2003系统安全配置单

实验设备中软吉大设备，主机6台。

实验拓扑实验过程简介1. 用户权限管理(1) 查看用户SID(2) Windows系统权限四项原则(3) NTFS分区的磁盘配额操作2. 注册表安全设置(1) 禁用注册表的远程访问(2) 禁用系统调试信息自动保存(3) 禁用系统资源共享(4) 禁用系统页面交换(5) 修改TTL防主机类型探测3. TCP/IP筛选(1) 测试服务正常工作验证(2) 启用TCP/IP筛选阻断测试服务访问(3) 测试服务重新验证(4) TCP/IP筛选允许端口测试实验步骤一. 用户权限管理【实验说明】实验开始前，首先使用分组切换器将实验主机切换到理论学习环境中；将智能网络设备的网络结构切换到“网络结构一”；主机A、B、C、D、E、F使用【快照】将Windows虚拟机恢复到“网络结构1”的状态；该实验每组1人，实验步骤以主机A所在组为例进行说明，其它组的操作参考主机A所在组的操作。

1. SID查看(1) 在命令提示符中输入“whoami /user”命令显示信息形式如下：用户名SID========================== ============================================ 000c2913aa0e\administrator S-1-5-21-1227453606-851076807-3559088397-500由如上信息可以分析出：主机000c2913aa0e的用户administrator的SID为1-5-21-1227453606-851076807-3559088397-500。

2. 权限的四项基本原则演示(1) 拒绝优先原则(a) 鼠标右键单击“我的电脑”，选择“管理”菜单项，然后选择“系统工具->本地用户和组->用户”，右键选择“新用户”菜单项，如下图所示。

在弹出的新用户对话框中，填写用户名“test”，并设置“密码永不过期”。

Windows 2003服务器安全配置终极技巧1、安装系统补丁。

扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。

∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。

打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘，有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限，无只给Administrators 权限。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

功能还可以！Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows2003服务器的安全性。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

一、实验目的了解Windows服务器的安全配置内容二、实验环境Windows Server 2003三、实验内容与要求安全配置Windows服务器实验的实验内容主要包括：账号管理：这包括用户分配帐户，设定不同的账户和账户组，如管理员用户、数据库用户、审计用户和来宾用户等。

密码设置：要求密码符合复杂性策略要求，例如最短密码长度为6个字符，启用本机组策略中密码必须符合复杂性要求的策略。

账户锁定策略：设置账户锁定的时间和锁定的阈值等。

本地策略：这包括对登录事件、对象访问、账户登录和驱动程序等进行管控。

审计策略：获取并存储系统和应用程序生成的错误警告和其他信息，这些信息被存储为一条条记录，每条记录包括事件发生时间、事件源、事件号和所属类别、机器名、用户名和事件本身的详细描述。

在配置过程中，需要注意的实验环境包括服务器系统管理员、应用管理员和网络安全管理员。

本配置实验适用的范围包括各省公司各部门维护管理的WINDOWS主机。

1.端口配置1.1 ：依次点击“开始”->“设置”->“网络连接”，打开“网络连接”窗口。

如图1所示图11.2：选择“本地连接”，右键单击，在快捷菜单中选择“属性”打开其属性窗口。

如图2所示图21.3：选中“Internet协议（TCP/IP）”，点击“属性”按钮，打开其属性对话框。

如图3所示图31.4：点击“高级”按钮，打开“高级TCP/IP 设置”对话框并切换到“选项”便签下。

如图4所示图41.5：点击“属性”按钮，打开“TCP/IP筛选”对话框，勾选“启用TCP/IP筛选（所有适配器）”，“T CP端口”框中选择“只允许”单选按钮（假设该服务器为IIS服务器，仅允许80端口开放），点击“添加”按钮添加端口“80”。

如图5所示图51.6：在此“TCP/IP筛选”对话框中，也可对UDP端口及IP协议进行过滤设置，一般情况下，负载量不大的服务器仅允许对外提供服务的IP协议生效。

ICS：13.310A91备案号：13901-2003上海市地方标准DB31/294-2003住宅小区安全技术防范系统要求2003-07-01发布2003-10-01实施上海市质量技术监督局发布DB31/294-2003前言随着本市经济和社会的快速发展，人民生活水平和生活质量的不断提高，对居住的安全需求已成为重要的社会需求之一。

为加强和规范本市住宅小区安全技术防范系统设施的建设，切实有效提高住宅安全防范能力，保障居民安全，特制订本标准。

本标准按照《标准化工作导则第1部分：标准的结构和编写规则》（GB/T1.1-2000）的条文编排和编写。

本标准4.2.1.3、4.2.2.2、4.2.2.8、4.2.4.3、4.2.7.2为推荐性条款，其余为强制性条款。

本标准由上海市公安局技术防范办公室提出。

本标准起草单位：上海市公安局技术防范办公室、上海市、陆家嘴物业管理有限公司、公安部安全防范报警系统产品质量监督检验测试中心、上海三盾安全防范系统公司、上海长东科技发展有限公司、上海精科电子有限公司、上海原子核研究所日环仪器厂。

本标准主要起草人：彭兴宝、周左鹰、杨晟、沈伟斌、陶焱升、毛金芳、刘晓新、陈雷、李金罡、程国平。

本标准由上海市社会公共安全技术防范标准化技术委员会归口。

本标准为首次制订。

住宅小区安全技术防范系统要求1 范围本标准规定了住宅小区安全技术防范系统的要求，即住宅小区安全技术防范工程的实质原则、系统设计应达到的技术指标和系统的施工规范。

本标准适用于本市新建住宅小区安全技术防范工程设计、施工、验收以及系统配置。

本市已建住宅小区的安全技术防范工程的改建设计、施工和验收，可参照执行。

2 规范性引用文件下列文件中的条款通过标准的引用而成为本标准的条款。

凡是注日期的引用文件其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统，它基于 Windows NT 的架构，具有非常好的稳定性、可靠性和安全性，适用于企业实施各种应用解决方案。

本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。

安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤：1.选择安装语言和安装选项，例如安装 Windows Server 2003 标准版或企业版等。

2.选择安装位置，可以选择已有分区上进行安装，也可以新建分区。

3.设置管理员密码，以保证服务器的管理安全。

4.完成安装后，系统会自动重启，启动时将进入 Windows Server 2003配置向导。

配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术：配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。

2.双击“Internet 协议(TCP/IP)”选项卡，进入“属性”对话框。

3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。

配置域名和 DNS1.在“控制面板”中选择“管理工具”，然后单击“DNS”。

2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名，也可以直接在“区域”下输入域名。

3.单击“新建区域”，输入相应的域名和 IP 地址。

可以在“区域域名”下找到设置的域名。

配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务)，并选择“FTP站点”。

2.选择“FTP 站点”，点击“属性”按钮。

3.在“FTP 站点属性”对话框中，单击“高级”选项卡，随后将 FTP 主目录配置为指定目录。

配置防火墙1.在“控制面板”中找到“安全中心”，单击“Windows 防火墙”进行防火墙的配置。

为了控制网络访问安全，相信不少人平时都勤于挖掘、善于总结，摸索出了许许多多有效的网络安全控制经验，在这些经验体会的指导下，我们在控制网络访问安全方面的确取得了一定的成效。

可是，对这些经验、体会进行仔细推敲后，我们不难发现其中有很多内容都必须通过外力工具才能完成，要是手头没有现成专业工具可以使用的情况下，我们又该如何有效控制网络访问安全呢?事实上，我们只要加强对客户端系统进行安全设置，同样也能够有效控制网络访问安全;这不，本文现在就以严格管理系统账号为操作蓝本，向大家贡献几则有效控制网络访问安全的技巧，希望大家能从中得到帮助!取消组用户网络访问权很多时候，网络管理员为了图管理方便，往往会对某一组用户集中授权，这样虽然提高了网络管理效率，但是这也给网络安全带来了潜在的威胁，因为一些木马程序会偷偷将自己创建的用户账号，加入到访问权限比较高的组用户中，那样一来木马程序就能轻易获得非法攻击权限。

有鉴于此，我们需要在重要的主机系统或服务器系统中，取消组用户网络访问权，下面就是具体的操作步骤：首先打开重要主机系统或服务器系统的“开始”菜单，点选其中的“运行”命令，在弹出的系统运行框中，执行“gpedit.msc”字符串命令，弹出组策略控制台界面;其次展开该控制台界面中的“计算机配置”节点，再打开该节点下面的“Windows设置”目录，从中依次点选“安全设置”、“本地策略”、“用户权限分配”子目录，在目标子目录下面找到组策略选项“从网络访问此计算机”，同时用鼠标双击该选项，弹出如图1所示的选项设置对话框;在这里，我们会发现各个普通用户以及组用户的身影，这些用户在默认状态下都具有一定的网络访问权限;为了控制网络访问安全性，我们必须将自己认为可疑的组用户选中，同时单击“删除”按钮，最后点击“确定”按钮保存好上述设置操作，如此一来隐藏在特定组用户中的木马程序就不能通过网络来随意访问本地系统了。

为新用户设置合适权限如果有一些可信任的新用户需要通过网络访问本地服务器系统，那么我们需要在服务器系统中单独创建一个新用户，并为新用户设置适当的访问权限。

2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般入侵，需要高级服务器安全维护，请联系我。

我们一起交流一下！做为一个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的密码一定要强壮！服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。

)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

Windows Server2003 IIS 6.0安全配置草稿目录1.安装IIS6.0 (2)1.1安装Internet 信息服务 (2)1.2配置匿名身份验证 (2)2.基本W EB 站点配置 (3)3.让IIS以最小的NTFS权限运行 (3)4.防范W SCRIPT.S HELL组件的方法 (4)5.防范S HELL.A PPLICATION组件的方法 (4)6.硬盘文件夹权限详细配置 (4)7.卸载最不安全的组件 (5)8.禁用TCP/IP上的N ET BIOS (6)9.TCP/IP上对进站连接进行控制 (6)9.1方法一利用TCP/IP筛选 (6)9.2方法二利用IP安全策略 (6)10.防范拒绝服务攻击 (6)11.为IIS中的文件分类设置权限 (7)12.删除不必要的应用程序映射 (7)13.保护日志安全 (8)13.1方法一: 修改IIS日志的存放路径 (8)13.2方法二: 修改日志访问权限 (8)IWindows Server2003 IIS 6.0安全配置1. 安装IIS6.01.1安装Internet 信息服务Microsoft Internet 信息服务(IIS) 是与Windows Server 2003 集成的Web 服务。

要安装IIS、添加可选组件或删除可选组件，请按以下步骤操作：1.单击开始，指向控制面板，然后单击“添加或删除程序”。

“添加或删除程序”工具就会启动。

2.单击添加/删除Windows 组件。

显示“Windows 组件向导”。

3.在Windows 组件列表中，单击Web 应用程序服务器。

4.单击详细信息，然后单击Internet 信息服务(IIS)。

5.单击详细信息，以查看IIS 可选组件列表。

6.选择您要安装的可选组件。

默认情况下，下列组件是选中的：--- 公用文件--- FrontPage 2002 Server Extentions--- Internet 信息服务管理单元--- Internet 信息服务管理器--- NNTP 服务--- SMTP 服务--- World Wide Web 服务7.单击“World Wide Web 服务”，然后单击详细信息，以查看IIS 可选子组件（如ActiveServer Pages 组件和“远程管理(HTML) 工具”）的列表。