windows 2003系统权限方案.doc

服务器安全设置 IIS6.0的安装 开始菜单控制面板添加或删除程序添加/删除Windows组件 应用程序 ASP.NET（可选） |启用网络 COM 访问（必选） |Internet 信息服务(IIS)Internet 信息服务管理器（必选） |公用文件（必选） |万维网服务Active Server pages（必选） |Internet 数据连接器（可选） |WebDAV 发布（可选） |万维网服务（必选） |在服务器端的包含文件（可选） 在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433) IIS (Internet信息服务器管理器) 在主目录选项设置以下读 允许写 不允许脚本源访问 不允许目录浏览 建议关闭记录访问 建议关闭索引资源 建议关闭执行权限 推荐选择 “纯脚本” 建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。 在IIS6.0 -本地计算机 - 属性- 允许直接编辑配置数据库在IIS中 属性-主目录-配置-选项中。 在网站把”启用父路径“前面打上勾 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许” 优化IIS6应用程序池 1、取消“在空闲此段时间后关闭工作进程（分钟）” 2、勾选“回收工作进程（请求数目）” 3、取消“快速失败保护” 解决SERVER 2003不能上传大附件的问题 在“服务”里关闭 iis admin service 服务。 找到 windowssystem32inetsrv 下的 metabase.xml 文件。 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为20M即：20480000） 存盘，然后重启 iis admin service 服务。 解决SERVER 2003无法下载超过4M的附件问题 在“服务”里关闭 iis admin service 服务。 找到 windowssystem32inetsrv 下的 metabase.xml 文件。 找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即：20480000） 存盘，然后重启 iis admin service 服务。 超时问题 解决大附件上传容易超时失败的问题 在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮， 设置脚本超时时间为：300秒 (注意：不是Session超时时间)解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题 适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置-选项”， 就可以进行设置了(Windows 2003默认为20分钟) 修改3389远程连接端口HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcpPortNumber=dword:0000端口号HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber=dword:0000端口号设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号 本地策略-用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除 在安全设置里 本地策略-用户权利分配，通过终端服务拒绝登陆 加入ASPNET IUSR_ IWAM_ NETWORK SERVICE (注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了) 在安全设置里 本地策略-安全选项网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径; 网络访问:可远程访问的注册表路径和子路径; 将以上四项全部删除 不允许 SAM 账户的匿名枚举 更改为已启用 不允许 SAM 账户和共享的匿名枚举 更改为已启用 ; 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为已启用 ; 网络访问.限制匿名访问命名管道和共享,更改为已启用 ;将以上四项通通设为“已启用” 计算机管理的本地用户和组禁用终端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPO