打造安全的Windows 2003系统(1)

　　2003年5月22日，微软的新一代操作系统Windows Server 2003中文版开始在国内发行。从Windows95一路用到现在，笔者觉得微软在安全方面做的还算是说的过去的，虽然说漏洞很多。2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置，使Windows Server 2003安全性大大加强。

　　一、安装过程中的安全问题

　　1．NTFS系统。

　　老生长谈的话题了。NTFS系统为一种高级的文件系统，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能，通过它可以实现任意文件及文件夹的加密和权限设置（这是最直观的安全设置了），磁盘配额和压缩等高级功能。通过它，你还可以更好的利用磁盘空间，提高系统运行速度……自WindowsNT系统以来，使用NTFS系统已经逐渐成了一种共识。为了体验NTFS系统带来的这些免费的优惠，笔者特意把硬盘所有分区都转成了NTFS系统。如果你在安装时不选用NTFS系统，那么后面的很多安全配置如用户权限设置等你将都不能实现。

　　2．安装过程中有关安全的提示。

　　在安装过程中需要输入Administrator密码，新的Windows Server 2003提供了一个比较成熟的密码规则，当你输入的密码不符合规则时，就会以图片形式出现如下提示（由于安装未完成，不能抓图，请谅解。内容已经抄下来了）：

　　您已经指定的管理员帐户的密码不符合密码的条件，建议使用的密码应符合下列条件之中的前二个及至少三个：

　　- 至少6个字符
　　- 不包含"Administrator"或"Admin"
　　- 包含大写字母（A、B、C等等）
　　- 包含小写字母（a、b、c等等）
　　- 包含数字（0、1、2等等）
　　- 包含非字母数字字符（#、&、~等等）
　　您确定要继续使用当前密码吗？

　　之所以说是“比较成熟”的密码规则，因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装，这就为以后的系统安全埋下了隐患。但总的来说，有了这一规则就已经很不错了，以前的版本没有，就出现了N多空密码的很快沦为肉鸡的机器。相信有了这一提示后，可以在很大程度上减小这种现象。

　　3．在完全配置完成后不要把机器接到网络中（包括局域网），因为这时候你满的漏洞的机器随时等候别人的“照顾”，只要有人连接上来，就是Admin权限。这一点相信了解安全的朋友都知道。

　　在整个安装过程中需要注意的基本就这么多了。另外，不知道大家有没有注意到，按默认安装后，系统根目录下多出来一个0字节的wmpub文件夹，里面又有一个0字节的wmiislog文件夹。后来发现有一个不明程序在使用这个wmiislog文件夹，但到底是什么程序，有什么用途用还不清楚，不知道是否和安全有关，能否被利用。请知道的朋友告知一声。