配置安全的windows2003服務器

一、先關閉不需要的端口

只開了3389 21 80 1433 3306

修改3389端口：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]

"PortNumber"=dword:00002683

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\wds\rdpwd\tds\tcp]

"PortNumber"=dword:00002683

二、關閉不需要的服務 打開相應的審核策略

Computer Browser 維護網絡上計算機的最新列表以及提供這個列表

Task scheduler 允許程序在指定時間運行

Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務

Removable storage 管理可移動媒體、驅動程序和庫

Remote Registry Service 允許遠程注冊表操作

Print Spooler 將文件加載到內存中以便以後打印。要用打印機的朋友不能禁用這項

IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE）和IP安全驅動程序

Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知

Com+ Event System 提供事件的自動發布到訂閱COM組件

Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序

Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息

Telnet 允許遠程用戶登錄到此計算機並運行程序

在"網絡連接"裡，把不需要的協議和服務都刪掉，這裡只安裝了基本的Internet協議（TCP/IP），由於要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置裡--"NetBIOS"設置"禁用tcp/IP上的NetBIOS（S）"。在高級選項裡，使用"Internet連接防火牆"，這是windows 2003 自帶的防火牆，在2000系統裡沒有的功能，雖然沒什麼功能，但可以屏蔽端口，這樣已經基本達到了一個IPSec的功能。

三、權限設置

C盤只給administrators 和system權限，其他的權限不給，其他的盤也可以這樣設置，這裡給的system權限也不一定需要給，只是由於某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。

先給C:\Windows\目錄加上IIS_WPG用戶組的默認權限

然後再去分別給個別目錄加 先去C:\Program Files\Common Files\上Guests默認權限

然後再去 C:\WINNT\Temp 加上Guests的讀寫兩個權限 其他的去小

然後就是C:\WINDOWS\system32目錄裡的了

最後還要C:\WINNT\system32\inetsrv目錄要加上Guests默認權限

這下就好了 我用ASP馬試了一下 權限加好了 沒問題

要是想開WEB的話 就給WEB所在目錄加上 administrator（組或用戶）和SYSTEM所有權限和新建立的 Guest組用戶 這個用戶只給 讀寫權限就可以了。