服務器安全設置

1、系統盤和站點放置盤必須設置為NTFS格式，方便設置權限。

2、系統盤和站點放置盤除administrators 和system的用戶權限全部去除。

3、啟用windows自帶防火墻，只保留有用的端口，比如遠程和Web、Ftp(3389、80、21)等等，有郵件服務器的還要打開25和130端口。

4、安裝好SQL后進入目錄搜索 xplog70 然后將找到的三個文件改名或者刪除。

5、更改sa密碼為你都不知道的超長密碼，在任何情況下都不要用sa這個帳戶。

6、改名系統默認帳戶名并新建一個Administrator帳戶作為陷阱帳戶，設置超長密碼，并去掉所有用戶組。（就是在用戶組那里設置為空即可。讓這個帳號不屬于任何用戶組―樣）同樣改名禁用掉Guest用戶。

7、配置帳戶鎖定策略（在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效”，“鎖定時間30分鐘”，“復位鎖定計數設為30分鐘”。）

8、在安全設置里本地策略-安全選項將

網絡訪問：可匿名訪問的共享；

網絡訪問：可匿名訪問的命名管道；

網絡訪問：可遠程訪問的注冊表路徑；

網絡訪問：可遠程訪問的注冊表路徑和子路徑；

以上四項清空。

9、在安全設置里 本地策略-安全選項 通過終端服務拒絕登陸 加入

（****表示你的機器名,具體查找可以點擊 添加用戶或組  選  高級  選 立即查找 在底下列出的用戶列表里選擇. 注意不要添加進user組和administrators組 添加進去以后就沒有辦法遠程登陸了。）

10、去掉默認共享，將以下文件存為reg后綴，然后執行導入即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]

"AutoShareServer"=dword:00000000

"AutoSharewks"=dword:00000000

11、 禁用不需要的和危險的服務，以下列出服務都需要禁用。