网络上找的比较全的win2003安全设置
Windows 2003安全配置
![Windows 2003安全配置](https://img.taocdn.com/s3/m/02b58105bed5b9f3f90f1cb1.png)
一、 Windows 2003安全配置确保所有磁盘分区为NTFS分区、操作系统、Web主目录、日志分别安装在不同的分区不要安装不需要的协议,比如IPX/SPX, NetBIOS?不要安装其它任何操作系统安装所有补丁(用瑞星安全漏洞扫描下载)关闭所有不需要的服务二、IIS的安全配置三、删除Windows Server 2003默认共享1、首先编写如下内容的批处理文件:@echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share admin$ /del以上文件的内容用户可以根据自己需要进行修改。
保存为delshare.bat,存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。
然后在开始菜单→运行中输入gpedit.msc‘回车即可打开组策略编辑器。
点击用户配置→Windows设置→脚本(登录/注销)→登录在出现的“登录属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
2、禁用IPC连接IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
它是Windows NT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。
NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。
Windows_Server_2003_安全设置手册
![Windows_Server_2003_安全设置手册](https://img.taocdn.com/s3/m/17cd07bcc77da26925c5b00b.png)
Windows Server 2003安全设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator,并将其禁用b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成2.启用账户锁定策略开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”3.创建一个日常登录账户通过Runas或者鼠标右键“运行方式”切换管理员权限4.修改本地策略限制用户权限开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”,限制从网络访问该服务器的账户二、服务器性能优化,稳定性优化1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始运行中输入:services.mscb)停止并禁用以下服务puter Browser2.Distributed Link Tracking Client3.Print Spooler(如果没有打印需求可以停止该服务)4.Remote Registry5.Remote Registry(如果没有无线设备可以停止该服务)6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新我的电脑右键属性——自动更新Windows Server 2003会自动下载更新,无须人为打补丁。
2.关闭端口,减少受攻击面(此处以仅提供HTTP协议为例)a)开始运行中输入cmd,运行命令提示符b)在命令提示符中输入netstat -an命令察看当前打开端口图片中开放了TCP 135,139,445,1026四个端口,可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。
c)禁用TCP/IP 上的NetBIOS1.从“开始”菜单,右键单击“我的电脑”,然后单击“属性”。
Win2003网站服务器的安全配置全攻略
![Win2003网站服务器的安全配置全攻略](https://img.taocdn.com/s3/m/05c9ad3610661ed9ad51f3ed.png)
Win2003网站服务器的安全配置全攻略安装篇2003默认安装不带IIS的,要安装,请点击开始->管理工具->配置您的服务器向导然后一步步的下一步。
到了列表选择项目的时候。
从列表中选择应用服务器(IIS,)然后确定,下一步frontpage server extension和如果要支持.Net,都打勾,前者vs用到。
然后一路下一步。
成功后最后mmc管理去。
设置篇:1:支持Asp:控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> Active Server Pages -> 允许控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> 在服务端的包含文件 -> 允许2:上传200K限制:先在服务里关闭iis admin service服务找到windows\system32\inesrv\下的metabase.xml,打开,找到ASPMaxRequestEntityAllowed 把他修改为需要的值,然后iisreset3:启用父路径:IIS-网站-主目录-配置-选项-启用父路关键词:Win2003 服务器配置网站安全阅读提示:息网络对于服务器的安全要求是十分重要的,为防止服务器发生意外或受到意外攻击,而导致大量重要的数据丢失,下面就介绍Win2003服务器安全热点技术。
本配置仅适合Win2003,部分内容也适合于Win2000。
很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
经测试,本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的单服务器多网站中一切正常。
以下配置中打勾的为推荐进行配置,打叉的为可选配置。
一、系统权限的设置1、磁盘权限系统盘只给 Administrators 组和 SYSTEM 的完全控制权限其他磁盘只给 Administrators 组完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\windows\system32\config\ 禁止guests组系统盘\Documents and Settings\All Users\「开始」菜单\程序\ 禁止guests组系统盘\windowns\system32\inetsrv\data\ 禁止guests组系统盘\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\ cmd.exe、 仅 Administrators 组完全控制权限把所有(Windows\system32和Windows\ServicePackFiles\i386) 更名为format_2、本地安全策略设置开始菜单->管理工具->本地安全策略A、本地策略-->审核策略审核策略更改 成功 失败审核登录事件 成功 失败审核对象访问失败审核过程跟踪 无审核审核目录服务访问失败审核特权使用失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败B、本地策略-->用户权限分配关闭系统:只有Administrators组、其它全部删除。
Window2003系统安全配置指南
![Window2003系统安全配置指南](https://img.taocdn.com/s3/m/61a87a350912a216147929d2.png)
填写《主机系统调查表》记录系统基本信息
4
更新《客户信息资产列表》,纳入定期安全检查范畴
七定期审核
序号
内容
1
每月进行一次远程安全漏洞检查
2
每月查看瑞星病毒监控中心-主机部分更新情况
3
每三个月登陆服务器手工检查上述安全初始流程内容的一致性、检查进程
4
填写记录
启用
禁用
5.1.14
Routing and Remote Access
启用
禁用
5.1.15
World Wide Web Publishing Service
启用
禁用(询问)
5.1.16
Task Scheduler
启用
禁用
5.1.17
Telephony
启用
禁用
5.1.18
ቤተ መጻሕፍቲ ባይዱTelnet
禁用
禁用
5.1.19
仅发送NTLM响应
发送LM & NTLM相应–如果已协商,使用NTLMv2会话安全
6.1.7
可远程访问的注册表路径和子路径
空
6.1.8
不显示上次的用户名
禁用
已启用
7
用户权利分配
默认
建议值
7.1.1
关闭系统
Administrators
8
防火墙
8.1.1
防火墙“例外”中设置例外程序及端口(咨询管理员,视具体情况定)
3.1.9
审核帐户登录事件
成功
成功/失败
4.1
日志审核
默认
建议值
4.1.1
应用程序日志大小最大值
16384KB
40960KB
win2003安全设置
![win2003安全设置](https://img.taocdn.com/s3/m/423126fff705cc17552709e5.png)
3.关闭自动播放功能
自动播放功能不仅对光驱起作用,而且对其它驱动器也起作用,这样很容易被黑客利用来执行黑客程序。
2.删除默认共享
单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。依次展开“用户配置→Windows设置→脚本(登录/注销)”,双击登录项,然后添加“delshare.bat”(参数不需要添加),从而删除Windows 2003默认的共享。
接下来再禁用IPC连接:打开注册表编辑器,依次展开[HKEY_
打开组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的如图所的窗口中,将可远程访问的注册表路径和子路径内容全部删除。
文章引用自:
打开组策略编辑器,依次展开“计算机配置→管理模板→系统”,在右侧窗口中找到“关闭自动播放”选项并双击,在打开的对话框中选择“已启用”,然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”,按“确定”即可生效。
4.清空远程可访问的注册表ห้องสมุดไป่ตู้径
将远程可访问的注册表路径设置为空,这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
Windows2003安全设置
Windows 2003以其稳定的性能越来越受到用户的青睐,但面对层出不穷的新病毒,你仍然有必要再加强Windows 2003的安全性。
1.用户口令设置
设置一个键的密码,在很大程度上可以避免口令攻击。密码设置的字符长度应当在8个以上,最好是字母、数字、特殊字符的组合,如“psp53,@pq”、“skdfksadf10@”等,可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。
Windows 2003网站安全权限设置指南
![Windows 2003网站安全权限设置指南](https://img.taocdn.com/s3/m/43a891697e21af45b307a8f4.png)
Windows 2003网站安全权限设置指南Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可,基于IIS Web服务器软件的网站数量也越来越多。
通常情况下,高校的大多数服务器会由技术力量相对雄厚的网络中心等IT 资源部门运维管理。
而网站程序的制作则由各单位、各部门自主负责,少数用户单位会自主开发,或者请专业的IT公司代为开发。
更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此,各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行多个网站,其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站取得权限,上传网页木马,得到了一个Web SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有Web站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便会感染上病毒,不仅引来用户的严重不满和投诉,同时也使学校的形象严重受损。
为了避免类似事件的发生,我们有必要分开部署网站和数据库。
通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还远远不够,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限作出严格的控制,实现各网站之间权限的隔离,方法如下:在Web服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
2.在IIS管理控制台中,创建若干应用程序池,并分别为每个程序池分配不同的安全性用户。
3.将各个网站分配到相应的应用程序池。
Windows Server 2003安全设置1
![Windows Server 2003安全设置1](https://img.taocdn.com/s3/m/533dff671ed9ad51f01df208.png)
Windows Server 2003服务器安全设置一、防火墙设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip 设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet 连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
二、系统权限的设置1、磁盘权限(如下设置,我们已经写一个CMD脚本,按要求复制运行即可以取代如下手工设定)系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全控制权限另将\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。
并且要一个一个目录查看,包括下面的所有子目录。
完整windows server 2003系统安全配置教程
![完整windows server 2003系统安全配置教程](https://img.taocdn.com/s3/m/e927840df78a6529647d53e6.png)
完整windows server 2003系统安全配置教程网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端BT的2003服务器的安全配置,让更多的网管朋友高枕无忧。
我们配置的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。
先说关于系统的NTFS磁盘权限设置,大家可能看得都多了,但是2003服务器有些细节地方需要注意的,我看很多文章都没写完全。
1.C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
(右击‘c盘——>属性’)Windows目录要加上给users的默认权限,删除everyone即可。
否则ASP和ASPX等应用程序就无法运行。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:“只要给我一个webshell,我就能拿到system",这也的确是有可能的。
windows2003安全配置大全
![windows2003安全配置大全](https://img.taocdn.com/s3/m/7d209ac47e192279168884868762caaedd33ba08.png)
windows2003安全配置大全windows2003安全配置大全一直以来,很少在网络上看到关于windows服务器管理的全方面的文章,即使是在windows网络安全设置方面,虽然网络上有着不少的关于这个方面的话题,但是这些文章当中并没有完全彻底的贯彻“最少的服务+最小的权限=最大的安全”这一原则,笔者由于前段时间工作于一家虚拟主机提供商,因工作需要对此进行了深入的探索。
本文所有的环境均是在windows 2000 adv server上测试,因此部分内容可能不适合于windows 2003系统,但是大部分内容是通用的。
这里我们以虚拟主机为例来探讨。
第一部分服务器安全设置安装之前的准备工作很多时候,一部分的安全问题在你将windows安装光盘放入光驱中的时候就已产生,所以,在安装之前我们必须做好一些必要的准备工作。
主要包括安装源和物理介质的安全检查以及服务器的安全规划。
这部分内容主要包括以下几个方面:1.确保你的安装光盘没有任何问题,这里所说的是指光盘内容没有经过第三方加以修改和光盘没有遭到物理损坏。
对于刻录的安装光盘请确认你的源文件安全可靠,尽量使用集成了SP4的安装光盘,以减少后面打补丁的工作量。
2.确保你的硬盘没有任何问题,请尽量使用新硬盘,对于使用过的硬盘应先进行低级格式化。
无论新旧硬盘需要确认硬盘本身没有遭受到病毒感染。
3.规划好系统安装过程与服务器的所需要的程序、服务等并准备好这些安装程序且确保这些安装程序没有任何问题,尽量使用官方提供的安装程序。
规划好硬盘的分区以及各分区的功用。
分区方案建议分四个分区,将系统存放在C盘,应用程序放在D盘,备份文件和一些重要的日志等放在E盘,用户站点等放在F盘中,尽可能少的向系统盘写入非系统文件以减少系统备份的工作量,至于各分区的容量视情况而定。
不要安装任何多余的程序或组件,遵循“最少的服务+最小的权限=最大的安全”原则。
4.完成之后以上工作,对bios进行所需的相关设置,便可以进行安装了,如需要做raid,则需要在安装前完成raid的设置工作。
windows2003主机最安全设置
![windows2003主机最安全设置](https://img.taocdn.com/s3/m/36c0dc2a4a7302768e99395b.png)
windows2003主机最安全设置(原创)系统安装windows2003advserver版本,mcafree 8.0 企业版病毒防火墙,serv-u6.0,mdaemon系统得分区:至少3个区,c,d,e 推荐建立三个逻辑驱动器,第一个用来装系统和重要的日志文件;第二个放IIS;第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件系统管理:Terminal Service(修改端口)互补,如PcAnyWher,remoadmin安装顺序的选择安装系统前拔掉网线,先安装好后打补丁sp1,在设置本地安全策略IPSec,安全日志,密码策略等等1. 安全日志设置2. 管理工具-服务设置用stimulant.exe工具调整为高级模式保持确定退出3.目录和文件权限:为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。
在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;3>文件权限比文件夹权限高4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;取消C<D<E<F驱动盘得everyone权限改为user组。
win2003 服务器安全配置全套详解
![win2003 服务器安全配置全套详解](https://img.taocdn.com/s3/m/9e931f818762caaedd33d426.png)
基本的服务器安全设置安装补丁安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。
我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。
还有人用瑞星,瑞星是确定可以杀木马的。
更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。
这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。
我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。
在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
权限设置的思路要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
Win 2003 Server 服务器安全设置 防御PHP木马攻击的技巧
![Win 2003 Server 服务器安全设置 防御PHP木马攻击的技巧](https://img.taocdn.com/s3/m/e25f733377c66137ee06eff9aef8941ea76e4bb9.png)
Win 2003 Server 服务器安全设置防御PHP木马攻击的技巧Win 2003 Server服务器是一种常用的服务器操作系统,然而,安全性始终是我们在使用服务器时需要重点关注的问题之一。
本文将向您介绍一些Win 2003 Server服务器安全设置中,防御PHP木马攻击的一些技巧。
一、安装最新版本的Win 2003 Server操作系统首先,为了确保服务器的安全性,我们需要安装最新版本的Win 2003 Server操作系统。
最新版本通常会修复许多安全漏洞,并提供更好的安全性保障。
同时,我们还需要确保操作系统的自动更新功能已开启,以获取最新的补丁和安全更新。
二、使用强密码保护服务器的登录账户其次,为了防止恶意用户猜测登录账户的密码,我们应该使用强密码保护服务器的登录账户。
一个强密码应该包含至少8个字符,并且包括字母、数字和特殊字符。
此外,为了增加密码的安全性,我们还应定期更换密码,以防止攻击者获取密码信息。
三、禁用不必要的服务和端口Win 2003 Server默认启动了许多不必要的服务和端口,这些服务和端口可能成为黑客攻击的目标。
为了增强服务器的安全性,我们应该禁用那些不必要的服务和端口,只保留必需的服务和端口,以减少攻击者的攻击面。
四、安装可信的安全软件安装可信的安全软件是防御PHP木马攻击的重要措施之一。
这些安全软件可以及时检测出服务器上的恶意代码,并进行相应的处理。
我们应选择那些具有实时监测和防御功能的安全软件,并定期更新其病毒库,以保持最新的恶意代码识别能力。
五、加强服务器的访问控制为了防止未经授权的访问,我们需要加强服务器的访问控制。
首先,我们应该限制服务器仅接受来自信任IP地址范围的连接。
其次,我们可以使用防火墙来过滤入站和出站的流量,只允许必要的网络服务通信。
此外,我们还可以设置访问控制列表(ACL)来限制特定用户或用户组的访问权限。
六、定期备份服务器数据定期备份服务器的数据对于防御PHP木马攻击至关重要。
Windows 2003安全设置大全-IIS、终端服务、FTP、SQL的配置
![Windows 2003安全设置大全-IIS、终端服务、FTP、SQL的配置](https://img.taocdn.com/s3/m/9dfc73f5f90f76c661371a2a.png)
Windows 2003安全设置大全-IIS、终端服务、FTP、SQL的配置IIS配置IIS6与IIS5有着很多不同之处,不一一列举,也不是我一个脑袋可以装下的东西。
都在资料上!IIS6有一个非常不方便的东西,就是他限制了在线上传不得大于200K,如何修改,请看:首先停用IIS服务,> 服务> iis admin service > 停用C:\windows\system32\inetsrv\ metabase.xml 文件用记事本打开它找到ASPMaxRequestEntityAllowed 处。
默认为204800 即204800字节(200K)修改为想要的数字如:2048000 [2M] 保存,重启IIS服务即可!设置基本参数打开IIS管理器> 网站> 属性>网站> 启动日志记录> 关闭主目录> 配置> 应用程序扩展> 只保留asp,asa主目录> 配置> 选项> 启用父目录主目录> 配置> 调试> 向客户端发送文本错误消息网站> 自定义错误> 全部改成默认值[上一章已经删除IIS使用的错误信息页面]IIS管理器> WEB服务扩展> 启用Active Server Pages注:停用IIS默认站点,切勿删除,有可能会造成IIS的不稳定。
站点的建立将在第四节中详细介绍。
IIS支持PHP的配置/downloads.php以PHP 5.1.1 为例下载php-5.1.1-Win32.zip 解压到D:\php 或任意目录赋予该目录IIS用户组读取权限将ext目录中的所有文件复制到C:\Windows\System32目录下面以记事本打开php.ini-dist文件查找extension_dir = "./" 更改为extension_dir = "D:\php\ext"查找; Windows Extensions 更改下面的参数如要开通GD库支持则将;extension=php_gd2.dll 前面的冒号删除依此类推,更多设置参考PHP.INI中文版。
最系统最全面windows2003安全配置
![最系统最全面windows2003安全配置](https://img.taocdn.com/s3/m/1bb31a0aff00bed5b9f31d7d.png)
服务器系统环境配置操作手册V1.14编制说明及要求:编制本手册,是为了将运维的工作标准化、制度化,彻底避免操作层面上的错误以及人为的失误对业务正常运行的影响。
将本操作流程作为操作的标准严格执行,要细化到对操作系统有简单了解但不是专业技术人员可以按照执行的程度。
本手册根据Windows2003、IIS、SQL Server2000环境编写,有新的系统及应用环境时应及时补充和修改本手册。
如需对本手册修改,须经部门经理批准。
操作系统安装流程:1.备份数据到移动硬盘或其他服务器上2.断网3.服务器接软驱,将RAID驱动盘放入软驱SCSIRAID卡驱动光盘路径:Intel SRCZCRX:2000X:\Drivers\Windows\Win20002003X:\Drivers\Windows\Win2003Adaptec 2010S:2000X:\PACKAGES\WIN_2000\DRIVERIntel 7520:2000X:\Drivers\SATARAID\WindowsIntel 7501:2000 X:\...\ADPT_win_HostRAID_1.02.63_Alertutility.exe使用光盘新建raid驱动软盘的方法:将以上路径下文件直接copy至软盘。
注:各服务器RAID卡类型见机历本。
这一步可以不做.4.设置光盘启动,将win2003安装光盘放入光驱启动5.按F6进入RAID驱动安装界面,然后按S,然后回车这一步可以不做.6.格式化C盘为NTFS格式,开始安装系统C盘大小划分为10GB。
7.选择需要安装的组件和服务,安装时只选择需要的最小的安装不要安装Indexing Service(索引服务)安装IIS时只安装:Internet服务管理器、Word Wide Web服务器、公用文件注意要安装.NET组件。
并且不要安装2.0版本.设置administrator初始密码为:topsun按照命名规范设置机器名,记录于机历本,机器名与机器ID对应。
2003系统安全设置
![2003系统安全设置](https://img.taocdn.com/s3/m/11318f11f011f18583d049649b6648d7c1c708ff.png)
2003系统安全设置第一篇:2003系统安全设置Windows Server 2003(企业版32位)系统安全设置系统中最多装一个杀毒软件和RAR解压缩工具和很小的一个流量监控软件。
其他的无关软件也一律不要安装,甚至不用装office。
多一个就会多一份漏洞和不安全隐患。
开启系统自带防火墙是正确有效的防护,请相信微软的智商。
通过以下基本安全设置后,加上服务器管理员规范的操作,服务器一般不会出现什么意外了,毕竟我们的服务器不是用来架设多个WEB网站的,造成漏洞的可能性大大降低。
当然,没有绝对的事,做好服务器系统和OA数据备份是必须的。
如果对以下操作不太熟悉,建议先在本地机器练练,不要拿用户服务器测试,以免造成其他问题。
另赠送32位和64位的系统解释:windows server 200332位和64位操作系统的区别问:1、windows server 2003 32位和64位操作系统的区别2、32位windows server 2003是否可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上答:1、32位和64位的差别在于如果你的CPU是64位的,64位的OS能够完全发挥CPU的性能,而不需要使CPU运行在32位兼容模式下。
2、32位windows server 2003可以用在两路四核E5410 2.33GHz处理器和4x2GB内存上,通过PAE模式也可以支持4G以上内存。
另外补充一下,Windows Server 2003的硬件支持特性并不是由32位或64位来决定的,而是由OS本身的版本来决定的。
以Windows Server 2003为例,标准版可以支持的最大CPU数为4路,最大内存数为4G,而企业版则可以支持最大CPU数8路,最大内存数32G。
回正题:(一)禁用不需要的服务Alerter通知选定的用户和计算机管理警报。
Computer Browser维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。
WindowsServer2003Web服务器安全设置
![WindowsServer2003Web服务器安全设置](https://img.taocdn.com/s3/m/ea6d7ab982d049649b6648d7c1c708a1284a0ae9.png)
WindowsServer2003Web服务器安全设置Windows Server 2003是微软公司推出的一款非常受欢迎的Web服务器操作系统。
在使用Windows Server 2003 Web服务器时,正确的安全设置是至关重要的。
本文将介绍一些Windows Server 2003 Web服务器的安全设置,以帮助您更好地保护您的服务器和网站。
1. 使用安全的管理员密码作为服务器管理员,您应该始终为管理员账户设置一个强密码。
强密码应包含大小写字母、数字和特殊字符,并且长度至少为8个字符。
您还可以定期更改密码,以增加服务器的安全性。
2. 更新操作系统和应用程序及时更新操作系统和安装的应用程序可以修复已知的漏洞,从而提高服务器的安全性。
请确保定期检查和下载最新的安全补丁,并对服务器进行更新。
3. 禁用不必要的服务Windows Server 2003默认启用了许多不必要的服务,这些服务可能存在安全隐患。
您应该审查并禁用不需要的服务,只保留必要的服务运行。
这样可以减少攻击面,提高服务器的安全性。
4. 配置防火墙防火墙是保护服务器安全的重要工具。
您可以配置Windows Server 2003自带的防火墙,并根据需要设置规则和策略。
通过限制对服务器的访问,防火墙可以有效防止未经授权的访问和恶意攻击。
5. 安装和配置安全软件除了操作系统自带的防火墙外,您还可以考虑安装额外的安全软件来提供更高级的保护。
例如,您可以安装杀毒软件、恶意软件检测工具和入侵检测系统等。
确保这些软件得到及时更新,并运行扫描以确保服务器没有恶意软件。
6. 限制远程访问远程访问是实现服务器管理和维护的便捷方式,但也是潜在的安全风险。
为了保护服务器的安全,您可以限制远程访问的IP地址范围,并使用安全的远程协议,如SSH。
另外,您也可以考虑实现双因素身份验证来增加远程访问的安全性。
7. 日志监控和审计监控服务器的日志并进行审计是发现潜在威胁和异常活动的重要手段。
Windows2003Server安全配置完整篇(4)服务器教程-电脑资料
![Windows2003Server安全配置完整篇(4)服务器教程-电脑资料](https://img.taocdn.com/s3/m/a34e7517bdd126fff705cc1755270722192e59a7.png)
Windows2003Server安全配置完整篇(4)服务器教程-电脑资料3、隐藏重要文件/目录可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0,。
4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
5、防止SYN洪水攻击。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service s\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为26. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\T cpip\Parameters\Interfaces\interface新建DWORD值,名为PerformRouterDiscovery 值为0,电脑资料《Windows 2003 Server安全配置完整篇(4)服务器教程》(https://www.)。
7. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service s\Tcpip\Parameters将EnableICMPRedirects 值设为08. 不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service s\Tcpip\Parameters新建DWORD值,名为IGMPLevel 值为0。
9、禁用DCOM:运行中输入Dcomcnfg.exe。
回车,单击“控制台根节点”下的“组件服务”。
Windows 2003系统最完美的安全权限设置方案
![Windows 2003系统最完美的安全权限设置方案](https://img.taocdn.com/s3/m/7481c0d5b04e852458fb770bf78a6529647d3504.png)
Windows 2003系统最完美的安全权限设置方案我在电信局做网管,本来管理过三十多台服务器,从多年堆积的阅历,写出以下具体的Windows2003服务系统的平安计划,我应用以下计划,平安运行了二年,无黑客有胜利入侵的记录,也有黑客入侵胜利的在案,但终于还是没有拿到肉鸡的最高管理员身份,只是可以扫瞄跳转到服务器上全部客户的网站。
服务器平安设置 IIS6.0的安装开头菜单控制面板添加或删除程序添加/删除Windows组件应用程序(可选) | 启用网络 COM+ 拜访(必选) | Internet 信息服务(IIS) Internet 信息服务管理器(必选) | 公用文件(必选) | 万维网服务 Active Server pages(必选) | Internet 数据衔接器(可选) | WebDAV 发布(可选) | 万维网服务(必选) | 在服务器端的包含文件(可选)在网络衔接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft 网络客户端。
在高级t/ip设置里-- NetBIOS 设置禁用tcp/IP上的NetBIOS(S)。
在本地衔接打开Windows 2003 自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留实用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433) IIS (Internet信息服务器管理器) 在主名目选项设置以下读允许写不允许脚本源拜访不允许名目扫瞄建议关闭记录拜访建议关闭索引资源建议关闭执行权限推举挑选纯脚本建议用法W3C扩充日志文件格式,天天记录客户IP地址,用户名,服务器端口,办法,URI字根,HTTP状态,用户代理,而且天天均要审查日志。
(最好不要用法缺省的名目,建议更换一个记日志的路径,同时设置日志的拜访权限,只允许管理员和system为Full Conol)。
安全中国Win2003安全设置大全分享
![安全中国Win2003安全设置大全分享](https://img.taocdn.com/s3/m/a01965b3f424ccbff121dd36a32d7375a417c646.png)
安全中国Win2003安全设置⼤全分享前⾯讲的都是屁话,润润笔⽽已。
(俺也⽂⼈⼀次)话锋⼀转就到了系统权限设置与安全配置的实际操作阶段系统设置⽹上有⼀句话是“最⼩的权限+最少的服务=最⼤的安全”。
此句基本上是个⼈都看过,但我好像没有看到过⼀篇讲的⽐较详细稍具全⾯的⽂章,下⾯就以我个⼈经验作⼀次教学尝试!最⼩的权限如何实现?NTFS系统权限设置在使⽤之前将每个硬盘根加上 Administrators ⽤户为全部权限(可选加⼊SYSTEM⽤户)删除其它⽤户,进⼊系统盘:权限如下C:\WINDOWS Administrators SYSTEM⽤户全部权限 Users ⽤户默认权限不作修改其它⽬录删除Everyone⽤户,切记C:\Documents and Settings下All Users\Default User⽬录及其⼦⽬录如C:\Documents and Settings\All Users\Application Data ⽬录默认配置保留了Everyone⽤户权限C:\WINDOWS ⽬录下⾯的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限. 删除C:\WINDOWS\Web\printers⽬录,此⽬录的存在会造成IIS⾥加⼊⼀个.printers的扩展名,可溢出攻击默认IIS错误页⾯已基本上没多少⼈使⽤了。
建议删除C:\WINDOWS\Help\iisHelp⽬录删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此⽬录为管理IIS密码之⽤,如⼀些因密码不同步造成500错误的时候使⽤ OWA 或 Iisadmpwd 修改同步密码,但在这⾥可以删掉,下⾯讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的⽤户只保存Administrators 和SYSTEM为所有权限HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”dump⽂件在系统崩溃和蓝屏的时候是⼀份很有⽤的查找问题的资料。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络上找的比较全的win2003安全设置(2009-08-10 09:25:39)转载标签:分类:IT硬件win2003安全设置一、硬盘分区与操作系统的安装1.2.硬盘分区总的来讲在硬盘分区上面没什么值得深入剖析的地方,无非就是一个在分区前做好规划知道要去放些什么东西,如果实在不知道。
那就只一个硬盘只分一个区,分区要一次性完成,不要先分成FAT32再转成NTFS。
一次性分成NTFS格式,以我个人习惯,系统盘一般给12G。
建议使用光盘启动完成分区过程,不要加载硬盘软件。
3.系统安装以下内容均以2003为例安装过程也没什么多讲的,安装系统是一个以个人性格为参数的活动,我建议在安装路径上保持默认路径,好多文章上写什么安装路径要改成什么呀什么的,这是没必要的。
路径保存在注册表里,怎么改都没用。
在安装过程中就要选定你需要的服务,如一些DNS、DHCP没特别需要也就不要装了。
在安装过程中网卡属性中可以只保留TCP/IP 这一项,同时禁用NETBOIS。
安装完成后如果带宽条件允许可用系统自带在线升级。
二、系统权限与安全配置前面讲的都是屁话,润润笔而已。
(俺也文人一次)话锋一转就到了系统权限设置与安全配置的实际操作阶段系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。
此句基本上是个人都看过,但我好像没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!2.1 最小的权限如何实现?NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户,进入系统盘:权限如下∙∙C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改∙其它目录删除Everyone用户,切记C:\Documents and Settings下AllUsers\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。
建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用OWA 或Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
∙打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建"DWORD值"值名为"SMBDeviceEnabled" 数据为默认值"0"禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建"DWORD值"值名为"RestrictAnonymous" 数据值为"1" [2003默认为1]禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建"DWORD值"值名为"AutoShareServer" 数据值为"0"禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建"DWORD值"值名为"AutoShareWks" 数据值为"0"通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建"DWORD值"值名为"SynAttackProtect" 数据值为"1"禁止dump file的产生dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。
然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。
控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。
关闭华医生Dr.Watson在开始-运行中输入"drwtsn32",或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统里的华医生Dr.Watson ,只保留"转储全部线程上下文"选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。
如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
本地安全策略配置开始> 程序> 管理工具> 本地安全策略∙∙账户策略> 密码策略> 密码最短使用期限改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步]∙账户策略> 账户锁定策略>账户锁定阈值5 次账户锁定时间10分钟[个人推荐配置]∙本地策略> 审核策略>∙账户管理成功失败∙登录事件成功失败∙对象访问失败∙策略更改成功失败∙特权使用失败∙系统事件成功失败∙目录服务访问失败∙账户登录事件成功失败∙本地策略> 安全选项> 清除虚拟内存页面文件更改为"已启用"∙∙∙> 不显示上次的用户名更改为"已启用"∙> 不需要按CTRL+ALT+DEL 更改为"已启用"∙> 不允许SAM 账户的匿名枚举更改为"已启用"∙> 不允许SAM 账户和共享的匿名枚举更改为"已启用"∙> 重命名来宾账户更改成一个复杂的账户名∙> 重命名系统管理员账号更改一个自己用的账号[同时可建立一个无用户组的Administrat账户]组策略编辑器运行gpedit.msc 计算机配置> 管理模板> 系统显示"关闭事件跟踪程序" 更改为已禁用删除不安全组件WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。
1.2.方案一:regsvr32 /u wshom.ocx 卸载WScript.Shell 组件regsvr32 /u shell32.dll 卸载Shell.application 组件如果按照上面讲到的设置,可不必删除这两个文件3.方案二:删除注册表HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}对应WScript.Shell删除注册表HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000}对应Shell.application用户管理建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号用户组说明在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但要将这个组赋予C:\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录,太小家子气。
二、系统权限与安全配置2.2最少的服务如果实现黑色为自动绿色为手动红色为禁用∙∙Alerter∙Application Experience Lookup Service∙Application Layer Gateway Service∙Application Management∙Automatic Updates [Windows自动更新,可选项]∙Background Intelligent Transfer Service∙ClipBook∙COM+ Event System∙COM+ System Application∙Computer Browser∙Cryptographic Services∙DCOM Server Process Launcher∙DHCP Client∙Distributed File System∙Distributed Link Tracking Client∙Distributed Link Tracking Server∙Distributed Transaction Coordinator∙DNS Client∙Error Reporting Service∙File Replication∙Help and Support∙HTTP SSL∙Human Interface Device Access∙IIS Admin Service∙IMAPI CD-Burning COM Service∙Indexing Service∙Intersite Messaging∙IPSEC Services [如果使用了IP安全策略则自动,如无则禁用,可选操作]∙Kerberos Key Distribution Center∙License Logging∙Logical Disk Manager [可选,多硬盘建议自动]∙Logical Disk Manager Administrative Service∙Messenger /li>∙Microsoft Search∙Microsoft Software Shadow Copy Provider∙MSSQLSERVER∙MSSQLServerADHelper∙Net Logon∙NetMeeting Remote Desktop Sharing∙Network Connections∙Network DDE∙Network DDE DSDM∙Network Location Awareness (NLA)∙Network Provisioning Service∙NT LM Security Support Provider∙Performance Logs and Alerts∙Plug and Play∙Portable Media Serial Number Service [微软反盗版工具,目前只针对多媒体类]∙Protected Storage∙Remote Access Auto Connection Manager ∙Remote Access Connection Manager∙Remote Desktop Help Session Manager ∙Remote Procedure Call (RPC)∙Remote Procedure Call (RPC) Locator∙Remote Registry∙Removable Storage∙Resultant Set of Policy Provider∙Routing and Remote Access∙Secondary Logon∙Security Accounts Manager∙Server∙Shell Hardware Detection∙Smart Card∙Special Administration Console Helper∙SQLSERVERAGENT∙System Event Notification∙Task Scheduler∙TCP/IP NetBIOS Helper∙Telephony∙Telnet∙Terminal Services∙Terminal Services Session Directory∙Themes∙Uninterruptible Power Supply∙Upload Manager∙Virtual Disk Service∙Volume Shadow Copy∙WebClient∙Windows Audio [服务器没必要使用声音]∙Windows Firewall/Internet Connection Sharing (ICS)∙Windows Image Acquisition (WIA)∙Windows Installer∙Windows Management Instrumentation∙Windows Management Instrumentation Driver Extensions∙Windows Time∙Windows User Mode Driver Framework∙WinHTTP Web Proxy Auto-Discovery Service∙Wireless Configuration∙WMI Performance Adapter∙Workstation∙World Wide Web Publishing Service以上操作完成以后是否就"最小的权限+最少的服务=最大的安全"呢?其实不然,任何事物都是相对的依我个人而见,以上设置也只是最基本的一些东西而已,如有遗漏,稍后补上!三、IIS、终端服务、FTP、SQL的配置3.1 IIS配置IIS6与IIS5有着很多不同之处,不一一列举,也不是我一个脑袋可以装下的东西。