因为本人要做服务器的安全管理，所以就上网去搜索了一下关于WIN2003方面的安全配置，无奈网上这方面的资料是一家抄，几乎没有可以让人信任的权威一点的设置。所以偶只好去收集这方面配置的相关文章，再结合个人实际操作归纳整理了一下，欢迎大家补充，让我们一起把服务器的安全做到最好。

一、配置目标：
1、win2003环境
2、支持asp和aspx
3、支持ftp
4、支持sqlserver数据库
5、支持远程管理

二、安装和配置系统
1、安装win2003简体中文企业版，同时装上sp1和各类补丁；（早期的光盘必须安装系统破解补丁）
2、安装杀毒软件防火墙mcafree 8.0 企业版（据说卖咖啡用在服务器上很不错）
3、安装ftp服务器端软件serv-u6.3英文注册版（这是最新版的，漏洞最少，建议不要汉化）

三、系统安全配置
(一）磁盘权限设置（假设系统安装在C盘）
1、C盘和其它盘都只给administrators 和system完全控制权限
2、C盘\Windows目录 要加上给users的默认权限（读取和运行、列出文件夹目录和读取）
3、C盘\Documents and Settings 目录只给administrators 和system完全控制权限
4、C盘\Documents and Settings\All Users 目录只给administrators 和system完全控制权限
5、C盘\Inetpub 彻底删除！！！
6、C盘\Windows\System32\目录下的net.exe，net1.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，format.exe文件只给administrators 和system完全控制权限

（二）禁用不必要的服务（以下是禁用的）
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行，如果不需要请禁用
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件，不需要禁用
Distributed link tracking client：用于局域网更新连接信息，不需要禁用
Error reporting service：禁止发送错误报告
Microsoft Search：提供快速的单词搜索，不需要可禁用
NTLM Security support provide：telnet服务和Microsoft Serch用的，不需要禁用
Print Spooler：如果没有打印机可禁用
Remote Registry：禁止远程修改注册表
Remote Desktop Help Session Manager：禁止远程协助
Workstation：关闭的话远程NET命令列不出用户组
TCP/IP NetBIOS Helper 禁止
Server 取消一些共享，禁止

（三）禁用不需要的协议
网络邻居-网络连接Internet协议（TCP/IP）
高级－NetBIOS设置－禁用tcp/IP上的NetBIOS（S）
常规－只安装Internet协议（TCP/IP）+ Qos数据包计划程序

（四）关闭和修改某些端口
1、启用系统自带的防火墙，只开放ftp21、www80、sqlserver1433及远程桌面管理3389端口
2、更改远程管理端口（改为9859）：
[hkey_local_machine\system\currentcontrolset\control\terminalserver\wds\repwd\tds\tcp] [hkey_local_machine\system\currentcontrolset\control\terminal server\WINSTATIONS\RDP-TCP] 将其下的portnumber值从3389修改

（五）修改系统审核策略
运行gpedit.msc
1、计算机配置－windows设置－安全设置－本地策略－审核策略
　　 审核策略更改　　　成功　失败　　
　　 审核登录事件　　　成功　失败
　　 审核对象访问　　　　　　失败
　　 审核过程跟踪　　　无审核
　　 审核目录服务访问　　　　失败
　　 审核特权使用　　　　　　失败
　　 审核系统事件　　　成功　失败
　　 审核账户登录事件　成功　失败
　　 审核账户管理　　　成功　失败
2、计算机配置－windows设置－安全设置－本地策略－用户权利指派
关闭系统：只有Administrators组、其它全部删除。
　　 通过终端服务拒绝登陆：加入Guests、User组
　　 通过终端服务允许登陆：只加入Administrators组，其他全部删除
3、计算机配置－windows设置－安全设置－本地策略－安全选项
　　 交互式登陆：不显示上次的用户名　　　　　　　启用
　　 网络访问：不允许SAM帐户和共享的匿名枚举　　 启用
　　 网络访问：不允许为网络身份验证储存凭证　　　启用
　　 网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　 网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　 网络访问：可远程访问的注册表路径　　　　　　全部删除
　　 网络访问：可远程访问的注册表路径和子路径　　全部删除
　　 帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户
　　 帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户
4、计算机配置－windows设置－安全设置－账户策略－密码策略
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
5、计算机配置－windows设置－安全设置－账户策略－账户锁定策略
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次

（六）关闭默认共享
1、删除磁盘默认共享
编写一个简单的delshare.bat文件
===============================
@echo off
　　net share C$ /del
　　net share D$ /del
　　net share E$ /del
　　net share F$ /del
net share admin$ /del
================================
将delshare.bat存放在系统盘\system32\GroupPolicy\User\Scripts\Logon\
用户配置－windows设置－脚本（登录/注销）－登录－添加－脚本名delshare.bat－确定
2、限制IPC$缺省共享
修改注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous REG_DWORD 0x1 匿名用户无法列举本机用户列表

（七）系统账户管理
1、禁用guest账户，设置复杂密码
2、将最高管理账户administrator改名，设置超强密码，建议数字字母和特殊符号组合
3、新建一个没有任何权限的用户administrator做为陷阱账号，设置超强密码，让黑客去破解撒！

（八）未完