Windows Server 2003系统目前最完善最完美的安全权限方案

Window2003服务器安全配置方案第一节安装Windows 2003 Server一、注意授权模式的选择（每服务器，每客户）：建议选择“每服务器”模式，用户可以将许可证模式从“每服务器”转换为“每客户”，但是不能从“每客户”转换为“每服务器”模式。

，以后可以免费转换为“每客户”模式。

所谓许可证（CAL）就是为需要访问Windows Server 2003的用户所购买的授权。

有两种授权模式：每服务器和每客户。

每服务器：该许可证是为每一台服务器购买的许可证，许可证的数量由“同时”连接到服务器的用户的最大数量来决定。

每服务器的许可证模式适合用于网络中拥有很多客户端，但在同一时间“同时”访问服务器的客户端数量不多时采用。

并且每服务器的许可证模式也适用于网络中服务器的数量不多时采用。

每客户：该许可证模式是为网络中每一个客户端购买一个许可证，这样网络中的客户端就可以合法地访问网络中的任何一台服务器，而不需要考虑“同时”有多少客户端访问服务器。

该许可证模式适用于企业中有多台服务器，并且客户端“同时”访问服务器的情况较多时采用。

微软在许可数上只是给了你一个法律上的限制，而不是技术上的。

所以假如你希望服务器有更多的并发连接，只要把每服务器模式的数量改的大一些即可。

这个数量会限制到windows中所有的网络应用，包括数据库。

二、安装时候使用NTFS分区格式，设定好NTFS磁盘权限。

C盘赋给administrators 和system用户组权限，删除其他用户组，其它盘也可以同样设置。

注意网站最好不要放置在C盘。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

另外，还将c:\windows\system32 目录下的一些DOS命令文件：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。

硬盘目录权限设置和删除不需要的目录1．C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了2．Windows目录要加上给users的默认权限，删除everyone即可。

否则ASP和ASPX 等应用程序就无法运行。

c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限，在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

3．删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击4．打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscrīpt.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey .exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限禁用不必要的服务Remote Registry服务[禁止远程连接注册表]命令：sc config RemoteRegistry start= disabledtask schedule服务[禁止自动运行程序]命令：sc config Schedule start= disabledserver服务 [禁止默认共享]命令：sc config lanmanserver start= disabledTelnet服务 [禁止telnet远程登陆]命令：sc config TlntSvr start= disabledworkstation服务 [防止一些漏洞和系统敏感信息获取]命令：sc config lanmanworkstation start= disabledError Reporting Service服务[禁止收集、存储和向Microsoft 报告异常应用程序]命令：sc config ERSvc start= disabledMessenger服务[禁止传输客户端和服务器之间的NET SEND 和警报器服务消息]命令：sc config Messenger start= disabledHelp and Support服务[禁止在此计算机上运行帮助和支持中心]命令：sc config helpsvc start= disabledNetwork Location Awareness (NLA)服务[禁止收集并保存网络配置和位置信息]命令：sc config Nla start= disabledSERV-U FTP 服务器的设置1.选中“Block "FTP_bounce"attack and FXP”。

Windows 2003网站安全权限设置指南Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可，基于IIS Web服务器软件的网站数量也越来越多。

通常情况下，高校的大多数服务器会由技术力量相对雄厚的网络中心等IT 资源部门运维管理。

而网站程序的制作则由各单位、各部门自主负责，少数用户单位会自主开发，或者请专业的IT公司代为开发。

更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此，各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行多个网站，其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤)，黑客便可通过攻击该网站取得权限，上传网页木马，得到了一个Web SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有Web站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便会感染上病毒，不仅引来用户的严重不满和投诉，同时也使学校的形象严重受损。

为了避免类似事件的发生，我们有必要分开部署网站和数据库。

通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还远远不够，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限作出严格的控制，实现各网站之间权限的隔离，方法如下：在Web服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。

3.将各个网站分配到相应的应用程序池。

Windows Server 2003服务器安全设置一、防火墙设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip 设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet 连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

二、系统权限的设置１、磁盘权限(如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定)系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全控制权限另将\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。

并且要一个一个目录查看，包括下面的所有子目录。

完整windows server 2003系统安全配置教程网上流传的很多关于windows server 2003系统的安全配置，但是仔细分析下发现很多都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端BT的2003服务器的安全配置，让更多的网管朋友高枕无忧。

我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重复了，现在我们着重主要阐述下关于安全方面的配置。

先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。

1.C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

（右击‘c盘——>属性’）Windows目录要加上给users的默认权限，删除everyone即可。

否则ASP和ASPX等应用程序就无法运行。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：“只要给我一个webshell，我就能拿到system"，这也的确是有可能的。

Windows Server 2003优化及安全配置一、操作系统基础配置优化稳定的服务源于强健的操作系统，强健的操作系统基于合理的基础配置1.1 跳过磁盘检修等待时间一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会花10秒钟的时间，来运行磁盘扫描程序，检查磁盘是否有错误出现。

对于服务器来说，越短的启动时间代表越少的服务中断，所以我们可以进行以下配置：A、在开始菜单中选择“运行”，键入“cmd”命令，将界面切换到DOS命令行状态下；B、直接输入“CHKNTFS /T:0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了；下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。

1.2 取消对网站的安全检查Windows Server 2003操作系统自带了Internet Explorer增强的安全配置，当打开浏览器来查询网上信息时，发现IE总是“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；要是不信任的话，就无法打开指定网页；倘若信任的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。

这种配置虽然增强了系统安全性，但是无疑也给我们日常维护增加了麻烦。

我们可以通过下面的方法来让IE取消对网站安全性的检查：A、依次执行“开始”/“设置”/“控制面板”命令，在打开的控制面板窗口中，用鼠标双击“添加和删除程序”图标，将界面切换到“添加和删除Windows组件”页面中；B、用鼠标选中“Internet Explorer增强的安全配置”选项，继续单击下一步按钮，就能将该选项从系统中删除了；C、再单击一下“完成”按钮，退出组件删除提示窗口。

1.3 自动登录Windows Server 2003系统每次开机运行Windows Server 2003系统时，都需要同时按住Ctrl+Alt+Delete复合键，再输入登录密码，才能进入到系统中。

一、Windows Server2003的安装1、安装系统最少两需要个分区，分区格式都采用NTFS格式2、在断开网络的情况安装好2003系统3、安装IIS，仅安装必要的IIS 组件(禁用不需要的如FTP 和SMTP 服务)。

默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：Internet 信息服务管理器；公用文件；后台智能传输服务(BITS) 服务器扩展；万维网服务。

如果你使用FrontPage 扩展的Web 站点再勾选：FrontPage 2002 Server Extensions4、安装MSSQL及其它所需要的软件然后进行Update。

5、使用Microsoft 提供的MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置，并标识缺少的修补程序和更新。

下载地址：见页末的链接二、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。

如何让Windows 2003系统更加安全Windows Server 2003作为Microsoft 最新推出的服务器操作系统，相比Windows 2000/XP 系统来说，各方面的功能确实得到了增强，尤其在安全方面，总体感觉做的还算不错。

但“金无足赤”任何事物也没有十全十美的，微软Windows 2003也是如此，照样存在着系统漏洞、存在着不少安全隐患！无论你用计算机欣赏音乐、上网冲浪、运行游戏，还是编写文档都要不可避免地遭受新病毒泛滥时的威胁，如何让Server 2003更加安全，成为广大用户十分关注的问题。

一、取消IE安全提示对话框面对黑客组织恶意程序的攻击，微软公司一直都在努力致力于降低产品的安全隐患，这是有目共睹的。

微软新一代的Server 2003操作系统在安全性能方面就得到了加强。

比如在使用Server 2003自带的IE浏览器浏览网页时，每次都会弹出一个安全提示框，“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；如果表示不信任的话，只能单击“关闭”按钮；而要是想浏览该站点的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。

不过每次访问网页，都要经过这样的步骤，实在是太烦琐了。

其实我们可以通过下面的方法来让IE取消对网站安全性的检查：1.一旦系统打开安全提示页面时，你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中；2.在浏览界面中，用鼠标单击“工具”菜单项，从打开的下拉菜单中执行“Internet选项”命令；3.在弹出的选项设置界面中，你可以将系统默认状态下的最高安全级别设置为中等级别；4.设置时，只要在“安全”标签页面中，拖动其中的安全滑块到“中”位置处就可以了；5.完成设置后，单击“确定”按钮，就可以将浏览器的安全自动提示页面取消了。

经过修改IE的默认安全级别的设置，再上网的时候，IE就不会自动去检查网站的安全性了，麻烦解决了吧！二、重新支持ASP脚本提起ASP(ActiveServerPage)大家都会联想到Windows，它以其强大的功能，简单易学的特点而受到广大开发人员的喜欢。

Wind ows server2003服务器的安全配置以下是我服务器的安全配置情况,写得没好,请没要介意.也没要拿砖头砸我一.磁盘权限的设置c:\Administrators 完全控制System 完全控制Users 读取读取运行列出文件夹目录(为了让防盗链能正常运行)Guest 拒绝所有权限.并只应用到“只有该文件夹”C:\Documents and SettingsAdministrators 完全控制System 完全控制C:\Documents and Settings\All UsersAdministrators 完全控制System 完全控制C:\php读取读取运行列出文件夹目录C:\Program FilesAdministrators 完全控制System 完全控制C:\Program Files\Common Files\System把Everyone权限加上去，赋予读取读取运行列出文件夹目录权限C:\WINDOWSAdministrators 完全控制System 完全控制IIS_WPG 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”Users 读取读取运行列出文件夹目录,并应用到“只有该文件夹”C:\WINDOWS\system32Administrators 完全控制System 完全控制Everyone 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”搜索cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉！D盘看不到，不用管E:\Administrators 完全控制E:\webAdministrators 完全控制e:\web下面是网站目录，每个站点使用独立的匿名用户，这个不用多说了.F:\Administrators 完全控制f:\webadministrators 完全控制f:\web下面也是用户目录。

WINDOWS2003服务器目录权限设置推荐以下是详细的相应目录权限设置清单： Administrators 完全控制 System 完全控制 D:\盘权限 Administrators 完全控制 System 完全控制 E:\盘权限 Administrators 完全控制 System 完全控制如果你还有其他盘符如F、G..盘，权限和上面一样设置。

C:\Documents and Settings 目录权限Administrators 完全控制System 完全控制C:\Program Files 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\system 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\system32 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\temp 目录权限Administrators 完全控制System 完全控制Everyone 完全控制WWWROOT（网站根目录）目录权限Administrators 完全控制System 完全控制Internet来宾账户读取和运行+列出文件夹目录+读取PHP目录权限：Administrators 完全控制System 完全控制Everyone 读取和运行+列出文件夹目录+读取Zend目录权限：Administrators 完全控制System 完全控制Everyone 完全控制Mysql目录权限： 3Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取1.删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WORKWORK.1regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车Windows 2003 硬盘安全设置c:\administrators 全部system 全部iis_wpg 只有该文件夹列出文件夹/读数据读属性读扩展属性读取权限c:\inetpub\mailrootadministrators 全部system 全部service 全部c:\inetpub\ftprooteveryone 只读和运行c:\windowsadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部IIS_WPG 读取和运行，列出文件夹目录，读取Users 读取和运行(此权限最后调整完成后可以取消)C:\WINDOWS\administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部Users 读取和运行，列出文件夹目录，读取C:\WINDOWS\administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部Users 读取和运行，列出文件夹目录，读取C:\WINDOWS\\temporary Files administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部Users 全部c:\Program FilesEveryone 只有该文件夹不是继承的列出文件夹/读数据administrators 全部iis_wpg 只有该文件夹列出文件/读数据读属性读扩展属性读取权限c:\windows\tempAdministrator 全部权限System全部权限users 全部权限c:\Program Files\Common Filesadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部TERMINAL SERVER Users(如果有这个用户)修改，读取和运行，列出文件夹目录，读取，写入Users 读取和运行，列出文件夹目录，读取c:\Program Files\Dimac(如果有这个目录) Everyone 读取和运行，列出文件夹目录，读取administrators 全部c:\Program Files\ComPlus Applications (如果有) administrators 全部c:\Program Files\GflSDK (如果有) administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部TERMINAL SERVER Users修改，读取和运行，列出文件夹目录，读取，写入Users 读取和运行，列出文件夹目录，读取Everyone 读取和运行，列出文件夹目录，读取c:\Program Files\InstallShield Installation Information (如果有)c:\Program Files\Internet Explorer (如果有)c:\Program Files\NetMeeting (如果有)administrators 全部c:\Program Files\WindowsUpdateCreator owner不是继承的只有子文件夹及文件完全administrators 全部Power Users修改，读取和运行，列出文件夹目录，读取，写入system 全部c:\Program Files\Microsoft SQL(如果SQL安装在这个目录) administrators 全部Service 全部system 全部d:\ (如果用户网站内容放置在这个分区中)administrators 全部权限d:\FreeHost (如果此目录用来放置用户网站内容)administrators 全部权限SERVICE 读取与运行从安全角度，我们建议WebEasyMail(WinWebMail)安装在独立的盘中，例如E: E:\(如果webeasymail安装在这个盘中)administrators 全部权限system 全部权限IUSR_*，默认的Internet来宾帐户(或专用的运行用户)读取与运行E:\WebEasyMail (如果webeasymail安装在这个目录中)administrators 全部system 全部权限SERVICE全部IUSR_*，默认的Internet来宾帐户 (或专用的运行用户)全部权限C:\php\uploadtempC:\php\sessiondataeveryone全部C:\php\administrators 全部system 全部权限SERVICE全部Users 只读和运行c:\windows\php.iniadministrators 全部system 全部权限SERVICE全部Users 只读和运行防止海洋木马列出WIN服务器的用户和进程禁用服务里面倒数第二个 workstation 服务，可以防止列出用户和服务设网站文件目录与数据库权限拒绝黑客入侵 2009年09月02日08:54 天极网极富创意灵感的Flash网站设计欣赏建资讯网站应该选择什么样的CMS产品“格式塔”原理在网页设计中的应用点击查看更多设计软件资讯>>在网站运营的过程中，最令站长头痛的可能就是网站被入侵了，实际上，如果提前设置好网站的目录权限，就可以保证网站能够经受大部分的漏洞攻击。

服务器系统环境配置操作手册V1.14编制说明及要求：编制本手册，是为了将运维的工作标准化、制度化，彻底避免操作层面上的错误以及人为的失误对业务正常运行的影响。

将本操作流程作为操作的标准严格执行，要细化到对操作系统有简单了解但不是专业技术人员可以按照执行的程度。

本手册根据Windows2003、IIS、SQL Server2000环境编写，有新的系统及应用环境时应及时补充和修改本手册。

如需对本手册修改，须经部门经理批准。

操作系统安装流程：1．备份数据到移动硬盘或其他服务器上2．断网3．服务器接软驱，将RAID驱动盘放入软驱SCSIRAID卡驱动光盘路径：Intel SRCZCRX:2000X:\Drivers\Windows\Win20002003X:\Drivers\Windows\Win2003Adaptec 2010S:2000X:\PACKAGES\WIN_2000\DRIVERIntel 7520:2000X:\Drivers\SATARAID\WindowsIntel 7501:2000 X:\...\ADPT_win_HostRAID_1.02.63_Alertutility.exe使用光盘新建raid驱动软盘的方法：将以上路径下文件直接copy至软盘。

注：各服务器RAID卡类型见机历本。

这一步可以不做.4．设置光盘启动，将win2003安装光盘放入光驱启动5．按F6进入RAID驱动安装界面，然后按S，然后回车这一步可以不做.6．格式化C盘为NTFS格式，开始安装系统C盘大小划分为10GB。

7．选择需要安装的组件和服务，安装时只选择需要的最小的安装不要安装Indexing Service(索引服务)安装IIS时只安装：Internet服务管理器、Word Wide Web服务器、公用文件注意要安装.NET组件。

并且不要安装2.0版本.设置administrator初始密码为：topsun按照命名规范设置机器名，记录于机历本，机器名与机器ID对应。

2003系统安全设置第一篇：2003系统安全设置Windows Server 2003(企业版32位)系统安全设置系统中最多装一个杀毒软件和RAR解压缩工具和很小的一个流量监控软件。

其他的无关软件也一律不要安装，甚至不用装office。

多一个就会多一份漏洞和不安全隐患。

开启系统自带防火墙是正确有效的防护，请相信微软的智商。

通过以下基本安全设置后，加上服务器管理员规范的操作，服务器一般不会出现什么意外了，毕竟我们的服务器不是用来架设多个WEB网站的，造成漏洞的可能性大大降低。

当然，没有绝对的事，做好服务器系统和OA数据备份是必须的。

如果对以下操作不太熟悉，建议先在本地机器练练，不要拿用户服务器测试，以免造成其他问题。

另赠送32位和64位的系统解释：windows server 200332位和64位操作系统的区别问：1、windows server 2003 32位和64位操作系统的区别2、32位windows server 2003是否可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上答：1、32位和64位的差别在于如果你的CPU是64位的，64位的OS能够完全发挥CPU的性能，而不需要使CPU运行在32位兼容模式下。

2、32位windows server 2003可以用在两路四核E5410 2.33GHz处理器和4x2GB内存上，通过PAE模式也可以支持4G以上内存。

另外补充一下，Windows Server 2003的硬件支持特性并不是由32位或64位来决定的，而是由OS本身的版本来决定的。

以Windows Server 2003为例，标准版可以支持的最大CPU数为4路，最大内存数为4G，而企业版则可以支持最大CPU数8路，最大内存数32G。

回正题：(一)禁用不需要的服务Alerter通知选定的用户和计算机管理警报。

Computer Browser维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。

Windows-Server-2003安全(ānquán)设置Windows-Server-2003安全(ānquán)设置2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置，使Windows Server 2003安全性大大加强。

一、安装过程中的安全问题1．NTFS系统。

老生长谈的话题了。

NTFS系统为一种高级的文件系统，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能，通过它可以实现任意文件及文件夹的加密和权限设置（这是最直观的安全设置了），磁盘配额和压缩等高级功能。

通过它，你还可以更好的利用磁盘空间，提高系统运行速度……自WindowsNT系统以来，使用NTFS系统已经逐渐成了一种共识。

为了体验NTFS系统带来的这些免费的优惠，笔者特意把硬盘所有分区都转成了NTFS 系统。

如果你在安装时不选用NTFS系统，那么后面的很多安全配置如用户权限设置等你将都不能实现。

2．安装过程中有关安全的提示。

在安装过程中需要输入Administrator密码，新的Windows Server 2003提供了一个比较成熟的密码规则，当你输入的密码不符合规则时，就会以图片形式出现如下提示（由于安装未完成，不能抓图，请谅解。

内容已经抄下来了）：您已经指定的管理员帐户的密码不符合密码的条件，建议使用的密码应符合下列条件之中的前二个及至少三个：- 至少6个字符- 不包含"Administrator"或"Admin"- 包含大写字母（A、B、C等等）- 包含小写字母（a、b、c等等）- 包含数字（0、1、2等等）- 包含非字母数字字符（#、&、~等等）您确定要继续使用当前密码吗？之所以说是“比较成熟”的密码规则，因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装，这就为以后的系统安全埋下了隐患。

windows 2003最完善最完美的权限及安全设置解决方案1. IIS6.0的安装和设置1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络COM+ 访问（必选）|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务———Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS （S）"。

在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)1.2. IIS (Internet信息服务器管理器) 在"主目录"选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”建议使用W 3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。

1.3. 在IIS6.0 -本地计算机- 属性- 允许直接编辑配置数据库在IIS中属性->主目录->配置->选项中，在网站“启用父路径”前面打上勾1.4. 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”1.5. 优化IIS6应用程序池1、取消“在空闲此段时间后关闭工作进程（分钟）”2、勾选“回收工作进程（请求数目）”3、取消“快速失败保护”1.6. 解决SERVER 2003不能上传大附件的问题在“服务”里关闭iis admin service 服务。

Win2003服务器安全终级配置具体操作看演示 :windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录. C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

WindowsServer2003的安全配置Windows2022安全配置摘要：WindowServer2003是微软研发的一款作为网络服务器的操作系统，它的安全配置包括安全安装、用户安全管理、策略安全管理、网络服务安全配置、访问控制和安全审计等方面。

对其进行合理配置能极大的提高其安全性。

关键词：安全配置网络操作系统安装安全管理用户账号策略权限安全审计WindowServer2003是微软研发的一款服务器版的操作系统，上面集成了多种网络服务，便于用户对网络资源进行合理的管理和调度。

由于是基于窗口的操作系统，因此对于用户来说比较容易上手，其功能也比较容易学习。

但对于网络操作系统来说，安全问题尤为关键，因此这里针对WindowServer2003的安全配置，我们从以下几个方面入手来谈一谈。

第一方面是安全安装。

WindowServer2003的安全安装可以有多种途径，这里认为最简单的方法便是断网安装，这是针对初级管理员适应的方法。

首先，找来安全的安装盘或者安装包，按照正确的方法安装，安装时划分好分区，选择安装目录，不安装多余服务；其次，安装好防火墙，并进行配置，给系统打补丁；最后，安装所需软件，使系统达到基本安全时再联网进行检测。

对于网络操作系统的安全来说，要想达到所谓的安全，首先要保证的就是操作系统的安全，如果操作系统本身存在安全隐患，那么无论网络服务配置的多么合理，这个网络系统也只能是处于亚安全状态。

因此大家在选择操作系统的时候可以把各种网络操作系统的安全性作为一个很重要的衡量指标来看待。

第二方面是用户的安全管理。

用户的安全管理又分为很多方面：其一是用户账号的安全。

Window安装时将创建两个帐号：Adminitrator和Guet。

其他帐号自己建立，或者安装某组件时自动产生，用户帐号的安全管理使用了安全帐号管理机制——SAM，它是Window系统账户管理的核心，负责SAM数据库的控制和维护，SAM是la.e某e进程加载的。