放到系統所在文件夾下的system32\GroupPolicy\User\Scripts\logon目錄下。然後在開始菜單→運行中輸gpedit.msc,回車即可打開組策略編輯器。點擊用戶配置→Window設置→腳本(登錄/注銷)→登錄,在出現的“登錄 屬性”窗口中單擊“添加”,會出現“添加腳本”對話框,在該窗口的“腳本名”欄中輸入delshare.bat(如圖1),然後單擊“確定”按鈕即可。這樣就可以通過組策略編輯器使系統開機即執行腳本刪除系統默認的共享。