虽然Windows2003系统微软停止更新，但还是有大量用户在使用。为了保证系统的安全，必须全面做好安全设置，才能抵御越来越多的漏洞攻击。下面我们来分享一下Windows2003系统全面安全设置教程：

第一步：

打开Windows系统防火墙。防火墙的设置要记得允许“远程桌面”。

第二步：

查看系统有没有打开共享，如果有打开，右击“网络邻居”，“属性”，关闭“打印机和远程共享”。

运行“netstat -an”，查看系统打开了哪些端口。

关闭137，138，139，445端口

139是NETBIOS使用的端口，在“网络邻居”属性，“TCP/IP协议”的属性的WINS项中，关闭NETBIOS共享

445是文件共享的端口，改注册表：HLM\systme\currentcontrolset\services\netbt\parameters，新建一个DWORD类型的“SMBDevivceEnabled”值为0

第三步：

右击“我的电脑”，“管理”，“共享文件夹”，查看共享了哪些文件夹。

关闭C$,D$….HLM\system\currentcontrolset\services\lanmanserver\parameters，新建一个DWORD类型的“AutoShareServer”值为0

关闭admin$ HLM\system\currentcontrolset\services\lanmanserver\parameters，新建一个DWORD类型的“AutoShareWKs”值为0

关闭IPC$ HLM\system\currentcontrolset\control\lsa，将“restrictanonymous”值为1, “restrictanonymoussam”值为1

第四步：建立另一个备用管理员账号

安装有终端服务和SQL服务停用TsInternetUser,和SQLDebugger账号

为guest账号加上复杂的密码，并禁用。

第五步：最少服务。

可放心关闭的服务：

Alerter

Computer Browser

ClipBook

DNS Client

Error Reporting Service

Help and Support

Human Interface Device Access

Indexing Service

IMAPI CD-Buring COM Service

Messenger

NetMeeting Remote Desktop Sharing

Print Spooler

Performance Logs and Alerts

Removable Storage

Remote Registry

Remote Desktop Help Session Manager

Remoter Access Auto Connection Manager

RPC Locator

Shell Hardware Detection

Secondary Logon

System Event Notification

TCP/IP NETBIOS Helper Service

Telnet

Themes

Volume Shadow Copy

WebClient

Windows Audio

Windows Image Acquistition

Wireless Zero Configuration

不做为域，域成员可关闭的服务：

Application Management

Distributed File System

Distributed Link Tracking Client

Intersite Messaging

Kerberos Key Distribution Center

License Logging Service

Net Logon

按需要而定：

Automatic Updates 自动更新

Background Intelligent Transfer Service 自动更新所需

Application Layer Gateway Service 防火墙所需

COM+Event System program files\ComPlus Application目录，如果没有东西可以关闭

COM+System Application 事件监视器内的DCOM没有启动，可以关闭

DHCP Client 与DHCP Server相连的需要

DNS Server DNS服务器

Distributed Transaction Coordinator 消息队列服务需要

NTLM Security Support Provider 消息队列服务需要

FTP Publishing IIS的FTP服务

Protected Storage CAserver，SSL所需

Routing and Remote Access VPN服务

Smart Card 智能卡

Server 共享文件或打印机服务,共享管道

Task Scheduler 计划任务

Windows Management Instrumentation 监视和管理服务

WorkStation VPN拨入设置需要

WMI Performance Adapter WMI性能适配器服务

Windows Firewall/Internet Conncetion Sharing 防火墙

手动：

Logical Disk Manager

Logical Disk Manager Administrative Service

Network DDE

Network DDE DSDM

Network Location Awareness

第六步：最小权限

删除目录

c:\windows\web\printers

c:\windwos\Help\iisHelp

权限设置

硬盘的根权限：administrators,system完全控制

c:\windows: adminstrtors,system完全控制，Users默认权限

c:\Documentand Settings\ ALL Users，Default Users保留everyone用户权限

c:\Windows\PCHealth,Install保留everyone权限

其他目录删除everyone权限

以下系统命令只保留adminstrator,system权限：

arp.exe

at.exe

attrib.exe

atsvc.exe

cacls.exe

cmd.exe

cscripts.exe

edlin.exe

finger.exe

format.com

ftp.exe

net.exe

netstat.exe

ping.exe

posix.exe

qbasic.exe

regsvr32.exe

rsh.exe

runonce.exe

regedit.exe

syskey.exe

tftp.exe

telnet.exe

wscript.exe

xcopy.exe

第七步：安全策略

本地安全策略–账户策略–密码策略

第八步：关闭不安全组件

regsvr32 /u wshom.ocx

regsvr32 /u shell32.dll

第九步：其他一些设置

抵御SYN攻击：

HLM\system\currentcontrolset\service，新建DWORD类SynAttackProtect，值为2

TcpMaxPortsExhausted,值为5

TcpMaxHalfOpen，值500

TcpMaxHalfOpenRetried，值400

TcpMaxConnectResponseRetransmissions，值2

TcpMaxDataRetransmissions，值2

EnablePMTUDiscovery，值0

KeepAliveTime，值300000

NoNameReleaseOnDemand，值1

抵御ICMP攻击：

HLM\system\currentcontrolset\services\AFD\parametere，新建DWORD类EnableDeadGWDetect，值0

AFD.SYS保护： EnableDynamicBacklog，值1

MinimunDynamicBacklog，值20

MaximumDynamicBacklog，值20000

DynamicBacklogGrowthDelta，值10

保护屏蔽的网络细节

HLM\system\currentcontrolset\services\Tcpip\parameters，新建DWORD类DisableIPSoureceRouting，值1

避免接受数据包片段 EnableFragmentChecking，值1

不转发去往多台主机的数据包 EnableMulticastForwarding，值0

只有防火墙可以转发数据包 IPEnableRouter，值0

屏蔽网络拓扑结构细节 EnableAddrMaskReply，值0

Windows2003系统全面安全设置大功告成。不过不要以为万事大吉，服务器的日常安全维护还是必不可少的，具体可以参照后浪云服务器其他教程。

后浪云，十年品牌，专注于美国服务器.