Windows Server 2003以其強(qiáng)大的功能，相對(duì)簡(jiǎn)單的操作頗受企業(yè)用戶的青睞，是當(dāng)前企業(yè)環(huán)境中應(yīng)用最廣的服務(wù)器系統(tǒng)。但是在默認(rèn)設(shè)置下，server 2003存在一定的安全隱患。如果被攻擊者利用，就會(huì)對(duì)服務(wù)器的安全性造成極大的威脅，甚至導(dǎo)致服務(wù)器淪陷。下面筆者結(jié)合自己的切身實(shí)踐，就容易被管理員忽視的5個(gè)默認(rèn)設(shè)置進(jìn)行演示。

　　1、拒絕“自動(dòng)緩存”

　　Windows 2003服務(wù)器在默認(rèn)設(shè)置下，往往會(huì)將超級(jí)管理員輸入的許多密碼內(nèi)容，自動(dòng)緩存起來并保存到指定緩存中，下次重新調(diào)用時(shí)就不需要重復(fù)輸入了。這存在很大的安全隱患，如果本地攻擊者獲得這些敏感信息，那么服務(wù)器將會(huì)遭受到無法估量的損失。取消“自動(dòng)緩存”的方法如下：

　　第一步：依次單擊Windows 2003服務(wù)器中的“開始”→“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入“Regedit”命令，單擊“確定”按鈕后，打開注冊(cè)表編輯窗口。

　　第二步：依次展開定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpolicies注冊(cè)表分支，并用鼠標(biāo)右鍵單擊policies分支，從彈出的右鍵菜單中依次單擊“新建”→“項(xiàng)”命令，并將新創(chuàng)建的“項(xiàng)”命名為Network。下面再將Network項(xiàng)選中，在對(duì)應(yīng)該項(xiàng)的右邊子窗口中，右擊空白區(qū)域，并執(zhí)行快捷菜單中的“新建”→“Dword”命令，再將新創(chuàng)建的雙字節(jié)值取名為“DisablePasswordCaching”。

　　第三步：用鼠標(biāo)雙擊“DisablePasswordCaching”雙字節(jié)值，在其后打開的如圖1所示的數(shù)值設(shè)置窗口中，輸入數(shù)值“00000001”，并單擊“確定”按鈕，最后按下鍵盤上的F5功能鍵，刷新一下注冊(cè)表，如此一來Windows 2003服務(wù)器日后就不會(huì)“自作主張”地緩存各種密碼信息了。 (圖1)

　　2、關(guān)閉自由切換

　　有時(shí)為了保護(hù)服務(wù)器中的數(shù)據(jù)被非法訪問，網(wǎng)絡(luò)管理人員會(huì)在Windows狀態(tài)下，將這些重要數(shù)據(jù)所在的文件夾隱藏起來，這樣的話普通用戶將會(huì)無法找到它們;遺憾的是，Windows服務(wù)器在默認(rèn)狀態(tài)下，會(huì)“自做主張”地允許普通用戶自由切換到服務(wù)器系統(tǒng)的MS-DOS工作狀態(tài)，在該狀態(tài)下普通用戶能很輕易地找到所有被隱藏起來的文件夾?？梢酝ㄟ^下面的設(shè)置，阻止普通用戶將服務(wù)器系統(tǒng)自由切換到MS-DOS工作狀態(tài)下：

　　第一步：打開系統(tǒng)的運(yùn)行對(duì)話框，并在其中執(zhí)行注冊(cè)表編輯命令“Regedit”，在隨后出現(xiàn)的注冊(cè)表編輯窗口中，依次選中分支“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp。

　　第二步：要是“Policies”分支下面不存在“WinOldApp”子鍵時(shí)，右擊“Policies”分支，并從彈出的快捷菜單中依次執(zhí)行“新建”→“項(xiàng)”命令，再將新創(chuàng)建的項(xiàng)名稱設(shè)置為“WinOldApp”;

　　第三步：再在對(duì)應(yīng)“WinOldApp”項(xiàng)的右邊子窗口中，右擊空白區(qū)域，然后從彈出的右鍵菜單中依次執(zhí)行“新建”→“字符串值”命令，并將新創(chuàng)建的字符串名稱取為“Disabled”，再將其數(shù)值輸入為“1”，最后重新啟動(dòng)一下服務(wù)器系統(tǒng)就可以了。 (圖2)　　

　　3、限制遠(yuǎn)程會(huì)話

　　大家知道在默認(rèn)狀態(tài)下，Server 2003下的終端服務(wù)器會(huì)“自做主張”地允許任意一個(gè)遠(yuǎn)程用戶，同時(shí)建立任意多個(gè)遠(yuǎn)程會(huì)話連接，而且還允許任意一個(gè)遠(yuǎn)程會(huì)話連接保持任意長(zhǎng)的時(shí)間;很顯然，要是不對(duì)遠(yuǎn)程會(huì)話連接數(shù)目進(jìn)行限制的話，Server 2003下的終端服務(wù)器運(yùn)行性能將會(huì)大打折扣，甚至能導(dǎo)致終端服務(wù)器發(fā)生“崩潰”。為此，你必須想辦法阻止終端服務(wù)器“自做主張”地允許遠(yuǎn)程用戶，隨意創(chuàng)建遠(yuǎn)程會(huì)話連接，以避免終端服務(wù)器的系統(tǒng)資源被消耗殆盡。

　　第一步：按照前面的辦法，打開系統(tǒng)的注冊(cè)表編輯窗口，再依次展開HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services注冊(cè)表分支。

　　第二步：接著用鼠標(biāo)右鍵單擊“Terminal Services”分支，從打開的右鍵菜單中逐一選中“新建”選項(xiàng)、“DWORD值”選項(xiàng)，隨后再將新的雙字節(jié)值名稱取為“fSingleSessionPerUser”，然后將它的數(shù)值設(shè)置為“1”。這樣的話終端服務(wù)器以后就只允許每一個(gè)遠(yuǎn)程連接用戶，同時(shí)僅能保持一個(gè)會(huì)話連接了。 (圖3)　　

#p#副標(biāo)題#e#

　　4、禁用遠(yuǎn)程剪貼

　　在對(duì)Windows系統(tǒng)服務(wù)器進(jìn)行維護(hù)的過程中，常常需要用到系統(tǒng)的剪貼板，來暫時(shí)保存諸如密碼或者個(gè)人帳號(hào)之類的隱私信息。而在默認(rèn)狀態(tài)下，服務(wù)器會(huì)“自做主張”地允許遠(yuǎn)程用戶來查看本地系統(tǒng)的剪貼板信息，如此一來保存在服務(wù)器剪貼板中的隱私內(nèi)容，就可能被非法用戶獲得，從而會(huì)給服務(wù)器或個(gè)人帶來危險(xiǎn)。為了避免這樣的麻煩，應(yīng)阻止服務(wù)器地允許遠(yuǎn)程用戶查看服務(wù)器剪貼板中的信息：

　　第一步：依次單擊“開始”→“運(yùn)行”命令，在打開的系統(tǒng)運(yùn)行對(duì)話框中，輸入命令“Services.msc”，單擊“確定”按鈕后，打開系統(tǒng)的服務(wù)列表窗口。

　　第二步：選中該窗口中的“ClipBook”項(xiàng)目，然后用鼠標(biāo)雙擊它，在接著出現(xiàn)的如圖4所示的服務(wù)屬性框中，你會(huì)發(fā)現(xiàn)服務(wù)器已經(jīng)將該服務(wù)啟動(dòng)起來了;此時(shí)你可以單擊一下“啟動(dòng)類型”設(shè)置項(xiàng)處的下拉按鈕，再?gòu)南吕斜碇袑?ldquo;已禁用”選中，最后單擊一下“確定”按鈕，就能輕松避免遠(yuǎn)程剪貼的麻煩了。(圖4)　　

　　5、拒絕服務(wù)器重新啟動(dòng)

　　通常，Windows 2003 Server安裝完補(bǔ)丁后，系統(tǒng)會(huì)提示用戶重新啟動(dòng)服務(wù)器。其實(shí)，服務(wù)器是否會(huì)重新啟動(dòng)，跟當(dāng)前的系統(tǒng)補(bǔ)丁特性有一定的關(guān)系，對(duì)于那些強(qiáng)制需要系統(tǒng)啟動(dòng)的安全補(bǔ)丁，我們一般是無法讓服務(wù)器拒絕重新啟動(dòng)的;但對(duì)于那些沒有強(qiáng)制要求系統(tǒng)啟動(dòng)特性的補(bǔ)丁來說，我們就能采取如下的方法來阻止服務(wù)器系統(tǒng)重新啟動(dòng)。

　　第一步：在Windows 2003 Server服務(wù)器系統(tǒng)桌面中，依次單擊“開始”→“運(yùn)行”命令，在隨后打開的系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“cmd”，單擊“確定”按鈕之后，將系統(tǒng)工作模式切換到MS-DOS狀態(tài)下。

　　第二步：其次在DOS命令行中，通過“cd”命令將當(dāng)前目錄切換到補(bǔ)丁程序所在的目錄，然后執(zhí)行“test /?”字符串命令(其中test就是當(dāng)前需要安裝的系統(tǒng)補(bǔ)丁名稱)，在其后出現(xiàn)的提示界面中，檢查一下當(dāng)前補(bǔ)丁是否帶有“-z”參數(shù)，要是帶有該參數(shù)的話，就表明當(dāng)前補(bǔ)丁在安裝完畢后可以不強(qiáng)制要求系統(tǒng)進(jìn)行重新啟動(dòng)。

　　第三步：接著在DOS命令行中，再輸入字符串命令“test -z”，單擊回車鍵后，該補(bǔ)丁程序就會(huì)自動(dòng)安裝到系統(tǒng)中，并且不會(huì)要求服務(wù)器系統(tǒng)進(jìn)行重新啟動(dòng)了。(圖5)　　

　　總結(jié)：服務(wù)器安全是個(gè)系統(tǒng)工程，其中服務(wù)器系統(tǒng)的安全是基礎(chǔ)。在實(shí)際應(yīng)用中對(duì)服務(wù)器系統(tǒng)的一些默認(rèn)設(shè)置進(jìn)行調(diào)整，就能在極大的程度上加固服務(wù)器的安全。當(dāng)然，對(duì)于服務(wù)器系統(tǒng)的調(diào)整遠(yuǎn)遠(yuǎn)不止于筆者列舉的這些。大家應(yīng)根據(jù)需要進(jìn)行設(shè)置，杜絕由于默認(rèn)設(shè)置造成的服務(wù)器安全隱患。