让Win 2003更安全的方式(2)

　　修改内建的用户账号

　　多年以来，微软一直在强调最好重命名Administrator账号并禁用Guest账号，从而实现更高的安全。在Windows Server 2003中，Guest 账号是缺省禁用的，但是重命名Administrator账号仍然是必要的，因为黑客往往会从Administrator账号入手开始进攻。

　　有很多工具通过检查账号的SID来寻找账号的真实名称。不幸的是，你不能改变用户的SID，也就是说基本上没有防止这种工具来检测Administrator账号真实名称的办法。即便如此，我还是鼓励每个人重命名Administrator 账号并修改账号的描述信息，有两个原因:

　　首先，诳椭械男率挚赡懿恢?勒饫喙ぞ叩拇嬖诨蛘卟换崾褂盟?恰F浯危?孛?鸄dministrator账号为一个独特的名称让你能更方便的监控黑客对此账号的进攻。

　　另一个技巧适用于成员服务器。成员服务器有他们自己的内建本地管理员账号，完全独立于域中的管理 员账号。你可以配置每个成员服务器使用不同的用户名和密码。如果某人猜测出你的本地用户名和密码，你肯定不希望他用相同的账号侵犯其他的服务器。当然，如果你拥有良好的物理安全，谁也不能使用本地账号取得你服务器的权限。

　　服务账号

　　Windows Server 2003在某种程度上最小化服务账号的需求。即便如此，一些第三方的应用程序仍然坚持传统的服务账号。如果可能的话，尽量使用本地账号而不是域账号作为服务账号，因为如果某人物理上获得了服务器的访问权限，他可能会转储服务器的LSA机密，并泄露密码。如果你使用域密码，森林中的任何计算机都可以通过此密码获得域访问权限。而如果使用本地账户，密码只能在本地计算机上使用，不会给域带来任何威胁。

　　系统服务

　　一个基本原则告诉我们，在系统上运行的代码越多，包含漏洞的可能性就越大。你需要关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。

　　在Windows 2000中，缺省运行的服务有很多，但是有很大一部分服务在大多数环境中并派不上用场。事实上，windows 2000的缺省安装甚至包含了完全操作的IIS服务器。而在Windows Server 2003中，微软关闭了大多数不是绝对必要的服务。即使如此，还是有一些有争议的服务缺省运行。

　　其中一个服务是分布式文件系统(DFS)服务。DFS服务起初被设计简化用户的工作。DFS允许管理员创建一个逻辑的区域，包含多个服务器或分区的资源。对于用户，所有这些分布式的资源存在于一个单一的文件夹中。

　　我个人很喜欢DFS，尤其因为它的容错和可伸缩特性。然而，如果你不准备使用DFS，你需要让用户了解文件的确切路径。在某些环境下，这可能意味着更强的安全性。在我看来，DFS的利大于弊。

　　另一个这样的服务是文件复制服务(FRS)。FRS被用来在服务器之间复制数据。它在域控制器上是强制的服务，因为它能够保持SYSVOL文件夹的同步。对于成员服务器来说，这个服务不是必须的，除非运行DFS。

　　如果你的文件服务器既不是域控制器，也不使用DFS，我建议你禁用FRS服务。这么做会减少黑客在多个服务器间复制恶意文件的可能性。

　　另一个需要注意的服务是Print Spooler服务(PSS)。该服务管理所有的本地和网络打印请求，并在这些请求下控制所有的打印工作。所有的打印操作都离不开这个服务，它也是缺省被启用的。

　　不是每个服务器都需要打印功能。除非服务器的角色是打印服务器，你应该禁用这个服务。毕竟，专用文件服务器要打印服务有什么用呢?通常地，没有人会在服务器控制台工作，因此应该没有必要开启本地或网络打印。

　　我相信通常在灾难恢复操作过程中，打印错误消息或是事件日志都是十分必要的。然而，我依然建议在非打印服务器上简单的关闭这一服务。

　　信不信由你，PSS是最危险的Windows组件之一。有不计其数的木马更换其可执行文件。这类攻击的动机是因为它是统级的服务，因此拥有很高的特权。因此任何侵入它的木马能够获得这些高级别的特权。为了防止此类攻击，还是关掉这个服务吧。

　　Windows Server 2003作为Microsoft 最新推出的服务器操作系统，相比Windows 2000/XP系统来说，各方面的功能确实得到了增强，尤其在安全方面，总体感觉做的还算不错.但如果你曾经配置过Windows NT Server或是windows 2000 Server，你也许发现这些微软的产品缺省并不是最安全的。但是,你学习了本教程后,你可以让你的windows 2003系统变得更安全.