Windows 2003下WEB服务器安全设置攻略

Windows 2003系统配置说明
Windows 2003系统运行CM-Desk平台，保证IE功能正常运行，需要进行以下配置工作：
1、进入系统控制面板，进入管理工具，双击打开Internet 信息服务(IIS)管理器，如下
图所示。

打开左侧的树，点击Web服务扩展，在右侧列表中，点击Active Server Pages 这一项，改变其状态为允许。

2、右键点击左侧树中的默认网站项，在右键菜单中选择属性，弹出属性对话框，如下
图所示。

选择HTTP头默认页，点击该页中的MIME类型按钮，弹出MIME类型对话框，在该对话框中，点击新建，在新建对话框中，扩展名为：.*，MIME类型为：application/octet-stream，点击确定，完成配置。

完成以上两步，就可以在Windows 2003系统上正常运行CM-Desk，保证IE功能正常运行。

Win2003 系统服务器防火墙设置教程Internet连接防火墙的设置在Windows 2003服务器上，对直接连接到Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到Internet。

1. 启动/停止防火墙(1)打开网络连接，右击要保护的连接，单击属性，出现本地连接属性对话框。

(2)单击高级选项卡，出现如图1所示启动/停止防火墙界面。

如果要启用Internet 连接防火墙，请选中通过限制或阻止来自Internet 的对此计算机的访问来保护我的计算机和网络复选框;如果要禁用Internet 连接防火墙，请清除以上选择。

2. 防火墙服务设置Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

(1)标准服务的设置我们以Windows 2003服务器提供的标准Web服务为例(默认端口80)，操作步骤如下：在图1所示界面中单击[设置]按钮，出现如图2所示服务设置对话框;在服务设置对话框中，选中Web服务器(HTTP)复选项，单击[确定]按钮。

设置好后，网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务注：您可以根据Windows 2003服务器所提供的服务进行选择，可以多选。

常用标准服务系统已经预置在系统中，你只需选中相应选项就可以了。

如果服务器还提供非标准服务，那就需要管理员手动添加了。

2)非标准服务的设置我们以通过8000端口开放一非标准的Web服务为例。

在图2服务设置对话框中，单击[添加]按钮，出现服务添加对话框，在此对话框中，填入服务描述、IP地址、服务所使用的端口号，并选择所使用的协议(Web服务使用TCP协议，DNS查询使用UDP协议)，最后单击[确定]。

设置完成后，网络用户可以通过8000端口访问相应的服务，而对没有经过授权的TCP、UDP端口的访问均被隔离。

一般大家先安装好win2003系统，图文教程Win2003 服务器系统安装图文教程要通过控制面板来安装。

具体做法为：1. 进入“控制面板”。

2. 双击“添加或删除程序”。

3. 单击“添加/删除Windows 组件”。

4. 在“组件”列表框中，双击“应用程序服务器”。

5. 双击“Internet 信息服务（IIS）”。

6. 从中选择“万维网服务”及“文件传输协议（FTP）服务”。

7. 双击“万维网服务”，从中选择“Active Server Pages”及“万维网服务”等。

安装好IIS后，接着设置Web服务器，具体做法为：1. 在“开始”菜单中选择“管理工具→Internet信息服务（IIS）管理器”。

2. 在“Internet 信息服务（IIS）管理器”中双击“本地计算机”。

3. 右击“网站”，在弹出菜单中选择“新建→网站”，打开“网站创建向导”。

4. 依次填写“网站描述”、“IP 地址”、“端口号”、“路径”和“网站访问权限”等。

最后，为了便于访问还应设置默认文档（Index.asp、Index.htm）。

上述设置和Windows 2000 Server网站设置基本相同，但此时Web服务还仅适用于静态内容，即静态页面能正常浏览，常用Active Server Pages（ASP）功能没有被启用。

所以还应在“Internet 信息服务（IIS）管理器”的“Web 服务扩展”中选择允许“Active Server Pages”。

a.安装IIS若操作系统中还未安装IIS服务器，可打开“控制面板”，然后单击启动“添加/删除程序”，在弹出的对话框中选择“添加/删除Windows组件”，在Windows组件向导对话框中选中“Internet信息服务（IIS）”，然后单击“下一步”，按向导指示，完成对IIS的安装。

（图例如下图1、图2 由于白茶123使用的是Windows Server 2003操作系统所以和大家的安装界面有所出入，但大体相同）此主题相关图片如下：图1—windows组件向导1 此主题相关图片如下：图2—windows组件向导2b.启动Internet信息服务（IIS）Internet信息服务简称为IIS，单击Windows开始菜单---所有程序---管理工具---Internet信息服务（IIS）管理器，即可启动“Internet信息服务”管理工具（如图3）此主题相关图片如下：图3—Internet信息服务（IIS）管理器c.配置IISIIS安装后，系统自动创建了一个默认的Web站点，该站点的主目录默认为C:\\Inetpub\\www.root。

Windows2003已经出现很久了，现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉，在这里，我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。

Win2003系统已经比Win2K系统增加了很多的安全性，所以现在选择Win2003系统作为服务器系统，将会是网络管理员的最佳选择。

本文假设你是一个服务器管理员，现在你的服务器使用Win2003服务器系统，你的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等）。

一、系统安装注意事项：首先，你得先把你的Win2003系统安装好，在安装系统时请选择使用NTFS文件系统分区，因为该分区可以对你的服务器资源进行加密、权限设置等，如果你的文件系统分区是使用FAT32的话，而你这台服务器作为一台虚拟主机，给客户提供空间，如果客户在空间里传了一个WebShell，如ASP木马等，而你使用的FAT32文件系统却不能为你的文件设置访问权限的话，那么黑客就能通过这个ASP木马取得你的服务器管理权了，那将是没有任何的安全性可言了。

为了系统的安全着想，系统安装好后，你还要给你的系统设置一个强壮的管理员口令，千万不要使用简单的口令，如123456等这样的简单登陆口令。

因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。

一个强壮的口令应该包括数字、英文字母、符号组成，如密码k3d8a^!ka76，设置好一个强壮的系统登陆口令后，我们就可以安装各种上面所述的组件服务支持了。

还是那句老话，最少的服务等于最大的安全，对于一切不须要的服务都不要安装，这样才能保证你服务器的安全性。

windows2003 iis架设web服务器图解教程Windows 2003 Standard Edition、Windows 2003 Enterprise Edition、Windows XP Professional 、Windows 2000 Server、Windows 2000 Advanced Server 以及 Windows 2000 Professional 的默认安装都带有IIS 。

在系统的安装过程中IIS是默认不安装的，在系统安装完毕后可以通过添加删除程序加装 IIS。

IIS是微软推出的架设 WEB、FTP、SMTP 服务器的一套整合系统组建，捆绑在上列NT核心的服务器系统中。

本文针对通过Windows2003 IIS组件配合花生壳动态域名解析软件向互联网提供WEB服务。

第一步：安装组件在控制面板的添加/删除程序——Windows组件向导——应用程序服务器——选中“”，然后他就会自动把“Internet 信息服务(IIS)”的相关服务也装上。

如下图：在选定需要安装的服务后安装向导会提示需要插入Windows 2003安装光盘，这时您插入安装盘按照提示进行安装，IIS中的WEB很快便自动安装完成。

第二步：建立网络通讯部分，为所建立的WEB服务设置动态域名解析服务配置1.下载花生壳动态域名解析软件并安装。

2.运行花生壳软件，点击“注册Oray护照”，根据弹出注册护照窗口提示进行注册。

注册Oray护照完成后，使用所注册的护照名称和密码填入花生壳软件中进行登陆。

3.申请一个免费域名作为互联网访问WEB服务的“网址”。

4.根据提示激活上一步所申请的免费域名花生壳动态DNS服务这时候，花生壳软件已经在线了，我们所申请的免费域名已经绑定到当前的公网IP地址，互联网可通过所申请的域名直接访问到当前主机的服务了，如果你的主机接在路由器或代理服务器后，请参考内网建站的文档。

下面我们继续WEB服务搭建。

图解web服务器安全设置一、系统设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。

然后点击确定—>下一步安装。

（具体见本文附件1）2、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。

3、备份系统用GHOST备份系统。

4、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份修改3389远程连接端口修改注册表.开始--运行--regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户的安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。

图解Win2003 SP1 下使用SCW配置Web服务器Windows Server 2003是大家最常用的服务器操作系统之一。

虽然它提供了强大的网络服务功能，并且简单易用，但它的安全性一直困扰着众多网管，如何在充分利用Windows Server 2003提供的各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和黑客的入侵。

Windows Server 2003 SP1中文版补丁包的发布，恰好解决这个问题，它不但提供了对系统漏洞的修复，还新增了很多易用的安全功能，如安全配置向导（SCW）功能。

利用SCW功能的“安全策略”可以最大限度增强服务器的安全，并且配置过程非常简单，下面就一起来看吧！1．安装SCW，SCW功能虽然已经内置在SP1中，但是必须通过手动安装才能够正常使用。

安装的方法很简单，打开控制面板的添加Windows组件，选中安全配安装SCW置向导然后点下一步就可以完成安装SCW了。

2．启动SCW。

安装完SCW后，单击开始按钮选择程序中的管理工具选择安全配置向导，就可以启动安全配置向导了。

启动安全配置向导安全配置向导的启动界面启动安全配置向导后，点击下一步，就进入安全配置了。

3．在这里我们选择创建新的安全策略，点击下一步。

4．在这里我们选择输入安装计算机的名字Win2003，并单击下一步。

等待计算机完成初始化安全配置数据库，并点击下一步。

务器在网络中所扮演的角色。

单击下一步。

6．根据需要选择web服务器，把其他前面的勾去掉，单击下一步。

7．由于我们只需要web服务，不需要别的客户端功能，所以把所有的勾都去掉。

是服务器安全中很重要的一项，所以我们选中它。

版等等就选中它。

在这里我们选择禁用此服务。

点击下一步。

下一步。

12.下面进入了下一项，就是网络安全的配置。

点击下一步。

点下一步。

口（比如3389）都关闭了。

然后我们就进入下一个配置项目：注册表配置。

15.进入注册表设置了，点击下一步。

Windows Server 2003下如何安装及配置FTP服务器一、安装FTP服务器组件：写在这里的一点:安装及配置FTP服务器之前,必须先手工配置服务器本身的IP地址(因为服务器本身的IP地址一定要是静态的).本文分步介绍了如何在独立服务器上配置一台基于Windows Server 2003 的文件传输协议(FTP) 服务器，以便为网络上的客户端计算机提供资源的传输和访问。

FTP服务组件是2003系统中的IIS 6.0集成的网络服务组件之一，默认情况下没有被安装。

在2003系统中安装FTP服务组件的步骤如下：开始→控制面版→添加删除程序→添加删除windows组件→双击‘应用程序服务器’(或单击‘应用程序服务器’并选择详细信息)。

里边就有一个”Internet信息服务（IIS）”打上勾点，再双击打开“Internet信息服务（IIS）”对话框，在子组件列表中选中“文件传输协议（FTP）服务”复选框，连续单击“确定”按钮，并单击“下一步”按钮，Windows组件向导”开始安装FTP服务组件。

当然你必须在光驱里放张2003的光盘，如果不放直接进行安装，当装到一定程度的时候就会跳出一个窗口说寻找I386源文件，你点浏览，找到你的源文件确定就可以了。

最后单击“完成”按钮关闭“Windows组件向导”对话框。

二、配置FTP服务器：1. 在Windows Server 2003系统中配置FTP服务器在Windows Server 2003系统中安装FTP服务器组件以后，用户只需进行简单的设置即可配置一台常规的FTP服务器，操作如下：第1步，在开始菜单中依次单击“管理工具”→“Internet信息服务（IIS）管理器”菜单项，打开“Internet信息服务（IIS）管理器”窗口。

在左窗格中展开“FTP站点”目录，右键单击“默认FTP站点”选项，并选择“属性”命令，如图所示:第2步，打开“默认FTP站点属性”对话框，在“FTP站点”选项卡中可以设置关于FTP站点的参数。

实验五：web服务器的安全配置实验目的：使同学们掌握windows 2000 sever、windows 2003 sever与IIS共同搭建web服务器的安全设置方案。

一、加强IIS安全的基本设置1.关闭并删除默认站点为了加强安全性我们首先应该关闭并删除IIS默认的各个站点，如默认FTP站点、默认Web站点和管理Web站点。

2.建立自己的站点，与系统不在同一分区例如C:\为系统盘，那么我们建立D:\wwwroot目录，用来存放站点的程序和数据；建立E:\Logfiles 目录，用来存放站点的日志文件，并确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）。

3.删除IIS的部分目录为了加强IIS安全,我们需要删除如下目录：IISHelp，C:\winnt\help\iishelp；IISAdmin，C:\system32\inetsrv\iisadmin；MSADC，C:\Program Files\Common Files\System\msadc\；另外还要删除IIS 的默认安装目录C:\ inetpub。

4.删除不必要的IIS映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp和 .shtm文件。

IIS 接收到这些类型的文件请求时，该调用由DLL处理。

如果所搭建的网站不使用其中某些扩展或功能，则应删除该映射。

步骤如下：打开 Internet 服务管理器：选择计算机名，点鼠标右键，选择属性，选择编辑然后选择主目录，点击配置，选择扩展名 \".htw\", \".htr\",\".idc\",\".ida\",\".idq\"和，点击删除如果不使用server side include，则删除\".shtm\" \".stm\" 和 \".shtml\"。

Windows 2003服务器安全配置终极技巧1、安装系统补丁。

扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。

∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。

打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘，有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限，无只给Administrators 权限。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

基于Windows2003的校园网Web服务器安全配置技术王杨摘要：对基于Windows Server 2003系统下Web服务器的安全技术研究。

从操作系统本身入手，通过重新规划系统部分默认配置。

提高基Windows2003的校园网Web服务器的安全性。

关键词：web 服务器；安全；IIS；Windows Server 2003构建一个安全的Web服务平台是保障学校各项工作顺利开展的基础，是学校实现现代化教学的前提，也是保障整个互联网健康发展的一个重要因素。

随着各类黑客工具在网络上的大势传播，Web 服务器面临着前所未有的威胁Windows Server2003作为第一个内置支持.NET技术的操作系统，重写了内核代码，使得该系统更稳定、更安全。

以下分别从Windows Server2003 系统配置，IIS配置以及网站代码安全三个方面来探讨web 服务器的安全问题。

1 Windows Server2003 系统安全配置Web服务器所采用的操作系统，高性能、高可靠性和高安全性是其必备要素。

微软的企业级操作系统中, 如果说Windows2000 全面继承了NT 技术, 那么Windows Server2003 则是依据.Net 架构对NT技术作了重要发展和实质性改进, 凝聚了微软多年来的技术积累, 使得系统安全性方面得以更大提高。

1.1 采用NTFS磁盘分区格式NTFS系统提供了性能安全、可靠以及在其他文件系统格式没有的高级功能,可以实现文件及文件夹的加密、权限设置、磁盘配额和压缩等高级功能,并可以更好的利用磁盘空间,提高系统的运行速度。

自WindowsNT 系统问世以来,使用NTFS文件系统,进一步打造系统安全已逐渐成为一种共识。

1.2 关闭系统默认共享Windows Server2003 仍开启默认共享所有硬盘分区, 以及让进程通信而开放的命名管道IPC$和系统工作目录admin$共享,这就为系统的安全埋下隐患。

Win2003 系统服务器防火墙设置教程防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。

Internet连接防火墙的设置在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。

1. 启动/停止防火墙(1)打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。

(2)单击“高级”选项卡，出现如图1所示启动/停止防火墙界面。

如果要启用Internet 连接防火墙，请选中“通过限制或阻止来自Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙，请清除以上选择。

2. 防火墙服务设置Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

(1)标准服务的设置我们以Windows 2003服务器提供的标准Web服务为例(默认端口80)，操作步骤如下：在图1所示界面中单击[设置]按钮，出现如图2所示“服务设置”对话框;在“服务设置”对话框中，选中“Web服务器(HTTP)”复选项，单击[确定]按钮。

设置好后，网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务注：您可以根据Windows 2003服务器所提供的服务进行选择，可以多选。

常用标准服务系统已经预置在系统中，你只需选中相应选项就可以了。

如果服务器还提供非标准服务，那就需要管理员手动添加了。

2)非标准服务的设置我们以通过8000端口开放一非标准的Web服务为例。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

现在说第二篇:注册表修改删除不安全组件禁用无关服务.(1)服务器安全设置篇(3-1) - 入侵方法介绍端口限制磁盘权限设置(2)服务器安全设置篇(3-2) - 注册表修改删除不安全组件禁用无关服务(3)服务器安全设置篇(3-3) - 网站WEB目录权限 SQL SERVER2000设置(4)服务器安全设置篇(3-4) - 备份杀毒审计1注册表是啥东西?注册表包含Windows 在运行期间不断引用的信息，例如，每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,也只是随便说说,改注册表,,限一些东西而已点击"开始" -- "运行" -- "regedit" -- "确定"就可以打开注册表了..(1).关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”(0在十六进制,十进制都是一样)如图:(以下就不做图例了,差不多的.看看也懂.)(2).禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1] (3).禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareServer”数据值为“0”(4).禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareWks”数据值为“0”(5).通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”值名为“SynAttackProtect”数据值为“1”2.禁止dump file我的电脑>点击右键"属性">高级>启动和故障恢复把写入调试信息改成无。

WIN2003服务器安全加固方案关键词：安全加固方案服务器 WIN2003因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。

但是，IIS的安全性却一直令人担忧。

如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS 安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

二．我们通过一下几个方面对您的系统进行安全加固：1．系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2． IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3．系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

三．系统的安全加固：1．目录权限的配置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM 有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。

2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般入侵，需要高级服务器安全维护，请联系我。

我们一起交流一下！做为一个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的密码一定要强壮！服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。

)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。