专作为网络操作系统或服务器操作系统,高性能、高可靠性和高安全性是其必备要素,尤其是日趋复杂的企业应用和Internet应用,对其提出了更高的要求。

1. 设置用户名和口令设置  

  更改默认的管理员名称administrator,不包含"Administrator"或"Admin"。并设置一个强大的密码,在很大程度上可以避免口令***。密码设置的字符长度应当在8个以上,最好是字母、数字、特殊字符的组合,如“psp53,@pq”、“skdfksadf10@”等,可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。  

杜绝基于Guest帐户的系统***,给Guest加一个强的密码。

      Guest用户作为一个来宾帐户,他的权限是很低的,而且默认密码为空,这就使得***者可以利用种种途径,通过Guest登录并最终拿到 Admin权限。禁用或彻底删除 Guest帐户是最好最根本的办法。但在某些必须得使用到Guest帐户的情况下,就需要通过其他途径来做好防御工作了。首先是要给Guest加一个强的密码。

  2. 删除默认共享  

  单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”,双击登录项,然后添加“delshare.bat”(参数不需要添加),从而删除Windows 2003默认的共享。 

用记事本拷贝以下代码,另存为delshare.bat
net share admin$ /del

net share ipc$ /del

net share c$ /del

net share d$ /del

net share e$ /del

  接下来 禁用IPC连接:打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可。  

  3. 关闭自动播放功能  

  自动播放功能不仅对光驱起作用,而且对其它驱动器也起作用,这样很容易被***利用来执行***程序。  
  打开组策略编辑器,依次展开“计算机配置→管理模板→系统”,在右侧窗口中找到“关闭自动播放”选项并双击,在打开的对话框中选择“已启用”,然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”,按“确定”即可生效。  


  4. 清空远程可访问的注册表路径  

  将远程可访问的注册表路径设置为空,这样可以有效防止***利用扫描器通过远程注册表读取计算机的系统信息及其它信息。 打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置--本地策略--→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的如图所的窗口中,将可远程访问的注册表路径和子路径内容全部删除。


  

  
5、修改默认远程桌面端口3389为其他端口

 3389端口修改器

http://zjdx.downg.com:8881//200905/3389modifycrsky.rar

6、修改注册表,防止轻度DOS***

  防范DDOS***并不一定非要用防火墙,首先可以尝试一下通过对服务器进行安全设置来防范DDOS***。如果通过对服务器设置不能有效解决,那么就可以考虑购买抗DDOS防火墙了。 其实从操作系统角度来说,本身就藏有很多的功能,只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何通过修改注册表,增强系统的抗DoS能力。   
进入 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]   新建DWORD值,如下图:

WORD值详解:

’关闭无效网关的检查。当服务器设置了多个网关,这样在网络不通畅的时候系统会尝试连接
’第二个网关,通过关闭它可以优化网络。
"EnableDeadGWDetect"=dword:00000000


’禁止响应ICMP重定向报文。此类报文有可能用以***,所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000


’不允许释放NETBIOS名。当***者发出查询服务器NETBIOS名的请求时,可以使服务器禁止响应。
’注意系统必须安装SP2以上
"NoNameReleaseOnDemand"=dword:00000001


’发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态,
’不设该值,则系统每隔2小时对TCP是否有闲置连接进行检查,这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0


’禁止进行最大包长度路径检测。该项值为1时,将自动检测出可以传输的数据包的大小,
’可以用来提高传输效率,如出现故障或安全起见,设项值为0,表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000


’启动syn***保护。缺省项值为0,表示不开启***保护,项值为1和2表示启动syn***保护,设成2之后
’安全级别更高,对何种状况下认为是***,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
’设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
 

’同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
’的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064


’判断是否存在***的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050