安装SCW。
 3、数据存取权限的控制

 

　　(1).设置服务器的开机顺序

　　可以说，从我们按下服务器的电源按钮那一刻开始，直到操作启动并且所有服务都活跃之前，威胁系统的恶意行为依然有机会破坏系统。除了操作系统以外，一台健康的服务器开始启动时应该具备密码保护的BIOS/固件。此外，就BIOS而言，服务器的开机顺序应当被正确设定，以防从未经授权的其它介质启动。

　　在启动后，进入BIOS设置页面。我们可以使用组合键在BIOS的各个设置标签上来回移动。在启动顺序(Boot Order)标签页上，设置服务器启动首选项为内部硬盘(Internal HDD)。在系统安全(Boot Order)标签页上，硬盘密码有三种选项可供选择：Primary、Administratortive和Hard。

　　(2).管理好自动运行

　　自动运行外部介质的功能包括光碟、DVD和USB驱动器，应该被禁用。在注册表，进入路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\Set\Services\Cdrom(或其他设备名称)下，将Automn的值设置为0。自动运行功能有可能自动启动便携式介质携带的恶意应用程序。这是安装特洛伊木马(Trojan)、后门程序(Backdoor)、键盘记录程序(KeyLogger)、窃听器(Listener)等恶意软件的一种简单的方法。

　　(3).选择用户登录方式

　　下一道防线是有关用户如何登录到系统。虽然身份验证的替代技术。比如生物特征识别、令牌、智能卡和一次性密码，都是可以用于Windows Server 2008用来保护系统，但是很多系统管理员，无论是本地的还是远程的，都使用用户名和密码的组合作为登陆服务器的验证码。不过很多时候，他们都是使用缺省密码。这显然是自找麻烦。

　　上面这些注意点都是很显然的。但是，如果我们非要使用密码的话，那么最好采用一个强壮的密码策略：密码至少8个字符那么长。包括英文大写字母、数字和非字母数字字符：此外，我们最好定期改变密码并在特定的时期内不使用相同的密码。一个强壮的密码策略加上多重验证(Multifactor Authentication)，这也仅仅只是一个开始。多亏了NTFS提供的ACL功能，使得一个服务器的各个方面，每个用户都可以被指派不同级别的访问权限。文件访问控制打印共享权限的设置应当基于组(Group)而不是“每个人(Everyone)”。这在服务器上是可以做到的，或者通过Active Directory。确保只有一个经过合法身份验证的用户能访问和编辑注册表，这也很重要。这样做的目的是限制访问这些关键服务和应用的用户人数。
　　 4、基于账户、端口、服务等限制

 

　　(1).账户安全控制

　　在安装过程中，三个本地用户帐户被自动创建管理员(Administrator)、来宾(Guest)、远程协助账户(Help—Assistant，随着远程协助会话一起安装的)。管理员帐户拥有访问系统的最高权限。它能指定用户权限和访问控制。虽然这个主帐户不能被删除，但是我们应该禁用或给它重新命名，以防被轻易就被黑客盗用而侵入系统。正确的做法是，我们应该为某个用户或一个组对象指派管理员权限。这就使得黑客更难判断究竟哪个用户拥有管理员权限。这对于审计过程也是至关蓖要的。想象一下，如果一个部门的每一个人都可以使用同一个管理员账户和密码登录并访问服务器，这是一个多么重大的安全隐患啊。因此，笔者建议最好不要使用管理员帐户。同样地，来宾账户和远程协助账户为那些攻击Windows Server 2008的黑客提供了一个更为简单的目标。进入”控制面板”→”管理工具”→”计算机管理”，右键单击我们想要改变的用户帐户，选择”属性”，这样我们就可以禁用这些账户。务必确保这些账户在网络和本地都是禁用的。

　　(2).关闭危险的端口

　　开放的端口是最大的潜在威胁，Windows Server 2008有65535个可用的端口，而我们9 7 3 1 2 3 4 8 :