上面这些注意点都是很显然的。但是，如果你非要使用密码的话，那么最好采用一个强壮的密码策略：密码至少8个字符那么长，包括英文大写字母、数字和非字母数字字符。此外，你最好定期改变密码并在特定的时期内不使用相同的密码。

　　一个强壮的密码策略加上多重验证(Multifactor Authentication)，这也仅仅只是一个开始。多亏了NTFS提供的ACL功能，使得一个服务器的各个方面，每个用户都可以被指派不同级别的访问权限。文件访问控制打印共享权限的设置应当基于组(Group)而不是“每个人(Everyone)”。这在服务器上是可以做到的，或者通过 Active Directory。

　　确保只有一个经过合法身份验证的用户能访问和编辑注册表，这也很重要。这样做的目的是限制访问这些关键服务和应用的用户人数。

　　4、禁用或删除不需要的帐户、端口和服务

　　在安装过程中，三个本地用户帐户被自动创建---管理员(Administrator)、来宾(Guest)、远程协助账户(Help- Assistant，随着远程协助会话一起安装的)。管理员帐户拥有访问系统的最高权限。它能指定用户权限和访问控制。虽然这个主帐户不能被删除，但是你应该禁用或给它重新命名，以防被轻易就被 黑客盗用而侵入系统。正确的做法是，你应该为某个用户或一个组对象指派管理员权限。这就使得 黑客更难判断究竟哪个用户拥有管理员权限。这对于审计过程也是至关重要的。想象一下，如果一个IT部门的每一个人都可以使用同一个管理员账户和密码登录并访问服务器，这是一个多么重大的安全隐患啊。最好不要使用管理员帐户了。

　　同样地，来宾账户和远程协助账户为那些攻击Windows Server 2003的黑客提供了一个更为简单的目标。进入“控制面板”---“管理工具”---“ 计算机管理”，右键单击你想要改变的用户帐户，选择“属性”，这样你就可以禁用这些账户。务必确保这些账户在网络和本地都是禁用的。

　　开放的端口是最大的潜在威胁，Windows Server 2003有65535个可用的端口，而你的服务器并不需要所有这些端口。SP1中包含的防火墙允许管理员禁用不必要的TCP和UDP端口。所有的端口被划分为三个不同的范围：众所周知的端口(0-1023)、注册端口(1024-49151)、动态/私有端口(49152-65535)。众所周知的端口都被操作系统功能所占用;而注册端口则被某些服务或应用占用。动态/私有端口则是没有任何约束的。

　　如果能获得一个端口和所关联的服务和应用的映射清单，那么管理员就可以决定哪些端口是核心系统功能所需要的。举例来说，为了阻止任何Telnet或 FTP传输路径，你就可以禁用与这两个应用相关的通讯端口。同样地，知名软件和恶意软件使用那些端口都是大家所熟知的，这些端口可以被禁用以创造一个更加安全的服务器环境。最好的做法是关闭所有未用的端口。要找到服务器上的那些端口是开发状态、监听状态还是禁用状态，使用免费的Nmap工具(www.nmap.org或www.insecure.org )是一个比较简单高效的方式。默认情况下，SCW关闭所有的端口，当设定安装策略的时候再打开它们。

　　增强服务器免疫力最有效的方法是不安装任何与业务不相关的应用程序，并且关闭不需要的服务。虽然在服务器上安装一个电子邮件客户端或生产力工具可能会使管理员更方便，但是，如果不直接涉及到服务器的功能，那么你最好不要安装它们。在Windows Server 2003上，有100多个服务可以被禁用。举例来说，最基础的安装包含DHCP服务。不过，如果你不打算利用该系统作为一个DHCP服务器，禁用 tcpsvcs.exe将阻止该服务的初始化和运行。请记住，并非所有的服务都是可以禁用的。举例来说，虽然远端过程调用(Remote Procedure Call、RPC)服务可以被Blaster蠕虫所利用，进行系统攻击，不过它却不能被禁用，因为RPC允许其它系统过程在内部或在整个网络进行通讯。为了关闭不必要的服务，你可以通过“控制面板”的“管理工具菜单”访问“服务”接口。双击该服务，打开“属性”对话框，在“启动类型框”中选择“禁用”。

　　5、创建一个强大和健壮的审计和日志策略

　　阻止服务器执行有害的或者无意识的操作，是强化服务器的首要的目标。为了确保所执行的操作是都是正确的并且合法的，那么就得创建全面的事件日志和健壮的审计策略。

　　随着一致性约束的来临，法规遵从性，强大的审计策略应该是健壮的Windows Server 2003服务器的一个重要组成部分。成功和失败的帐户登录和管理尝试，连同特权使用和策略变化斗应该被初始化。

　　在Windows Server 2003中，创建的日志类型有：应用日志、安全日志、目录服务日志、文件复制服务(File Replication Service)日志和DNS服务器日志。这些日志都可以通过事件查看器(Event Viewer)监测，同时事件察看器还提供广泛的有关硬件、软件和系统问题的信息。在每个日志条目里，事件查看器显示五种类型的事件：错误、警告、信息、成功审计和失败审计。

　　6、创建一个基线的备份

　　在你花费了大量时间和精力强化你的Windows Server 2003服务器时，你所要做的最后一步是创建一个0/full级别的机器和系统状态备份。一定要对系统定期进行基线备份，这样当有安全事故发生时，你就能根据基线备份对服务器进行恢复。可以说，基线备份就是服务器的“还魂丹”。在对Windows Server 2003服务器的主要软件和操作系统进行升级后，务必要对系统进行基线备份。