Win 2003 Server 服务器安全设置(十)用户安全设置

Windows Server 2003安全设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator，并将其禁用b)创建一个用户账户并将其加入管理员组，日常管理工作使用这个账户完成2.启用账户锁定策略开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”3.创建一个日常登录账户通过Runas或者鼠标右键“运行方式”切换管理员权限4.修改本地策略限制用户权限开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”，限制从网络访问该服务器的账户二、服务器性能优化，稳定性优化1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始运行中输入:services.mscb)停止并禁用以下服务puter Browser2.Distributed Link Tracking Client3.Print Spooler（如果没有打印需求可以停止该服务）4.Remote Registry5.Remote Registry（如果没有无线设备可以停止该服务）6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新我的电脑右键属性——自动更新Windows Server 2003会自动下载更新，无须人为打补丁。

2.关闭端口，减少受攻击面（此处以仅提供HTTP协议为例）a)开始运行中输入cmd，运行命令提示符b)在命令提示符中输入netstat -an命令察看当前打开端口图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。

c)禁用TCP/IP 上的NetBIOS1.从“开始”菜单，右键单击“我的电脑”，然后单击“属性”。

Windows 2003 server环境设置（一）Windows 2003 server登录设置任务1：禁止显示上一个用户登录设置自动进入windows2003系统，不需要按ctrl+alt+delete取消关机原因的提示（方法：P30）（1）开始|运行|gpedit.msc（2）计算机配置|windows设置|安全设置|本地策略|安全选项任务2：限制登录用户数量（1）限制同时登录的用户数量，可以运行控制面板中的“授权”应用程序，增加或删除许可证。

（2）修改注册表设置Windows 2003登录用户数量开始|运行|regedit.exeHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters创建一个双字节值：Users Value，设置其值为十进制，然后输入同时连接的最大用户数量。

任务3：设置登录运行程序将要运行的程序的可执行文件添加到“启动”菜单中任务4：设置服务器登录屏幕的关机按钮在windows 2000 Server的登录屏幕上，有一个“关机”按钮，通过该按钮，可以在不登录计算机的前提下关闭或重新启动计算机。

禁用“关机”按钮，开始|运行|gpedit.msc，打开“本地安全设置”控制台窗口。

在控制台目录树中，选择计算机配置|windows设置|安全设置|本地策略|安全选项，在详细资料窗口中双击“允许在登录前关机”策略，打开“本地安全策略设置”对话框。

选择“已停用”单选按钮，单击“确定”按钮保存设置。

（二）Windows 2003 server环境配置1、桌面图标设置鼠标右键单击“我的电脑”选择“属性”，出现“系统属性”对话框；(1)“常规”选项中显示了一些安装到计算机的一些基本的操作系统属性，如操作系统的类型、注册名字。

查看“常规”项目可以使我们了解本地计算机的一些基本系统信息。

(2)“网络标识”选项中给出了这台计算机在网络中的标识，用户可以通过单击“网络标识”窗口中的“更改”按钮来更改计算机名称和隶属的“工作组”或“域”。

Windows2003安全配置教程1：安装windows2003时，必须所有的磁盘分区都为NTFS2：安装后，建议不要插入U盘，不要打开其它盘（如D/E/F）这些磁盘3：立即安装杀毒软件（更新到最新病毒库）马上进行查杀（建议安装NOD32版不带防火墙的那个版本）4：使用WINDOWS 2003自动更新，马上到官网下载更新补丁5：安装所有补丁之后，全盘扫描病毒6：IIS那些杀完病毒和打完补丁再进行安装和配置7：没确定所有磁盘被扫描完之前，都不要打开其它的盘（如D/E/F）8：关闭磁盘所有的默认共享9：administrator 密码必须复杂10：建议先开启WINDOWS 自带的防火墙（开启之前，必须开放3389端口）11：修改3389的端口，建议改成数字“越大越好”以上12：马上关闭445端口■．关闭所有不需要的服务* Alerter (disable)* ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* Telephone Service (disable)■. 帐号和密码策略1）保证禁止guest帐号2）将administrator改名为比较难猜的帐号3）密码唯一性：记录上次的6 个密码4）最短密码期限：25）密码最长期限：426）最短密码长度：87）密码复杂化(passfilt.dll)：启用8）用户必须登录方能更改密码：启用9）帐号失败登录锁定的门限：610）锁定后重新启用的时间间隔：720分钟■．保护文件和目录将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限■．注册表一些条目的修改1）去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中ShutdownWithoutLogon REG_SZ 值设为02）去除logon信息的cashing功能将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中CachedLogonsCount REG_SZ 值设为04）限制LSA匿名访问将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestricAnonymous REG_DWORD 值设为15）去除所有网络共享将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中AutoShareServer REG_DWORD 值设为0IIS主要：假如你的电脑中还装了IIS ，你最好重新设置一下端口过滤。

硬盘目录权限设置和删除不需要的目录1．C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了2．Windows目录要加上给users的默认权限，删除everyone即可。

否则ASP和ASPX 等应用程序就无法运行。

c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限，在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

3．删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击4．打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscrīpt.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey .exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限禁用不必要的服务Remote Registry服务[禁止远程连接注册表]命令：sc config RemoteRegistry start= disabledtask schedule服务[禁止自动运行程序]命令：sc config Schedule start= disabledserver服务 [禁止默认共享]命令：sc config lanmanserver start= disabledTelnet服务 [禁止telnet远程登陆]命令：sc config TlntSvr start= disabledworkstation服务 [防止一些漏洞和系统敏感信息获取]命令：sc config lanmanworkstation start= disabledError Reporting Service服务[禁止收集、存储和向Microsoft 报告异常应用程序]命令：sc config ERSvc start= disabledMessenger服务[禁止传输客户端和服务器之间的NET SEND 和警报器服务消息]命令：sc config Messenger start= disabledHelp and Support服务[禁止在此计算机上运行帮助和支持中心]命令：sc config helpsvc start= disabledNetwork Location Awareness (NLA)服务[禁止收集并保存网络配置和位置信息]命令：sc config Nla start= disabledSERV-U FTP 服务器的设置1.选中“Block "FTP_bounce"attack and FXP”。

Windows Server 2003服务器安全设置一、防火墙设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip 设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet 连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

二、系统权限的设置１、磁盘权限(如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定)系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全控制权限另将\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。

并且要一个一个目录查看，包括下面的所有子目录。

Windows Server 2003优化及安全配置一、操作系统基础配置优化稳定的服务源于强健的操作系统，强健的操作系统基于合理的基础配置1.1 跳过磁盘检修等待时间一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会花10秒钟的时间，来运行磁盘扫描程序，检查磁盘是否有错误出现。

对于服务器来说，越短的启动时间代表越少的服务中断，所以我们可以进行以下配置：A、在开始菜单中选择“运行”，键入“cmd”命令，将界面切换到DOS命令行状态下；B、直接输入“CHKNTFS /T:0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了；下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。

1.2 取消对网站的安全检查Windows Server 2003操作系统自带了Internet Explorer增强的安全配置，当打开浏览器来查询网上信息时，发现IE总是“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；要是不信任的话，就无法打开指定网页；倘若信任的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。

这种配置虽然增强了系统安全性，但是无疑也给我们日常维护增加了麻烦。

我们可以通过下面的方法来让IE取消对网站安全性的检查：A、依次执行“开始”/“设置”/“控制面板”命令，在打开的控制面板窗口中，用鼠标双击“添加和删除程序”图标，将界面切换到“添加和删除Windows组件”页面中；B、用鼠标选中“Internet Explorer增强的安全配置”选项，继续单击下一步按钮，就能将该选项从系统中删除了；C、再单击一下“完成”按钮，退出组件删除提示窗口。

1.3 自动登录Windows Server 2003系统每次开机运行Windows Server 2003系统时，都需要同时按住Ctrl+Alt+Delete复合键，再输入登录密码，才能进入到系统中。

Win 2003 Server 服务器安全设置防御PHP木马攻击的技巧Win 2003 Server服务器是一种常用的服务器操作系统，然而，安全性始终是我们在使用服务器时需要重点关注的问题之一。

本文将向您介绍一些Win 2003 Server服务器安全设置中，防御PHP木马攻击的一些技巧。

一、安装最新版本的Win 2003 Server操作系统首先，为了确保服务器的安全性，我们需要安装最新版本的Win 2003 Server操作系统。

最新版本通常会修复许多安全漏洞，并提供更好的安全性保障。

同时，我们还需要确保操作系统的自动更新功能已开启，以获取最新的补丁和安全更新。

二、使用强密码保护服务器的登录账户其次，为了防止恶意用户猜测登录账户的密码，我们应该使用强密码保护服务器的登录账户。

一个强密码应该包含至少8个字符，并且包括字母、数字和特殊字符。

此外，为了增加密码的安全性，我们还应定期更换密码，以防止攻击者获取密码信息。

三、禁用不必要的服务和端口Win 2003 Server默认启动了许多不必要的服务和端口，这些服务和端口可能成为黑客攻击的目标。

为了增强服务器的安全性，我们应该禁用那些不必要的服务和端口，只保留必需的服务和端口，以减少攻击者的攻击面。

四、安装可信的安全软件安装可信的安全软件是防御PHP木马攻击的重要措施之一。

这些安全软件可以及时检测出服务器上的恶意代码，并进行相应的处理。

我们应选择那些具有实时监测和防御功能的安全软件，并定期更新其病毒库，以保持最新的恶意代码识别能力。

五、加强服务器的访问控制为了防止未经授权的访问，我们需要加强服务器的访问控制。

首先，我们应该限制服务器仅接受来自信任IP地址范围的连接。

其次，我们可以使用防火墙来过滤入站和出站的流量，只允许必要的网络服务通信。

此外，我们还可以设置访问控制列表（ACL）来限制特定用户或用户组的访问权限。

六、定期备份服务器数据定期备份服务器的数据对于防御PHP木马攻击至关重要。

暴露于Internet中的服务器安全配置步骤目录1.配置Windows 2000 Server (3)2.配置防火墙 (3)2.1天网防火墙个人版（自定义IP 规则） ...... 错误！未定义书签。

3.修改本地用户 (3)4.设置本地安全策略 (4)4.1账户锁定策略 (4)4.2审核策略 (5)4.3用户权利指派 (6)4.4安全选项 (7)5.配置路由和远程访问 (7)6.配置VPN (12)7.日常例行检查 (13)请在任何时候都记住：再好的安全措施、防火墙，也无法抵御来自内部的攻击，特别是具有管理员权限内部人员的恶意攻击。

1.配置Windows 2000 Server必须安装直到目前的所有补丁：sp1、sp2、sp3。

经常使用“开始”---“Windows Updata”功能进行安全更新。

2.配置应用程序如果系统中的应用程序有补丁，必须全部打上补丁，特别是SQL SERVER2000,必须依次打到SP3以上。

3.IIS的处理在一般情况下，请去掉IIS服务。

请将C:\INTEPUB这个文件夹改名。

4.配置防火墙我们一般建议使用诺顿网络特警2003（请见《诺顿网络特警2003操作手册》）5.修改本地用户打开“开始－程序－管理工具－计算机管理”，展开“计算机管理（本地）－系统工具－本地用户和组”。

●设置所有属于“administrator”组的用户密码必须在18位以上。

●双击“组”，建立组VPN。

●双击“用户”⏹新建“sql”帐号，专用于SQL SERVER2000服务启动使用。

并加入administrator 组。

密码至少18 位长并且必须包含字母和数字，并修改其拨入属性为“拒绝访问”。

“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。

⏹设置administrator 密码至少18 位长并且必须包含字母和数字，并修改其拨入属性为“拒绝访问”。

⏹禁用guest 账户。

并修改其拨入属性为“拒绝访问”。

Wind ows server2003服务器的安全配置以下是我服务器的安全配置情况,写得没好,请没要介意.也没要拿砖头砸我一.磁盘权限的设置c:\Administrators 完全控制System 完全控制Users 读取读取运行列出文件夹目录(为了让防盗链能正常运行)Guest 拒绝所有权限.并只应用到“只有该文件夹”C:\Documents and SettingsAdministrators 完全控制System 完全控制C:\Documents and Settings\All UsersAdministrators 完全控制System 完全控制C:\php读取读取运行列出文件夹目录C:\Program FilesAdministrators 完全控制System 完全控制C:\Program Files\Common Files\System把Everyone权限加上去，赋予读取读取运行列出文件夹目录权限C:\WINDOWSAdministrators 完全控制System 完全控制IIS_WPG 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”Users 读取读取运行列出文件夹目录,并应用到“只有该文件夹”C:\WINDOWS\system32Administrators 完全控制System 完全控制Everyone 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”搜索cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉！D盘看不到，不用管E:\Administrators 完全控制E:\webAdministrators 完全控制e:\web下面是网站目录，每个站点使用独立的匿名用户，这个不用多说了.F:\Administrators 完全控制f:\webadministrators 完全控制f:\web下面也是用户目录。

2003系统安全设置第一篇：2003系统安全设置Windows Server 2003(企业版32位)系统安全设置系统中最多装一个杀毒软件和RAR解压缩工具和很小的一个流量监控软件。

其他的无关软件也一律不要安装，甚至不用装office。

多一个就会多一份漏洞和不安全隐患。

开启系统自带防火墙是正确有效的防护，请相信微软的智商。

通过以下基本安全设置后，加上服务器管理员规范的操作，服务器一般不会出现什么意外了，毕竟我们的服务器不是用来架设多个WEB网站的，造成漏洞的可能性大大降低。

当然，没有绝对的事，做好服务器系统和OA数据备份是必须的。

如果对以下操作不太熟悉，建议先在本地机器练练，不要拿用户服务器测试，以免造成其他问题。

另赠送32位和64位的系统解释：windows server 200332位和64位操作系统的区别问：1、windows server 2003 32位和64位操作系统的区别2、32位windows server 2003是否可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上答：1、32位和64位的差别在于如果你的CPU是64位的，64位的OS能够完全发挥CPU的性能，而不需要使CPU运行在32位兼容模式下。

2、32位windows server 2003可以用在两路四核E5410 2.33GHz处理器和4x2GB内存上，通过PAE模式也可以支持4G以上内存。

另外补充一下，Windows Server 2003的硬件支持特性并不是由32位或64位来决定的，而是由OS本身的版本来决定的。

以Windows Server 2003为例，标准版可以支持的最大CPU数为4路，最大内存数为4G，而企业版则可以支持最大CPU数8路，最大内存数32G。

回正题：(一)禁用不需要的服务Alerter通知选定的用户和计算机管理警报。

Computer Browser维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。

WindowsServer2003Web服务器安全设置Windows Server 2003是微软公司推出的一款非常受欢迎的Web服务器操作系统。

在使用Windows Server 2003 Web服务器时，正确的安全设置是至关重要的。

本文将介绍一些Windows Server 2003 Web服务器的安全设置，以帮助您更好地保护您的服务器和网站。

1. 使用安全的管理员密码作为服务器管理员，您应该始终为管理员账户设置一个强密码。

强密码应包含大小写字母、数字和特殊字符，并且长度至少为8个字符。

您还可以定期更改密码，以增加服务器的安全性。

2. 更新操作系统和应用程序及时更新操作系统和安装的应用程序可以修复已知的漏洞，从而提高服务器的安全性。

请确保定期检查和下载最新的安全补丁，并对服务器进行更新。

3. 禁用不必要的服务Windows Server 2003默认启用了许多不必要的服务，这些服务可能存在安全隐患。

您应该审查并禁用不需要的服务，只保留必要的服务运行。

这样可以减少攻击面，提高服务器的安全性。

4. 配置防火墙防火墙是保护服务器安全的重要工具。

您可以配置Windows Server 2003自带的防火墙，并根据需要设置规则和策略。

通过限制对服务器的访问，防火墙可以有效防止未经授权的访问和恶意攻击。

5. 安装和配置安全软件除了操作系统自带的防火墙外，您还可以考虑安装额外的安全软件来提供更高级的保护。

例如，您可以安装杀毒软件、恶意软件检测工具和入侵检测系统等。

确保这些软件得到及时更新，并运行扫描以确保服务器没有恶意软件。

6. 限制远程访问远程访问是实现服务器管理和维护的便捷方式，但也是潜在的安全风险。

为了保护服务器的安全，您可以限制远程访问的IP地址范围，并使用安全的远程协议，如SSH。

另外，您也可以考虑实现双因素身份验证来增加远程访问的安全性。

7. 日志监控和审计监控服务器的日志并进行审计是发现潜在威胁和异常活动的重要手段。

(1)服务器安全设置篇(3-1) - 入侵方法介绍端口限制磁盘权限设置上篇服务器应用安装篇已说完了,至于在WINDOWS 2003上安装Apache+Servlet+JSP等运行环境的这个我就没必要说的,毕竟用的人,是少之又少.能常入侵,,也就是几个环节,,要作出对应的安全设置,,保障服务器的安全当然,这个必须是你的程序也是相对安全的,要不就算你的服务器做得怎么好,密码设了DFWR#34d43dfwadfdf/.==//++59978..df,5.@$^%D.这样的密码,也是没用的..开始正题吧,,要做好WINDOWS 的安全,,最要紧的是几方面:1,端口限制2.权限限制3,关闭一些危险的服务和组件4.包过滤5,策略审计做好服务器安全?先要做什么?当然先要知道,别人是怎么入侵的呀,你不知道怎么个入侵,你怎么做防范??先来看看入侵的方式:(别怪我罗嗦,呵呵)1,扫描你的端口..(安全要做的是限制端口)2.下载你的包,(安全要做的是过滤相应的包,对了,这个包,是不能吃的!别想着吃,我现在比你更饿~~~)3.上传文件(安全要做的是.限制上传木马后门等程序,限制运行EXE等等)4,WEBSHELL权限(第三部上传文件没限好的话,被人上传了木马,这里,,就要做好限制服务和组件了) 5.执行SHELL(设置ACL的权限,不让执行命令,不能让其加上管理员帐户等等)6,登陆3389(这里就要做策略,限制登陆3389,如:只许某一个IP或某一个段登陆3389)7,擦除入侵后的"脚印"(设置好日志中的审计,让他删也删不了)装好前面我说的一大堆什么IIS SERV-U SQL2000 PHP MYSQL这些东西.一般人,也就是用这些服务吧???1,本地安全策略或者网卡那里做端口限制本地安全策略:外->本地80外->本地20外->本地21外->本地PASV所用到的一些端口(SERV-U,一般开放9000-9049这50个端口)外->本地3389然后按照具体情况.打开SQL SERVER和MYSQL的端口外->本地1433外->本地3306本地->外80除了明确允许的一律阻止.这个是安全规则的关键.外->本地所有协议阻止网卡端口限制:填写相应的TCP端口,如WEB用到80端口,SERV-U用到21端口,远程桌面用3389端口,SQLSERVER 开放外网连接,用到1433端口,MYSQL开放远程连接,用到3306端口等,切记:如果是开了远程,一定要开3389端口啊,要不你就连不上远程了..(如果你改了3389端口,就另外填写你改的那个)2,更改默认管理员的帐户名将administrator改名为你好记的名字,密码设长点,,最少8位以上,,大小写,字符等.3,磁盘权限设置..将所有盘符的权限(如C,D,E等),全部改为只有administrators组全部权限system 全部权限如图:主要设置C盘权限:C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限修改C:\Program Files\Common Files 开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\ 开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限如图:这三个目录权限都是这样设置Everyone 权限,很多地方都有,现在,我们一个一个找他们出来,删了!!C:\Documents and Settings下All Users\Default User目录及其子目录,这个比较烦,要认真找找喔. C:\WINDOWS\PCHealthC:\windows\Installer现在WebShell就无法在系统目录内写入任何文件了,如木马,EXE等等.当然也可以使用更严格的权限.在WINDOWS下分别目录设置权限.可是比较复杂.效果也并不明显.而且,,还会很容易头晕..(比如我 ^O^)4,设置系统EXE文件权限打开c:\windows 搜索:net.exe;cmd.exe;netstat.exe;regedit.exe;at.exe;cacls.exe;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;ats vc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限如图:(2)服务器安全设置篇(3-2) - 注册表修改删除不安全组件禁用无关服务注册表是啥东西?注册表包含Windows 在运行期间不断引用的信息，例如，每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,也只是随便说说,改注册表,,限一些东西而已点击"开始" -- "运行" -- "regedit" -- "确定"就可以打开注册表了..(1).关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled” 数据为默认值“0”(0在十六进制,十进制都是一样) 如图:(以下就不做图例了,差不多的.看看也懂.)(2).禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous” 数据值为“1” [2003默认为1](3).禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareServer” 数据值为“0”(4).禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareWks” 数据值为“0”(5).通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建“DWORD值”值名为“SynAttackProtect” 数据值为“1”2.禁止dump file我的电脑>点击右键"属性">高级>启动和故障恢复把写入调试信息改成无。

Windows-Server-2003安全(ānquán)设置Windows-Server-2003安全(ānquán)设置2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置，使Windows Server 2003安全性大大加强。

一、安装过程中的安全问题1．NTFS系统。

老生长谈的话题了。

NTFS系统为一种高级的文件系统，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能，通过它可以实现任意文件及文件夹的加密和权限设置（这是最直观的安全设置了），磁盘配额和压缩等高级功能。

通过它，你还可以更好的利用磁盘空间，提高系统运行速度……自WindowsNT系统以来，使用NTFS系统已经逐渐成了一种共识。

为了体验NTFS系统带来的这些免费的优惠，笔者特意把硬盘所有分区都转成了NTFS 系统。

如果你在安装时不选用NTFS系统，那么后面的很多安全配置如用户权限设置等你将都不能实现。

2．安装过程中有关安全的提示。

在安装过程中需要输入Administrator密码，新的Windows Server 2003提供了一个比较成熟的密码规则，当你输入的密码不符合规则时，就会以图片形式出现如下提示（由于安装未完成，不能抓图，请谅解。

内容已经抄下来了）：您已经指定的管理员帐户的密码不符合密码的条件，建议使用的密码应符合下列条件之中的前二个及至少三个：- 至少6个字符- 不包含"Administrator"或"Admin"- 包含大写字母（A、B、C等等）- 包含小写字母（a、b、c等等）- 包含数字（0、1、2等等）- 包含非字母数字字符（#、&、~等等）您确定要继续使用当前密码吗？之所以说是“比较成熟”的密码规则，因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装，这就为以后的系统安全埋下了隐患。

最全的Windows server2003服务器安全配置详解配置WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服务器安全设置技术实例最全的Windows服务器安全配置详解一详解一：：：Web服务器安全配置的内容1终端服务默认端口号：3389。

更改原因：不想让非法用户连接到服务器进行登录实验。

当这台服务器托管在外时更不希望发生这种情况，呵呵，还没忘记2000的输入法漏洞吧？更改方法：(1)、第一处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

(2)、第二处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

2系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、telnet.exe、ftp.exe 文件只给Administrators 组和SYSTEM 的完全控制权限注册表删除WScript.Shell、WScript.Shell.1、work、work.1、Shell.application注册表改名adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject3启用防火墙和tcp/ip过滤,再serv-u开启一组端口映射80 \ 20 \ 21 \ 2121 \ * 以及serv-u端口组4关闭默认共享在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。

题目一、Windows 2003 Server安全配置一、任务1、用户配置2、密码配置3、服务配置4、系统配置二、步骤1、用户配置（1）新建用户打开“开始->管理工具->Active Directory用户和计算机”，如图1.1所示：图1.1 Active Directory用户和计算机选择Users项，可以看到右边列表中的账户。

然后右击右边空白处选择“新建->用户”，出现新用户设置框，如图1.2所示：图1.2 新建用户在设置框中按照提示输入对应的信息，然后点击下一步设置密码，如图1.3所示：图1.3 设置密码输入两次密码，然后将“用户下次登录时须更改密码”选框取消，将“密码永不过期”选项选择上，接着完成新建对象。

如图1.4所示：图1.4 完成创建点击完成退出，然后在“Active Directory用户和计算机”可以看到新建的用户，如图1.5所示：图1.5 查看新建的用户（2）账户授权对于不同账户，其身份也是不同的，对于操作系统所拥有的权限也不同。

为此可以对不同的账户进行授权，使其拥有和身份相应的权限。

方法为：打开Active Directory用户和计算机，选择用户选项，在右边列表中选择要设置的用户，执行“属性”命令，在弹出的属性设置中选择“隶属于”选项卡，单击添加按钮，选择相应的添加即可完成。

如图1.6、1.7、1.8所示：图1.6 用户属性图1.7 选择组图1.8 添加组（3）停用Guest用户在计算机管理的用户里面把Guest账号禁用。

为了保险起见，给Guest 加一个复杂的密码，选择“Guest”，选择“重设密码”结果如图1.9所示：图1.9 重设密码修改Guest账号的属性，设置拒绝远程访问，如图1.10所示：图1.10 设置拒绝远程控制2、密码配置（1）开启密码策略打开“开始->管理工具->Active Directory用户和计算机”，选中”szy”右击属性，将选项卡切换到组策略如图1.11所示：图1.11 编辑组策略然后，选中默认的组策略对象链接，点击编辑打开组策略编辑器，选择“计算机配置->安全设置->账户策略->密码策略”，如图1.12所示：图1.12 组策略编辑器双击右边的“密码必须符合复杂性要求”进行配置，在属性编辑框中，将“定义这个策略的设置”更改为已启用，如图1.13所示：图1.14 设置密码复杂性然后点击确定退出。

win2003 服务器安全设置说明目录系统权限的设置 (2)对注册表的修改 (6)本地安全策略的配置 (7)系统服务的关闭和开启 (8)FTP的安全设置 (10)网站安全维护 (14)Windows自带的防火墙 (18)数据库安全设置 (19)远程登录账户密码的要求 (21)系统权限的设置1、先介绍一下权限设置的方案：a)被授予权限的对象分为用户和用户组两类。

b)批量的设置分为两大方案，当设置某个目录的权限时，进入高级。

i.可设置是否继承父级权限设置(第一个勾)。

ii.可设置是否替换子目录及文件的权限设置(第二个勾)。

2、系统使用之前将每个硬盘根加上Administrators用户为全部权限(可选加system用户)，同时删除掉其他所有的用户。

操作步骤：i.在硬盘盘符上，鼠标右击，选择属性。

ii.选择“安全”选项卡，看到安全设置，其中“组或用户名称”中是对当前磁盘有操作权限的所有的用户组或用户。

下面则是对这个用户组或用户进行的权限设置。

iii.点击“高级”按钮，进入“高级安全设置”，如果想把此应用同时应用到子目录中是，则可以选择下面的单选框。

3、对系统盘我们特殊处理。

先具体文件夹的权限如下：i.C盘：只授予 System 和 Administrators 完全控制权限，删除其他用户或组，不替换子目录。

ii.C:\Documents and Settings:仅继承父级，并替换子目录。

iii.C:\Inetpub : 删除之，不要使用该目录作为网站发布的目录、iv.C:\Program Files: 仅继承父级，并替换子目录。

v.C:\Program Files\Common Files\Microsoft Shared：删除继承并保设置（在“高级”中取消第一个勾，再在弹出的对话中选“复制”）添加 Users 组，只授予读取权限，将该目录的设置替换它的子目录（勾中第二个勾）。

vi.C:\Windows：删除继承并保留设置，添加 Users 组，只授予读取权限，将该目录的设置替换它的子目录（具体做法和上面 /Microsoft Shared目录设置一样）。

实验二Windows Server 2003安全设置【实验背景】Windows Server 2003作为Microsoft 最新推出的服务器操作系统，不仅继承了Windows 2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的首选。

虽然缺省的Windows 2003安装比缺省的Windows NT或Windows 2000安装安全许多，但是它还是存在着一些不足，许多安全机制依然需要用户来实现它们。

【实验目的】掌握Windows Server 2003常用的安全设置。

【实验条件】安装了Windows Server 2003的计算机。

【实验任务】就Windows Server 2003在网络应用中帐户、共享、远程访问、服务等方面的安全性作相关设置。

【实验步骤】1. 修改管理员帐号和创建陷阱帐号Windows操作系统默认安装用Administrator作为管理员帐号，黑客也往往会先试图破译Administrator帐号密码，从而开始进攻系统，所以系统安装成功后，应重命名Administrator帐号。

方法如下：(1) 打开【本地安全设置】对话框，选择“本地策略”→“安全选项”，如图1所示。

图1 重命名系统帐户(2) 双击“帐户：重命名系统管理员帐户”策略，给Administrator重新设置一个平常的用户名，如user1，然后新建一个权限最低的、密码极复杂的Administrator的陷阱帐号来迷惑黑客，并且可以借此发现它们的入侵企图。

2. 清除默认共享隐患Windows Server 2003系统在默认安装时，都会产生默认的共享文件夹，如图2所示。

如果攻击者破译了系统的管理员密码，就有可能通过“\\工作站名\共享名称”的方法，打开系统的指定文件夹，因此应从系统中清除默认的共享隐患。

图2 共享资源管理1) 删除默认共享以删除图2中的默认磁盘及系统共享资源为例，首先打开“记事本”，根据需要编写如下内容的批处理文件：@echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share admin$ /del文件保存为delshare.bat，存放到系统所在文件夹下的system32\GroupPolicy\User \Scripts\Logon目录下。

Windows server 2003服务器的配置和安全设置
刘宝平
【期刊名称】《电脑知识与技术》
【年(卷),期】2010(006)021
【摘要】操作系统的安全性和网络管理功能是用户非常关心的问题,Windows Server 2003在安全性方面相对于Windows2000 Server有了很大的提高,网络管理功能也得到越来越多用户的青睐,提供服务支持的组件有DNS、ASP、ASPX、CGI、PHP、FSOJMAIL、MySql、SMTP、POP3、FTP、Web连接管理服务等.【总页数】2页(P6098-6099)
【作者】刘宝平
【作者单位】黄冈职业技术学院计算机科学与技术系,湖北黄冈438002
【正文语种】中文
【中图分类】TP316
【相关文献】
1.Windows Server2003Web服务器安全设置初探 [J], 张振东;鲜坤林
2.Windows Server 2003服务器安全设置技术 [J], 蔡伟
3.让服务器更安全——Windows Server 2003 SP1安全配置向导 [J], 孙成
4.关于Windows Server 2003安全配置再设置的探讨 [J], 时春
5.加强终端服务的安全——如何在Windows Server 2003中配置终端服务的安全设置 [J], JeffFellinge;肖欣
因版权原因，仅展示原文概要，查看原文内容请购买。