windows 2003系統(tǒng)目前最完善最完美的安全權(quán)限方案

在”網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP）和Microsoft網(wǎng)絡(luò)客戶端。在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS（S）

>>在“本地連接”打開Windows 2003 自帶的防火墻，可以屏蔽端口，基本達(dá)到一個(gè)IPSec的功能,只保留有用的端口,比如遠(yuǎn)程(3389)和 Web(80),Ftp(21),郵件服務(wù)器(25,110),https(443),SQL(1433)

>> IIS (Internet信息服務(wù)器管理器) 在"主目錄"選項(xiàng)設(shè)置以下

讀 允許

寫 不允許

腳本源訪問 不允許

目錄瀏覽 建議關(guān)閉

記錄訪問 建議關(guān)閉

索引資源 建議關(guān)閉

執(zhí)行權(quán)限 推薦選擇 “純腳本”

>> 建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。

(最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問權(quán)限，只允許管理員和system為Full Control)。

>> 在IIS6.0 -本地計(jì)算機(jī) - 屬性- 允許直接編輯配置數(shù)據(jù)庫在IIS中 屬性->主目錄->配置->選項(xiàng)中。

>> 在網(wǎng)站把”啟用父路徑“前面打上勾

>> 在IIS中的Web服務(wù)擴(kuò)展中選中Active Server Pages，點(diǎn)擊“允許”

>> 優(yōu)化IIS6應(yīng)用程序池

　　 1、取消“在空閑此段時(shí)間后關(guān)閉工作進(jìn)程（分鐘）”

　　 2、勾選“回收工作進(jìn)程（請求數(shù)目）”

　　 3、取消“快速失敗保護(hù)”

>> 解決SERVER 2003不能上傳大附件的問題

　　 在“服務(wù)”里關(guān)閉 iis admin service 服務(wù)。

　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

　　 找到 ASPMaxRequestEntityAllowed 把它修改為需要的值（可修改為20M即：20480000）

　　 存盤，然后重啟 iis admin service 服務(wù)。

>> 解決SERVER 2003無法下載超過4M的附件問題

　　 在“服務(wù)”里關(guān)閉 iis admin service 服務(wù)。

　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

　　 找到 AspBufferingLimit 把它修改為需要的值（可修改為20M即：20480000）

　　 存盤，然后重啟 iis admin service 服務(wù)。

>> 超時(shí)問題

　　 解決大附件上傳容易超時(shí)失敗的問題

　　 在IIS中調(diào)大一些腳本超時(shí)時(shí)間，操作方法是： 在IIS的“站點(diǎn)或虛擬目錄”的“主目錄”下點(diǎn)擊“配置”按鈕，

　　 設(shè)置腳本超時(shí)時(shí)間為：300秒 (注意：不是Session超時(shí)時(shí)間)

　　解決通過WebMail寫信時(shí)間較長后，按下發(fā)信按鈕就會(huì)回到系統(tǒng)登錄界面的問題

　　 適當(dāng)增加會(huì)話時(shí)間(Session)為 60分鐘。在IIS站點(diǎn)或虛擬目錄屬性的“主目錄”下點(diǎn)擊“配置-->選項(xiàng)”，

　　 就可以進(jìn)行設(shè)置了(Windows 2003默認(rèn)為20分鐘)

>> 修改3389遠(yuǎn)程連接端口

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

"PortNumber"=dword:0000端口號

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

"PortNumber"=dword:0000端口號

設(shè)置這兩個(gè)注冊表的權(quán)限, 添加“IUSR”的完全拒絕禁止顯示端口號

>> 本地策略--->用戶權(quán)限分配

　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。

　　通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

>> 在安全設(shè)置里 本地策略-用戶權(quán)利分配，通過終端服務(wù)拒絕登陸 加入

ASPNET

IUSR_

IWAM_

NETWORK SERVICE

(注意不要添加進(jìn)user組和administrators組添加進(jìn)去以后就沒有辦法遠(yuǎn)程登陸了)

>> 在安全設(shè)置里 本地策略-安全選項(xiàng)

網(wǎng)絡(luò)訪問:可匿名訪問的共享;

網(wǎng)絡(luò)訪問:可匿名訪問的命名管道;

網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑;

網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑;

將以上四項(xiàng)全部刪除

>> 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用"

>> 不允許 SAM 賬戶和共享的匿名枚舉 更改為"已啟用" ;

>> 網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports 更改為"已啟用" ;

>> 網(wǎng)絡(luò)訪問.限制匿名訪問命名管道和共享,更改為"已啟用" ;

將以上四項(xiàng)通通設(shè)為“已啟用”