锁定Windows Server 2003

核心提示： 在安装期间，可以自动创建三个当地的用户帐户——管理员、客户、以及Help-Assistant，锁定Windows Server 2003(3)，Help-Assistant是用Remote Assistance安装的，管理员帐户拥有系统的密钥，使用免费Nmap工具，

在安装期间，可以自动创建三个当地的用户帐户——管理员、客户、以及Help-Assistant，Help-Assistant是用Remote Assistance安装的。管理员帐户拥有系统的密钥。它可以分配用户权限和访问控制。尽管不能删除这个主要的帐户，但为了使黑客更难访问该帐户，可以将其中止或者重新命名。相反，你应该为单个用户或者组群目标分配管理权限。这使黑客更难确定哪个用户拥有管理权限。这一点在审计过程中也是关键的。设想一下：一个IT部门中，任何人都可以使用一个单一的管理账号和密码登录到该服务器中。这就是主要的安全问题。最好的方法就是根本不要使用管理员帐户。

同样地，对于那些了解Server 2003操作方式的人来说，客户和Help-Assistant帐户为他们提供了易于攻击的目标。选择Computer Management选项，通过Administrative Tools菜单下的控制面板，中止这些帐户。右击你想要改变的用户帐户，然后单击属性。确保这些帐户在网络中和本地已经被中止。

开放的端口是高风险区。共有65535个端口可用，而且你的服务器并不都需要它们。防火墙，包括在SP1中，允许管理员中止不必要的TCP和UDP端口。这些端口可以分为三个不同的范围：众所周知的端口（0-1023），已注册的端口（1024-49151），以及动态/私有端口（49152-65535）。对于操作系统功能而言，熟知的端口是至关重要的。已注册的端口仅仅能够用于服务或者应用程序。剩余的端口是“西大荒”，有待开发使用。

获取一列端口，以及相关的服务和应用程序，管理员就可以确定哪些是主要性能所要求的。比如，为了防止任何远程登录或者FTP流量，可以阻断与这些应用程序相关的已知端口。类似地，已知的软件和恶意软件也有已知的相关端口，所有端口都可以阻断，进而创建一个更安全的服务器状态。最佳方式就是关闭所有不使用的端口。确认计算机上哪些端口是开放状态、哪些是监听与阻隔状态的最佳方法是，使用免费Nmap工具。SCW在默认状态下关闭了所有的端口，然后按照安全策略的设置再打开它们。