架设Windows Server 2003的安全堡垒

    如果你的机子还装了IIS，你最好设置一下端口过滤。方法如下：选择网卡属性，然后双击“Internet协议(TCP/IP)”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP 筛选”项，点“属性”按钮，会来到“TCP/IP 筛选”的窗口，在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”（如图4），然后根据需要配置就可以了。
　　
　　  
　　
　　比方说如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可。如果有其他需要可如法炮制。
　　
　　以上就是初步的安全设置下面在说说其他方面的安全：
　　
　　（一）重新支持ASP脚本
　　
　　为了将系统安全隐患降到最低限度，Windows Server 2003操作系统在默认状态下，是不支持ASP脚本运行的；不过现在许多网页的服务功能多是通过ASP脚本来实现的，为此，我们很有必要在安全有保障的前提下，让系统重新支持ASP脚本。具体实现的方法为：
　　
　　1.在系统的开始菜单中，依次单击“管理工具”/“Internet信息服务管理器”命令；
　　
　　2.在随后出现的Internet信息服务属性设置窗口中，用鼠标选中左侧区域中的“Web服务器设置”
　　
　　3.接着在对应该选项右侧的区域中，用鼠标双击“Actives server pages”选项，然后将“任务栏”设置项处的“允许”按钮单击一下，系统中的II6就可以重新支持ASP脚本了。
　　
　　（二）添加站点到“信任区域”
　　
　　Windows Server 2003操作系统使用了一个安全插件，为用户提供了增强的安全服务功能，利用该功能你可以自定义网站访问的安全性。在缺省状态下，Windows Server 2003操作系统会自动启用增强的安全服务功能，并将所有被访问的Internet站点的安全级别设置为“高”。对于频繁访问的网站，你可以将其添加到受信任的站点区域中，日后再次访问它时，系统就不会弹出安全提示框了。
　　
　　添加站点到“信任区域”的具体做法为：
　　
　　1.在浏览器的地址框中，输入需要访问的站点地址，单击回车键，就会自动打开一个安全提示警告窗口；
　　
　　2.要是不想浏览该站点时，直接可以单击“关闭”按钮；要是想浏览的话，可以单击“添加”按钮；
　　
　　3.在随后打开的“可信任站点”设置窗口中，你会发现当前被访问的站点地址已经出现在信任区域文本框中；
　　
　　4.继续单击“添加”按钮，就能将该站点添加到网站受信任区域中了；下次重新访问该站点时，浏览器就会跳过安全检查，直接打开该站点的网页页面了。
　　
　　（三）根据需要对系统服务进行控制
　　
　　服务是一种在系统后台运行的应用程序类型，它与UNIX后台程序类似。服务提供了核心操作系统功能，如Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误报告。通过服务管理单元，可管理本地或远程计算机上的服务。所以并不是所有默认服务都是我们需要的。我们不需要的可以停用、禁用，来释放系统资源。如果你想更加了解系统的服务，可以到“我的电脑”→“控制面板”→“服务”中查看，每个服务都有完整的描述，或使用Windows 2003的帮助与支持，查阅相关资料。
　　特别注意：服务账号
　　
　　Windows Server 2003在某种程度上最小化服务账号的需求。即便如此，一些第三方的应用程序仍然坚持传统的服务账号。如果可能的话，尽量使用本地账号而不是域账号作为服务账号，因为如果某人物理上获得了服务器的访问权限，他可能会转储服务器的LSA机密，并泄露密码。如果你使用域密码，森林中的任何计算机都可以通过此密码获得域访问权限。而如果使用本地账户，密码只能在本地计算机上使用，不会给域带来任何威胁。
　　
　　系统服务
　　
　　一个基本原则告诉我们，在系统上运行的代码越多，包含漏洞的可能性就越大。你需要关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。
　　
　　在Windows 2000中，缺省运行的服务有很多，但是有很大一部分服务在大多数环境中并派不上用场。事实上，Windows 2000的缺省安装甚至包含了完全操作的IIS服务器。