WIN2003安全设置指南-优快云博客

本文档详细介绍了Windows 2003服务器的安全设置步骤，包括需求分析、硬盘分区、TCP/IP端口配置、硬盘权限设定、系统服务管理等内容。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

WIN2003安全设置不段更新

1. 分析需求

根据服务器的用途，以及客户的要求来决定服务器的硬盘分区、安装何种操作系统以及其他必要的软件。这个是一个服务器安装前最基本，也是最重要的一步。

2. 硬盘分区

对于windows 2003系统来说，我们一般把操作系统安装于C盘，D盘作为虚拟主机的文件存放，E盘作为软件安装已经备份用。所以我们给C盘分配10G的空间已经足够了，E盘也分配10G，其他的分给D盘。各分区均为NTFS格式。

一、设置TCP/IP只允许端口和防火墙的端口。

1、在开始前先更新补丁，然后开始—>设置—>本地连接—>（右键）属性—>常规—>给服务器TCP/IP设置只允许端口和在（高级）—>设置防火墙设置例外端口：

服务名称	协议类型	端口号
FTP服务	TCP	20和21
SMTP服务	TCP	25
WEB服务	TCP	80
DNS服务	TCP	53
POP3服务	TCP	110
DHCP服务	UDP	67和68
SQL server服务	TCP	1433
Terminal Services服务	TCP	3389
MYSQL服务	TCP	3306
华众系统	TCP	32318
serv-u服务（公司）	TCP	5001/5002/5003被动模式

二、硬盘设置权限。

1、在E盘给administrators和SYSTEM两个权限完全控制就好。

如果要支持CGI：在E:/Perl多添加一个Everyong（读取和运行、列出文件夹目录、读取）。

添加映射：E:/Perl/bin/perl.exe "%s" %s .cgi GET,HEAD,POST 脚本引擎确认文件是否存在。

2、在D盘给administrators和SYSTEM两个权限完全控制就好。

3、在C盘给administrators和SYSTEM两个权限完全控制就好。更改当前目录及其所有子目录的权限，高级-----权限------代替子对象的权限代替打勾，在出现拒绝访问错误时继续。

以下是各目录的设置：

A、C:/Program Files/Common Files

（此文件夹存放的是系统各程序允许需要的公用文件。权限增加：

Users 读取和运行、列出文件夹目录、读取。）该文件夹，子文件夹及文件<不是继承的>。

B、 C:/WINDOWS/Temp

（临时文件夹，添加：Users给读取、写入）该文件夹，子文件夹及文件<不是继承的>。

C、C:/WINDOWS/Registration

（登记文件夹，如果没给有些程序无法运行，添加：Users给读取和运行、列出文件夹目录、读取。）

D、C:/WINDOWS/WinSxS

（”（Windows Side-by-Side）的文件夹，系统使用这个文件夹存储各个版本的Windows 组件，减少因为动态链接库（Dynamic Link Libraries，DLL）引起的配置问题（DLL hell）。文件夹，添加：Users给读取和运行、列出文件夹目录、读取。）

4、设置系统里面的权限：C:/WINDOWS/system32。

A、文件夹不要选，选择没有放在文件夹的子文件，全部给Users权限。

查找以下比较有危险的程序.exe的后缀有：net.exe（创建用户），cmd.exe（运行DOS命令），regedit.exe （注册表），tftp.exe(是一个简单文件传输协议的工具软件)，netstat.exe(这个软件提供了图形化的链接情况显示界面)，at.exe（是个计划运行任务），attrib.exe（修改文件属性程序），cacls.exe（在NTFS下设置任何文件夹的任何权限！），format.exe（这是一个用来格式化您的磁盘片），这些文件都设置只允许administrators和访问就行了。去掉SYSTEM和users权限。

B、查找.msc中的所有给administrators和SYSTEM两个权限完全控制就好。去掉users权限。

C、查找C:/WINDOWS/system32/svchost.exe

(网卡程序，添加Users给读取和运行、读取。)

D、最后给C:/WINDOWS/system32/inetsrv

(IIS文件夹添加：Users给读取和运行、列出文件夹目录、读取。)

C:/WINDOWS/system32/wbem（这个用于华众系统的，没有华众系统就不要增加users的权限）添加：Users给读取和运行、列出文件夹目录、读取。

小黑：cmd（给管理员默认权限）　　net和net1禁　　reasvr32允许administrators　cacls（给管理员默认权限）或禁

可去下载：海阳顶端木马来测试看看

Ｅ、如果系统要支持ASP.NET，则C:/WINDOWS/Microsoft.NET/目录要增加users组的更改、写入权限

三、设置系统服务。

以下停止或禁用不发要的服务:

1. 服务名：Alerter 服务描述：通知选定的用户和计算机管理警报。如果服务停止，使用管理警报的程序将不会收到它们。如果此服务被禁用，任何直接依赖它的服务都将不能启动。

2．服务名：Computer Browser 服务描述：服务描述:维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。

3．服务名：Distributed File System 服务描述：将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止，用户则无法访问文件共享。如果这个服务被禁用，任何依赖它的服务将无法启动。

4．服务名：Help and Support 服务描述：启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。

5．服务名：Messenger 服务描述：传输客户端和服务器之间的 NET SEND 和警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止，警报器消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。

6．服务名：NetMeeting Remote Desktop Sharing 服务描述：允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止，远程桌面共享将不可用。如果服务被禁用，依赖这个服务的任何服务都会无法启动。

7．服务名：Print Spooler 服务描述：管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。

8．服务名：Remote Registry 服务描述：使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。

9．服务名：Task Scheduler 服务描述：使用户能在此计算机上配置和计划自动任务。如果此服务被终止，这些任务将无法在计划时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。

10．服务名：TCP/IP NetBIOS Helper 服务描述：提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。

11．服务名：Telnet 服务描述：允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户端，包括基于 UNIX 和 Windows 的计算机。如果此服务停止，远程用户就不能访问程序，任何直接依赖于它的服务将会启动失败。

12.服务名：Workstation 服务描述：创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接将不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。

13．服务名：DHCP Client 服务描述：通过注册和更改 IP 地址以及 DNS 名称来管理网络配置。

14．服务名：Windows Audio 服务描述：管理基于 Windows 的程序的音频设备。如果此服务被终止，音频设备及其音效将不能正常工作。如果此服务被禁用，任何依赖它的服务将无法启动。

15．服务名：Themes 服务描述：为用户提供使用主题桌面管理的经验。

四、组件安全设置。

1．卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个.BAT文件执行（分2000和2003系统

regsvr32 /u "%windir%/System32/wshom.ocx"

del C:/WINDOWS/System32/wshom.ocx

regsvr32 /u "%windir%/system32/shell32.dll"

del "%windir%/system32/shell32.dll"

regsvr32 /u "%windir%/system32/wshext.dll"

del "%windir%/system32/wshext.dll"

2．禁止使用FileSystemObject组件

(如果禁用了，会使一些功能无法运行。如：有些论坛网站，它需要FSO来支持，不然无法显示网页内容；如果不影响客户网站，最好禁了。来防止上传木马的危害)。

关闭命令：RegSvr32 /u C:/WINDOWS/SYSTEM32/scrrun.dll

开启运行： RegSvr32 C:/windows/SYSTEM32/scrrun.dll

如想测试可下载“阿江ASP探针”就可看到(可以测试组件安全性)。

五、IP安全策略和本地安全策略设置。

注意：在设置策略，如果你是新手，最好不要去设置，一旦＂指派＂有可能会出问题．

1．考虑使用IPSec

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

一、IP安全策略。（需要屏蔽或阻止的端口或协议）设置ip筛选、用blackice禁止木马常用端口

一般禁用以下端口

135、 138、139、 443、 445 、4000 、4899 、7626 、8000 例如：

协议	IP协议端口	源地址	目标地址	方式
ICMP	-	-	-	阻止（入）(ping)
UDP	135	任何IP地址	我的IP地址	阻止（入）
TCP	445	任何IP地址-从任意端口	我的IP地址-445	阻止（入）
TCP	8000	我的IP地址-8000	任何IP地址-任意端口	阻止（出）(灰鸽子-8000)

2、本地安全策略设置。

开始菜单—>管理工具—>本地安全策略

　　 A、本地策略——>审核策略

　　审核策略更改　　　成功　失败　　
　　审核登录事件　　　成功　
　　审核对象访问　　　　　　失败
　　审核过程跟踪　　　无审核
　　审核目录服务访问　　　　失败
　　审核特权使用　　　　　　失败
　　审核系统事件　　　成功　失败
　　审核账户登录事件　成功　
　　审核账户管理　　　成功　失败

B、本地策略——>安全选项

　　帐户：重命名来宾帐户(Guest)　　　　　　　　　　　　重命名一个帐户如：(caicai)
　　帐户：重命名系统管理员帐户　(Administrator)　　　　　重命名一个帐户如：(caicaicai)

3.IIS设置

在“web服务扩展”中，把“Active Server Pages”和“所有未知的CGI扩展”设置为允许，以让IIS支持ASP和CGI。

如有特殊需要支持的脚本，如.NET等，再允许“ASP.NET v1.1.4322”等。

在“网站”属性里选择

在配置里

映射添加

可执行文件 E:/Perl/bin/perl.exe "%s" %s

后缀名 .cgi

动作 GET,HEAD,POST

选项启用父路径

文档默认文档添加 index.asp,index.cgi

在web服务扩展cgi,asp,在服务器端的包含文件选择允许

在IIS里面设置.mdb不让下载

方法：在IIS映射：除了.ASP的，其他的全部删除，添加后缀为.MDB映射，随便找一个WINDOWS目录下的DLL文件来映射吧，即使被找到数据库的位置也只有看倒。

3. 常用软件安装

如：WinRAR等常用软件、Jmail、动易组件等

动易组件下载来是一个压缩包，解压开，运行里面的.bat文件，即可自动把dll文件复制到system32目录中，并进行注册。然后进system32目录中，把动易组件对应几个的dll文件增加users读取、运行的权限。

六、WEB站点出现的一般常见问题。

1.出现提示网页无法显示,500错误的时候，又没有详细的提示信息

可以进行下面的操作显示详细的提示信息：IE－工具－internet选项－高级－友好的http错误信息提示，将这选项前面不打勾，则可以看到详细的提示信息了

以下是解决500错误的方法。请复制以下信息并保存为：

解决IIS6.0的(asp不能访问)请求的资源在使用中的办法

然后在服务器上执行一下，你的ASP就又可以正常运行了。

regsvr32 %windir%/system32/jscript.dll

regsvr32 %windir%/system32/vbscript.dll

2.IIS不支持ASP解决办法：

进入IIS，右键单击默认Web站点，选择属性，在目录安全性选项卡的匿名访问和身份验证控制中，单击编辑，在身份验证方法属性页中，去掉匿名访问的选择试试. 或者有没有 ‘启用父路径’。

3. 隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0，测试可以在：”工具-文件夹选项-查看隐藏保护”。