关于Windows Server 2003安全配置再设置的探讨

Windows2003已经出现很久了，现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉，在这里，我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。

Win2003系统已经比Win2K系统增加了很多的安全性，所以现在选择Win2003系统作为服务器系统，将会是网络管理员的最佳选择。

本文假设你是一个服务器管理员，现在你的服务器使用Win2003服务器系统，你的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等）。

一、系统安装注意事项：首先，你得先把你的Win2003系统安装好，在安装系统时请选择使用NTFS文件系统分区，因为该分区可以对你的服务器资源进行加密、权限设置等，如果你的文件系统分区是使用FAT32的话，而你这台服务器作为一台虚拟主机，给客户提供空间，如果客户在空间里传了一个WebShell，如ASP木马等，而你使用的FAT32文件系统却不能为你的文件设置访问权限的话，那么黑客就能通过这个ASP木马取得你的服务器管理权了，那将是没有任何的安全性可言了。

为了系统的安全着想，系统安装好后，你还要给你的系统设置一个强壮的管理员口令，千万不要使用简单的口令，如123456等这样的简单登陆口令。

因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。

一个强壮的口令应该包括数字、英文字母、符号组成，如密码k3d8a^!ka76，设置好一个强壮的系统登陆口令后，我们就可以安装各种上面所述的组件服务支持了。

还是那句老话，最少的服务等于最大的安全，对于一切不须要的服务都不要安装，这样才能保证你服务器的安全性。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

Windows 2003 终端服务器设置详解进入开始菜单——控制面板的，选择进入添加/删除组件界面组件的第一个不要选，如果打了√，要把√去掉选择下面的两个组件点击下一步，进行添加下一步选择宽松安全模式，下一步选择“使用自动搜索的许可证服务器”，下一步选择“每设备授权模式”下一步然后选择windows2003的i386文件夹路径进行安装完成重启电脑重启完之后进入开始菜单——所有程序——管理工具——终端服务器授权选择服务器，右键选激活服务器下一步选择电话激活，下一步选择地区——中国，下一步记住上面得到的产品ID，等会要用到/*****************************************************************************/ 这时候打开IE浏览器输入https:///打开网页语言那里选择Chinese（Simplified），然后点击啊旁边的图标，把语言换成中文点击下一步产品ID那里填入刚才得到的ID，姓、名、公司随便填，国家当然选中国啦，下一步下一步选“是”许可证程序那里选“Enterprise Agreement”，下一步产品类型选"Windows 2003终端服务“每设备”客户端访问许可证" 数量填100协议号码填4954438下一步下一步到此界面时，就得到了我们要的两组ID不要点结束，先记下这两组ID，回到刚刚“终端服务器授权”的界面，输入上面两组ID中下面的那组ID下一步下一步下一步填入两组ID中上面的那组ID，下一步点击完成。

激活完成进入开始菜单——运行，输入gpedit.msc，确定选择计算机配置——管理模板——windows组件——终端服务在“终端服务”的右边窗口选择“限制终端服务用户到一个远程会话”双击“限制终端服务用户到一个远程会话”，进入属性设置选择“已禁用”，点确定所有设置完成，关闭窗口。

Windows 2003服务器安全配置终极技巧1、安装系统补丁。

扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。

∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。

打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘，有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限，无只给Administrators 权限。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

功能还可以！Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows2003服务器的安全性。

Win2003共享及权限设置（简明）Win2003共享及权限设置（简明）一、基础系统环境的设置点开始->运行，输入gpedit.msc然后按确定。

点windows设置下面的安全设置，然后本地策略->用户权利分配，右边框中拒绝从网络访问计算机中不得有guest用户，如果有请删除。

然后回到安全选项，右边框中查找:1、网络访问：本地账户的安全和共享模式，改为经典-本地用户以自己的身份验证。

2、来宾账户状态，改为已启用。

3、使用空白密码的账户只允许控制台登陆，改为已禁用。

这样系统基础环境设置完毕。

二、添加共享用户点开始->所有程序->管理工具->计算机管理,点击系统工具下方的本地用户和组，点击用户，在右边框中下方空白处右键新用户，添加用户，用户名自己起，密码自己想，用户名和密码不能和其它用户相同，下面选项中，把用户下次登录时须更改密码前面的勾去掉，在用户不能更改密码和密码永不过期前面打勾。

（这几点很重要，有不少人错在这里，在查看共享文件夹时提示无权限拒绝访问）。

添加完成，后面如果还有其它用户的话照例添加。

组的用途就是比如A和B两用户共享文件夹的权限是完全相同的，那就可以吧A和B两用户添加到一个组里，这样在后面共享权限和安全设置里就可以添加这个组，不需要一个一个用户的添加了，当然这适用于较多有相同权限的用户，这样比较省时间。

添加方法就是新建一个组，组名自己起(比如AB)，然后点下面的添加，然后点高级，点立即查找，在下面框中找到A用户，然后双击A用户，然后再点击高级，立即查找，找到B 用户双击，这样在输入对象名称来选择下面的框中，A和B用户都在里边，然后点确定，回到新建组对话框，然后点击创建，这样这个组就添加完成了。

用户和组的添加方法就到这里，继续添加其它用户的话以此类推。

三、共享文件夹的权限划分和安全设置新建a、b、c三个文件夹（文件夹名简单，为了测试时便于记忆），1、以a文件夹为例，点右键->选共享此文件夹,共享名默认即可，点共享和安全按钮，把组和用户名称框中的所有用户和组都删掉，然后点击添加->高级->立即查找,假设a文件夹里的内容，对A用户有完全的权限(可读可写可修改可删除)，那就在下面的框中找到A用户，双击，然后按确定，这样A用户就被添加进去了，然后在下面的权限框中根据A用户的权限选择完全控制的权限。

基于Windows2003的校园网Web服务器安全配置技术王杨摘要：对基于Windows Server 2003系统下Web服务器的安全技术研究。

从操作系统本身入手，通过重新规划系统部分默认配置。

提高基Windows2003的校园网Web服务器的安全性。

关键词：web 服务器；安全；IIS；Windows Server 2003构建一个安全的Web服务平台是保障学校各项工作顺利开展的基础，是学校实现现代化教学的前提，也是保障整个互联网健康发展的一个重要因素。

随着各类黑客工具在网络上的大势传播，Web 服务器面临着前所未有的威胁Windows Server2003作为第一个内置支持.NET技术的操作系统，重写了内核代码，使得该系统更稳定、更安全。

以下分别从Windows Server2003 系统配置，IIS配置以及网站代码安全三个方面来探讨web 服务器的安全问题。

1 Windows Server2003 系统安全配置Web服务器所采用的操作系统，高性能、高可靠性和高安全性是其必备要素。

微软的企业级操作系统中, 如果说Windows2000 全面继承了NT 技术, 那么Windows Server2003 则是依据.Net 架构对NT技术作了重要发展和实质性改进, 凝聚了微软多年来的技术积累, 使得系统安全性方面得以更大提高。

1.1 采用NTFS磁盘分区格式NTFS系统提供了性能安全、可靠以及在其他文件系统格式没有的高级功能,可以实现文件及文件夹的加密、权限设置、磁盘配额和压缩等高级功能,并可以更好的利用磁盘空间,提高系统的运行速度。

自WindowsNT 系统问世以来,使用NTFS文件系统,进一步打造系统安全已逐渐成为一种共识。

1.2 关闭系统默认共享Windows Server2003 仍开启默认共享所有硬盘分区, 以及让进程通信而开放的命名管道IPC$和系统工作目录admin$共享,这就为系统的安全埋下隐患。