Windows 2003 Server安全配置完整篇

WIN2003服务器安全和配置完整教程一、硬盘分区与操作系统的安装∙硬盘分区总的来讲在硬盘分区上面没什么值得深入剖析的地方，无非就是一个在分区前做好规划知道要去放些什么东西，如果实在不知道。

那就只一个硬盘只分一个区，分区要一次性完成，不要先分成FAT32再转成NTFS。

一次性分成NTFS格式，以我个人习惯，系统盘一般给12G。

建议使用光盘启动完成分区过程，不要加载硬盘软件。

∙系统安装以下内容均以2003为例安装过程也没什么多讲的，安装系统是一个以个人性格为参数的活动，我建议在安装路径上保持默认路径，好多文章上写什么安装路径要改成什么呀什么的，这是没必要的。

路径保存在注册表里，怎么改都没用。

在安装过程中就要选定你需要的服务，如一些DN S、DHCP没特别需要也就不要装了。

在安装过程中网卡属性中可以只保留TCP/IP 这一项，同时禁用NETBOIS。

安装完成后如果带宽条件允许可用系统自带在线升级。

二、系统权限与安全配置前面讲的都是屁话，润润笔而已。

（俺也文人一次）话锋一转就到了系统权限设置与安全配置的实际操作阶段系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。

此句基本上是个人都看过，但我好像没有看到过一篇讲的比较详细稍具全面的文章，下面就以我个人经验作一次教学尝试！2.1 最小的权限如何实现？NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Def ault User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Every one用户权限C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Inst aller也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.print ers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

Win2003网站服务器的安全配置全攻略安装篇2003默认安装不带IIS的，要安装，请点击开始->管理工具->配置您的服务器向导然后一步步的下一步。

到了列表选择项目的时候。

从列表中选择应用服务器（IIS,）然后确定，下一步frontpage server extension和如果要支持.Net，都打勾，前者vs用到。

然后一路下一步。

成功后最后mmc管理去。

设置篇：1：支持Asp：控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> Active Server Pages -> 允许控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> 在服务端的包含文件 -> 允许2：上传200K限制：先在服务里关闭iis admin service服务找到windows\system32\inesrv\下的metabase.xml,打开，找到ASPMaxRequestEntityAllowed 把他修改为需要的值，然后iisreset3：启用父路径：IIS-网站－主目录－配置－选项－启用父路关键词：Win2003 服务器配置网站安全阅读提示：息网络对于服务器的安全要求是十分重要的，为防止服务器发生意外或受到意外攻击，而导致大量重要的数据丢失，下面就介绍Win2003服务器安全热点技术。

本配置仅适合Win2003，部分内容也适合于Win2000。

很多人觉得3389不安全，其实只要设置好，密码够长，攻破3389也不是件容易的事情，我觉得别的远程软件都很慢，还是使用了3389连接。

经测试，本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的单服务器多网站中一切正常。

以下配置中打勾的为推荐进行配置，打叉的为可选配置。

一、系统权限的设置1、磁盘权限系统盘只给 Administrators 组和 SYSTEM 的完全控制权限其他磁盘只给 Administrators 组完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\windows\system32\config\ 禁止guests组系统盘\Documents and Settings\All Users\「开始」菜单\程序\ 禁止guests组系统盘\windowns\system32\inetsrv\data\ 禁止guests组系统盘\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\ cmd.exe、 仅 Administrators 组完全控制权限把所有（Windows\system32和Windows\ServicePackFiles\i386） 更名为format_2、本地安全策略设置开始菜单->管理工具->本地安全策略A、本地策略-->审核策略审核策略更改 成功 失败审核登录事件 成功 失败审核对象访问失败审核过程跟踪 无审核审核目录服务访问失败审核特权使用失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败B、本地策略-->用户权限分配关闭系统：只有Administrators组、其它全部删除。

漏洞发现：老寒组织名称:[[Kingdom China Team-中华帝盟安全小组]厂商名字：microsoft厂商地址：漏洞程序：windows2003服务器版漏洞类型：安全配置影响版本：Standard Edition，Enterprise Edition，Web Edition程序介绍: windos2003服务器安全配置我在写文章的时候查阅了不少资料不经常写文章重点我分不清楚大家就凑合着看吧总的来说还算是好文章（：一、安装篇1.win2003版本区别1）Windows Server 2003, Standard Edition （标准版）针对中小型企业的核心产品，他也是支持双路处理器，4GB的内存。

它除了具备 Windows Server 2003 Web Edition 所有功能外，还支持像证书服务、UDDI服务、传真服务、IAS 因特网验证服务、可移动存储、RIS、智能卡、终端服务、WMS和 Services for Macintosh。

支持文件和打印机共享。

提供安全的网络联接。

2）Windows Server 2003, Enterprise Edition （企业版）这个产品被定义为新一带高端产品，它最多能够支持8路处理器，32 GB内存，和28个节点的集群。

它是 Windows Server 2003 Standard Edition 的扩展版本，增加了Metadirectory Services Support、终端服务会话目录、集群、热添加（ Hot-Add）内存和 NUMA非统一内存访问存取技术。

这个版本还另外增加了一个支持64位计算的版本。

全功能的操作系统支持多达8个处理器。

提供企业级的功能例如8节点的集群，支持32GB 内存。

支持英特尔安腾Itanium 处理器。

将推出支持64位计算机的版本，可以支持8个64位处理器以及64GB的内存。

3）Windows Server 2003, Datacenter Edition （数据中心）像以往一样，这是个一直代表微软产品最高性能的产品，他的市场对象一直定位在最高端应用上，有着极其可靠的稳定性和扩展性能。

硬盘目录权限设置和删除不需要的目录1．C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了2．Windows目录要加上给users的默认权限，删除everyone即可。

否则ASP和ASPX 等应用程序就无法运行。

c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限，在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

3．删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击4．打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscrīpt.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey .exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限禁用不必要的服务Remote Registry服务[禁止远程连接注册表]命令：sc config RemoteRegistry start= disabledtask schedule服务[禁止自动运行程序]命令：sc config Schedule start= disabledserver服务 [禁止默认共享]命令：sc config lanmanserver start= disabledTelnet服务 [禁止telnet远程登陆]命令：sc config TlntSvr start= disabledworkstation服务 [防止一些漏洞和系统敏感信息获取]命令：sc config lanmanworkstation start= disabledError Reporting Service服务[禁止收集、存储和向Microsoft 报告异常应用程序]命令：sc config ERSvc start= disabledMessenger服务[禁止传输客户端和服务器之间的NET SEND 和警报器服务消息]命令：sc config Messenger start= disabledHelp and Support服务[禁止在此计算机上运行帮助和支持中心]命令：sc config helpsvc start= disabledNetwork Location Awareness (NLA)服务[禁止收集并保存网络配置和位置信息]命令：sc config Nla start= disabledSERV-U FTP 服务器的设置1.选中“Block "FTP_bounce"attack and FXP”。

Windows2003服务器安全配置系统安全设置硬盘分区总的来讲在硬盘分区上面没什么值得深入剖析的地方，无非就是一个在分区前做好规划知道要去放些什么东西，如果实在不知道。

那就只一个硬盘只分一个区，分区要一次性完成，不要先分成FAT32再转成NTFS。

一次性分成NTFS格式，以我个人习惯，系统盘一般给10G。

建议使用光盘启动完成分区过程，不要加载硬盘软件。

系统安装１、按照Windows2003安装光盘的提示安装，安装过程就不多讲。

默认情况下2003没有把IIS6.0安装在系统里面。

２、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|———启用网络COM+ 访问（必选）|———Internet信息服务(IIS)Internet信息服务管理器（必选）|———公用文件（必选）|———万维网服务Active Server pages（必选）|———Internet 数据连接器（可选）|———WebDA V 发布（可选）|———万维网服务（必选）|———在服务器端的包含文件（可选）然后点击确定—>下一步安装.３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。

４、备份系统用GHOST备份系统。

５、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

最小的权限如何实现NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户，进入系统盘:权限如下C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone 用户权限C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击默认IIS错误页面已基本上没多少人使用了。

Windows Server 2003优化及安全配置一、操作系统基础配置优化稳定的服务源于强健的操作系统，强健的操作系统基于合理的基础配置1.1 跳过磁盘检修等待时间一旦计算机因意外原因，例如突然停电或者死机的话，那么计算机下次重新启动的话，系统就会花10秒钟的时间，来运行磁盘扫描程序，检查磁盘是否有错误出现。

对于服务器来说，越短的启动时间代表越少的服务中断，所以我们可以进行以下配置：A、在开始菜单中选择“运行”，键入“cmd”命令，将界面切换到DOS命令行状态下；B、直接输入“CHKNTFS /T:0”命令，单击回车键后，系统就能自动将检查磁盘的等待时间修改为0了；下次遇到异常情况，重新启动计算机后，系统再调用磁盘扫描程序时，就不需要等待了。

1.2 取消对网站的安全检查Windows Server 2003操作系统自带了Internet Explorer增强的安全配置，当打开浏览器来查询网上信息时，发现IE总是“不厌其烦”地提示我们，是否需要将当前访问的网站添加到自己信任的站点中去；要是不信任的话，就无法打开指定网页；倘若信任的话，就必须单击“添加”按钮，将该网页添加到信任网站的列表中去。

这种配置虽然增强了系统安全性，但是无疑也给我们日常维护增加了麻烦。

我们可以通过下面的方法来让IE取消对网站安全性的检查：A、依次执行“开始”/“设置”/“控制面板”命令，在打开的控制面板窗口中，用鼠标双击“添加和删除程序”图标，将界面切换到“添加和删除Windows组件”页面中；B、用鼠标选中“Internet Explorer增强的安全配置”选项，继续单击下一步按钮，就能将该选项从系统中删除了；C、再单击一下“完成”按钮，退出组件删除提示窗口。

1.3 自动登录Windows Server 2003系统每次开机运行Windows Server 2003系统时，都需要同时按住Ctrl+Alt+Delete复合键，再输入登录密码，才能进入到系统中。

基本的服务器安全设置安装补丁安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。

安装杀毒软件虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。

我一直在用诺顿2004，据说2005可以杀木马，不过我没试过。

还有人用瑞星，瑞星是确定可以杀木马的。

更多的人说卡巴司机好，不过我没用过。

不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

设置端口保护和防火墙、删除默认共享都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。

这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以擞出来看看，晚些时候我或者会复制一些到我的网站上。

权限设置阿江感觉这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。

我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。

权限设置的原理WINDOWS用户，在WINNT系统中大多数时候把权限按用户(組)来划分。

在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。

【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。

IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”)，当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

权限设置的思路要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

暴露于Internet中的服务器安全配置步骤目录1.配置Windows 2000 Server (3)2.配置防火墙 (3)2.1天网防火墙个人版（自定义IP 规则） ...... 错误！未定义书签。

3.修改本地用户 (3)4.设置本地安全策略 (4)4.1账户锁定策略 (4)4.2审核策略 (5)4.3用户权利指派 (6)4.4安全选项 (7)5.配置路由和远程访问 (7)6.配置VPN (12)7.日常例行检查 (13)请在任何时候都记住：再好的安全措施、防火墙，也无法抵御来自内部的攻击，特别是具有管理员权限内部人员的恶意攻击。

1.配置Windows 2000 Server必须安装直到目前的所有补丁：sp1、sp2、sp3。

经常使用“开始”---“Windows Updata”功能进行安全更新。

2.配置应用程序如果系统中的应用程序有补丁，必须全部打上补丁，特别是SQL SERVER2000,必须依次打到SP3以上。

3.IIS的处理在一般情况下，请去掉IIS服务。

请将C:\INTEPUB这个文件夹改名。

4.配置防火墙我们一般建议使用诺顿网络特警2003（请见《诺顿网络特警2003操作手册》）5.修改本地用户打开“开始－程序－管理工具－计算机管理”，展开“计算机管理（本地）－系统工具－本地用户和组”。

●设置所有属于“administrator”组的用户密码必须在18位以上。

●双击“组”，建立组VPN。

●双击“用户”⏹新建“sql”帐号，专用于SQL SERVER2000服务启动使用。

并加入administrator 组。

密码至少18 位长并且必须包含字母和数字，并修改其拨入属性为“拒绝访问”。

“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。

⏹设置administrator 密码至少18 位长并且必须包含字母和数字，并修改其拨入属性为“拒绝访问”。

⏹禁用guest 账户。

并修改其拨入属性为“拒绝访问”。

win2003服务器安全配置清单1、服务器安全设置之--硬盘权限篇这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。

本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了。

硬盘或文件夹: C:\ D:\ E:\ F:\ 类推主要权限部分：其他权限部分：Administrat ors 完全控制无如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users 读取运行权限就足够了，比如c:\php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。

如果是mysql 的话，用一个独立用户运行MYSQL会更安全，下面会有介绍。

如果是winwebmail，则最好建立独立的应用程序池和独立IIS用户，然后整个安装目录有users用户的读/运行/写/权限，IIS用户则相同，这个IIS用户就只用在winwebmail的WEB访问中，其他IIS站点切勿使用，安装了winwebmail的服务器硬盘权限设置后面举例该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Inetpub\主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<继承于c:\>CREATOR OWNER 完全控制只有子文件夹及文件<继承于c:\>SYSTEM 完全控制该文件夹，子文件夹及文件<继承于c:\>硬盘或文件夹: C:\Inetpub\AdminScripts主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Inetpub\wwwroot主要权限部分：其他权限部分：Administrat ors 完全控制 IIS_WPG 读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>SYSTEM 完全控制Users 读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>这里可以把虚拟主机用户组加上同Int ernet来宾帐户一样的权限拒绝权限Internet 来宾帐户创建文件/写入数据/:拒绝创建文件夹/附加数据/:拒绝写入属性/:拒绝写入扩展属性/:拒绝删除子文件夹及文件/:拒绝删除/:拒绝该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client 主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>SYSTEM 完全控制USERS组的权限仅仅限制于读取和运行，绝对不能加上写入权限该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\Application Data 主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>CREATOR OWNER 完全控制 Users 写入只有子文件夹及文件该文件夹，子文件夹<不是继承的> <不是继承的>SYSTEM 完全控制两个并列权限同用户组需要分开列权限该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>SYSTEM 完全控制此文件夹包含Microsoft应用程序状态数据该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\Application Dat a\Microsoft\Crypto\RSA\MachineKeys主要权限部分：其他权限部分：Administrat ors 完全控制Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限只有该文件夹Everyone这里只有读写权限，不能加运行和删除权限，仅限该文件夹只有该文件夹<不是继承的> <不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\Application Dat a\Microsoft\Crypto\DSS\MachineKeys主要权限部分：其他权限部分：Administrat ors 完全控制Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限只有该文件夹Everyone这里只有读写权限，不能加运行和删除权限，仅限该文件夹只有该文件夹<不是继承的> <不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\Application Dat a\Microsoft\Network\Connections\Cm主要权限部分：其他权限部分：Administrat ors 完全控制Everyone 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>SYSTEM 完全控制Everyone这里只有读和运行权限该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\Application Dat a\Microsoft\Network\Downloader主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index 主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <继承于上一级文件夹>SYSTEM 完全控制Users 创建文件/写入数据创建文件夹/附加数据写入属性写入扩展属性读取权限该文件夹，子文件夹及文件只有该文件夹<不是继承的> <不是继承的>Users 创建文件/写入数据创建文件夹/附加数据写入属性写入扩展属性只有该子文件夹和文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\DRM主要权限部分：其他权限部分：这里需要把GUEST用户组和IIS访问用户组全部禁止Everyone的权限比较特殊，默认安装后已经带了主要是要把IIS访问的用户组加上所有权限都禁止Users 读取和运行该文件夹，子文件夹及文件<不是继承的>Guests 拒绝所有该文件夹，子文件夹及文件<不是继承的>Guest拒绝所有该文件夹，子文件夹及文件<不是继承的>IUSR_XXX或某个虚拟主机用户组拒绝所有该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Documents and Settings\All Users\Documents (共享文档) 主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program FilesAdministrat ors 完全控制 IIS_WPG 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>CREATOR OWNER 完全控制 IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>SYSTEM 完全控制 IIS虚拟主机用户组禁止列目录，可有效防止F SO类木马如果安装了aspjepg和aspupload该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\Common Files主要权限部分：其他权限部分：Administrat ors 完全控制 IIS_WPG 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <继承于上级目录>CREATOR OWNER 完全控制 Users 读取和运行只有子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>SYSTEM 完全控制复合权限，为IIS提供快速安全的运行环境该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web server ext ensionsAdministrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默认装在C：盘) 主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: E:\Program Files\Microsoft SQL Server (数据库部分装在E：盘的情况)主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL (数据库部分装在E：盘的情况) 主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\Outlook Express主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\PowerEasy5 (如果装了动易组件的话)主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\Radmin (如果装了Radmin远程控制的话) 主要权限部分：其他权限部分：Administrat ors 完全控制无对应的c:\windows\system32里面有两个文件r_server.exe和AdmDll.dll要把Users读取运行权限去掉默认权限只要administrators和syst em全部权限该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\Serv-U (如果装了Serv-U服务器的话) 主要权限部分：其他权限部分：Administrat ors 完全控制无这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是C:\Program Files\\Serv-U该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\Windows Media Player主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\Windows NT\Accessories 主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\Program Files\WindowsUpdate主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:\WINDOWS主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\WINDOWS\repair主要权限部分：其他权限部分：Administrat ors 完全控制 IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据：拒绝该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>CREATOR OWNER 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据这里保护的是系统级数据SAM只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:\WINDOWS\syst em32主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>CREATOR OWNER 完全控制 IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>SYSTEM 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\WINDOWS\syst em32\config主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>CREATOR OWNER 完全控制 IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <继承于上一级目录>SYSTEM 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件硬盘或文件夹: C:\WINDOWS\syst em32\inetsrv\主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>CREATOR OWNER 完全控制 IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件只有该文件夹<不是继承的> <继承于上一级目录>SYSTEM 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\WINDOWS\syst em32\inetsrv\ASP Compiled Templates 主要权限部分：其他权限部分：Administrat ors 完全控制 IIS_WPG 完全控制该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据：拒绝该文件夹，子文件夹及文件<继承于上一级目录>虚拟主机用户访问组拒绝读取，有助于保护系统数据硬盘或文件夹: C:\WINDOWS\syst em32\inetsrv\iisadmpwd主要权限部分：其他权限部分：Administrat ors 完全控制无该文件夹，子文件夹及文件<不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>硬盘或文件夹: C:\WINDOWS\syst em32\inetsrv\Met aBack主要权限部分：其他权限部分：Administrat ors 完全控制Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>CREATOR OWNER 完全控制 IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <继承于上一级目录>SYSTEM 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件<不是继承的>Winwebmail 电子邮局安装后权限举例：目录E:\主要权限部分：其他权限部分：Administrat ors 完全控制 IUSR_XXXXXX这个用户是WINWEBMAIL访问WEB站点专用帐户读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<不是继承的> <不是继承的>CREATOR OWNER 完全控制只有子文件夹及文件<不是继承的>SYSTEM 完全控制该文件夹，子文件夹及文件<不是继承的>Winwebmail 电子邮局安装后权限举例：目录E:\WinWebMail主要权限部分：其他权限部分：Administrat ors 完全控制 IUSR_XXXXXXWINWEBMAIL访问WEB站点专用帐户读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件<继承于E:\> <继承于E:\>CREATOR OWNER 完全控制 Users 修改/读取运行/列出文件目录/读取/写入只有子文件夹及文件该文件夹，子文件夹及文件<继承于E:\> <不是继承的>SYSTEM 完全控制 IUSR_XXXXXXWINWEBMAIL访问WEB站点专用帐户修改/读取运行/列出文件目录/读取/写入该文件夹，子文件夹及文件该文件夹，子文件夹及文件<继承于E:\> <不是继承的>IUSR_XXXXXX和IWAM_XXXXXX是winwebmail专用的IIS用户和应用程序池用户单独使用，安全性能高IWAM_XXXXXXWINWEBMAIL应用程序池专用帐户修改/读取运行/列出文件目录/读取/写入该文件夹，子文件夹及文件<不是继承的>2、服务器安全设置之--系统服务篇(设置完毕需要重新启动)*除非特殊情况非开不可，下列系统服务要■停止并禁用■：Alerter服务名称: Alerter显示名称: Alerter服务描述: 通知选定的用户和计算机管理警报。

Wind ows server2003服务器的安全配置以下是我服务器的安全配置情况,写得没好,请没要介意.也没要拿砖头砸我一.磁盘权限的设置c:\Administrators 完全控制System 完全控制Users 读取读取运行列出文件夹目录(为了让防盗链能正常运行)Guest 拒绝所有权限.并只应用到“只有该文件夹”C:\Documents and SettingsAdministrators 完全控制System 完全控制C:\Documents and Settings\All UsersAdministrators 完全控制System 完全控制C:\php读取读取运行列出文件夹目录C:\Program FilesAdministrators 完全控制System 完全控制C:\Program Files\Common Files\System把Everyone权限加上去，赋予读取读取运行列出文件夹目录权限C:\WINDOWSAdministrators 完全控制System 完全控制IIS_WPG 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”Users 读取读取运行列出文件夹目录,并应用到“只有该文件夹”C:\WINDOWS\system32Administrators 完全控制System 完全控制Everyone 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”搜索cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉！D盘看不到，不用管E:\Administrators 完全控制E:\webAdministrators 完全控制e:\web下面是网站目录，每个站点使用独立的匿名用户，这个不用多说了.F:\Administrators 完全控制f:\webadministrators 完全控制f:\web下面也是用户目录。

WEB+FTP+Email 服务器安全配置手册目录第一章：硬件环境第二章：软件环境第三章：系统端口安全配置第四章：系统帐户及安全策略配置第五章：IIS 和WEB 站点文件夹权限配置第六章：FTP 服务器安全权限配置第七章：E m a il服务器安全权限配置第八章：远程管理软件配置第九章：其它安全配置建议第十章：篇后语一、硬件环境服务器采用1U 规格的机架式托管主机，大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。

二、软件环境操作系统：Windows Server 2003 Enterprise Edition sp1WEB 系统：Win 操作系统自带IIS6，支持.N ET邮件系统：MDaemon 8.02 英文版FTP 服务器系统：Serv-U 6.0.2 汉化版防火墙: BlackICE Server Protection，中文名：黑冰杀毒软件：NOD32 2.5远程管理控件：Symantec pcAnywhere11.5+Win 系统自带的MSTSC数据库：MSSQL2000 企业版相关支持组件：JMail 4.4 专业版，带POP3 接口；ASPJPEG 图片组件相关软件：X-SCAN 安全检测扫描软件；ACCESS；EditPlus[相关说明]*考虑服务器数据安全，把160G*2 硬盘做成了阵列，实际可用容易也就只有一百多G 了。

*硬盘分区均为NTFS 分区；NTFS 比FAT 分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。

操作系统安装完后，第一时间安装NOD32 杀毒软件，装完后在线更新病毒库，接着在线Update 操作系统安全补丁。

*安装完系统更新后，运行X-SCAN 进行安全扫描，扫描完后查看安全报告，根据安全报告做出相应的安全策略调整即可。

*出于安全考虑把MSTSC 远程桌面的默认端口进行更改。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

Windows-Server-2003安全(ānquán)设置Windows-Server-2003安全(ānquán)设置2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置，使Windows Server 2003安全性大大加强。

一、安装过程中的安全问题1．NTFS系统。

老生长谈的话题了。

NTFS系统为一种高级的文件系统，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能，通过它可以实现任意文件及文件夹的加密和权限设置（这是最直观的安全设置了），磁盘配额和压缩等高级功能。

通过它，你还可以更好的利用磁盘空间，提高系统运行速度……自WindowsNT系统以来，使用NTFS系统已经逐渐成了一种共识。

为了体验NTFS系统带来的这些免费的优惠，笔者特意把硬盘所有分区都转成了NTFS 系统。

如果你在安装时不选用NTFS系统，那么后面的很多安全配置如用户权限设置等你将都不能实现。

2．安装过程中有关安全的提示。

在安装过程中需要输入Administrator密码，新的Windows Server 2003提供了一个比较成熟的密码规则，当你输入的密码不符合规则时，就会以图片形式出现如下提示（由于安装未完成，不能抓图，请谅解。

内容已经抄下来了）：您已经指定的管理员帐户的密码不符合密码的条件，建议使用的密码应符合下列条件之中的前二个及至少三个：- 至少6个字符- 不包含"Administrator"或"Admin"- 包含大写字母（A、B、C等等）- 包含小写字母（a、b、c等等）- 包含数字（0、1、2等等）- 包含非字母数字字符（#、&、~等等）您确定要继续使用当前密码吗？之所以说是“比较成熟”的密码规则，因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装，这就为以后的系统安全埋下了隐患。

实验二Windows Server 2003安全设置【实验背景】Windows Server 2003作为Microsoft 最新推出的服务器操作系统，不仅继承了Windows 2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的首选。

虽然缺省的Windows 2003安装比缺省的Windows NT或Windows 2000安装安全许多，但是它还是存在着一些不足，许多安全机制依然需要用户来实现它们。

【实验目的】掌握Windows Server 2003常用的安全设置。

【实验条件】安装了Windows Server 2003的计算机。

【实验任务】就Windows Server 2003在网络应用中帐户、共享、远程访问、服务等方面的安全性作相关设置。

【实验步骤】1. 修改管理员帐号和创建陷阱帐号Windows操作系统默认安装用Administrator作为管理员帐号，黑客也往往会先试图破译Administrator帐号密码，从而开始进攻系统，所以系统安装成功后，应重命名Administrator帐号。

方法如下：(1) 打开【本地安全设置】对话框，选择“本地策略”→“安全选项”，如图1所示。

图1 重命名系统帐户(2) 双击“帐户：重命名系统管理员帐户”策略，给Administrator重新设置一个平常的用户名，如user1，然后新建一个权限最低的、密码极复杂的Administrator的陷阱帐号来迷惑黑客，并且可以借此发现它们的入侵企图。

2. 清除默认共享隐患Windows Server 2003系统在默认安装时，都会产生默认的共享文件夹，如图2所示。

如果攻击者破译了系统的管理员密码，就有可能通过“\\工作站名\共享名称”的方法，打开系统的指定文件夹，因此应从系统中清除默认的共享隐患。

图2 共享资源管理1) 删除默认共享以删除图2中的默认磁盘及系统共享资源为例，首先打开“记事本”，根据需要编写如下内容的批处理文件：@echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share admin$ /del文件保存为delshare.bat，存放到系统所在文件夹下的system32\GroupPolicy\User \Scripts\Logon目录下。