Windows Server 2003 系統配置方案

Windows Server 2003 系統配置方案

由于近短ASP木馬問題嚴重/很多主機租用朋友和主機管理員想我詢問WIN2003的一些安全配置措施，現我做拉初步整理。希望對大家有所幫助。有不足之處請大家補上。

一、系統的安裝　　

１、按照Windows2003安裝光盤的提示安裝，默認情況下2003沒有把IIS6.0安裝在系統里面。

２、IIS6.0的安裝
　　開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
　　應用程序 ———ASP.NET（可選）
　　　　　　　|——啟用網絡 COM+ 訪問（必選）
　　　　　　　|——Internet 信息服務(IIS)———Internet 信息服務管理器（必選）　
　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必選）
　　　　　　　　　　　　　　　　　　　　　 |——萬維網服務———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　|——Internet 數據連接器（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——萬維網服務（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服務器端的包含文件（可選）
　　然后點擊確定—>下一步安裝。

３、系統補丁的更新
　　點擊開始菜單—>所有程序—>Windows Update
　　按照提示進行補丁的安裝。

４、備份系統
　　用GHOST備份系統。

５、安裝常用的軟件
　　例如：殺毒軟件、解壓縮軟件等；安裝之后用GHOST再次備份系統。

二、系統權限的設置
１、磁盤權限
　　系統盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權限
　　
２、本地安全策略設置
　　開始菜單—>管理工具—>本地安全策略
　　A、本地策略——>審核策略
　　審核策略更改　　　成功　失敗　　
　　審核登錄事件　　　成功　失敗
　　審核對象訪問　　　　　　失敗
　　審核過程跟蹤　　　無審核
　　審核目錄服務訪問　　　　失敗
　　審核特權使用　　　　　　失敗
　　審核系統事件　　　成功　失敗
　　審核賬戶登錄事件　成功　失敗
　　審核賬戶管理　　　成功　失敗

　　B、 本地策略——>用戶權限分配
　　關閉系統：只有Administrators組、其它全部刪除。
　　通過終端服務拒絕登陸：加入Guests、User組
　　通過終端服務允許登陸：只加入Administrators組，其他全部刪除

　　C、本地策略——>安全選項
　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用
　　網絡訪問：不允許SAM帳戶和共享的匿名枚舉　　 啟用
　　網絡訪問：不允許為網絡身份驗證儲存憑證　　　啟用
　　網絡訪問：可匿名訪問的共享　　　　　　　　　全部刪除
　　網絡訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網絡訪問：可遠程訪問的注冊表路徑　　　　　　全部刪除
　　網絡訪問：可遠程訪問的注冊表路徑和子路徑　　全部刪除
　　帳戶：重命名來賓帳戶　　　　　　　　　　　　重命名一個帳戶
　　帳戶：重命名系統管理員帳戶　　　　　　　　　重命名一個帳戶

３、禁用不必要的服務
　　開始菜單—>管理工具—>服務
　　Print Spooler
　　Remote Registry
　　TCP/IP NetBIOS Helper
　　Server
　　
　　以上是在Windows Server 2003 系統上面默認啟動的服務中禁用的，默認禁用的服務如沒特別需要的話不要啟動。

４、啟用防火墻
　　桌面—>網上鄰居—>（右鍵）屬性—>本地連接—>（右鍵）屬性—>高級—>（選中）Internet 連接防火墻—>設置
　　把服務器上面要用到的服務端口選中
　　例如：一臺WEB服務器，要提供WEB（80）、FTP（21）服務及遠程桌面管理（3389）
　　　　在“FTP 服務器”、“WEB服務器（HTTP）”、“遠程桌面”前面打上對號
　　如果你要提供服務的端口不在里面，你也可以點擊“添加”銨鈕來添加，具體參數可以參照系統里面原有的參數。
　　然后點擊確定。注意：如果是遠程管理這臺服務器，請先確定遠程管理的端口是否選中或添加。
ASP虛擬主機安全檢測探針V1.5

走出Windows權限迷魂陣
在電腦應用中經常會看到"權限"這個詞，特別是Windows 2000/XP被越來越多的朋友裝進電腦后，常常會有讀者問，什么是權限呢?它到底有什么用?下面我們將用幾個典型實例為大家講解windows中的權限應用，讓你不僅可以在不安裝任何軟件的情況下，限制別人訪問你的文件夾、指定用戶不能使用的程序，而且還有來自微軟內部的加強系統安全的絕招。