锁定Windows Server 2003

核心提示： 同样地，也应该中止外部设备的自动运行功能，锁定Windows Server 2003(5)，包括CD-ROM、DVD和USB 驱动，在HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesCdrom（或者其它设备名称）下的注册表中，无法破碎时，

同样地，也应该中止外部设备的自动运行功能，包括CD-ROM、DVD和USB 驱动。在HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesCdrom（或者其它设备名称）下的注册表中， 将自动运行值设置为0。自动运行可以在便携式设备上自动启动恶意的应用程序。很容易便可以安装特洛伊木马、后门程序、按键记录器、监听设备等。

防御的下一步是关于用户如何登录到系统中的。尽管认证有许多相关技术，比如生物认证、令牌、智能卡和单用密码，这些选项都可以保护Windows Server 2003的安全，大多数管理员同时使用用户名和密码，从本地或者远程登录到服务器上。通常都是默认的密码，这样就会带来麻烦（而且，请不要将默认选项中的old替换为@55w0rd！）。

虽然这应该是不言而喻的，但是如果你使用的是密码，那么就应该使用一个功能强大的策略：最少8个字母，包括大写字母、数字、以及非文字字符的组合，每隔一定时间进行更改，在特定的时间段内不要使用相同的密码。

一个强大的密码策略，加上多因素认证，这仅仅是开始。幸亏NTFS提供了 ACLs，可以给每个用户分配不同等级的多方面使用服务器的权力。文件访问控制和打印共享许可的合理设置应该是基于组群配置的，而不是基于“每个人”。这可以在服务器上操作，或者通过活动目录实现。

同样重要的是确保仅经过合理认证的用户才允许访问并编辑注册表。底线是要限制用户仅可以访问要求的服务和应用程序。

5. 你的工作尚未完成

保护你的主要服务器是一个持续不断的过程。千万不要认为，只要已经将服务器强化的像坚果一样强硬，无法破碎时，你的工作就完成了。

按照下面的步骤进行，确保你的所有工作不会化为乌有：