1、安装系统最少两需要个分区，分区格式都采用NTFS格式

　　2、在断开网络的情况安装好2003系统

　　3、安装IIS，仅安装必要的 IIS 组件（禁用不需要的如FTP 和 SMTP 服务）。默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：

　　Internet 信息服务管理器；

　　公用文件；

　　后台智能传输服务 (BITS) 服务器扩展；

　　万维网服务。

　　如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions

　　4、安装MSSQL及其它所需要的软件然后进行Update。

　　5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分析计算机的安全配置，并标识缺少的修补程序和更新。下载地址：见页末的链接

　　二、设置和管理账户

　　1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

　　2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

　　3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

　　4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。

　　5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

　　6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。

　　7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

　　三、网络服务安全管理

　　1、禁止C$、D$、ADMIN$一类的缺省共享

　　打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0

　　2、 解除NetBios与TCP/IP协议的绑定

　　右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

　　3、关闭不需要的服务，以下为建议选项

　　Computer Browser:维护网络计算机更新，禁用

　　Distributed File System: 局域网管理共享文件，不需要禁用

　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用

　　Error reporting service：禁止发送错误报告

　　Microsoft Serch：提供快速的单词搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果没有打印机可禁用

　　Remote Registry：禁止远程修改注册表

　　Remote Desktop Help Session Manager：禁止远程协助

　　四、打开相应的审核策略

　　在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

　　推荐的要审核的项目是：

　　登录事件     成功 失败

　　账户登录事件 成功 失败

　　系统事件     成功 失败

　　策略更改     成功 失败

　　对象访问     失败

　　目录服务访问 失败

　　特权使用     失败

　五、其它安全相关设置

　　1、隐藏重要文件/目录

　　可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

　　2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

　　3、防止SYN洪水攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为SynAttackProtect，值为2

　　4. 禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名为PerformRouterDiscovery 值为0

　　5. 防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　将EnableICMPRedirects 值设为0

　　6. 不支持IGMP协议

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为IGMPLevel 值为0

　　7、禁用DCOM：

　　运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

　　清除“在这台计算机上启用分布式 COM”复选框。

　　注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。

　　六、配置 IIS 服务：

　　1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、删除不必要的IIS扩展名映射。

　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

　　5、更改IIS日志的路径

　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

　　7、使用UrlScan

　　UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接

　　如果没有特殊的要求采用UrlScan默认配置就可以了。

　　但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan

　　文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加DEBUG谓词，注意此节是区分大小写的。

　　如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

　　如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1

　　在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset

　　如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

　　8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

　　下载地址：VB.NET爱好者

　　七、配置Sql服务器

　　1、System Administrators 角色最好不要超过两个

　　2、如果是在本机最好将身份验证配置为Win登陆

　　3、不要使用Sa账户，为其配置一个超级复杂的密码

　　4、删除以下的扩展存储过程格式为：
　　use master
　　sp_dropextendedproc '扩展存储过程名'

　　xp_cmdshell：是进入操作系统的最佳捷径，删除

　　访问注册表的存储过程，删除
　　Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues    
　　Xp_regread　　　　　 Xp_regwrite　　　   Xp_regremovemultistring        

　　OLE自动存储过程，不需要删除
　　Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty
　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

　　5、隐藏 SQL Server、更改默认的1433端口

　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

　　八、如果只做服务器，不进行其它操作，使用IPSec

　　1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击

　　添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。

　　2、再在管理IP筛选器表选项下点击

　　添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。

　　3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口

　　4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成

　　5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定

　　6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.

　　九、建议

　　如果你按本文去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。

　　十、运行服务器记录当前的程序和开放的端口

　　1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

　　2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。

　　流媒体随心管理

　　倘若你的Windows 2003服务器中已经架设好了流媒体服务器的话，那你用不着时时刻刻呆在服务器旁，来发布或管理任何流媒体内容，你只要按照如下方法对服务器进行一番个性设置，就能在任意位置，对流媒体服务器进行随心管理：

　　依次单击“开始”/“设置”/“控制面板”命令，在打开的控制面板窗口中，双击“添加或删除程序”图标，在其后出现的窗口中，单击“添加/删除Windows组件”标签，并在打开的Windows组件安装向导页面中，选中“Windows Media Services”复选项（如图1所示），并单击该界面中的“详细信息”按钮；

图1

　　在接着出现的图2界面中，将“用于Web的Windows Media Services管理器”选项选中，单击“确定”按钮后，系统将弹出提示窗口，要求你事先必须安装好IIS6.0组件，同时必须将该组件下面的“Active Server Pages”功能和“服务器端包括文件”功能选中，之后根据安装向导提示，将Windows 2003 Server系统安装光盘插入到光驱中，来完成上述组件的安装任务。

图2

　　一旦做好上面的准备工作后，你就能在其他任意可上网的工作站中，通过IE浏览器窗口来远程管理流媒体服务器了。只要你在IE浏览器的地址栏中，输入形如“http://服务器IP地址：8080/default.asp”格式的URL地址时，就能打开流媒体服务器的Web管理页面，在该页面中你可以对它进行随心所欲地管理和维护，几乎就象在本地服务器上操作一样。

　　不过，要是你事先没有登录服务器的特权帐号时，你可能无法进入到流媒体服务器的Web管理页面，遇到这种现象时，你最好还要先在Windows 2003服务器中，创建一个具有系统管理员级别的特权帐号，以便可以在远程对服务器中的各种内容，都有足够的权限去管理和维护。在创建特权帐号时，你可以依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令，在打开的计算机管理界面中，依次展开其中的“系统工具”、“本地用户和组”、“组”文件夹，在对应“组”文件夹右边的子窗口中，用鼠标右击空白位置，从弹出的右键菜单中执行“新用户”命令，在其后弹出的新用户帐号设置窗口中，输入新用户的具体帐号名称、描述信息以及登录密码等（如图3所示），再单击一下“创建”按钮，就能成功地创建一个新帐号了；接着，你还需要将该新帐号，添加到管理员组中，以便让该帐号具有系统管理员的权限，从而可以对服务器中的任何内容都能随意管理和维护。

图3

　　当然，在结束对流媒体服务器的管理和维护操作后，为防止其他用户通过该地址，非法对流媒体服务器进行登录，你还需要在IE地址栏中输入形如“http://服务器IP地址：8080/wmslogoff.asp”格式的URL地址，来安全退出流媒体服务器的Web管理页面。

　　服务器随处管理

　　前面笔者曾提到，如果事先没有准备好登录服务器的特权帐号的话，那么你将无法通过远程工作站来随意访问流媒体服务器的Web管理页面，这么说来，创建特权帐号还得非要到服务器的现场才能完成吗？其实，Windows 2003服务器早已想他人所想，为你准备好了远程维护功能，利用该功能你可以通过IE浏览器窗口，来对服务器中的多个服务项目进行远程管理，例如创建或删除服务器登录帐号以及组用户帐号，配置或查看服务器中的网络参数信息，启动或关闭服务器等。要想对服务器进行随处管理，你可以按照如下步骤来实现：

　　首先按照前面方法在服务器中安装好II6.0组件以及相关子组件，接着再打开“添加/删除Windows组件”标签页面，选中其中的“应用程序服务器”复选项，并单击该窗口中的“详细信息”按钮，在接着出现的图4向导窗口中，选中“Internet信息服务（IIS）”复选项，然后继续单击对应窗口中的“详细信息”按钮；

图4

　　在随后打开的图5界面中，将“万维网服务”选项选中，并在“万维网服务”设置项下面选中“远程管理（html）”，如图6所示。下面，再单击一下“确定”按钮，屏幕将弹出插入Windows 2003系统安装光盘的提示，当你将安装光盘插入到计算机光驱中后，单击“确定”按钮，安装向导窗口就能自动完成剩下的安装任务。

图5

图6

　　结束上面的设置操作后，你就能在其他任何可以上网的工作站中，打开IE浏览器窗口，然后在地址栏中输入“http://服务器IP地址：8098”格式的URL地址，在随后出现的服务器登录窗口页面中，输入网络管理员帐号，正确登录到服务器远程维护页面中，以后你就能在这个页面中，来创建服务器的新用户，编辑和配置服务器信息，查看或运行服务器日志文件，甚至还能对服务器进行远程关闭和启动。当然，笔者在这里要提醒各位的是，为了确保服务器的安全，请不要随意向其他用户开放远程维护权限，不然容易给服务器带来安全麻烦。

　　打印机随意管理

　　Windows 2003服务器内置了打印服务器功能，要是将该功能启用起来的话，你日后就不一定要到现场对连接在服务器的打印机进行管理和维护了，这样就会大大提高打印机的工作效率。要想对安装在Windows 2003服务器中的打印机进行远程管理和维护，你必须按照如下步骤设置才可以：

　　首先打开“添加/删除Windows组件”标签页面，选中其中的“应用程序服务器”复选项，并单击该窗口中的“详细信息”按钮，在接着出现的向导窗口中，用鼠标双击“Internet信息服务（IIS）”选项，在弹出的图7界面中，选中“Internet打印”选项，单击“确定”按钮，再依照屏幕提示完成剩下的组件安装操作；

图7

　　一旦安装好“Internet打印”组件后，你再依次单击“开始”/“程序”/“管理工具”/“Internet服务管理器”命令，在弹出的服务器列表界面中，展开默认的Web站点，并在对应站点下面你将看到一个名为“Printers”的虚拟站点；

　　要想在其他工作站中访问到这个“Printers”虚拟站点，你还需要按照前面的步骤，来创建一个具有访问网络打印机的权限帐号，一旦拥有了这样的访问帐号后，你就能在其他IE客户端程序界面中，输入形如“http://打印服务器IP地址/Printers”格式的URL地址，然后输入登录打印服务器的帐号和密码，最后就能在对应的打印机web管理页面中，对打印机进行远程管理和维护了，例如可以即时查看到打印机的工作状态，可以随时查看到打印机的工作进程，也能对打印机的故障进行远程维护等。

　　好了，有关Windows 2003服务器的远程管理应用就先介绍到这里；从上面我们不难看出，伴随着网络控制技术的不断成熟，日后对服务器的所有维护和管理操作，都能通过网络来轻松完成，这样一来网络的管理和维护效率将会得到巨大提升！