Windows Server 2003已经慢慢淡出人们的视野，主要是微软官方已经停止了对Windows Server 2003系统的补丁更新，虽然现在Windows Server 2016已经出来很久了，但是市场占有率一直都不高，目前绝大部分使用Windows系统的站长都会使用目前普及率最高的Windows Server 2008 R2企业版，这个版本已经非常的成熟，只要补丁更新到位，基本不会出什么大问题，但是他相对于Windows Server 2003 还是要复杂很多，还需要对他做很多安全策略，以保证服务器的稳定和网站的安全运行，以下是针对服务器安全方面的一些基本设置和安全策略，如果有没说到的希望大家踊跃提出一起分享，我们维恩网络科技主要是做海外的高防服务器租用，有兴趣可以私信哦。

一， 目录和用户权限

系统C盘只用保留最基本的权限，除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，当您的网站放在D盘的时候，D盘根目录权限只保留Administrators和SYSTEM两个权限，可以在D盘的二级目录中加上网站目录所必须用到的IIS或者USERS权限以保证网站有足够的权限运行。

二， 修改远程端口3389

这个就不用多说了，网上能找到很多修改远程端口的软件，一般很多小白黑客都会使用傻瓜式的工具在互联网上24小时不停的扫描所有开放3389端口的服务器，并使用弱口令词典不断的破解你的管理员密码，不仅会占用系统的资源，而且对系统安全造成很大的威胁，解决方法就是用修改远程端口的工具把端口修改成其它端口，并将3389和TCP连接加入阻止连接列表。

三， 设置本地连接属性

打开网络属性，本地连接属性，将“Microsoft网络客户端”，“Microsoft网络的文件和打印机共享” 前面的勾去掉并点卸载。

四， 关闭网络共享和发现

将“网络共享，文件共享，公用文件共享，打印机共享，显示我正在共享的所有文件和文件夹，显示这台计算机上所有共享的网络文件夹” 全部关闭。注意要把密码保护共享启用。

五， 本地安全策略

1，打开CMD运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-->Windows设置-->安全设置-->本地策略-->安全选项

交互式登陆：不显示最后的用户名 启用

网络访问：不允许SAM帐户的匿名枚举 启用 已经启用

网络访问：不允许SAM帐户和共享的匿名枚举　 启用

网络访问：不允许储存网络身份验证的凭据 启用

网络访问：可匿名访问的共享 内容全部删除

网络访问：可匿名访问的命名管道 内容全部删除

网络访问：可远程访问的注册表路径 内容全部删除

网络访问：可远程访问的注册表路径和子路径 内容全部删除

帐户：重命名来宾帐户 这里可以更改guest帐号

帐户：重命名系统管理员帐户 这里可以更改Administrator帐号

2，打开组策略编辑器，选择计算机配置-->Windows设置-->安全设置-->账户策略-->账户锁定策略，将密码策略中的密码必须符合性要求启用，密码最小值改成14，密码最长使用期限改成30天，养成定期更改密码的好习惯。

3，将账户锁定阈值设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

4，选择计算机配置-->Windows设置-->安全设置-->本地策略-->用户权限分配 关闭系统： 只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger

5，通过终端服务允许登陆：加入Administrators组，其他全部删除。

这个是最最重要的，微软也是在为不断的更新和完善自己的系统，所以对系统打上最新补丁是非常有必要的。

通过以上的安全设置，能有效提高网站服务器的安全性能，保证网站更安全更稳定的运行。