Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來(lái)說(shuō)，各方面的功能確實(shí)得到了增強(qiáng)，尤其在安全方面，總體感覺(jué)做的還算不錯(cuò)。但“金無(wú)足赤”任何事物也沒(méi)有十全十美的，微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患！無(wú)論你用計(jì)算機(jī)欣賞音樂(lè)、上網(wǎng)沖浪、運(yùn)行游戲，還是編寫文檔都要不可避免地遭受新病毒泛濫時(shí)的威脅，如何讓W(xué)indows Server 2003更加安全，成為廣大用戶十分關(guān)注的問(wèn)題。

一、 取消IE安全提示對(duì)話框

面對(duì)黑客組織惡意程序的攻擊，微軟公司一直都在努力致力于降低產(chǎn)品的安全隱患，這是有目共睹的。微軟新一代的Windows Server 2003操作系統(tǒng)在安全性能方面就得到了加強(qiáng)。比如在使用

Windows Server 2003自帶的IE瀏覽器瀏覽網(wǎng)頁(yè)時(shí)，每次都會(huì)彈出一個(gè)安全提示框，“不厭其煩”地提示我們，是否需要將當(dāng)前訪問(wèn)的網(wǎng)站添加到自己信任的站點(diǎn)中去；如果表示不信任的話，只能單擊“關(guān)閉”按鈕；而要是想瀏覽該站點(diǎn)的話，就必須單擊“添加”按鈕，將該網(wǎng)頁(yè)添加到信任網(wǎng)站的列表中去。不過(guò)每次訪問(wèn)網(wǎng)頁(yè)，都要經(jīng)過(guò)這樣的步驟，實(shí)在是太煩瑣了。其實(shí)我們可以通過(guò)下面的方法來(lái)讓IE取消對(duì)網(wǎng)站安全性的檢查：

1.一旦系統(tǒng)打開(kāi)安全提示頁(yè)面時(shí)，你可以用鼠標(biāo)將其中的“當(dāng)網(wǎng)站的內(nèi)容被堵塞時(shí)繼續(xù)提示”復(fù)選項(xiàng)選中；

2.在瀏覽界面中，用鼠標(biāo)單擊“工具”菜單項(xiàng)，從打開(kāi)的下拉菜單中執(zhí)行“Internet選項(xiàng)”命令；

3.在彈出的選項(xiàng)設(shè)置界面中，你可以將系統(tǒng)默認(rèn)狀態(tài)下的最高安全級(jí)別設(shè)置為中等級(jí)別；

4.設(shè)置時(shí)，只要在“安全”標(biāo)簽頁(yè)面中，拖動(dòng)其中的安全滑塊到“中”位置處就可以了；

5.完成設(shè)置后，單擊“確定”按鈕，就可以將瀏覽器的安全自動(dòng)提示頁(yè)面取消了。

經(jīng)過(guò)修改IE的默認(rèn)安全級(jí)別的設(shè)置，再上網(wǎng)的時(shí)候，IE就不會(huì)自動(dòng)去檢查網(wǎng)站的安全性了，麻煩解決了吧！二、重新支持ASP腳本 提起ASP(ActiveServerPage)大家都會(huì)聯(lián)想到Windows，它以其強(qiáng)大的功能，簡(jiǎn)單易學(xué)的特點(diǎn)而受到廣大WEB開(kāi)發(fā)人員的喜歡。但為了將系統(tǒng)安全隱患降到最低限度，Windows Server 2003操作系統(tǒng)在默認(rèn)狀態(tài)下，是不支持ASP腳本運(yùn)行的——系統(tǒng)將不會(huì)再對(duì)網(wǎng)站中的ASP代碼進(jìn)行任何的操作；但現(xiàn)在許多網(wǎng)頁(yè)的服務(wù)功能多是通過(guò)ASP腳本來(lái)實(shí)現(xiàn)的，怎么辦？其實(shí)我們完全可以在系統(tǒng)安全得到保障的前提下，讓系統(tǒng)重新支持ASP腳本。具體實(shí)現(xiàn)的方法為： 1.在系統(tǒng)的開(kāi)始菜單中，依次單擊“管理工具”/“Internet信息服務(wù)管理器”命令（如圖1）。

圖1

2.在隨后出現(xiàn)的Internet信息服務(wù)屬性設(shè)置窗口中，用鼠標(biāo)選中左側(cè)區(qū)域中的“Web服務(wù)器擴(kuò)展”選項(xiàng)； 3.接著在對(duì)應(yīng)該選項(xiàng)右側(cè)的區(qū)域中，用鼠標(biāo)雙擊“Actives server pages”選項(xiàng)，然后將“任務(wù)欄”設(shè)置項(xiàng)處的“允許”按鈕單擊一下，系統(tǒng)中的IIS6就可以重新支持ASP腳本了（如圖2）。

圖2

用戶最關(guān)心的問(wèn)題大概就是原有的ASP組件是否還可以繼續(xù)使用？我可以告訴大家，經(jīng)這番修改設(shè)置，系統(tǒng)中的IIS6重新支持ASP腳本了，一切的操作是不是很簡(jiǎn)單啊！三、清除默認(rèn)共享隱患 使用Windows Server 2003的用戶都會(huì)碰到一個(gè)問(wèn)題，就是系統(tǒng)在默認(rèn)安裝時(shí)，都會(huì)產(chǎn)生默認(rèn)的共享文件夾。雖然用戶并沒(méi)有設(shè)置共享，但每個(gè)盤符都被Windows自動(dòng)設(shè)置了共享，其共享名為盤符 后面加一個(gè)符號(hào)＄（共享名稱分別為c$、d$、ipc$以及admin$）。也就是說(shuō)，只要攻擊者知道了該系統(tǒng)的管理員密碼，就有可能通過(guò)“工作站名共享名稱”的方法，來(lái)打開(kāi)系統(tǒng)的指定文件夾，如此一來(lái)，用戶精心設(shè)置的安全防范豈不成了擺設(shè)？還有安全嘛！為此，我們很有必要將Windows Server 2003系統(tǒng)默認(rèn)的共享隱患，立即從系統(tǒng)中清除掉。 1、刪除Windows Server 2003默認(rèn)共享 首先編寫如下內(nèi)容的批處理文件： @echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del 以上文件的內(nèi)容用戶可以根據(jù)自己需要進(jìn)行修改。保存為delshare.bat，存放到系統(tǒng)所在文件夾下的system32GroupPolicyUserScriptsLogon目錄下。然后在開(kāi)始菜單→運(yùn)行中輸入gpedit.msc， 回車即可打開(kāi)組策略編輯器。點(diǎn)擊用戶配置→Windows設(shè)置→腳本(登錄/注銷)→登錄（如圖3）。

圖3

在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”，會(huì)出現(xiàn)“添加腳本”對(duì)話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可（如圖4）。

圖4

重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，就可以自動(dòng)將系統(tǒng)所有的隱藏共享文件夾全部取消了，這樣就能將系統(tǒng)安全隱患降低到最低限度。 2、禁用IPC連接 IPC$(Internet Process Connection)是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開(kāi)放的命名管道，通過(guò)提供可信任的用戶名和口令，連接雙方計(jì)算機(jī)即可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。它是Windows NT/2000/XP/2003特有的功能，但它有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè)IP之間只允許建立一個(gè)連接。NT/2000/XP/2003在提供了ipc$功能的同時(shí)，在初次安裝系統(tǒng)時(shí)還打開(kāi)了默認(rèn)共享，即所有的邏輯共享(c$,d$,e$……)和系統(tǒng)目錄winnt或Windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但也為簡(jiǎn)稱為IPC入侵者有意或無(wú)意的提供了方便條件，導(dǎo)致了系統(tǒng)安全性能的降低。在建立IPC的連接中不需要任何黑客工具，在命令行里鍵入相應(yīng)的命令就可以了，不過(guò)有個(gè)前提條件，那就是你需要知道遠(yuǎn)程主機(jī)的用戶名和密碼。打開(kāi)CMD后輸入如下命令即可進(jìn)行連接：net useipipc$ 'passWord' /user:'usernqme'。我們可以通過(guò)修改注冊(cè)表來(lái)禁用IPC連接。打開(kāi)注冊(cè)表編輯器。找到如下組建HKEY_LOCAL_MacHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接（如圖5）。 圖5

四、清空遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑 大家都知道，Windows 2003操作系統(tǒng)提供了注冊(cè)表的遠(yuǎn)程訪問(wèn)功能，只有將遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑設(shè)置為空，這樣才能有效的防止黑客利用掃描器通過(guò)遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息（如圖6）。 圖6

打開(kāi)組策略編輯器，依次展開(kāi)“計(jì)算機(jī)配置→Windows 設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑”，然后在打開(kāi)的窗口中，將可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑內(nèi)容全部設(shè)置為空即可（如圖7）。

圖7

五、關(guān)閉不必要的端口 　 對(duì)于個(gè)人用戶來(lái)說(shuō)安裝中默認(rèn)的有些端口確實(shí)是沒(méi)有什么必要的，關(guān)掉端口也就是關(guān)閉無(wú)用的服務(wù)。139端口是NetBIOS協(xié)議所使用的端口，在安裝了TCP/IP 協(xié)議的同時(shí)，NetBIOS 也會(huì)被作為默認(rèn)設(shè)置安裝到系統(tǒng)中。139端口的開(kāi)放意味著硬盤可能會(huì)在網(wǎng)絡(luò)中共享；網(wǎng)上黑客也可通過(guò)NetBIOS知道你的電腦中的一切！在以前的Windows版本中，只要不安裝Microsoft網(wǎng)絡(luò)的文件和打印共享協(xié)議，就可關(guān)閉139端口。但在Windows Server 2003中，只這樣做是不行的。如果想徹底關(guān)閉139端口，具體步驟如下：

鼠標(biāo)右鍵單擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，進(jìn)入“網(wǎng)絡(luò)和撥號(hào)連接”，再用鼠標(biāo)右鍵單擊“本地連接”，選擇“屬性”，打開(kāi)“本地連接 屬性”頁(yè)（如圖8），

圖8

然后去掉“Microsoft網(wǎng)絡(luò)的文件和打印共享”前面的“√”（如圖9），

圖9

接下來(lái)選中“Internet協(xié)議(TCP/IP)”，單擊“屬性”→“高級(jí)”→“WINS”，把“禁用TCP/IP上的NetBIOS”選中，即任務(wù)完成(如圖10)！

圖10

對(duì)于個(gè)人用戶來(lái)說(shuō)，可以在各項(xiàng)服務(wù)屬性設(shè)置中設(shè)為“禁用”，以免下次重啟服務(wù)也重新啟動(dòng)，端口也開(kāi)放了。 假如你的電腦中還裝了IIS，你最好重新設(shè)置一下端口過(guò)濾。步驟如下：選擇網(wǎng)卡屬性，然后雙擊“Internet協(xié)議(TCP/IP)”，在出現(xiàn)的窗口中單擊“高級(jí)”按鈕，會(huì)進(jìn)入“高級(jí)TCP/IP設(shè)置”窗口，接下來(lái)選擇“選項(xiàng)”標(biāo)簽下的“TCP/IP 篩選”項(xiàng)，點(diǎn)“屬性”按鈕，會(huì)來(lái)到“TCP/IP 篩選”的窗口，在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“√”，然后根據(jù)需要配置就可以了。如果你只打算瀏覽網(wǎng)頁(yè)，則只開(kāi)放TCP端口80即可，所以可以在“TCP端口”上方選擇“只允許”，然后單擊“添加”按鈕，輸入80再單擊“確定”即可（如圖11）

圖11 六、杜絕非法訪問(wèn)應(yīng)用程序 Windows Server 2003是一種服務(wù)器操作系統(tǒng)，為了防止登陸到其中的用戶，隨意啟動(dòng)服務(wù)器中的應(yīng)用程序，給服務(wù)器的正常運(yùn)行帶來(lái)不必要的麻煩，我們很有必要根據(jù)不同用戶的訪問(wèn)權(quán)限，來(lái)限制。 他們?nèi)フ{(diào)用應(yīng)用程序。實(shí)際上我們只要使用組策略編輯器作進(jìn)一步的設(shè)置，即可實(shí)現(xiàn)這一目的，具體步驟如下：

打開(kāi)“組策略編輯器”的方法為：依次點(diǎn)擊“開(kāi)始→運(yùn)行”，在“運(yùn)行”對(duì)話框中鍵入“gpedit.msc”命令并回車，即可打開(kāi)“組策略編輯器”窗口。然后依次打開(kāi)“組策略控制臺(tái)→用戶配置→管理模 板→系統(tǒng)”中的“只運(yùn)行許可的Ｗｉｎｄｏｗｓ應(yīng)用程序”并啟用此策略（如圖12）。

圖12

然后點(diǎn)擊下面的“允許的應(yīng)用程序列表”邊的“顯示”按鈕，彈出一個(gè)“顯示內(nèi)容”對(duì)話框，在此單擊“添加”按鈕來(lái)添加允許運(yùn)行的應(yīng)用程序即可（如圖13）。

以后一般用戶只能運(yùn)行“允許的應(yīng)用程序列表”中的程序。