最新使用IP策略阻止指定端口的访问——Windows2003防范与应用

无法访问Server2003共享文件夹的解决办法给公司组件局域网，服务器安装的Win Server 2003，工作站使用Win XP SP2，但是调试时发现XP无法共享服务器上的文件夹。

无法访问2003共享文件夹的解决办法（1)安装NWlink IPX/SPX/NetBIOS Compatible Transport Protocol协议。

（2)开启guest账号：右击我的电脑管理用户有个guest，双击之去掉“账户已停用”前面的勾。

（3)右击我的电脑属性计算机名，查看该选项卡中出现的局域网工作组名称，如“WORKGROUP”网络ID下一步选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”下一步选择“公司使用没有域的网络”随后输入局域网的工作组名，如“WORKGROUP”下一步完成。

重新启动计算机即可。

（4）使用winxp防火墙的例外：winxp防火墙在默认状态下是全面启用的，这意味着运行计算机的所有网络连接，难于实现网上邻居共享。

同时，由于windows防火墙默认状态下是禁止“文件与打印机共享的”，所以，启用了防火墙，往往不能共享打印，解决办法是：进入“本地连接”窗口，点“高级”“设置”“例外”在程序与服务下勾选“文件和打印机共享”。

（5)删除“拒绝从网络上访问这台计算机”项中的guest账户：运行组策略（gpedit.msc）本地计算机计算机配置windows设置安全设置本地策略用户权利指派拒绝从网络访问这台计算机。

如果其中有guest，则将其删除。

（原因是：有时xp的guest是不允许访问共享的）（6)取消“使用简单文件共享”方式：资源管理器工具文件夹选项查看去掉“使用简单文件共享（推荐）”前面的勾。

（7)工作组名称一致。

（8)勾选“Microsoft网络的文件和打印机共享”。

（9)运行服务策略“Services.msc”。

启动其中的“Clipbook Server”(文件夹服务器)：这个服务允许你们网络上的其他用户看到你的文件夹。

通过Windows2003的IPSEC安全策略来实现对访问IP的限制。

操作步骤如下：1、在Windows2003的开始->运行中输入mmc2、点击文件->添加/删除管理单元3、点击添加4、选择IP安全策略管理，点击添加5、选择本地计算机，点击完成6、点击关闭7、点击确定8、右键点击IP安全策略，本地计算机9、选择“创建IP安全策略”10、点击“下一步”12、全部采用默认值，直到完成。

13、右键点击IP安全策略14、选择“管理IP筛选器表盒筛选器操作”15、在“管理IP筛选器列表”标签中，点击添加16、点击添加17、点击“下一步”点击“下一步”19、源地址选择“任何IP地址”，点击“下一步”20、目标地址选择“我的IP地址”，点击“下一步”21、协议类型选择“任意”，点击“下一步”22、点击完成，完成配置23、点击添加，再添加一条策略24、设置名称，点击“添加”25、点击“下一步”服务器的IP地址。

点击下一步。

27、目标地址选择“我的IP地址”，点击下一步。

28、协议类型选择“任意”，点击下一步。

完成配置。

29、点击“确定”。

30、选择“管理筛选操作”31、点击“添加”32、点击“下一步”32、填写名称“允许”，点击“下一步”33、选择“许可”，点击“下一步”34、点击“完成”，完成配置。

35、点击“添加”，再添加拒绝策略36、点击“下一步”37、选择“阻止”，点击“下一步”38、点击“完成”，完成配置39、点击关闭。

40、右键点击IP过滤策略41、选择属性。

42、点击“添加”，下一步43、选择“此规则不指定隧道”，点击“下一步”44、选择“局域网”，点击“下一步”45、选择“全部阻止”，点击“下一步”46、选择“拒绝”，点击下一步47、点击“完成”，完成配置48、点击“添加”，增加允许IP规则49、点击“下一步”50、选择“局域网”，点击“下一步”51、选择“允许IP”，点击“下一步”52、选择“允许”，点击“下一步”53、点击“完成”，完成配置54、点击“确定”55、右键“IP过滤策略”通过上述动作，完成对IP访问的限制。

本文档以window server 2003 详细说明组策略禁止端口连接的方法。

本文档以禁止windows远程端口3389为例。

(类似于linux的iptable策略)
1. 开始运行gpedit. Msc打开组策略。

2.在IP安全策略中，右键选择“管理IP筛选器和筛选器操作”
3.在筛选器列表上点击“添加”：
4 在添加界面，编辑名称和描述等，点“添加”进入添加筛选器向导
5.点击“下一步”，在“源地址”类别中选择“所有IP地址”，在“目标地址”类别中选择“我的IP地址”，下一步协议类型(S): 把"任意"选改为"tcp" 下一步，
，添加完成后，确定。

6。

在“管理筛选器操作”中，点击“添加”。

按照向导，填写“名称描述”，点击“下一步”，选择“阻止”。

完成后关闭窗口。

7.回到“IP安全策略”，右键点击“创建IP安全策略”，并点击下一步，填写“描述信息”。

8. 按照向导完成，并编辑属性。

点击“下一步”，并“完成”向导。

9.在右边安全策略列表中，选择刚建好的策略，点击右键“指派”使该安全策略生效。

使用IP安全策略关闭端口操作要领:封闭端口，杜绝网络病毒对这些端口的访问权，以保障计算机安全，减少病毒对上网速度的影响。

近日发现新的网络蠕虫病毒，该病毒使用冲击波病毒专杀工具无法杀除，需尽快升级计算机上的杀毒软件病毒库，在断开计算机网络连接的情况下扫描硬盘，查杀病毒。

安装了防火墙软件的用户，请封闭 TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口的出入连接，另外，你还可以封闭一些流行病毒的后门端口，如 TCP 2745、3127、6129 端口，所以也可以暂时屏蔽访问这些端口的传入连接。

操作步骤:打开“控制面板”(打开“控制面板”的连接可以在“我的电脑”或“开始菜单”的“设置”菜单中找到)在“控制面板”中找到“管理工具”。

双击打开“管理工具”，找到“本地安全策略”。

双击打开“本地安全策略”，找到“IP 安全策略”，如图一。

图一:找到“本地安全策略”的“IP 安全策略”用鼠标右键点击右方窗格的空白位置，在弹出的快捷菜单中选择“ 创建 IP安全策略”strengthen the concept of organization, subordinate to the Organization to decide about organizing principles, the "four obedience" placed in the higher position, resolutely overcome liberalism, Anarchist, populist and other unhealthy tendencies, and does not allow forarbitrary and "my house, my rules" do not allow bargaining in the dutyof due图二:创建新的策略在向导中点击“下一步”按钮，到第二页为新的安全策略命名，或者直接再点“ 下一步”。

怎样查找开启Windows2003Server 的端口和如何关闭端口 冲击波”等蠕虫病毒特征之一就是利用有漏洞的操作系统进行端口攻击，因此防范此类病毒的简单方法就是屏蔽不必要的端口，防火墙软件都有此功能，其实对于采用Windows 2003或者Windows XP 的用户来说，不需要安装任何其他软件，因为可以利用系统自带的“Internet 连接防火墙”来防范黑客的攻击。

一、基本设置1、鼠标右键单击“网上邻居”，选择“属性”。

2、然后鼠标右键单击“本地连接”，选择“属性”，出现图1界面。

如图选择“高级”选项，选中“Internet 连接防火墙”，确定后防火墙即起了作用。

图1二、测试基本设置 1、在另为一台机子上ping 本机，出现Request timed out 表示ping 不同本机2、在另为一台机子上用漏洞扫描工具扫描本机发现没有打开的端口。

这两种测试通过后说明防火墙已经起了作用。

三、高级设置点击图1中“设置(G)...”按钮出现图2界面可进行高级设置。

图21、选择要开通的服务如图3所示，如果本机要开通相应的服务可选中该服务，本例选中了FTP服务，这样从其它机器就可FTP到本机，扫描本机可以发现21端口是开放的。

可以按“添加”按钮增加相应的服务端口。

图32、设置日志如图4所示，选择要记录的项目，防火墙将记录相应的数据，日志默认在c:\windows\pfirewall.log，用记事本就可以打开看看。

图43、设置ICMP协议如图5所示，最常用的ping就是用的ICMP协议，默认设置完后ping不通本机就是因为屏蔽了ICMP协议，如果想ping通本机只需将“允许传入响应请求”一项选中即可。

图5四、几点疑问设置非常简单，但我在给别人设置过程中，有些人提出了以下几点疑问，不知您是否也有下面的困惑？1、端口都封住了怎么与别的计算机通信？按默认设置完成后，可以看出没有添加一个端口，那端口都封住了怎么与别的计算机通信呢？在Internet上相互通信是靠TCP/IP协议完成的，而上网访问网页时，是在本机上随机打开一个大于1024的端口去连服务器的80服务端口，用Telnet协议登陆其它设备也是在本机上随机打开一个大于1024的端口去连服务器的23服务端口。

使用Win安全策略禁止Ping和指定端口xx年xx月xx日•禁止Ping的策略设置•配置特定端口的策略设置•测试与验证目录•安全策略优缺点分析•其他安全策略建议01禁止Ping的策略设置打开“组策略”2. 打开“组策略”编辑器后，导航到“计算机配置”>“管理模板”>“网络”>“TCP/IP路由器”。

1. 点击“开始”菜单，在搜索栏中输入“gpedit.msc”，然后按下回车键。

3. 在右侧面板中，找到并双击“禁止Ping”。

配置“禁止Ping”策略2. 在“选项”下拉菜单中，选择“响应ICMP路由可达请求”选项。

3. 点击“确定”按钮保存更改。

1. 在“禁止Ping属性”对话框中，选择“已启用”选项。

011. 打开“命令提示符”或“PowerShell”。

启用“禁止Ping”策略022. 输入以下命令来启用刚刚配置的策略：`netsh interface ipv4 set router static route=0,0,0`。

033. 这条命令将静态路由设置为0，0，0，即不响应ICMP路由可达请求，从而禁止Ping。

044. 重新启动计算机以使更改生效。

02配置特定端口的策略设置打开“组策略”按下Win+R组合键，输入gpedit.msc，点击确定，打开组策略编辑器。

在左侧导航栏中，依次展开计算机配置-管理模板-网络-TCP/IP协议。

在右侧窗格中，双击“禁止Ping”。

配置特定端口的策略设置在“禁止Ping”属性对话框中，选择“已启用”选项。

在“目标端口”文本框中输入需要禁止的端口号，例如：8000。

在“阻止ICMP类型”下拉列表中选择需要禁止的ICMP类型，例如：ICMP Echo请求（ping请求）。

点击“确定”按钮保存配置。

启用特定端口的策略设置•在左侧导航栏中，展开“计算机配置”-“管理模板”-“网络”-“TCP/IP协议”。

•在右侧窗格中，双击“IP安全策略”。

•在“IP安全策略”属性对话框中，选择“已启用”。

一、安装补丁安装好Windows 2003操作系统之后，在托管之前一定要完成补丁的安装，配置好网络后，最好安装上SP1，然后点击开始选择Windows Update，安装所有的关键更新。

二、安装杀毒软件目前的杀毒软件种类很多，其中瑞星、诺顿、卡巴斯基等都是很不错的选择。

不过，也不要指望杀毒软件能够杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决，这样比较好，比筛选更有灵活性，桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置，把服务器上面要用到的服务端口选中，例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389），在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号，如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。

注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

1、权限设置的原理1）WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。

在开始→程序→管理工具→计算机管理→本地用户和组，管理系统用户和用户组。

2）NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。

文件（夹）上右键→属性→安全，在这里管理NTFS文件（夹）权限。

3）IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

windows server 2003系统关闭443端口的方法全文共四篇示例，供读者参考第一篇示例：在Windows Server 2003系统中关闭443端口是一种常见的操作，主要是为了增强系统的安全性。

关闭这个端口可以阻止一些不必要或者恶意的网络访问，从而保护系统中重要的数据和服务不受攻击。

在本文中，我们将介绍如何在Windows Server 2003系统中关闭443端口的方法。

要关闭Windows Server 2003系统中的443端口，有两种主要方法：通过命令行和通过注册表编辑器。

以下是具体步骤：通过命令行关闭443端口：1. 打开命令提示符（cmd）窗口，可以通过在运行框中输入“cmd”并按下回车键打开。

2. 在命令提示符窗口中，输入以下命令来查看系统中打开的端口情况：```netstat -ano | findstr :443```该命令会列出系统中所有使用443端口的进程的PID（进程标识符）。

3. 然后，通过任务管理器（Task Manager）查找对应PID的进程。

- 在命令提示符窗口中，输入“tasklist | findstr [进程PID]”来查找该进程的名称。

- 打开任务管理器，找到对应的进程，右键点击该进程并选择“结束进程”来关闭该进程。

4. 通过防火墙设置来禁止443端口的访问。

- 在命令提示符窗口中，输入“netsh advfirewall firewall add rule dir=in action=blo ck protocol=TCP localport=443”来添加一个阻止443端口的防火墙规则。

- 再次输入“netsh advfirewall firewall add rule dir=out action=block protocol=TCP localport=443”来添加一个出站的防火墙规则。

1. 按下Win + R组合键打开运行对话框，输入“regedit”并按下回车键打开注册表编辑器。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

在win2003的域环境下，组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题，使管理员的日常维护效率大大提高，但世间万物皆有利弊，同样人也一样会犯错误，在日常的维护工作中，由于管理员的疏忽操作导致的各种问题比比皆是。

下面我们就来讨论一种看似比较棘手的情况。

在win2003中，当某个域中的用户或本地用户被策略拒绝了本地登陆的权限，当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”，使得用户无法登陆本地计算机，同样也不能登陆域，通常遇到这种问题，我们的解决办法是，用管理员账号登陆域控制器，修改一下策略，把此用户从“拒绝本地登录”列表中删除即可，但如果由于人为的操作失误，管理员把所以用户的本地登陆权限都禁止了，导致了域中所有用户都不能本地登陆域内计算机（包括域管理员以及本地管理员），这种情况就比较棘手了，我们用什么方法能解决这看似不能解决的问题呢？通过查询相关资料以及测试，我们知道所有策略的设置都保存在域控制器（DC）的windows文件夹下的sysvol文件夹下，以GUID为文件夹名，其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GU ID\MACHINE\Microsoft\windows NT\SecEdit\GptTmpl.inf 这个文件中，这是一个文本文件，能通过记事本编辑，要解除对所有用户本地登录限制，我们只需修改这个文本文件，把拒绝登陆的相关信息删除就OK了，而在默认情况下，存放策略设置的sysvol这个文件夹在DC上是被共享的，那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹，远程修改GptTmpl.inf文件，从而解除本地登陆限制呢，下面我们就用虚拟机来做个实验，来模拟一下这样的网络环境，看看能不能达到我们预想的效果。

通过查询资料得知：➢默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9➢默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9实验的拓扑环境如下：先部署一个域 ，用物理机做DNS，IP为192.168.11.1域中有两台计算机，Florence为DC，Berlin为加入域的一台成员服务器，Perth为一台工作站。

解决无法访问特定端口的网络问题在解决无法访问特定端口的网络问题时，我们需要采取一系列的步骤来诊断和解决问题。

以下是一些常见的方法和技巧，帮助我们排除特定端口无法访问的问题。

1. 确认网络连接是否正常首先，我们需要确认我们的网络连接是否正常。

可以尝试访问其他网站或服务，以确保网络连接没有问题。

如果无法访问任何网站或服务，那么问题可能出在网络连接本身，而不仅仅是特定端口的问题。

2. 检查防火墙设置防火墙是用于保护计算机安全的重要组成部分。

然而，有时候防火墙会阻止特定端口的访问。

我们需要检查电脑或网络设备上的防火墙设置，确保它没有设置禁止特定端口的规则。

可以尝试暂时禁用防火墙来确定是否是防火墙导致问题。

3. 确认目标端口是否开放如果我们无法访问特定端口，可能是因为目标端口没有被正确地打开或配置。

我们可以通过使用网络扫描工具（如Nmap）来检测目标端口是否处于开放状态。

如果端口没有开放，我们需要检查服务器或网络设备上的相关设置，确保端口被正确配置和打开。

4. 检查目标服务器配置在一些情况下，问题可能出在目标服务器的配置上。

我们需要检查服务器的网络配置、防火墙设置、端口转发等，以确保相关设置正确。

如果我们没有权限修改服务器配置，可以联系服务器管理员或技术支持人员，寻求帮助解决问题。

5. 使用代理服务器有时候，特定端口的访问问题可能是由于ISP（互联网服务提供商）的限制引起的。

在这种情况下，我们可以尝试使用代理服务器来绕过限制。

代理服务器将我们的请求转发到目标服务器，并返回结果给我们，帮助我们解决特定端口无法访问的问题。

6. 更新网络设备固件网络设备的固件是重要的系统软件，它控制设备的功能和性能。

有时候，特定端口的访问问题可能是由于设备固件的bug或不稳定性引起的。

我们可以尝试更新网络设备的固件来解决问题。

在更新固件之前，我们应该仔细查阅设备厂商的文档，确保操作正确和安全。

总结无法访问特定端口的网络问题可能会给我们的工作和生活带来不便。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

WINDOWS2003安全策略设置在windows2003下进行安全策略设置，是很有必要的，可以阻挡大部分初级黑客的入侵和破坏。

一．本地安全策略设置开始菜单—>管理工具—>本地安全策略本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪失败审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性调整日至文件大小：1048576KB=1G 覆盖时间超过30天的事件帐户策略——>帐户锁定策略设置为3次无效登陆本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组用户权利分配：将“从网络访问此计算机”中只保留(Administrators)、使用还要保留Aspnet账户。

(ASPNET)、启动IIS进程账户(IUSR)、(IWAM)(Everyone) (Administrators)(ASPNET)(IUSR)(IW AM)(Everyone)本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命名通道全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户（例如Gu2#edst@1）请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限下列这些文件只允许Administrators和SYSTEM访问net.exenet1.execmd.exeftp.exetftp.exetelnet.exenetstat.exeregedit.exeat.exeattrib.execacls.exe另外将系统盘C:\WINDOWS\system32下cmd.exe、、ftp.exe转移到其他目录或更名快捷方式：在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.ex e","","c.exe"点击搜索然后全选右键属性安全磁盘权限磁盘（C、D、E、F盘全部）Administrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件C:\WINDOWSAdministrators和SYSTEM完全控制权限Users （用户默认权限不作修改“读取和运行、列出文件夹目录、读取”）<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制<不是继承的>只有子文件夹及文件C:\Program FilesAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制权限<不是继承的>只有子文件夹及文件Users读取和运行<不是继承的>该文件夹，子文件夹及文件C:\Documents and SettingsAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件C:\Documents and Settings\All UsersAdministrators和SYSTEM 完全控制权限<不是继承的>该文件夹，子文件夹及文件Users组的权限仅仅限制于读取和运行，绝对不能加上写入权限（默认为“读取和运行、列出文件夹目录、读取”）C:\Documents and Settings\All Users\Application DataAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制<不是继承的>只有子文件夹及文件Users读取和运行<不是继承的>该文件夹，子文件夹及文件Users写入<不是继承的>该文件夹及子文件夹两个并列权限同用户组需要在高级里分开添加，分开列权限Users读取和运行的权限：选择2345项和倒数第3项Users写入的权限：选择6789项C:\Program Files\Microsoft SQL Server\MSSQL(程序部分默认装在C：盘)D:\Program Files\Microsoft SQL Server\MSSQL(本人的在D盘)Administrators完全控制权限<不是继承的>该文件夹，子文件夹及文件D:\Program Files\Microsoft SQL Server (数据库部分装在D：盘的情况) Administrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制权限<不是继承的>只有子文件夹及文件C:\Program Files\Internet Explorer\iexplore.exeAdministrators完全控制权限<不是继承的>该文件夹，子文件夹及文件C:\Program Files\Serv-U (如果装了Serv-U服务器的话)D:\Program Files\Serv-U (本人的在D盘)这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是C:\Program Files\\Serv-UAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制权限<不是继承的>只有子文件夹及文件删除c:\inetpub目录如果服务器上有.NET网站运行，aspnet_client文件夹的权限设置为Administrators、SYSTEM<完全控制><不是继承的><该文件夹，子文件夹及文件>Users <读取><不是继承的><该文件夹，子文件夹及文件>最后：C\WINDOWS\TEMP设置添加Everyone的读写属性，NetWork Service完全控制属性。

windows防火墙屏蔽ip地址所有端口
很多人都不会用WINDOWS防火墙来设置屏蔽IP，现在就让店铺教大家如何用Windows防火墙屏蔽IP地址所有端口，希望对大家有用。

Windows防火墙屏蔽IP地址所有端口的步骤：
在“计算机”上右键，选择“管理”，打开“服务器管理器”。

依次展开“配置”、“高级安全Windows 防火墙”、“入站规则”
新建一个规则。

第一步，选择“端口”
第二步，选择“特定本地端口”，输入一个端口号，比如 80。

这里暂时不要选所有端口，因为这个防火墙默认配置下来是对所有 IP 都有效，如果我们选择所有端口，就意味着所有计算机都不能访问任何端口，如果你是远程桌面，你点了“完成”按钮就完蛋了，得去机房了，因为你的远程桌面也被封了。

第三步，选择“阻止连接”
最后取个名字，点击“完成”。

此时所有人都不能访问你指定的端口了。

不用着急，双击刚才创建的入站规则，切换到“作用域”标签，在“远程IP 地址”中，选择“下列IP 地址”，然后把你要屏蔽的 IP 地址写进去。

完成以上步骤之后，再核实一下防火墙是否已经启动了，不然就白费功夫了。

顺带再说一下：这里面有个逻辑：
如果防火墙既不阻止连接，也不允许连接，则表示允许。

如果防火墙阻止了部分 IP 的连接，则表示允许其他 IP 连接。

如果防火墙允许了部分 IP 的连接，则表示阻止其他 IP 连接。

这一条比较重要，因为并没有显式设置阻止，只是说允许部分IP，就同时表达了另一层意思：阻止其他 IP。

Win2003 系统服务器防火墙设置教程防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。

Internet连接防火墙的设置在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。

1. 启动/停止防火墙(1)打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。

(2)单击“高级”选项卡，出现如图1所示启动/停止防火墙界面。

如果要启用Internet 连接防火墙，请选中“通过限制或阻止来自Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙，请清除以上选择。

2. 防火墙服务设置Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

(1)标准服务的设置我们以Windows 2003服务器提供的标准Web服务为例(默认端口80)，操作步骤如下：在图1所示界面中单击[设置]按钮，出现如图2所示“服务设置”对话框;在“服务设置”对话框中，选中“Web服务器(HTTP)”复选项，单击[确定]按钮。

设置好后，网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务注：您可以根据Windows 2003服务器所提供的服务进行选择，可以多选。

常用标准服务系统已经预置在系统中，你只需选中相应选项就可以了。

如果服务器还提供非标准服务，那就需要管理员手动添加了。

2)非标准服务的设置我们以通过8000端口开放一非标准的Web服务为例。

对路径"xxxxx"的访问被拒绝(文件操作权限)的解决方法作者：佚名文章来源：苹果引擎发布日期：2007-05-26问题如下：在windows 2003下安装了VS2003,在运行web应用程序的时候出现一下错误：对路径“D：\temp1\MyTest.txt”的访问被拒绝。

说明：执行当前 Web 请求期间,出现未处理的异常。

请检查堆栈跟踪信息,以了解有关该错误以及代码中导致错误的出处的详细信息。

异常详细信息： System.UnauthorizedAccessException：对路径“D：\temp1\MyTest.txt”的访问被拒绝。

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\解决方案一在需要进行读写操作的目录下添加Network Service这个帐号,由于在iis 6.0中,默认的应用程序池中的标示用的是Network Service,所以在进程中是使用Network Service这个帐号运行来运行w3wp.exe进程,而当我们在运行VS 2003的时候需要对某一个目录下进行读写操作,看了一下该文件夹,发现没有Network Service,添加上该账号,同时选上FULL CONTROL,问题解决,\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\解决方案二在IIS6.0中的默认应用程序池-->属性-->标示中把Net Service改成Local System该问题也可以解决。

###############################################################################什么是应用程序池呢这是微软的一个全新概念：应用程序池是将一个或多个应用程序链接到一个或多个工作进程集合的配置。

W i n d o w s下通过i p安全策略设置只允许固定I P远程访问怎么解决网络安全是目前互联网的热门话题之一，作为个人用户的我们同样需要关注，做好防护。

服务器为了安全方面的原因，很多服务器都有漏洞的，一些未公开的漏洞可能导致黑客直接进入你的服务器，如果加了一层防护会更好，这里就为大家介绍一下只允许指定的i p才能访问远程桌面，这里小编就为大家介绍一下,需要的朋友可以参考下方法步骤(1)以X P环境为例，步骤：先禁止所有I P，再允许固定I P访问。

(2)配置过程中很多步骤图是重复的，一些没价值的图就省略了;(3)光看的话可能中间重复配置安全规则和I P筛选器模块会看晕，但按这个步骤配置肯定没有问题：过程梳理：先配置安全策略再配置I P筛选器列表最后为这些安全策略指定 I P筛选器，指定筛选器操作即可。

(4)设置完成后注意I P S E C服务必须为启动状态且启动类型必须设置为自动，否则机器重启后无效;(5)扩展：见文章最后。

1.创建安全策略(1)控制面板管理工具本地安全策略》(2)右键选择I P安全策略创建I P安全策略(3)进入设置向导：设置I P安全策略名称为限制固定I P远程访问在警告提示框选择是，其它均保持默认，具体参考下图。

2.设置阻止任何I P访问的筛选器(1)为新添加I P安全规则添加的安全规则属性(和第一添加规则步骤是相同的)(2)添加新的筛选器：在i p筛选列表选择添加输入筛选名称添加(3)再进入向导后：先设置禁止所有I P访问源地址：任何I P地址目标地址：我的I P地址协议：T C P到此端口输入：3389(3389为w i n d o w s远程访问端口)，其它均可保持默认，参考下图。

(4)完成后，会在I P筛选列表看到添加的信息。

如下图。

(5)配置I P筛选器允许的动作：在点确定后选择配置的阻止所有I P远程访问，下一步添加选择阻止最后确定，如下图。

注：默认阻止是没有的，只有请求安全、需要安全、允许三个选项。