3. 中止或者删除不必要的帐户、端口以及服务

　　在安装期间，可以自动创建三个当地的用户帐户——管理员、客户、以及Help-Assistant，Help-Assistant是用Remote Assistance安装的。管理员帐户拥有系统的密钥。它可以分配用户权限和访问控制。尽管不能删除这个主要的帐户，但为了使黑客更难访问该帐户，可以将其中止或者重新命名。相反，你应该为单个用户或者组群目标分配管理权限。这使黑客更难确定哪个用户拥有管理权限。这一点在审计过程中也是关键的。设想一下：一个IT部门中，任何人都可以使用一个单一的管理账号和密码登录到该服务器中。这就是主要的安全问题。最好的方法就是根本不要使用管理员帐户。

　　同样地，对于那些了解Server 2003操作方式的人来说，客户和Help-Assistant帐户为他们提供了易于攻击的目标。选择Computer Management选项，通过Administrative Tools菜单下的控制面板，中止这些帐户。右击你想要改变的用户帐户，然后单击属性。确保这些帐户在网络中和本地已经被中止。

　　开放的端口是高风险区。共有65535个端口可用，而且你的服务器并不都需要它们。防火墙，包括在SP1中，允许管理员中止不必要的TCP和UDP端口。这些端口可以分为三个不同的范围：众所周知的端口（0-1023），已注册的端口（1024-49151），以及动态/私有端口（49152-65535）。对于操作系统功能而言，熟知的端口是至关重要的。已注册的端口仅仅能够用于服务或者应用程序。剩余的端口是“西大荒”，有待开发使用。

　　获取一列端口，以及相关的服务和应用程序，管理员就可以确定哪些是主要性能所要求的。比如，为了防止任何远程登录或者FTP流量，可以阻断与这些应用程序相关的已知端口。类似地，已知的软件和恶意软件也有已知的相关端口，所有端口都可以阻断，进而创建一个更安全的服务器状态。最佳方式就是关闭所有不使用的端口。确认计算机上哪些端口是开放状态、哪些是监听与阻隔状态的最佳方法是，使用免费Nmap工具。SCW在默认状态下关闭了所有的端口，然后按照安全策略的设置再打开它们。
 
　　你可以在线获得有关端口职能的信息。 

 图3：使用Control Panel中的Administrative Tools菜单可以中止不需要的服务——本例中指远程登录。

　　强化服务器的最有效的方法就是不要安装任何与操作不相关的应用程序，并关闭不需要的服务。虽然服务器上安装有电子邮件客户机程序或者生产性工具，给管理员带来了方便，但是，如果它们与服务器的性能没有直接关系，就不应该安装。在Windows Server 2003中可以中止100多项服务。比如，DHCP是包含在基本安装之中的。然而，如果你不将系统作为DHCP服务器使用，那么中止tcpsvcs.exe会阻止服务初始化和运行。然而，要切记的是，并非所有的服务都可以被中止。比如，尽管Blaster蠕虫可以利用远程过程调用（RPC）服务，但是由于它允许其它系统进程内部之间以及跨网络通信，所以不能中止这个服务。通过控制面板下的“管理工具Admin- istrative Tools”菜单，访问Services界面，便可以关闭不需要的服务。双击service，打开属性对话框，选择Startup Type框中的Disabled（见上图3）。