Windows 2003 Server服務器安全配置(2)

　　我關閉了以下的服務

　　Computer Browser 維護網絡上計算機的最新列表以及提供這個列表

　　Task scheduler 允許程序在指定時間運行

　　Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息

　　Distributed File System: 局域網管理共享文件，不需要禁用

　　Distributed linktracking client：用于局域網更新連接信息，不需要禁用

　　Error reporting service：禁止發送錯誤報告

　　Microsoft Serch：提供快速的單詞搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果沒有打印機可禁用

　　Remote Registry：禁止遠程修改注冊表

　　Remote Desktop Help Session Manager：禁止遠程協助

　　Workstation關閉的話遠程NET命令列不出用戶組

　　把不必要的服務都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規則和標準上來說，多余的東西就沒必要開啟，減少一份隱患。

　　在"網絡連接"里，把不需要的協議和服務都刪掉，這里只安裝了基本的Internet協議（TCP/IP），由于要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS（S）"。在高級選項里，使用"Internet連接防火墻"，這是windows 2003 自帶的防火墻，在2000系統里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經基本達到了一個IPSec的功能。

　　在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件，你需要根據情況在這二者之間做出選擇。
 
　　推薦的要審核的項目是：

　　登錄事件

　　賬戶登錄事件

　　系統事件

　　策略更改

　　對象訪問

　　目錄服務訪問

　　特權使用
 
　　三、關閉默認共享的空連接

　　地球人都知道，我就不多說了！