独立服务器如何保障服务器的安全？

开机检测：

出现开机检测的情况一般是服务器进行了重启，就是需要转移和出现问题的情况，一般情况下服务器最好不要重启，对网站的影响是比较大的。在检测的过程中，管理人员需要对独立服务器的进程进行查看，看看是否出现了异常，还需要查看CPU和内存是否出现异常。

安全更新检测：

当进行完开机检测后，需要对服务器的杀毒软件和病毒库进行检测，查看是否更新到最新版本，还要查看漏洞是否需要修复。

服务器状态检测：

查看系统运行的服务，这个步骤通常要求比较仔细严格，很多不需要的服务可以直接关闭，如果无法确定是不是必须的应用服务，查看这个服务对应的可执行文件是什么，如果是系统内正在使用的文件，那么可以忽略；此外还需要检测端口应用，很多不必要的端口应立即关闭，端口被入侵的可能性非常大。

安全日志检测：

当检查完端口和服务后，还需要查看相关的日志服务器以及目录权限，一般来说，查看运行日志筛选查看出现错误、警告的日志源，找到一些出现错误的原因及故障，排除是否会影响到服务器的安全性；检测目录权限，则是查看系统目录和重要程序应用的权限是不是正常，有没有被更改。

用NT（2000）建立的WEB站点在所有的网站中占了很大一部分比例，主要因为其易用性与易管理性，使该公司不必再投入大量的金钱在服务器的管理上，这一点优于nix系统，不必请很专业的管理员，不必支付一份可以节省的高薪，呵呵，当然nix的管理员也不会失业，因为其开放源码和windows系统无与伦比的速度，使得现在几乎所有的大型服务器全部采用nix系统。但对于中小型企业来说windows已经足够，但NT的安全问题也一直比较突出，使得一些每个基于NT的网站都有一种如履薄冰的感觉，在此我给出一份安全解决方案，算是为中国的网络安全事业做出一份贡献吧 （说明：本方案主要是针对建立Web站点的NT、2000服务器安全，对于局域网内的服务器并不合适。）

安全配置NT/2000 SERVER

即使正确的安装了WIN2000 SERVER，系统还是有很多的漏洞，还需要进一步进行细致地配置。

1．端口：

端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选，不过对于win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。

2．IIS：

IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以IIS的配置是我们的重点，现在大家跟着我一起来：首先，把C盘那个什么Inetpub目录彻底删掉，在D盘建一个Inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在IIS管理器中将主目录指向D:\Inetpub；其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除，如果你需要什么权限的目录可以自己慢慢建，需要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）第三，应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是ASP,ASA和其他你确实需要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：htw, htr, idq, ida……想知道这些故事？去查以前的漏洞列表吧。在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。安装新的Service Pack后，IIS的应用程序映射应重新设置。（说明：安装新的Service Pack后，某些应用程序映射又会出现，导致出现安全漏洞。这是管理员较易忽视的一点。）

从基本做起，及时安装系统补丁不论是Windows还是Linux，任何操作系统都有漏洞，及时地打上补丁避免漏洞被蓄意攻击利用，是服务器安全最重要的保证之一。安装和设置防火墙现在有许多基于硬件或软件的防火墙，很多安全厂商也都推出了相关的产品。对服务器安全而言，安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用，但是安装了防火墙并不等于服务器安全了。在安装防火墙之后，你需要根据自身的网络环境，对防火墙进行适当的配置以达到最好的防护效果。关闭不需要的服务和端口服务器操作系统在安装时，会启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器，可以完全关闭；对于期间要使用的服务器，也应该关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。以下为服务器常用端口列表：温馨提示：为了安全考虑，建议客户机将防火墙打开，只需将常用端口添加到防火墙例外或入站规则。比如网站管理员一般仅开放：80、22、21、3306、1433等端口。定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同服务器上，以便出现系统崩溃时，可以及时地将系统恢复到正常状态。设置账号和密码保护账号和密码保护可以说是服务器系统的第一道防线，目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦被进入了系统，那么前面的防卫措施几乎就失去了作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

如何配置网络服务器安全

1、安装补丁程序任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”打上。大部分中小企业服务器使用的是微软的 Windows2000/2003操作系统，因为使用的人特别多，所以发现的Bug也比较多，同时，蓄意攻击它们的人也很多。微软公司为了弥补操作系统的 安全漏洞，在其网站上提供了许多补丁，可以到网上下载并安装相关升级包。对于Windows2003，至少要升级到SP1，对于Windows2000， 至少要升级至ServicePack2。

2、安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的 产品。对于企业内部网来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是并不是安装了防火墙之后就万事大吉了，而是需要进行适当 的设置才能起作用。如果对防火墙的设置不了解，需要请技术支持人员协助设置。

3、安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件。同时，在网络版的杀毒软件使用中，必须要定期或及时升级杀毒软件。

4、账号和密码保护账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

5、监测系统日志通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

6、关闭不需要的服务和端口　　服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。

　　随着开源系统Linux的盛行，其在大中型企业的应用也在逐渐普及，很多企业的应用服务都是构筑在其之上，例如Web服务、数据库服务、集群服务等等。因此，Linux的安全性就成为了企业构筑安全应用的一个基础，是重中之重，如何对其进行安全防护是企业需要解决的一个基础性问题，基于此，本文将给出十大企业级Linux服务器安全防护的要点。1、强化：密码管理设定登录密码是一项非常重要的安全措施，如果用户的密码设定不合适，就很容易被破译，尤其是拥有超级用户使用权限的用户，如果没有良好的密码，将给系统造成很大的安全漏洞。目前密码破解程序大多采用字典攻击以及暴力攻击手段，而其中用户密码设定不当，则极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码，这样，黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中，应尽量使用非字典中出现的组合字符，并且采用数字与字符相结合、大小写相结合的密码设置方式，增加密码被黑客破解的难度。而且，也可以使用定期修改密码、使密码定期作废的方式，来保护自己的登录密码。在多用户系统中，如果强迫每个用户选择不易猜出的密码，将大大提高系统的安全性。但如果passwd程序无法强迫每个上机用户使用恰当的密码，要确保密码的安全度，就只能依靠密码破解程序了。实际上，密码破解程序是黑客工具箱中的一种工具，它将常用的密码或者是英文字典中所有可能用来作密码的字都用程序加密成密码字，然后将其与Linux系统的/etc/passwd密码文件或/etc/shadow影子文件相比较，如果发现有吻合的密码，就可以求得明码了。在网络上可以找到很多密码破解程序，比较有名的程序是crack和john the ripper用户可以自己先执行密码破解程序，找出容易被黑客破解的密码，先行改正总比被黑客破解要有利。2、限定：网络服务管理早期的Linux版本中，每一个不同的网络服务都有一个服务程序(守护进程，Daemon)在后台运行，后来的版本用统一的/etc/inetd服务器程序担此重任。Inetd是Internetdaemon的缩写，它同时监视多个网络端口，一旦接收到外界传来的连接信息，就执行相应的TCP或UDP网络服务。由于受inetd的统一指挥，因此Linux中的大部分TCP或UDP服务都是在/etc/inetdconf文件中设定。所以取消不必要服务的第一步就是检查/etc/inetdconf文件，在不要的服务前加上“#”号。一般来说，除了http、smtp、telnet和ftp之外，其他服务都应该取消，诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻找和搜索资料用的gopher以及用于时间同步的daytime和time等。还有一些报告系统状态的服务，如finger、efinger、systat和netstat等，虽然对系统查错和寻找用户非常有用，但也给黑客提供了方便之门。例如，黑客可以利用finger服务查找用户的电话、使用目录以及其他重要信息。因此，很多Linux系统将这些服务全部取消或部分取消，以增强系统的安全性。Inetd除了利用/etc/inetdconf设置系统服务项之外，还利用/etc/services文件查找各项服务所使用的端口。因此，用户必须仔细检查该文件中各端口的设定，以免有安全上的漏洞。在后继的Linux版本中(比如Red Hat Linux72之后)，取而代之的是采用xinetd进行网络服务的管理。当然，具体取消哪些服务不能一概而论，需要根据实际的应用情况来定，但是系统管理员需要做到心中有数，因为一旦系统出现安全问题，才能做到有步骤、有条不紊地进行查漏和补救工作，这点比较重要。3、严格审计：系统登录用户管理在进入Linux系统之前，所有用户都需要登录，也就是说，用户需要输入用户账号和密码，只有它们通过系统验证之后，用户才能进入系统。与其他Unix操作系统一样，Linux一般将密码加密之后，存放在/etc/passwd文件中。Linux系统上的所有用户都可以读到/etc/passwd文件，虽然文件中保存的密码已经经过加密，但仍然不太安全。因为一般的用户可以利用现成的密码破译工具，以穷举法猜测出密码。比较安全的方法是设定影子文件/etc/shadow，只允许有特殊权限的用户阅读该文件。在Linux系统中，如果要采用影子文件，必须将所有的公用程序重新编译，才能支持影子文件。这种方法比较麻烦，比较简便的方法是采用插入式验证模块(PAM)。很多Linux系统都带有Linux的工具程序PAM，它是一种身份验证机制，可以用来动态地改变身份验证的方法和要求，而不要求重新编译其他公用程序。这是因为PAM采用封闭包的方式，将所有与身份验证有关的逻辑全部隐藏在模块内，因此它是采用影子档案的最佳帮手。此外，PAM还有很多安全功能：它可以将传统的DES加密方法改写为其他功能更强的加密方法，以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源的上限;它甚至可以设定用户的上机时间和地点。Linux系统管理人员只需花费几小时去安装和设定PAM，就能大大提高Linux系统的安全性，把很多攻击阻挡在系统之外。4、设定：用户账号安全等级管理除密码之外，用户账号也有安全等级，这是因为在Linux上每个账号可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。在Linux系统中的部分文件中，可以设定允许上机和不允许上机人员的名单。其中，允许上机人员名单在/etc/hostsallow中设置，不允许上机人员名单在/etc/hostsdeny中设置。此外，Linux将自动把允许进入或不允许进入的结果记录到/var/log/secure文件中，系统管理员可以据此查出可疑的进入记录。每个账号ID应该有专人负责。在企业中，如果负责某个ID的职员离职，管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。在用户账号之中，黑客最喜欢具有root权限的账号，这种超级用户有权修改或删除各种系统设置，可以在系统中畅行无阻。因此，在给任何账号赋予root权限之前，都必须仔细考虑。Linux系统中的/etc/securetty文件包含了一组能够以root账号登录的终端机名称。例如，在RedHatLinux系统中，该文件的初始值仅允许本地虚拟控制台(rtys)以root权限登录，而不允许远程用户以root权限登录。最好不要修改该文件，如果一定要从远程登录为root权限，最好是先以普通账号登录，然后利用su命令升级为超级用户。5、谨慎使用：“r系列”远程程序管理在Linux系统中有一系列r字头的公用程序，比如rlogin，rcp等等。它们非常容易被黑客用来入侵我们的系统，因而非常危险，因此绝对不要将root账号开放给这些公用程序。由于这些公用程序都是用。rhosts文件或者hostsequiv文件核准进入的，因此一定要确保root账号不包括在这些文件之内。由于r等远程指令是黑客们用来攻击系统的较好途径，因此很多安全工具都是针对这一安全漏洞而设计的。例如，PAM工具就可以用来将r字头公用程序有效地禁止掉，它在/etc/pamd/rlogin文件中加上登录必须先核准的指令，使整个系统的用户都不能使用自己home目录下的。rhosts文件。6、限制：root用户权限管理Root一直是Linux保护的重点，由于它权力无限，因此最好不要轻易将超级用户授权出去。但是，有些程序的安装和维护工作必须要求有超级用户的权限，在这种情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。sudo程序允许一般用户经过组态设定后，以用户自己的密码再登录一次，取得超级用户的权限，但只能执行有限的几个指令。例如，应用sudo后，可以让管理磁带备份的管理人员每天按时登录到系统中，取得超级用户权限去执行文档备份工作，但却没有特权去作其他只有超级用户才能作的工作。sudo不但限制了用户的权限，而且还将每次使用sudo所执行的指令记录下来，不管该指令的执行是成功还是失败。在大型企业中，有时候有许多人同时管理Linux系统的各个不同部分，每个管理人员都有用sudo授权给某些用户超级用户权限的能力，从sudo的日志中，可以追踪到谁做了什么以及改动了系统的哪些部分。值得注意的是，sudo并不能限制所有的用户行为，尤其是当某些简单的指令没有设置限定时，就有可能被黑客滥用。例如，一般用来显示文件内容的/etc/cat指令，如果有了超级用户的权限，黑客就可以用它修改或删除一些重要的文件。7、追踪黑客踪迹：日志管理当用户仔细设定了各种与Linux相关的配置(最常用日志管理选项)，并且安装了必要的安全防护工具之后，Linux操作系统的安全性的确大为提高，但是却并不能保证防止那些比较熟练的网络黑客的入侵。在平时，网络管理人员要经常提高警惕，随时注意各种可疑状况，并且按时检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如：正常用户在半夜三更登录;不正常的日志记录，比如日志只记录了一半就切断了，或者整个日志文件被删除了;用户从陌生的网址进入系统;因密码错误或用户账号错误被摈弃在外的日志记录，尤其是那些一再连续尝试进入失败，但却有一定模式的试错法;非法使用或不正当使用超级用户权限su的指令;重新开机或重新启动各项服务的记录。上述这些问题都需要系统管理员随时留意系统登录的用户状况以及查看相应日志文件，许多背离正常行为的蛛丝马迹都应当引起高度注意。8、横向扩展：综合防御管理防火墙、IDS等防护技术已经成功地应用到网络安全的各个领域，而且都有非常成熟的产品。在Linux系统来说，有一个自带的Netfilter/Iptables防火墙框架，通过合理地配置其也能起到主机防火墙的功效。在Linux系统中也有相应的轻量级的网络入侵检测系统Snort以及主机入侵检测系统LIDS(Linux Intrusion Detection System)，使用它们可以快速、高效地进行防护。需要提醒注意的是：在大多数的应用情境下，我们需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口对来过滤网络流量，而IDS更加具体，它需要通过具体的数据包(部分或者全部)来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。9、评测：漏洞追踪及管理Linux作为一种优秀的开源软件，其自身的发展也日新月异，同时，其存在的问题也会在日后的应用中慢慢暴露出来。黑客对新技术的关注从一定程度上来说要高于我们防护人员，所以要想在网络攻防的战争中处于有利地位，保护Linux系统的安全，就要求我们要保持高度的警惕性和对新技术的高度关注。用户特别是使用Linux作为关键业务系统的系统管理员们，需要通过Linux的一些权威网站和论坛上尽快地获取有关该系统的一些新技术以及一些新的系统漏洞的信息，进行漏洞扫描、渗透测试等系统化的相关配套工作，做到防范于未然，提早行动，在漏洞出现后甚至是出现前的最短时间内封堵系统的漏洞，并且在实践中不断地提高安全防护的技能，这样才是一个比较的解决办法和出路。10、保持更新：补丁管理Linux作为一种优秀的开源软件，其稳定性、安全性和可用性有极为可靠的保证，世界上的Linux高手共同维护着个优秀的产品，因而起流通渠道很多，而且经常有更新的程序和系统补丁出现，因此，为了加强系统安全，一定要经常更新系统内核。Kernel是Linux操作系统的核心，它常驻内存，用于加载操作系统的其他部分，并实现操作系统的基本功能。由于Kernel控制计算机和网络的各种功能，因此，它的安全性对整个系统安全至关重要。早期的Kernel版本存在许多众所周知的安全漏洞，而且也不太稳定，只有20x以上的版本才比较稳定和安全(一般说来，内核版本号为偶数的相对稳定，而为奇数的则一般为测试版本，用户们使用时要多留意)，新版本的运行效率也有很大改观。在设定Kernel的功能时，只选择必要的功能，千万不要所有功能照单全收，否则会使Kernel变得很大，既占用系统资源，也给黑客留下可乘之机。在Internet上常常有最新的安全修补程序，Linux系统管理员应该消息灵通，经常光顾安全新闻组，查阅新的修补程序。

　　因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的`第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

　我们通过以下几个方面对您的系统进行安全加固：

　1 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

　2 IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

　3 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

　系统的安全加固：

　1目录权限的配置：

　11 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

　12 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

　13 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。

　14 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

　15 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmdexe、ftpexe、netexe、scrrundll、shelldll这些杀手锏程序赋予匿名帐号拒绝访问。

　16审核MetBasebin，C:WINNTsystem32inetsrv目录只有administrator只允许Administrator用户读写。

　2组策略配置:

　在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;

　启用不允许匿名访问SAM帐号和共享;

　启用不允许为网络验证存储凭据或Passport;

　从文件共享中删除允许匿名登录的DFS$和COMCFG;

　启用交互登录：不显示上次的用户名;

　启用在下一次密码变更时不存储LANMAN哈希值;

　禁止IIS匿名用户在本地登录;

　3本地安全策略设置:

　开始菜单—>管理工具—>本地安全策略

　A、本地策略——>审核策略

　审核策略更改 成功 失败

　审核登录事件 成功 失败

　审核对象访问失败

　审核过程跟踪 无审核

　审核目录服务访问失败

　审核特权使用失败

　审核系统事件 成功 失败

　审核账户登录事件 成功 失败

　审核账户管理 成功 失败

　注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

　1注销——最好让使用不频繁的或使用时间不长的服务器保持退出系统。当你的服务器上只有一个入口的时候，最好只登录一个服务。你可能认为不关闭服务器是为了节省时间，但这存在很大的安全隐患。

　　2使用强密码——强密码对于保护网上账户的作用是很重要的，同时对服务器的安全性也是尤为重要。所以要确保你的Windows OS服务器包含6～8个字母和数字结合的字符密码。另外运行可以找出破损密码的恢复系统。

　　3把服务器放在安全地方——公司里员工比较多，那就把服务器放在安全的实际位置，最好是可以锁的房间，把钥匙交给设备直接使用的专门人员。

　　4关掉不用的选项——删除或者关掉所有不必要的、不使用的程序，还有连接到服务器上的设备，包括FTP、简单的TCP/IP设备和不需要的网络通信协议。如果考虑到它是数据库或者邮件服务功能的单用途服务器，就需要删除服务器上其他功能的所有软件。

　　5建立防火墙——防火墙将会帮助建立一个架在你和同事还有外界之间的障碍物。这个可以是硬件也可以是建立在软件基础上的防火墙能免于Windows服务器遭受外界攻击。

　　6双重验证——如果一个验证方法是好的，那么两个验证方法就更好了。确保你的管理员至少有两个验证方法，包括一个用户名/密码端口和生物测定数据或者智能卡。

　　7尽快更新软件——一旦需要更新，那就尽快安装。Microsoft里有安全漏洞可能会让你的服务器很危险，等待维修是不现实的，也有可能会被黑客、垃圾邮件和恶意软件钻了空子。

　　8增加防护软件——这看上去和‘关掉不用选项’的建议相矛盾，但这款软件必须用在任何一个使用的软件上，才能发现并删除恶意软件和间谍软件，也可以增加反间谍软件过滤器和扫描器，增加预防软件来对抗攻击并维护系统文件完整性。

　　9分区操作——如果你的Windows OS服务器是用来发送、接收邮件的，请确保在彻底传输完成之前，对接收文件、上传文件和运行防毒软件进行分区操作。另外就是拒绝上传文件到服务器。

　　10时时关注安全性——将许多安全措施布置到位之后，有些计算机人士就认为万事大吉了，其实这是一个很大的误区--因为有许多黑客正在夜以继日的**你的信息，危害你服务器;所以时时关注你的安全措施是至关重要的。最好是安排专门人员每天检查使用记录，定期寻找更新方法和补丁，研究近期网络攻击的新闻，以便更好的维护服务器。