如何配置网络服务器安全？请高手指点
想架设一台网络服务器的安全，不能清楚就怎么具体的怎么做？请各位高手指点啊？？
  小弟在这里谢谢了。

------解决方案--------------------
向Win2003提问？估计Win2008也未必能给你满意的答案

很明显这么广义的问题，适合自已找资料，有更具体一些的问题再上论坛发问
google关键词“windows 服务器 安全”
------解决方案--------------------
服务器安全是一个比较全面的问题，包括硬件、系统、应用程序等因素，建议楼主多看看相关资料，不是一两句能说清楚啊。而且针对不同的网络环境配置也是不同的。
------解决方案--------------------
我个人收集的一些东西，希望能对你有些帮助，有点长
一 总述

windows的安全的设置一般人还是比较熟悉的，这里只是为了方便大家而总结的一个流程。资料来源于网络和杂志,在此向这些作者表示感谢。
可能出现的结果是，如实的做了，但可能您的服务转不起来了。自己要在安全和平衡之间做个合适的选择。
本文档是免费的，可以任意下载与交流，不能用于商业用途，如要转载请保留此段。同时希望您也参与进来，您可以把您的建议以邮件的形式发送到gba66@163.com 注明：windows安全设置建议(如：本文档提到的工具名称，来源错误。设置技巧的错误。以及需要完善的地方等)。

二.安装安全

（注意：安装时一定不要将主机连入internet）做为服务器使用，建议使用英文版本的系统软件，还有2003比2000强很多，系统格式采用NTFS格式。推荐使用WIN2000服务器版或高级服务器版、WIN2003企业版，因为在IIS连接数上没有什么限制，而专业版PRO、家庭版HOME、以及所有WINXP版本（HOME、PRO）均有IIS同时连接数量限制（APACHE中则称为并发连接）< =10。超过10则提示不允许连接。除非你是为了测试、调试程序，否则偶推荐你只使用推荐系统。当然VISTA安全性能更不错，比如它的UAC安全特性。

推荐建立三个逻辑驱动器，第一个用来装系统和重要的日志文件；第二个放IIS；第三个放FTP（4个也好。可以把日志和备份放到第四个里。）。WIN2K在安装时有一个漏洞，就是在输入Administrator的密码后，系统会建立“$ADMIN”的共享，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过“$ADMIN”进入系统。不要安装编译软件如VC++6.0等

不要安装比如qq(比如2007年年初的QQ，UC漏洞威胁还是很大的)等无关的软件，不要使用服务器做日常的上网工作，修改BIOS密码保障安全。 做为个人的用户现在很流行使用那个ghost版本的windowsxp系统，这个版本存在的问题是有个new和administrator俩个空口令的用户，而且开了3389。请在计算机管理里将administrator和new改名并设置复杂口令。右击“我的电脑”在远程连接里把“允许远程用户连接此计算机”和“允许从这台计算机发出远程邀请”前面的勾去掉。
 
其次，注意补丁的安装。补丁应该在所有应用程序(冷寒冰：注意，象SQL，SERV-U这样的软件千万不要按照默认的路径安装。容易被猜到)安装完之后再安装，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁的话可能无法起到应有的效果。（冷寒冰：平时注意积累windows补丁是个好习惯，刻成光盘，方便使用，而且显的您很职业！）最后提一点的是在WINDOWS的升级中，容易需要安装独立的补丁，需要特别的下载。比如office的补丁，针对某些office漏洞网上很流行套office全版溢出捆绑工具（补丁下载地址为http://www.microsoft.com/downloa ... p;DisplayLang=zh-hk）。而且最近针对Vista系统安全性相对较好的情况，针对非系统的漏洞研究更多比如针对OFFICE2007的漏洞利用等。
 
安装后，使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置。

这里要说的是windows2003可以使用“安全配置向导”这个工具来做系统的安全。默认情况下并没有被安装。请在添加删除程序中自行添加此组件。

三 系统帐号安全
运行里命令“compmgmt.msc \s” 打开计算机管理。
1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。 

这里介绍个支持@这样特殊字符的来命名管理员帐号的小方法：
开始-运行-gpedit.msc-计算机配置-windows设置-安全设置-本地策略-安全选项。然后是：帐户：重命名系统管理员帐户。输入带@的用户名。确定。这样就可以用了。

　　2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码 

　　3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，您也可以选择将guest用户删除（默认删除不了）.

4.在运行中输入gpedit.msc回车

(冷寒冰：任何时刻我们在“运行”里敲命令时一定要把后缀名输入完整,比如cmd.exe,因为在windows下cmd.com是比cmd.exe先运行的。而cmd.com可能就是黑客的后门或是病毒,另外，对方可以通过设定系统环境变量来改变当前的后缀执行顺序，他可以这样做：
set PATH=c:\winnt\system32\test;c:\winnt\system32;
set PATHEXT=.COM;.BAT;.EXE;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.VBS
来使环境变量改变，达到使net.bat先于net.exe执行，而net.bat是个恶意的批处理。
)

打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。 

　　5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 

　　6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果您使用了Asp.net还要保留Aspnet账户。 

　　7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令（runas /profile /user:使用的用户 想使用的应用程序）.(冷寒冰：平时我们上网时也最好使用user用户上网，可以避免不少流氓软件的骚扰和网马的侵害)

8.注意更改您的用户的口令，同时注意经常查看注册表核对注册表值查看是否有隐藏的用户(HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Nmaes），校对HKEY_MACHNE\SAM\SAM\Domains\Account\user\Names\Administrator的数值。检查隐藏用户的一个很方便的工具是LP_Check。

9.在账户策略->密码策略中设定： 

　　密码复杂性要求 启用 

　　密码长度最小值 6位 

　　强制密码历史 5次 

　　最长存留期 30天 （口令必须定期更改，建议至少两周该一次）

　　在账户策略->账户锁定策略中设定： 

　　账户锁定 3次错误登录 

　　锁定时间 20分钟 

　　复位锁定计数 20分钟 

10.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等。再为每个虚拟目录下每个站点建一个用户.