一、先关闭不需要的端口 
　　我比较小心，先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动! 
　　当然大家也可以更改远程连接端口方法: 
　　Windows Registry Editor Version 5.00 
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
　　"PortNumber"=dword:00002683 
　　保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口， 直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效! 
　　还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，不要怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在[url=file://\\system32\\drivers\\etc\\services]\\system32\\drivers\\etc\\services[/url]中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。 
　　关于端口的介绍可以访问:http://netsecurity.51cto.com/art/200709/55796.htm

　　二、关闭不需要的服务 打开相应的审核策略 
　　我关闭了以下的服务 
　　Computer Browser 维护网络上计算机的最新列表以及提供这个列表 
　　Task scheduler 允许程序在指定时间运行 
　　Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 
　　Distributed File System: 局域网管理共享文件，不需要禁用 
　　Distributed linktracking client:用于局域网更新连接信息，不需要禁用 
　　Error reporting service:禁止发送错误报告 
　　Microsoft Serch:提供快速的单词搜索，不需要可禁用 
　　NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的，不需要禁用 
　　PrintSpooler:如果没有打印机可禁用 
　　Remote Registry:禁止远程修改注册表 
　　Remote Desktop Help Session Manager:禁止远程协助 
　　Workstation 关闭的话远程NET命令列不出用户组

　　把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。 
　　在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。 
　　在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。 
　　推荐的要审核的项目是: 
　　登录事件 成功 失败 
　　账户登录事件 成功 失败 
　　系统事件 成功 失败 
　　策略更改 成功 失败 
　　对象访问 失败 
　　目录服务访问 失败 
　　特权使用 失败 
　　三、关闭默认共享的空连接 
　　由于比较简单，这里就不详谈了。　 
　　四、磁盘权限设置 
　　C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。 
　　Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。 
　　另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限;　 
　　譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说:"只要给我一个webshell，我就能拿到system"，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。 
　　另外，还将: 
　　net.exe NET命令 
　　cmd.exe CMD 懂电脑的都知道咯~ 
　　tftp.exe 
　　netstat.exe 
　　regedit.exe 
　　at.exe 
　　attrib.exe 
　　cacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这个....(: 
　　format.exe 
　　大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~(:这些文件都设置只允许administrators访问。

　五、防火墙、杀毒软件的安装 
　　防御DDOS攻击，可以用冰盾防火墙。杀毒软件可以用诺顿等。 
　　六、SQL2000 SERV-U FTP安全设置 
　　SQL安全方面 
　　1、System Administrators 角色最好不要超过两个"7" 
　　2、如果是在本机最好将身份验证配置为Win登陆 
　　3、不要使用Sa账户，为其配置一个超级复杂的密码 
　　4、删除以下的扩展存储过程格式为: 
　　use master 
　　sp_dropextendedproc '扩展存储过程名' 
　　xp_cmdshell:是进入操作系统的最佳捷径，删除 
　　访问注册表的存储过程，删除 
　　Xp_regaddmultistring　　X

Windows Server丢失文件严重

近期以来,微软相继推出了 Server 2008和Hyper-V虚拟产品等,业界分析微软可能会把技术产品整合在一

　　起。而就在此时，微软又宣布推出了一款令人失望的新产品Windows Home Server。

　　笔者一直不喜欢WindowsHomeServer，并认为该产品对用户没有多少益处，因为其没有ＵＳＢ硬盘或是ＮＡＳ存储设备。如果用户想要这些功能，Ｌinux和Ｓamba版本可以使奔腾系统变成一个具有完整功能的服务器。

　　业界从未想到，微软会推出一个存在很多漏洞的文件服务器操作系统。WindowsHomeServer存在的问题，主要是你需要一个以上的硬盘接入HomeServer。如果用户使用9个程序，就可能损坏数据，这些程序包括OfficeOutlook 2007, MicrosoftOffice OneNote 2003和2007以及 IntuitQuickBooks。

　　那么，微软为何要推出这一产品？此前，微软就在推出产品方面出现过失误。微软表示，Home Server基于WindowsServer2003而开发的，但是，Windows Server 2003稳稳定，用户在使用中从来不会失去文件。

　　微软

　　了解更多：http://www.xiaobaixitong.com/

　　指出，目前尚不清楚HomeServer为何会出现丢失文件的问题。HomeServer开发者在博客称：我们发现了这一问题，HomeServer是一个最基本的系统，它需要进行认真的测试，以修复存在的问题。

　　HomeServer基于Server2003系统开发，怎么会出现这种低级错误？如果他们知道存在什么问题，可能会花三个月才能修复这个问题，即文件服务器会损坏文件。与此同时，中小型企业对ＨomeServer又很感兴趣。许多用户想知道，他们是否可以在小型商务服务器中运行HomeServer。

无线网络安全指南 PEAP验证

企业无线局域网的安全问题一直是他们关注的重心。本文将介绍PEAP，这是一种基于密码的验证协议，可以帮助企业实现简单安全的验证功能。

　　对于系统管理员和企业CIO来说，企业无线局域网的安全问题一直是他们关注的重心。本文将介绍Protected Extensible Authentication Protocol (PEAP) Authentication，这是一种基于密码的验证协议，可以帮助企业实现简单安全的验证功能。

　　受保护的可扩展身份验证协议 (PEAP) 认证，是一种基于安全密码的认证协议，可以实现简单而又安全的身份验证功能。虽然PEAP也可以用于有线网络环境，但是一般来说，主 要用于无线局域网环境的网络接入保护(NAP)甚至Vista系统中的VPN认证。 虽然市面上还有一些验证协议可以实现与PEAP类似的功能，比如Funk Software的EAP-TTLS ，但是由 于PEAP与Windows操作系统的良好协调性，以及可以通过Windows组策略进行管理的特性，使得PEAP在部署时极其简单。

　　为何选PEAP而不是其它商业验证协议

　　在非Cisco设备领域，PEAP拥有了相当规模的市场占有率。同时，由于LEAP协议的安全性较差，不少Cisco用户也选择了使用PEAP进行用户验证，尤其是在企业无线局域网市场， PEAP的应用比例更是远远高出其他竞争对手。最近有些Cisco用户开始使用新的Cisco EAP-FAST 协议 ，但是这个协议的安全性并不比LEAP强多少，而且部署相当困难。更糟的是， 很多老型号的Cisco无线设备都不支持Cisco EAP-FAST协议，但是却可以支持PEAP协议。由于PEAP可以兼容几乎全部厂商的全部设备，可以为企业提供至关重要的“设备级验证”功 能，同时可以在活动目录中自动部署(仅在微软的Windows XP/Vista PEAP客户端中。)，因此对于企业来说，PEAP是一个最佳的验证协议。这里需要解释的是，我并没有劝大家不 要使用Cisco的硬件产品，因为我本身就对Cisco的硬件可靠性非常满意。我只是建议大家使用更通行的协议，实现最佳的灵活性、兼容性、稳定性以及更方便部署。

　　PEAP和PKI

　　公开密钥基础结构(PKI)是公开密钥加密方法(PKC)中的一个组件，采用了数字证书 (x.509 format) 和证书验证方法。PEAP使用PKI来确保用户验证过程不会被黑客或恶意人员 截获和破解，这与SSL采用PKI来确保网站或其它敏感网络应用在数据交换过程不被截获并破解的目的是一样的。

　　了解更多：http://www.xiaobaixitong.com/

　　虽然从OSI模型的角度来看，PEAP和SSL分别属于不同的等级(第二层和第五层)，但是这两种方式都是依靠服务器端的数字证书来进行密码交换，进而启动一个安全的加密线程 ，就算整个过程在黑客的监视下进行，也可以确保足够的安全性。这个安全线程不仅保护了密码交换，更重要的是可以保护用户的密码验证线程。

　　PKI模式采用一个简单的数字文档作为确定拥有者身份的数字证书，实现安全的密码交换。数字证书本身并没有什么价值，而当这个证书被一个被称作证书授权(CA)的受信机 构签名后，就具有了证明身份的作用。为了让CA能够被客户(诸如采用SSL连接进行网络购物的笔记本或台式机)所信任，客户端的证书信任列表(CTL)中应该安装包含有该CA公 钥的“root certificate”，即该CA的根证书。

　　目前所有主流操作系统中，都预装了包含可信CA根证书的CTL，这也就是为什么诸如VeriSign这样的公司有权利给全球的服务器颁发证书。采用VeriSign这样具有公信力的认证 机构来建立PKI是一件非常简单的事情，因为该证书已经被几乎所有的电脑以及PDA设备所接受，但是服务器证书的费用每年可能会有数百美元。采用EAP-TLS和CA结合的办法成本更 高，因为你还需要每年为每个客户支付60美元的数字证书费用。

　　商业的CA公司还可以为个人提供签名服务，如果你有足够的相关知识和客观条件，可以拥有自己的数字证书，并可以建立自己的CA。这就是为什么很多企业不愿意考虑建立自己 的CA系统，也不愿意每年花300美元获取大型CA公司提供的证书。这也是很多企业选择LEAP并幻想着可以通过强壮的密码弥补LEAP的安全弱点，达到与PEAP相同的安全防御效果。从 我的实际经验看，要说服这些企业采用PKI绝不是一个简单的任务。而为了让大家的工作更轻松，在这里我将教大家如何避免采用商业或者公众的CA公司，而是通过自签名的数字证 书实现安全的无线局域网。

　　验证服务器请求

　　要应用PEAP，企业需要首先建立一个RADIUS验证服务器。实现这一任务的方法很多，比如采用Microsoft Windows Server 2003 SP1或带有IAS的Windows Server 2003 R2，第三 方的RADIUS服务器可以选用Funk Odyssey，实现在非Windows环境(如Novell)下的RADIUS服务器，另外还可以选择开放源代码解决方案，比如FreeRADIUS 。Windows Server 2000 也带有IAS，但是仅支持EAP-TLS验证，不支持PEAP验证。

　　要实现PEAP，RADIUS服务器必须有服务器端的x.509数字证书。 这个证书可以从第三方的CA机构获取，比如VeriSign，或者从企业内部的CA机构颁发。这两种方案在传统意义上 都是可行的，但是对于小型企业来说并不现实，因为小型企业不愿意每年花300美元购买第三方认证机构的证书，公司里可能也不会有一个PKI CA服务器。为了解决这个问题，一个 最佳的方式就是在RADIUS服务器上采用自签名证书。要安装 Microsoft IAS。

　PEAP的硬件和软件需求

　　每个企业级的无线接入点都支持与WPA/WPA2 EAP类型兼容的RADIUS验证，包括PEAP验证。Cisco的接入点支持专用的验证协议，即Cisco LEAP 和EAP-FAST，但是其它非Cisco的 接入点并不支持这些协议。因此我并不建议你采用这些协议。Cisco则将其专用的验证方法称为“Network EAP”，而将开放的验证方法称为“Open EAP”。从客户端硬件设备的需 求来说，任何支持Windows Wireless Client的设备都支持PEAP验证，而大部分Wi-Fi适配器都属于此类产品。

　　目前的Windows Mobile和CE系统都已经支持PEAP验证了。Windows XP Wireless Client也在SP1中加入了对PEAP的支持，并且在SP2中加强了这一功能。针对Windows XP甚至还推 出了WPA2升级。而Windows Vista则包含了Wireless Client的全部功能。

　　Windows 2000 Service的最后一个补丁也加入了对PEAP的支持，但是WPA级别的TKIP或AES并没有被加入，同时用户也不能通过Windows 2000的组策略编辑器控制Wireless Client。你可以从这里获取针对Windows 2000的免费WPA客户端，而且各种Wi-Fi适配器也都带有自己的支持WPA的Wireless Clients。但是只有Windows XP和Vista下的无线客户端 才可以通过活动目录组策略进行集中化的控制。

Windows Server 2003 与2000的区别Windows Server 2003投产高危漏洞威胁系统安全 微软狂打10补丁病毒调慢系统时间至2003　超级隐身注册表使用Exchange 2003防御地址欺骗安装Windows 2003服务器群集实例讲解Windows 2003分区增容功能Windows server2003操作系统14招加速大法XP和Windows server2003也能从DOS启动Windows 2003+IIS6.0环境下安装PHP