萬盛學電腦網

 萬盛學電腦網 >> windows 2003教程 >> 配置安全的windows2003服務器

配置安全的windows2003服務器

一、先關閉不需要的端口

只開了3389 21 80 1433 3306

修改3389端口:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]

"PortNumber"=dword:00002683

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\wds\rdpwd\tds\tcp]

"PortNumber"=dword:00002683

二、關閉不需要的服務 打開相應的審核策略

Computer Browser 維護網絡上計算機的最新列表以及提供這個列表

Task scheduler 允許程序在指定時間運行

Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務

Removable storage 管理可移動媒體、驅動程序和庫

Remote Registry Service 允許遠程注冊表操作

Print Spooler 將文件加載到內存中以便以後打印。要用打印機的朋友不能禁用這項

IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序

Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知

Com+ Event System 提供事件的自動發布到訂閱COM組件

Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序

Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息

Telnet 允許遠程用戶登錄到此計算機並運行程序

在"網絡連接"裡,把不需要的協議和服務都刪掉,這裡只安裝了基本的Internet協議(TCP/IP),由於要控制帶寬流量服務,額外安裝了Qos數據包計劃程序。在高級tcp/ip設置裡--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項裡,使用"Internet連接防火牆",這是windows 2003 自帶的防火牆,在2000系統裡沒有的功能,雖然沒什麼功能,但可以屏蔽端口,這樣已經基本達到了一個IPSec的功能。

三、權限設置

C盤只給administrators 和system權限,其他的權限不給,其他的盤也可以這樣設置,這裡給的system權限也不一定需要給,只是由於某些第三方應用程序是以服務形式啟動的,需要加上這個用戶,否則造成啟動不了。

先給C:\Windows\目錄加上IIS_WPG用戶組的默認權限

然後再去分別給個別目錄加 先去C:\Program Files\Common Files\上Guests默認權限

然後再去 C:\WINNT\Temp 加上Guests的讀寫兩個權限 其他的去小

然後就是C:\WINDOWS\system32目錄裡的了

最後還要C:\WINNT\system32\inetsrv目錄要加上Guests默認權限

這下就好了 我用ASP馬試了一下 權限加好了 沒問題

要是想開WEB的話 就給WEB所在目錄加上 administrator(組或用戶)和SYSTEM所有權限和新建立的 Guest組用戶 這個用戶只給 讀寫權限就可以了。

copyright © 萬盛學電腦網 all rights reserved