3.为物理机器和逻辑元件设定适当的存取控制权限

　　从你按下服务器的电源按钮那一刻开始，直到操作启动并且所有服务都活跃之前，威胁系统的恶意行为依然有机会破坏系统。除了操作系统操作系统以外，一台健康的服务器开始启动时应该具备密码保护的BIOS /固件。此外，就BIOS而言，服务器的开机顺序应当被正确设定，以防从未经授权的其它介质启动。

　　在启动电脑后，立刻按下F2键，这样你就进入了进入BIOS设置页面。你可以使用Alt-P在BIOS的各个设置标签上来回移动。在启动顺序（Boot Order）标签页上，设置服务器启动首选项为内部硬盘（Internal HDD）。在系统安全（Boot Order）标签页上，硬盘密码有三种选项可供选择：Primary、Administrative 和Hard。

　　同样，自动运行外部介质的功能包括光碟、DVD和USB驱动器，应该被禁用。在注册表，进入路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom（或其他设备名称）下，将Autorun的值设置为0。自动运行功能有可能自动启动便携式介质携带的恶意应用程序。这是安装特洛伊木马（Trojan）、后门程序（Backdoor）、键盘记录程序（KeyLogger）、窃听器（Listener）等恶意软件的一种简单的方法（如图4所示） 。

　　下一道防线是有关用户如何登录到系统。虽然身份验证的替代技术，比如生物特征识别、令牌、智能卡和一次性密码，都是可以用于Windows Server 2003用来保护系统，但是很多系统管理员，无论是本地的还是远程的，都使用用户名和密码的组合作为登陆服务器的验证码。不过很多时候，他们都是使用缺省密码，这显然是自找麻烦（请不要再使用确实的@55w0rd了！） 。

　　上面这些注意点都是很显然的。但是，如果你非要使用密码的话，那么最好采用一个强壮的密码策略：密码至少8个字符那么长，包括英文大写字母、数字和非字母数字字符。此外，你最好定期改变密码并在特定的时期内不使用相同的密码。

　　一个强壮的密码策略加上多重验证（Multifactor Authentication），这也仅仅只是一个开始。多亏了NTFS提供的ACL功能，使得一个服务器的各个方面，每个用户都可以被指派不同级别的访问权限。文件访问控制打印共享权限的设置应当基于组（Group）而不是“每个人（Everyone）”。这在服务器上是可以做到的，或者通过Active Directory。

　　确保只有一个经过合法身份验证的用户能访问和编辑注册表，这也很重要。这样做的目的是限制访问这些关键服务和应用的用户人数。