Windows Server 2003以其強大的功能，相對簡單的操作頗受企業用戶的青睞，是當前企業環境中應用最廣的服務器系統。但是在默認設置下，server 2003存在一定的安全隱患。如果被攻擊者利用，就會對服務器的安全性造成極大的威脅，甚至導致服務器淪陷。下面筆者結合自己的切身實踐，就容易被管理員忽視的5個默認設置進行演示。

　　1、拒絕“自動緩存”

　　Windows 2003服務器在默認設置下，往往會將超級管理員輸入的許多密碼內容，自動緩存起來并保存到指定緩存中，下次重新調用時就不需要重復輸入了。這存在很大的安全隱患，如果本地攻擊者獲得這些敏感信息，那么服務器將會遭受到無法估量的損失。取消“自動緩存”的方法如下：

　　第一步：依次單擊Windows 2003服務器中的“開始”→“運行”命令，在彈出的系統運行對話框中，輸入“Regedit”命令，單擊“確定”按鈕后，打開注冊表編輯窗口。

　　第二步：依次展開定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpolicies注冊表分支，并用鼠標右鍵單擊policies分支，從彈出的右鍵菜單中依次單擊“新建”→“項”命令，并將新創建的“項”命名為Network。下面再將Network項選中，在對應該項的右邊子窗口中，右擊空白區域，并執行快捷菜單中的“新建”→“Dword”命令，再將新創建的雙字節值取名為“DisablePasswordCaching”。

　　第三步：用鼠標雙擊“DisablePasswordCaching”雙字節值，在其后打開的如圖1所示的數值設置窗口中，輸入數值“00000001”，并單擊“確定”按鈕，最后按下鍵盤上的F5功能鍵，刷新一下注冊表，如此一來Windows 2003服務器日后就不會“自作主張”地緩存各種密碼信息了。 (圖1)

　　2、關閉自由切換

　　有時為了保護服務器中的數據被非法訪問，網絡管理人員會在Windows狀態下，將這些重要數據所在的文件夾隱藏起來，這樣的話普通用戶將會無法找到它們;遺憾的是，Windows服務器在默認狀態下，會“自做主張”地允許普通用戶自由切換到服務器系統的MS-DOS工作狀態，在該狀態下普通用戶能很輕易地找到所有被隱藏起來的文件夾。可以通過下面的設置，阻止普通用戶將服務器系統自由切換到MS-DOS工作狀態下：

　　第一步：打開系統的運行對話框，并在其中執行注冊表編輯命令“Regedit”，在隨后出現的注冊表編輯窗口中，依次選中分支“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp。

　　第二步：要是“Policies”分支下面不存在“WinOldApp”子鍵時，右擊“Policies”分支，并從彈出的快捷菜單中依次執行“新建”→“項”命令，再將新創建的項名稱設置為“WinOldApp”;

　　第三步：再在對應“WinOldApp”項的右邊子窗口中，右擊空白區域，然后從彈出的右鍵菜單中依次執行“新建”→“字符串值”命令，并將新創建的字符串名稱取為“Disabled”，再將其數值輸入為“1”，最后重新啟動一下服務器系統就可以了。 (圖2)　　

　　3、限制遠程會話

　　大家知道在默認狀態下，Server 2003下的終端服務器會“自做主張”地允許任意一個遠程用戶，同時建立任意多個遠程會話連接，而且還允許任意一個遠程會話連接保持任意長的時間;很顯然，要是不對遠程會話連接數目進行限制的話，Server 2003下的終端服務器運行性能將會大打折扣，甚至能導致終端服務器發生“崩潰”。為此，你必須想辦法阻止終端服務器“自做主張”地允許遠程用戶，隨意創建遠程會話連接，以避免終端服務器的系統資源被消耗殆盡。

　　第一步：按照前面的辦法，打開系統的注冊表編輯窗口，再依次展開HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services注冊表分支。

　　第二步：接著用鼠標右鍵單擊“Terminal Services”分支，從打開的右鍵菜單中逐一選中“新建”選項、“DWORD值”選項，隨后再將新的雙字節值名稱取為“fSingleSessionPerUser”，然后將它的數值設置為“1”。這樣的話終端服務器以后就只允許每一個遠程連接用戶，同時僅能保持一個會話連接了。 (圖3)　　

#p#副標題#e#

　　4、禁用遠程剪貼

　　在對Windows系統服務器進行維護的過程中，常常需要用到系統的剪貼板，來暫時保存諸如密碼或者個人帳號之類的隱私信息。而在默認狀態下，服務器會“自做主張”地允許遠程用戶來查看本地系統的剪貼板信息，如此一來保存在服務器剪貼板中的隱私內容，就可能被非法用戶獲得，從而會給服務器或個人帶來危險。為了避免這樣的麻煩，應阻止服務器地允許遠程用戶查看服務器剪貼板中的信息：

　　第一步：依次單擊“開始”→“運行”命令，在打開的系統運行對話框中，輸入命令“Services.msc”，單擊“確定”按鈕后，打開系統的服務列表窗口。

　　第二步：選中該窗口中的“ClipBook”項目，然后用鼠標雙擊它，在接著出現的如圖4所示的服務屬性框中，你會發現服務器已經將該服務啟動起來了;此時你可以單擊一下“啟動類型”設置項處的下拉按鈕，再從下拉列表中將“已禁用”選中，最后單擊一下“確定”按鈕，就能輕松避免遠程剪貼的麻煩了。(圖4)　　

　　5、拒絕服務器重新啟動

　　通常，Windows 2003 Server安裝完補丁后，系統會提示用戶重新啟動服務器。其實，服務器是否會重新啟動，跟當前的系統補丁特性有一定的關系，對于那些強制需要系統啟動的安全補丁，我們一般是無法讓服務器拒絕重新啟動的;但對于那些沒有強制要求系統啟動特性的補丁來說，我們就能采取如下的方法來阻止服務器系統重新啟動。

　　第一步：在Windows 2003 Server服務器系統桌面中，依次單擊“開始”→“運行”命令，在隨后打開的系統運行對話框中，輸入字符串命令“cmd”，單擊“確定”按鈕之后，將系統工作模式切換到MS-DOS狀態下。

　　第二步：其次在DOS命令行中，通過“cd”命令將當前目錄切換到補丁程序所在的目錄，然后執行“test /?”字符串命令(其中test就是當前需要安裝的系統補丁名稱)，在其后出現的提示界面中，檢查一下當前補丁是否帶有“-z”參數，要是帶有該參數的話，就表明當前補丁在安裝完畢后可以不強制要求系統進行重新啟動。

　　第三步：接著在DOS命令行中，再輸入字符串命令“test -z”，單擊回車鍵后，該補丁程序就會自動安裝到系統中，并且不會要求服務器系統進行重新啟動了。(圖5)　　

　　總結：服務器安全是個系統工程，其中服務器系統的安全是基礎。在實際應用中對服務器系統的一些默認設置進行調整，就能在極大的程度上加固服務器的安全。當然，對于服務器系統的調整遠遠不止于筆者列舉的這些。大家應根據需要進行設置，杜絕由于默認設置造成的服務器安全隱患。