在之前，笔者已经提过关于维护window服务器的四大窍门，维护Linux/Unix服务器五大技巧。从这些简单的窍门、技巧中大家懂得了一些基本的维护服务器安全的常识。其实说了这么多，主要是为了引出今天的话题，同样是维护window环境下服务器安全防护步骤，层层递进，帮助你解决安全忧患问题。

　　步骤1：确保服务器物理层面上的安全。

　　风险：如果入侵者可以物理访问你的服务器，那么你将会有被带走整个机器或者一个硬盘。除了要确保物理安全之外，你还应该配置你的系统，让它只从硬盘内部来引导，防止入侵者从可移动的介质来启动系统。BIOS和引导加载程序，都应该设置一个强大的密码来进行保护。

　　步骤2：让服务器远离网络。

　　由于大多数文件服务器都无法避免的要连接到互联网，所以使用防火墙限制外部访问你的局域网。

　　步骤3：加密驱动器。

　　使用类似于BitLocker系统来加密你的驱动器，这样即使你的硬盘被盗或者被替换后扔到不安全的地方，仍能确保你的文件是安全的。在你的服务器上使用可信赖平台模块(TPM)确保使用BitLocker在管理员和用户之间是公开透明的。

　　步骤4：确保服务器更新最新最全的补丁。

　　即使你的Windows服务器没有连接互联网，你仍然要保证软件的更新，通过在你网络上的另一个服务器运行Windows服务器更新服务(WSUS)来完成。如果让你的文件服务器，不联网是不实际的话，那么你应该确保Windows更新设置为自动下载并应用补丁-除非你已经有了一套下载和手动测试补丁的程序。

　　还有一个容易遗漏的地方就是IE浏览器的增强安全配置，因为很少会用到IE浏览器所以IE浏览器的安全往往会被忽略。你可以从控制面板查看互联网增强的安全配置选项，添加Windows部分组件。

　　步骤5：不要忘了防病毒软件。

　　即使你有网关的安全保护，也运行了个人的防病毒软件，但你仍应该运行企业级的防病毒软件在你的文件服务器上。大多数企业的产品，允许你从本地服务器更新病毒数据(甚至是从你网络上其他用户运行的软件上)，但如果你的文件服务器没有联网的话，那么你可能无法充分利用基于网络提供的额外保护。

　　步骤6：去掉不必要的软件。

　　在你服务器上的那些肯定不需要的软件如Flash,Silverlight,或Java.安装这些软件只会给黑客增加攻击的机会。你可以从服务器中删除没用的控制面板。

　　步骤7：使用最少的特权执行管理任务。

　　尽可能的避开使用管理员特权。同样，确保具有管理员权限的所有帐户，即使有密码策略也要强制执行强密码保护。

　　步骤8：控制文件的访问。

　　使用NTFS安全限制文件和文件夹访问特定的组或个人用户。通过查看一个文件或文件夹的属性，选择“安全选项卡”,然后在“高级”里改变权限。

　　步骤9：使用审计功能。

　　确保你设置了审计，这样你可以看到是谁曾尝试读取、写入或删除你的机密文件或文件夹。你可以通过查看一个文件或文件夹的属性，选择“安全选项卡”,然后在“高级”设置里选择“审核”选项卡来完成。

　　步骤10：停止不必要的服务。

　　在Windows中，除非你特别需要这些(像远程管理)，否则你应该停止像传真服务，Messenger、IISAdmin、SMTP、任务调度器、Telnet、远程桌面服务、万维网发布服务等。

　　原文链接：http://www.idcnw.com/hyxw/235.html