Win2003 安全設(shè)置策略 
 
一 設(shè)置和管理賬戶
1、系統(tǒng)管理員賬戶最好少建，更改默認(rèn)的管理員帳戶名（Administrator）和描述，
密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14位。
2、新建一個名為Administrator的陷阱帳號，為其設(shè)置最小的權(quán)限，然后隨便輸入
組合的最好不低于20位的密碼。
3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復(fù)雜的密碼，然后禁用。
4、開始-程序-管理工具-本地安全策略，選擇
計算機配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，
將賬戶設(shè)為“三次登陸無效”，“鎖定時間為30分鐘”，“復(fù)位鎖定計數(shù)設(shè)為10分鐘”。
5、在安全設(shè)置-本地策略-安全選項中將“不顯示上次的用戶名”設(shè)為啟用 。
6. 本地策略-安全選項-對匿名連接的額外限制.選擇(不允許枚舉 SAM 帳號和共享)

二 網(wǎng)絡(luò)服務(wù)安全管理
(1)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
\WinStations\RDP-Tcp]
"PortNumber"=dword:00000b6d
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:00000b6d

1、禁止C$、D$、ADMIN$一類的缺省共享
打開注冊表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\lanmanserver\parameters，
在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer值設(shè)為0. 注冊表不了解.不要隨便更改.
2、 解除NetBios與TCP/IP協(xié)議的綁定
　　右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS
3、關(guān)閉不需要的服務(wù)，以下為建議選項
開始-所有程序-管理工具-服務(wù)
　　 Computer Browser:維護網(wǎng)絡(luò)計算機更新，禁用
　　 Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用
　　 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用
　　 Error reporting service：禁止發(fā)送錯誤報告
　　 Microsoft Serch：提供快速的單詞搜索，不需要可禁用
　　 NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用
　　 PrintSpooler：如果沒有打印機可禁用
　　 Remote Registry：禁止遠程修改注冊表
　　 Remote Desktop Help Session Manager：禁止遠程協(xié)助
　　 Messenger:信使服務(wù)(windows2000)
　　 Task Scheduler: 允許程序在指定時間運行(不用計劃任務(wù)就禁用掉)
　　 TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服務(wù)以及 NetBIOS 名稱解析的支持
注：新上架的服務(wù)器已經(jīng)做過其他安全設(shè)置只開以下端口，需要開其他端口可以在。
右擊網(wǎng)上鄰居-屬性-Internet協(xié)議（TCP/IP）屬性-高級-選項-TCP/IP篩選－屬性-TCP端口－添加
你想要開的端口.
　 　 默認(rèn)開啟的端口列表：
　 　FTP:20.21
　　 mail:25.110
　　 Web:80
　　 pcanywhere:5631
　　 遠程桌面：3389 (3389不要關(guān)閉，否則將無法遠程連接)
 

三 系統(tǒng)安全管理
　　1.對于系統(tǒng)的NTFS磁盤權(quán)限設(shè)置,C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，
其他的盤也可以這樣設(shè)置，這里給的system權(quán)限也不一定需要給，
只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。
　　2. Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運行。
　　3. 另外在c:/Documents and Settings/這里相當(dāng)重要，
后面的目錄里的權(quán)限根本不會繼承從前的設(shè)置，如果僅僅只是設(shè)置了C盤給administrators權(quán)限，
而在All Users/Application Data目錄下會 出現(xiàn)everyone用戶有完全控制權(quán)限，
這樣入侵這可以跳轉(zhuǎn)到這個目錄，寫入腳本或只文件，再結(jié)合其他漏洞來提升權(quán)限.
　　4. net.exe;net1.exet;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com
這些文件都設(shè)置只允許administrators

四 打開相應(yīng)的審核策略

　　開始-程序-管理工具-本地安全策略-安全設(shè)置-本地策略-審核策略
　　注:windows2003已經(jīng)開啟部分.windows2000沒有開啟.可以根據(jù)實際情況來設(shè)置.
　　推薦的要審核的項目是：
　　登錄事件 成功 失敗
　　賬戶登錄事件 成功 失敗
　　系統(tǒng)事件 成功 失敗
　　策略更改 成功 失敗
　　對象訪問 失敗
　　目錄服務(wù)訪問 失敗
　　特權(quán)使用 失敗
五、第二防止SERV提高權(quán)限只給administrators
六、第四關(guān)閉一些木馬的組建
regsvr32 /u wshom.ocx
regsvr32 wshext.dll /u
regsvr32 /u shell32.dll