国产亚洲日韩欧美另类第八页,国产精品嫩草影院久久,日本最大色倩网站www

第一篇：Windows應用服務器的配置總結

Windows應用服務器的配置總結

Windows服務器支持的文件系統有FAT、FAT32、NTFS。同FAT16相比，FAT32主要具有以下特點： FAT32最大的優點是可以支持的磁盤大小達到了2TB，但是不能支持小于512MB的分區。由于采用了更小的簇，FAT32文件系統可以更有效率地保存信息。FAT32文件系統可以重新定位根目錄和使用FAT的備份副本。FAT32分區的啟動記錄被包含在一個含有關鍵數據的結構中，減少了計算機系統崩潰的可能性。

如果要在 FAT 和 FAT32 之間做出選擇，基本的選擇依據是安裝分區的大小。如果分區容量是2GB或更大，則應使用 FAT32 而不是 FAT 分區。

NTFS文件系統是一個基于安全性的文件系統，微軟公司從Windows NT開始就使用NTFS文件系統。其中，Windows NT 4.0采用的是NTFS 4.0文件系統，Windows 2000采用了較新版本的NTFS文件系統，即NTFS 5.0，而Windows Server 2003中所使用的是最新的NTFS6.0文件系統。

在實際應用中，在一臺服務器上需要為一塊網卡上同時綁定多個IP地址，讓每一個IP地址對應不同的應用。例如，可以讓企業內部的不同部門使用服務器上不同的IP地址，以實現對不同用戶的管理或控制。另外，當一臺服務器上同時提供多個應用服務時，也可以給一塊網卡分配多個IP地址，并使每一個IP地址分別對應到其中的一個應用功能，等等。

如果說讓一塊網卡同時綁定多個IP地址是更加有效地利用服務器上網卡的資源，那么將多塊網卡綁定同一個IP地址則是為了增大服務器的網絡連接帶寬。目前，許多企業的內部服務器同時提供了VOD點播、FTP下載等多種服務，這些服務對網絡帶寬的要求較高，這時就需要將多塊網卡綁定成一塊網卡來使用，尤其是服務器上安裝的是100Mbit/s網卡時更需要進行綁定。當我們為服務器綁定多塊網卡后，不僅可以增大服務器的網絡帶寬，而且可以有效地均衡負載，并提高服務器的容錯能力，在避免服務器出現傳輸瓶頸的同時，可以防止因某塊網卡故障而停止服務。

目前許多服務器操作系統都提供多網卡綁定的支持，但不直接提供多塊網卡綁定同一個IP地址的軟件。要實現多塊網卡同時綁定一個IP地址時，通常需要借助第三方軟件來完成，目前應用較多的是NIC Express Enterprise。

服務器網卡配置：Windows Server 2003的“路由和遠程訪問”服務是一個全功能的軟件路由器，也是用于路由和互連網絡工作的開放平臺。通過“路由和遠程訪問”服務，不但可以實現兩個網絡之間的互聯，也可以將一個局域網接入Internet等公共網絡，還可以為用戶提供VPN連接服務。

自動更新的功能特點及應用選擇：Windows Server 2003中的“自動更新”（Windows Update），有兩種啟用方式。一種是從“控制面板”中啟用“自動更新”來實現，另一種是通過“開始”菜單中的“Windows Update”來實現。

Windows Server 2003中的“自動更新”（Windows Update），有兩種啟用方式。一種是從“控制面板”中啟用“自動更新”來實現，另一種是通過“開始”菜單中的“Windows Update”來實現。

控制面板中的“自動更新”功能和“開始”菜單中的“Windows Update”功能有不同的應用場合。前者主要用于系統在使用中的補丁更新，而后者則主要用于系統在首次安裝后補丁的即時全面更新。

第二篇：windows 2003 server web配置和安全

輸入此網站的網頁文件所在目錄。設置網站訪問的權限，一般不需要“寫入”權限。點擊下一步，完成新網站的創建。

配置不同IP地址的站點方法

具體方法：

在“IIS服務管理器”中，右擊新建的網站（電影服務），選擇屬性，并在“網站選項卡”下更改IP地址。

配置不同端口的站點方法

具體方法：

在“IIS服務管理器”中，右擊新建的網站（電影服務），選擇屬性，并在“網站選項卡”下更改端口為不同的值，如81。

配置不同主機頭

具體方法：

在“IIS服務管理器”中，右擊新建的網站（電影服務），選擇屬性，在“網站選項卡”下點擊ip地址后的“高級”，并在彈出的“高級網絡標識”窗口中點擊“編輯”按鈕。

接著在彈出的“添加/編輯網絡標識”窗口中“主機頭值”。

設置完主機頭后還需要配置DNS服務器，添加主機頭值的主機記錄，是客戶端能夠解析出主機頭的IP地址，就可以使用“http://主機頭”訪問網站。

二、WEB站點的排錯

·客戶機訪問WEB站點的過程

1>當客戶機訪問網站時，服務器先檢查客戶機IP地址是否授權

2>然后檢查用戶和密碼是否正確（匿名用戶不需要密碼）

3>接著檢查主目錄是否設置了“讀取權限”

4>最后檢查網站文件的NTFS權限

·常見錯誤

1、錯誤號403.6

分析：

由于客戶機的IP地址被WEB網站中設置為阻止。

解決方案：

打開站點屬性->“目錄安全性選項卡”->“IP地址和域名限制”->點擊“編輯”按鈕，并將拒絕的IP段刪除。

2、錯誤號401.1

分析：

由于用戶匿名訪問使用的賬號(默認是IUSR_機器名)被禁用，或者沒有權限訪問計算機，將造成用戶無法訪問。

解決方案：

（1）查看IIS管理器中站點安全設置的匿名帳戶是否被禁用，如果是，請嘗試用以下辦法啟用：

控制面板->管理工具->計算機管理->本地用戶和組，將IUSR_機器名賬號啟用。如果還沒有解決，請繼續下一步。

（2）查看本地安全策略中，IIS管理器中站點的默認匿名訪問帳號或者其所屬的組是否有通過網絡訪問服務器的權限，如果沒有嘗試用以下步驟賦予權限：

開始->程序->管理工具->本地安全策略->安全策略->本地策略->用戶權限分配，雙擊“從網絡訪問此計算機”，添加IIS默認用戶或者其所屬的組。

注意：一般自定義 IIS默認匿名訪問帳號都屬于組，為了安全，沒有特殊需要，請

遵循此規則。

3、錯誤號401.2

原因：關閉了匿名身份驗證

解決方案：

打開站點屬性->目錄安全性->身份驗證和訪問控制->選中“啟用匿名訪問”，輸入用戶名，或者點擊“瀏覽”選擇合法的用戶，并兩次輸入密碼后確定。

4、錯誤號：401.3

原因：

原因一 IIS匿名用戶一般屬于Guests組，而我們一般把存放網站的硬盤的權限只分配給administrators組，這時候按照繼承原則，網站文件夾也只有administrators組的成員才能訪問，導致IIS匿名用戶訪問該文件的NTFS權限不足，從而導致頁面無法訪問。

原因二是在IIS 管理器中將網站的權限設置不可讀（IIS匿名用戶）。

解決方案：

給IIS匿名用戶訪問網站文件夾的權限.方法1：進入該文件夾的安全選項，添加IIS匿名用戶，并賦予相應權限，一般是只讀。

方法2：右擊站點，選擇“權限”，打開權限設置窗口。并賦予IIS匿名用戶只讀權限。

敬告：“win2003 服務器設置完全版” 一文如與您有版權沖突請聯系站長處理，我們是公益免費論文網，不周之處，萬請諒解！

--->返回到論文先生網首頁<---

-第一步：

一、先關閉不需要的端口

我比較小心，先關了端口。只開了3389 21 80 1433（MYSQL）有些人一直說什么默認的3389不安全，對此我不否認，但是利用的途徑也只能一個一個的窮舉爆破，你把帳號改

了密碼設置為十五六位，我估計他要破上好幾年，哈哈!辦法:本地連接--屬性--Internet協議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上然后添加你需要的端口即可。PS一句:設置完端口需要重新啟動!

當然大家也可以更改遠程連接端口方法:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

“PortNumber”=dword:00002683

保存為.REG文件雙擊即可!更改為9859，當然大家也可以換別的端口，直接打開以上注冊表的地址，把值改為十進制的輸入你想要的端口即可!重啟生效!

還有一點，在2003系統里，用TCP/IP篩選里的端口過濾功能，使用FTP服務器的時候，只開放21端口，在進行FTP傳輸的時候，FTP 特有的Port模式和Passive模式，在

進行數據傳輸的時候，需要動態的打開高端口，所以在使用TCP/IP過濾的情況下，經常會出現連接上后無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火墻能很好的解決這個問題，所以都不推薦使用網卡的TCP/IP過濾功能。所做FTP下載的用戶看仔細點，表怪俺說俺寫文章是垃圾...如果要關閉不必要的端口，在system32driversetcservices中有列表，記事本就可以打開的。如果懶惰的話，最簡單的方法是啟用WIN2003的自身帶的網絡防火墻，并進行端口的改變。功能還可以!Internet 連接防火墻可以有效地攔截對Windows 2003服務器的非法入侵，防止非法遠程主機對服務器的掃描，提高Windows 2003服務器的安全性。同時，也可以有效攔截利用操作系統漏洞進行端口攻擊的病毒，如沖擊波等蠕蟲病毒。如果在用Windows 2003構造的虛擬路由器上啟用此防火墻功能，能夠對整個內部網絡起到很好的保護作用。

二、關閉不需要的服務打開相應的審核策略

我關閉了以下的服務

Computer Browser 維護網絡上計算機的最新列表以及提供這個列表 Task scheduler 允許程序在指定時間運行

Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務 Removable storage 管理可移動媒體、驅動程序和庫 Remote Registry Service 允許遠程注冊表操作

Print Spooler 將文件加載到內存中以便以后打印。要用打印機的朋友不能禁用這項 IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE）和IP安全驅動程序 Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知 Com+ Event System 提供事件的自動發布到訂閱COM組件 Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序 Messenger 傳輸客戶端和服務器之間的 NET SEND 和警報器服務消息 Telnet 允許遠程用戶登錄到此計算機并運行程序

把不必要的服務都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規則和標準上來說，多余的東西就沒必要開啟，減少一份隱患。

在“網絡連接”里，把不需要的協議和服務都刪掉，這里只安裝了基本的Internet協議(TCP/IP)，由于要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里--“NetBIOS”設置“禁用tcp/IP上的NetBIOS(S)”。在高級選項里，使用“Internet連接防火墻”，這是windows 2003 自帶的防火墻，在2000系統里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經基本達到了一個IPSec的功能。

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件，你需要根據情況在這二者之間做出選擇。

推薦的要審核的項目是:

登錄事件成功失敗

賬戶登錄事件成功失敗

系統事件成功失敗

策略更改成功失敗

對象訪問失敗

目錄服務訪問失敗

特權使用失敗

三、磁盤權限設置 1.系統盤權限設置 C:分區部分： c: administrators 全部（該文件夾，子文件夾及文件）CREATOR OWNER 全部（只有子文件來及文件）system 全部（該文件夾，子文件夾及文件）IIS_WPG 創建文件/寫入數據（只有該文件夾）IIS_WPG（該文件夾，子文件夾及文件）遍歷文件夾/運行文件列出文件夾/讀取數據讀取屬性

創建文件夾/附加數據讀取權限

c:Documents and Settings administrators 全部（該文件夾，子文件夾及文件）Power Users（該文件夾，子文件夾及文件）讀取和運行列出文件夾目錄讀取

SYSTEM全部（該文件夾，子文件夾及文件）C:Program Files administrators 全部（該文件夾，子文件夾及文件）CREATOR OWNER全部（只有子文件來及文件）IIS_WPG（該文件夾，子文件夾及文件）讀取和運行列出文件夾目錄讀取

Power Users（該文件夾，子文件夾及文件）修改權限

SYSTEM全部（該文件夾，子文件夾及文件）

TERMINAL SERVER USER（該文件夾，子文件夾及文件）修改權限

2.網站及虛擬機權限設置（比如網站在E盤）說明：我們假設網站全部在E盤www.tmdps.cnfg.exe。回車，單擊“控制臺根節點”下的“組件服務”。打開“計算機”子文件夾。對于本地計算機，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認屬性”選項卡。清除“在這臺計算機上啟用分布式 COM”復選框。

第二步：

盡管Windows 2003的功能在不斷增強，但是由于先天性的原因，它還存在不少安全隱患，要是不將這些隱患“堵住”，可能會給整個系統帶來不必要的麻煩；下面筆者就介紹Windows2003中不常見的安全隱患的防堵方法，希望能對各位帶來幫助！

堵住自動保存隱患

Windows 2003操作系統在調用應用程序出錯時，系統中的Dr.Watson會自動將一些重要的調試信息保存起來，以便日后維護系統時查看，不過這些信息很有可能被黑客“瞄上”，一旦瞄上的話，各種重要的調試信息就會暴露無疑，為了堵住Dr.Watson自動保存調試信息的隱患，我們可以按如下步驟來實現：

1、打開開始菜單，選中“運行”命令，在隨后打開的運行對話框中，輸入注冊表編輯命令“ergedit”命令，打開一個注冊表編輯窗口；

2、在該窗口中，用鼠標依次展開HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在對應AeDebug鍵值的右邊子窗口中，用鼠標雙擊Auto值，在彈出的參數設置窗口中，將其數值重新設置為“0”，3、打開系統的Windows資源管理器窗口，并在其中依次展開Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾、DrWatson文件夾，最后將對應DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。

完成上面的設置后，重新啟動一下系統，就可以堵住自動保存隱患了。

堵住資源共享隱患

為了給局域網用戶相互之間傳輸信息帶來方便，Windows Server 2003系統很是“善解人意”地為各位提供了文件和打印共享功能，不過我們在享受該功能帶來便利的同時，共享功能也會“引狼入室”，“大度”地向黑客們敞開了不少漏洞，給服務器系統造成了很大的不安全性；所以，在用完文件或打印共享功能時，大家千萬要隨時將功能關閉喲，以便堵住資源共享隱患，下面就是關閉共享功能的具體步驟：

1、執行控制面板菜單項下面的“網絡連接”命令，在隨后出現的窗口中，用鼠標右鍵單擊一下“本地連接”圖標；

2、在打開的快捷菜單中，單擊“屬性”命令，這樣就能打開一個“Internet協議(TCP/IP)”屬性設置對話框；

3、在該界面中取消“Microsoft網絡的文件和打印機共享”這個選項；

4、如此一來，本地計算機就沒有辦法對外提供文件與打印共享服務了，這樣黑客自然也就少了攻擊系統的“通道”。

堵住遠程訪問隱患

在Windows2003系統下，要進行遠程網絡訪問連接時，該系統下的遠程桌面功能可以將進行網絡連接時輸入的用戶名以及密碼，通過普通明文內容方式傳輸給對應連接端的客戶端程序；在明文帳號傳輸過程中，實現“安插”在網絡通道上的各種嗅探工具，會自動進入“嗅探”狀態，這個明文帳號就很容易被“俘虜”了；明文帳號內容一旦被黑客或其他攻擊者另謀他用的話，呵呵，小心自己的系統被“瘋狂”攻擊吧！為了杜絕這種安全隱患，我們可以按下面的方法來為系統“加固”：

1、點擊系統桌面上的“開始”按鈕，打開開始菜單；

2、從中執行控制面板命令，從彈出的下拉菜單中，選中“系統”命令，打開一個系統屬性設置界面；

3、在該界面中，用鼠標單擊“遠程”標簽；

4、在隨后出現的標簽頁面中，將“允許用戶遠程連接到這臺計算機”選項取消掉，這樣就可以將遠程訪問連接功能屏蔽掉，從而堵住遠程訪問隱患了。

堵住用戶切換隱患

Windows 2003系統為我們提供了快速用戶切換功能，利用該功能我們可以很輕松地登錄到系統中；不過在享受這種輕松時，系統也存在安裝隱患，例如我們要是執行系統“開始”菜單中的“注銷”命令來，快速“切換用戶”時，再用傳統的方式來登錄系統的話，系統很有可能會本次登錄，錯誤地當作是對計算機系統的一次暴力“襲擊”，這樣Windows2003系統就可能將當前登錄的帳號當作非法帳號，將它鎖定起來，這顯然不是我們所需要的；不過，我們可以按如下步驟來堵住用戶切換時，產生的安全隱患：

在Windows 2003系統桌面中，打開開始菜單下面的控制面板命令，找到下面的“管理工具”命令，再執行下級菜單中的“計算機管理”命令，找到“用戶帳戶”圖標，并在隨后出現的窗口中單擊“更改用戶登錄或注銷的方式”；在打開的設置窗口中，將“使用快速用戶切換”選項取消掉就可以了。

堵住頁面交換隱患

Windows 2003操作系統即使在正常工作的情況下，也有可能會向黑客或者其他訪問者泄漏重要的機密信息，特別是一些重要的帳號信息。也許我們永遠不會想到要查看一下，那些可能會泄漏隱私信息的文件，不過黑客對它們倒是很關心的喲！Windows 2003操作系統中的頁面交換文件中，其實就隱藏了不少

重要隱私信息，這些信息都是在動態中產生的，要是不及時將它們清除，就很有可能成為黑客的入侵突破口；為此，我們必須按照下面的方法，來讓Windows 2003操作系統在關閉系統時，自動將系統工作時產生的頁面文件全部刪除掉：

1、在Windows 2003的“開始”菜單中，執行“運行”命令，打開運行對話框，并在其中輸入“Regedit”命令，來打開注冊表窗口；

2、在該窗口的左邊區域中，用鼠標依次單擊HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management鍵值，找到右邊區域中的ClearPageFileAtShutdown鍵值，并用鼠標雙擊之，在隨后打開的數值設置窗口中，將該DWORD值重新修改為“1”；

3、完成設置后，退出注冊表編輯窗口，并重新啟動計算機系統，就能讓上面的設置生效了。

更多專題：服務器安全防黑系列知識、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、安全之 scw Windows Server 2003是大家最常用的服務器操作系統之一。雖然它提供了強大的網絡服務功能，并且簡單易用，但它的安全性一直困擾著眾多網管，如何在充分利用Windows Server 2003提供的各種服務的同時，保證服務器的安全穩定運行，最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版補丁包的發布，恰好解決這個問題，它不但提供了對系統漏洞的修復，還新增了很多易用的安全功能，如安全配置向導（SCW）功能。利用SCW功能的“安全策略”可以最大限度增強服務器的安全，并且配置過程非常簡單，下面就一起來看吧！

厲兵秣馬先裝“SCW”

大家都很清楚，Windows Server 2003系統為增強其安全性，默認情況下，很多服務組件是不被安裝的，要想使用，必須手工安裝。“SCW”功能也是一樣，雖然你已經成功安裝了補丁包SP1，但也需要手工安裝“安全配置向導（SCW）”組件。

進入“控制面板”后，運行“添加或刪除程序”，然后切換到“添加/刪除Windows組件”頁。下面在“Windows組件向導”對話框中選中“安全配置向導”選項，最后點擊“下一步”按鈕后，就能輕松完成“SCW”組件的安裝。

安裝過程就這么簡單，接下來就能根據自身需要，利用“SCW”配置安全策略，增強Windows Server 2003服務器安全。

配置“安全策略” 原來如此“簡單”

在Windows Server 2003服務器中，點擊“開始→運行”后，在運行對話框中執行“SCW.exe”命令，就會彈出“安全配置向導”對話框，開始你的安全策略配置過程。當然你也可以進入“控制面板→管理工具”窗口后，執行“安全配置向導”快捷方式來啟用“SCW”。

1．新建第一個“安全策略”

如果你是第一次使用“SCW”功能，首先要為Windows Server 2003服務器新建一個安全策略，安全策略信息是被保存在格式為XML 的文件中的，并且它的默認存儲位置是“C:WINDOWSsecuritymsscwPolicies”。因此一個Windows Server 2003系統可以根據不同需要，創建多個“安全策略”文件，并且還可以對安全策略文件進行修改，但一次只能應用其中一個安全策略。

在“歡迎使用安全配置向導”對話框中點擊“下一步”按鈕，進入到“配置操作”對話框，因為是第一次使用“SCW”，這里要選擇“創建新的安全策略”單選項，點擊“下一步”按鈕，就開始配置安全策略。

2．輕松配置“角色”

首先進入“選擇服務器”對話框，在“服務器”欄中輸入要進行安全配置的Windows Server 2003服務器的機器名或IP地址，點擊“下一步”按鈕后，“安全配置向導”會處理安全配置數據庫。

接著就進入到“基于角色的服務配置”對話框。在基于角色的服務配置中，可以對Windows Server 2003服務器角色、客戶端角色、系統服務、應用程序，以及管理選項等內容進行配置。

所謂服務器“角色”，其實就是提供各種服務的Windows Server 2003服務器，如文件服務器、打印服務器、DNS服務器和DHCP服務器等，一個Windows Server 2003服務器可以只提供一種服務器“角色”，也可以扮演多種服務器角色。點擊“下一步”按鈕后，就進入到“選擇服務器角色”配置對話框，這時需要在“服務器角色列表框”中勾選你的Windows Server 2003服務器所扮演的角色。

注意：為了保證服務器的安全，只勾選你所需要的服務器角色即可，選擇多余的服務器角色選項，會增加Windows Server 2003系統的安全隱患。如筆者的Windows Server 2003服務器只是作為文件服務器使用，這時只要選擇“文件服務器”選項即可。

進入“選擇客戶端功能”標簽頁，來配置Windows Server 2003服務器支持的“客戶端功能”，其實Windows Server 2003服務器的客戶端功能也很好理解，服務器在提供各種網絡服務的同時，也需要一些客戶端功能的支持才行，如Microsoft網絡客戶端、DHCP客戶端和FTP客戶端等。根據需要，在列表框中勾選你所需的客戶端功能即可，同樣，對于不需要的客戶端功能選項，建議你一定要取消對它的選擇。

接下來進入到“選擇管理和其它選項”對話框，在這里選擇你需要的一些Windows Server 2003系統提供的管理和服務功能，操作方法是一樣的，只要在列表框中勾選你需要的管理選項即可。點擊“下一步”后，還要配置一些Windows Server 2003系統的額外服務，這些額外服務一般都是第三方軟件提供的服務。

然后進入到“處理未指定的服務”對話框，這里“未指定服務”是指，如果此安全策略文件被應用到其它Windows Server 2003服務器中，而這個服務器中提供的一些服務沒有在安全配置數據庫中列出，那么這些沒被列出的服務該在什么狀態下運行呢？在這里就可以指定它們的運行狀態，建議大家選中“不更改此服務的啟用模式”單選項。最后進入到“確認服務更改”對話框，對你的配置進行最終確認后，就完成了基于角色的服務配置。

3．配置網絡安全

以上完成了基于角色的服務配置。但Windows Server 2003服務器包含的各種服務，都是通過某個或某些端口來提供服務內容的，為了保證服務器的安全，Windows防火墻默認是不會開放這些服務端口的。下面就可以通過“網絡安全”配置向導開放各項服務所需的端口，這種向導化配置過程與手工配置Windows防火墻相比，更加簡單、方便和安全。

在“網絡安全”對話框中，要開放選中的服務器角色，Windows Server 2003系統提供的管理功能以及第三方軟件提供的服務所使用的端口。點擊“下一步”按鈕后，在“打開端口并允許應用程序”對話框中開放所需的端口，如FTP服務器所需的“20和21”端口，IIS服務所需的“80”端口等，這里要切記“最小化”原則，只要在列表框中選擇要必須開放的端口選項即可，最后確認端口配置，這里要注意：其它不需要使用的端口，建議大家不要開放，以免給Windows Server 2003服務器造成安全隱患。

4．注冊表設置

Windows Server 2003服務器在網絡中為用戶提供各種服務，但用戶與服務器的通信中很有可能包含“不懷好意”的訪問，如黑客和病毒攻擊。如何保證服務器的安全，最大限度地限制非法用戶訪問，通過“注冊表設置”向導就能輕松實現。

利用注冊表設置向導，修改Windows Server 2003服務器注冊表中某些特殊的鍵值，來嚴格限制用戶的訪問權限。用戶只要根據設置向導提示，以及服務器的服務需要，分別對“要求SMB安全簽名”、“出站身份驗證方法”、“入站身份驗證方法”進行嚴格設置，就能最大限度保證Windows Server 2003服務器的安全運行，并且免去手工修改注冊表的麻煩。

5．啟用“審核策略”

聰明的網管會利用日志功能來分析服務器的運行狀況，因此適當的啟用審核策略是非常重要的。SCW功能也充分的考慮到這些，利用向導化的操作就能輕松啟用審核策略。

在“系統審核策略”配置對話框中要合理選擇審核目標，畢竟日志記錄過多的事件會影響服務器的性能，因此建議用戶選擇“審核成功的操作”選項。當然如果有特殊需要，也可以選擇其它選項。如“不審核”或“審核成功或不成功的操作”選項。

6．增強IIS安全

IIS服務器是網絡中最為廣泛應用的一種服務，也是Windows系統中最易受攻擊的服務。如何來保證IIS服務器的安全運行，最大限度免受黑客和病毒的攻擊，這也是SCW功能要解決的一個問題。利用“安全配置向導”可以輕松的增強IIS服務器的安全，保證其穩定、安全運行。

在“Internet信息服務”配置對話框中，通過配置向導，來選擇你要啟用的Web服務擴展、要保持的虛擬目錄，以及設置匿名用戶對內容文件的寫權限。這樣IIS服務器的安全性就大大增強。

小提示：如果你的Windows Server 2003服務器沒有安裝、運行IIS服務，則在SCW配置過程中不會出現IIS安全配置部分。

完成以上幾步配置后，進入到保存安全策略對話框，首先在“安全策略文件名”對話框中為你配置的安全策略起個名字，最后在“應用安全策略”對話框中選擇“現在應用”選項，使配置的安全策略立即生效。

利用SCW增強Windows Server 2003服務器的安全性能就這么簡單，所有的參數配置都是通過向導化對話框完成的，免去了手工繁瑣的配置過程，SCW功能的確是安全性和易用性有效的結合點。如果你的Windows Server 2003系統已經安裝了SP1補丁包，不妨試試SCW吧！

總結六大條 Windows Server 2003 Web 服務器安全策略

上個工作是做網站服務器維護，在網上搜索了好多教程，感覺亂的很。干脆自己總結了一套Windows Server 2003服務器安全策略。絕非是網上轉載的。都是經過測試的。自己感覺還行吧!歡迎大家測試，也希望與我一起交流服務器的安全問題。希望對大家有幫助！q+ k& W _“ X& V

策略一：關閉windows2003不必要的服務 0 N+ ?2 W3 T(u% A

·Computer Browser 維護網絡上計算機的最新列表以及提供這個列表 * `9 h' q2 `' [& _6 T!Q, t

·Task scheduler 允許程序在指定時間運行* L-i: p3 J2 T9 X& k6 O” b* L4 {

·Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務 / b% d2 e* “ r!Y _

·Removable storage 管理可移動媒體、驅動程序和庫6 t& b;n)|)]8 K' l0 e8 r 0 K2 @/ x” y: b)}

·Remote Registry Service 允許遠程注冊表操作

·Print Spooler 將文件加載到內存中以便以后打印。

·IPSEC Policy Agent 管理IP安全策略及啟動ISAKMP/OakleyIKE)和IP安全驅動程序2 s2 @+ r' q2 ^5 b

·Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知$ x2 * y5 s)T(g

·Com+ Event System 提供事件的自動發布到訂閱COM組件* ~7 m!Q/ r& K: E* U p)u3 e' W;{9 r# G: Y5 m% O, a

·Alerter 通知選定的用戶和計算機管理警報

·Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序 % k;j“ q% j;l)e$ ~4 L5 _# S

·Messenger 傳輸客戶端和服務器之間的 NET SEND 和警報器服務消息

·Telnet 允許遠程用戶登錄到此計算機并運行程序

策略二：磁盤權限設置6 g4 ?: u(d6 G% L!@(r 6 F% z' t2 m, V, ~

C盤只給administrators和system權限，其他的權限不給，其他的盤也可以這樣設置，這里給的system權限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。1 V(K)r$ F+ k# E0 g1 S0 ^

Windows目錄要加上給users的默認權限，否則ASP和ASPX等應用程序就無法運行。

# b, k+ O4 o!{.W5 n, ~

策略三：禁止 Windows 系統進行空連接7 S7 V% M” R.S x, n1 F7 q1 V: Y5 n

在注冊表中找到相應的鍵HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，將DWORDRestrictAnonymous的鍵值改為1 “ ^: E* ~, R0 N, N& W4 [)?

策略四：關閉不需要的端口

本地連接--屬性--Internet協議(TCP/IP)--高級--選項--TCP/IP篩選--屬性--把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)([3 ^& {& c.{+ Q$ Z

更改遠程連接端口方法+ L* Z4 k% j0 E9 @!P* T6 h

開始-->運行-->輸入regedit' G+.T;N9 m: q0 a8 q `

查找3389：0 B, _8 L0 {5 R% d4 f

請按以下步驟查找:7 v' {5 {7 a& N 6 j: E(p!_& l

1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

值

ServerWdsrdpwdTdstcp下的PortNumber=3389改為自寶義的端口號

;w1 v8 j2 J4 H+ Y!N

2、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumber=3389改為自寶義的端口號# t3 s% E.x, T5 C

修改3389為你想要的數字(在十進制下)----再點16進制(系統會自動轉換)----最后確定!這樣就ok了。

M1 W0 M# @* R0 M” n, `

這樣3389端口已經修改了，但還要重新啟動主機，這樣3389端口才算修改成功!如果不重新啟動3389還是修改不了的!重起后下次就可以用新端口進入了!% S3 G(a4 ].E3 i7 P2 q3 w0 M: Y

禁用TCP/IP上的NETBIOS4 H;q: T5 2 e1 n

本地連接--屬性--Internet協議(TCP/IP)--高級—WINS--禁用TCP/IP上的NETBIOS!}2 J!{ k-a4 i8 y

策略五：關閉默認共享的空連接$ C, P$ W.A3 ^;c* S

首先編寫如下內容的批處理文件：

@echo off

net share C$ /delete% }9 ^$ l/ E/ N-z;Y

net share D$ /delete

net share E$ /delete “ N# ^!R, k, p0 @' }

net share F$ /delete+ y-M)W {){

net share admin$ /delete6 ]-k3 ]5 X8 s)Z1 m4 B & }% j/ B* d& J4 A5 i J

以上文件的內容用戶可以根據自己需要進行修改。保存為delshare.bat，存放到系統所在文件夾下的system32GroupPolicyUserScriptsLogon目錄下。然后在開始菜單→運行中輸入gpedit.msc，回車即可打開組策略編輯器。點擊用戶配置→Windows設置→腳本(登錄/注銷)→登錄..w6 X6 a6 X& W

在出現的“登錄屬性”窗口中單擊“添加”，會出現“添加腳本”對話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可。

重新啟動計算機系統，就可以自動將系統所有的隱藏共享文件夾全部取消了，這樣就能將系統安全隱患降低到最低限度。3 |1 Y/ ]3 j# X3 J

策略五：IIS安全設置(y' D* T2 I(y: h)d

1、不使用默認的Web站點，如果使用也要將IIS目錄與系統磁盤分開。# D* Q1 X([4 P4 L-Q# : m7 B: o' R

2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。, v/ n8 _+ x' W/ P% n/ a

3、刪除系統盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。B” B8 G% I4 c.@0 y“ f” |

4、刪除不必要的IIS擴展名映射。6 w9 k% T# M“ s/ j

右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映射。主要為.shtml、shtm、stm。7 t!$ X!x0 p!R# [0 m4 b & x.`8 N” r-f5 z* W* b6 K$ @.X

5、更改IIS日志的路徑

右鍵單擊“默認Web站點→屬性-網站-在啟用日志記錄下點擊屬性

策略六：注冊表相關安全設置 & R$ _6 A* P“ }6 J(^* f

1、隱藏重要文件/目錄

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL” {!a: G# g;a4 K b” A-z

鼠標右擊 “CheckedValue”，選擇修改，把數值由1改為0。$ ^, V/ o0 n1 `, s(H$ R8 l$ v X+ Q3 l

2、防止SYN洪水攻擊' o9 |)q4 i# e& O!X

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名為SynAttackProtect，值為21 W0 |: K1 ?9 v0 S(x* k;i8 w

3、禁止響應ICMP路由通告報文8 q6 T$ p2 # N e1 f0 P1 k

O* i6 p: R-P i5 Q-w

HKEY_LOCAL_MACHINESYSTEM ServicesTcpipParametersInterfacesinterface % G# k/ v* Q)n(I2 e4 m!n e

新建DWORD值，名為PerformRouterDiscovery 值為0。

4、防止ICMP重定向報文的攻擊 3 S0 S1 t' e/ V& g& a

CurrentControlSet

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

將EnableICMPRedirects 值設為0 # 3 & k: ](j

5、不支持IGMP協議4 i4 {* Z& u' ^

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters ' e: _0 C-?$ C# Y

新建DWORD值，名為IGMPLevel 值為0。

策略七：組件安全設置篇

A、卸載WScript.Shell 和 Shell.application 組件，將下面的代碼保存為一個.BAT文件執行(分2000和2003系統)!G5 c!~)C;V: `$ V/ [

windows2000.bat7 y)Z, [4 o-g4 F* r4 R

regsvr32/u C:WINNTSystem32wshom.ocx0 N1 M1 ?7 p)U: y)_/ `& J

del C:WINNTSystem32wshom.ocx/ C(R-s!|(N 7 E0 e& q+ M+ h5 Q# `

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll5 a6 x7 @% T, l.r r

windows2003.bat' g9 X;?.Y: |;Z : i.], y(i7 c8 R B1 Z2 E

regsvr32/u C:WINDOWSSystem32wshom.ocx2 x9 A8 o+ U+ n# D1 t!@9 Y4 S+ v O8 I* D

del C:WINDOWSSystem32wshom.ocx : r1 _& ~;t1 R9 E$ ]8 G

regsvr32/u C:WINDOWSsystem32shell32.dll / [9 L!m# T+ F

del C:WINDOWSsystem32shell32.dll

B、改名不安全組件，需要注意的是組件的名稱和Clsid都要改，并且要改徹底了，不要照抄，要自己改

【開始→運行→regedit→回車】打開注冊表編輯器

然后【編輯→查找→填寫Shell.application→查找下一個】 $ b* _+ ~;O!e$ V“ r$ q;q

用這個方法能找到兩個注冊表項：)g4 r+ _3 C5 a# I

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application。% M, Y7 V$ P4 `2 C6 y

第一步：為了確保萬無一失，把這兩個注冊表項導出來，保存為xxxx.reg 文件。

第二步：比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 13709620-C279-11CE-A49E-444553540001$ t!w/ w6 g/ N* @

改名為

Shell.application 改名為 Shell.application_nohack)J(E!E8 P, t8 i(F$ _

第三步：那么，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然后把修改好的.reg文件導入到注冊表中(雙擊即可)，導入了改名后的注冊表項之后，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

” c6 e3 A-G u6 B6 G& E+ r

其實，只要把對應注冊表項導出來備份，然后直接改鍵名就可以了，, h8 K4 F% K.m# n$ ?% d

改好的例子

% X“ m;y' K+ h(W9 d7 T” t

建議自己改(p7 e' Y“ F5 j E# i;k 8 z9 C }6 X.p7 ~

應該可一次成功2 I3 ` x: H$ b+ n1 r& B!X+ V, q

Windows Registry Editor Version 5.004 G3 l/ c5 f0 K!m3 a& Z E” g 4 X“ r* Y6 ]' U;D2 P-Y

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]!L” I!T4 K& O-u-k.a% R# m

@=“Shell Automation Service”

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]' c9 R2 B' n: w9 e& c9 t4 ~5 k0 h

@=“C:WINNTsystem32shell32.dll” “.T1 l* N& |7 O3 k

”ThreadingModel“=”Apartment“9 m.~/ p* H8

久久99精品久久久久久琪琪,久久人人爽人人爽人人片亞洲,熟妇人妻无码中文字幕,亚洲精品无码久久久久久久

Windows應用服務器的配置總結

第一篇：Windows應用服務器的配置總結

第二篇：windows 2003 server web配置和安全