Windows Server 2003安全设置
一、用户账户安全
1.Administrator账户的安全性
a)重命名adminstrator，并将其禁用
b)创建一个用户账户并将其加入管理员组，日常管理工作使
用这个账户完成
2.启用账户锁定策略
开始——程序——管理工具——本地安全策略——账户
策略——账户锁定策略——设置“账户锁定阈值为3”
3.创建一个日常登录账户
通过Runas或者鼠标右键“运行方式”切换管理员权限
4.修改本地策略限制用户权限
开始——程序——管理工具——本地安全策略——本地策略
——用户权限分配——设置“拒绝从网络访问这台计算机”，
限制从网络访问该服务器的账户
二、服务器性能优化，稳定性优化
1.“我的电脑”右键属性——高级——性能——设置——设置
为“性能最佳”
2.“我的电脑”右键属性——高级——性能——设置——高级
页面为如图设置
3.停止暂时未用到的服务
a)在开始运行中输入:services.msc
b)停止并禁用以下服务
puter Browser
2.Distributed Link Tracking Client
3.Print Spooler（如果没有打印需求可以停止该服务）
4.Remote Registry
5.Remote Registry（如果没有无线设备可以停止该服
务）
6.TCP/IP NetBIOS Helper
三、系统安全及网络安全设置
1.开启自动更新
我的电脑右键属性——自动更新
Windows Server 2003会自动下载更新，无须人为打补丁。

2.关闭端口，减少受攻击面（此处以仅提供HTTP协议为例）
a)开始运行中输入cmd，运行命令提示符
b)在命令提示符中输入netstat -an命令察看当前打开端
口
图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。

c)禁用TCP/IP 上的NetBIOS
1.从“开始”菜单，右键单击“我的电脑”，然后
单击“属性”。

2.点选“硬件”选项卡后，单击“设备管理器”按
钮。

3.右键单击“设备管理器”，指向“查看”，再选择
“显示隐藏设备”。

4.展开“非即插即用驱动程序”。

5.右键单击“TCP/IP 上的NetBios”，然后单击
“禁用”。

d)禁用SMB
1.“网上邻居”右键单击“属性”。

2.“本地连接”右键单击“属性”。

3.选中“Microsoft Networks 客户端”复选框，
然后单击“卸载”。

4.选择“Microsoft Networks 文件和打印机共
享”，然后单击“卸载”。

e)再次在命令提示符中输入netstat -an命令察看当前打
开端口
发现只有TCP 135、1026处于开放状态。

对于这个两个端口，这时我们可以通过WINDOWS自带防火墙，或者是IPSEC来阻塞这两个端口。

下面会把两种方法都作介绍。

f)方法一：启用Windows自带防火墙（配置简单，推荐使
用）
1.“网上邻居”右键单击“属性”。

2.“本地连接”右键单击“属性”。

3.点选“高级选项卡”，单击“设置”按钮
4.在“常规”选项卡下，点选“启用”
5.在“高级”选项卡下，单击“设置”按钮
6.勾选“WEB服务”（以HTTP协议为例，仅开放TCP80
端口）后点确定
这里也可以通过“添加”按钮，开放指定的端口。

g)方法二：使用IPSEC阻塞端口（比较复杂，不推荐使用）
1.在开始运行中输入“MMC”，调出微软管理控制台
2.在“MMC”的“文件”菜单中选择“添加/删除管理单
元”
3.添加管理单元“IP安全策略管理”
4.添加“本地计算机”的IP安全策略
5.创建新的IP安全策略，名称随意
取消下图红圈处的勾
6.添加第一个新IP安全规则，允许TCP 80端口的数据
通过。

取消红圈1处的勾，点击红圈2处的添加
7.添加新的筛选规则（本例仅允许TCP 80的流量）
取消下图红圈1的勾，在红圈2处填写新规则的名称后，单击红圈3处“添加”
在“地址”选项卡中，选择如下图所示：
在“协议”选项卡中，选择如下图所示后，点击确定
所做的操作点应用
8.添加第二条“安全规则”，拒绝其他流量。

（步骤和7
大同小异）
先点添加：
再选择筛选列表：
最后选择筛选动作（此处添加一个新动作）：取消“使用添加向导”勾后点添加：
选择阻止后点确定：
选择筛选器操作为刚刚添加的操作（内容为阻止）后应用确定：
9.选择刚才添加的2条新规则后，应用确定：
10.指派刚才创建的新安全策略
相关设置结束。