Windows 2003网站安全权限设置指南.doc

Windows 2003网站安全权限设置指南Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可，基于IIS Web服务器软件的网站数量也越来越多。 通常情况下，高校的大多数服务器会由技术力量相对雄厚的网络中心等IT资源部门运维管理。而网站程序的制作则由各单位、各部门自主负责，少数用户单位会自主开发，或者请专业的IT公司代为开发。更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。因此，各网站程序的安全性参差不齐。在这种情况下，如果不对服务器的默认安全权限进行调整，将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。 最常遇到的情况是：一台Windows 2003服务器上运行多个网站，其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤)，黑客便可通过攻击该网站取得权限，上传网页木马，得到了一个Web SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有Web站点的源文件，往源文件里加入js和iframe恶意代码。此时那些没有安装反病毒软件的访客，浏览这些页面时便会感染上病毒，不仅引来用户的严重不满和投诉，同时也使学校的形象严重受损。 为了避免类似事件的发生，我们有必要分开部署网站和数据库。通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。但是，仅启用以上的安全措施还远远不够，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限作出严格的控制，实现各网站之间权限的隔离，方法如下： 在Web服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。 2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。 3.将各个网站分配到相应的应用程序池。如果网站数目不多，可以一个网站分配一个应用程序池。 如果网站数目较多，则可以采用分组的形式，组内网站则共处同一应用程序池。 4.更改网站的匿名访问用户。 5.设置网站目录及其文件的安全权限。 本文将通过实例来详细介绍上面的设置方法： 我们的服务器运行着三个网站 http/ http/ http/ 现在我们想为这三个网站分配不同的权限，实现各个网站之间的隔离。于是我们做了如下的规划： (1)首先创建三个用户IISWK_001、IISWK_002和IISWK_003，分别作为网站、和应用程序池的安全性用户； (2)接着创建三个用户IUSR_001、IUSR_002和IUSR_003，分别作为这三个网站的匿名访问帐户； (3)最后我们对这三个网站的目录权限进行调整，比如网站根目录只对IISWK_001和IUSR_001用户开读取权限，而网站根目录只对IISWK_002和IUSR_002用户开读取权限，从而实现了各网站之间权限的隔离。 为达到上述目标，我们进行如下设置： 1. 创建若干个系统用户，分别作IIS6的应用程序池安全性用户和网站匿名访问帐户。 (1) 创建IIS6的应用程序池安全性用户: 首先创建三个用户IISWK_001、IISWK_002和IISWK_003，分别作为网站、和应用程序池的安全性用户。 右击“我的电脑”“管理”“系统工具”“本地用户和组”右击“用户”“新用户” 分别添加IISWK_001、IISWK_002和IISWK_003这三个用户，请保存好相关用户的密码，下面将会用到。 同时设置“用户不能更改密码”，“密码永不过期”等相关属性，确保帐号的有效性。 请注意，IISWK_001、IISWK_002和IISWK_003帐号创建完毕后,还必须进行以下的设置： 赋予这三个用户写入和修改%SystemRoot%Temp目录的权限(例如CwindowsTemp目录)； 将这三个用户从Users组中删除，同时加入IIS_WPG组。 以上二步是确保应用程序池以及 等程序的正常运行，避免访问页面时报错提示”Service Unavailable”。 (2) 创建三个网站的匿名访问帐户: IUSR_001、IUSR_002和IUSR_003，同时删除其隶属于Users组的权限。如组图2。 2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。 下面为网站创建新的应用程序池IISWK_001，并对进行相关的配置： 打开IIS管理控制台，右击“应用程序池”“新建”“应用程序池”，在出现的“添加新应用程序池”窗口中输入应用程序池ID IISWK_001,如组图3所示： 接着右击所创建的应用程序池IISWK_001，选择“属性”“标识”，在应用程序池标识处，选择“配置”，并点击其右边的“浏览”按钮，查找到IISWK_001用户，确认并输入IISWK_001用户的密码和确认密码。如组图4所示： 3.将网站分配到相应的应用程序池。 在IIS管理控件台中，右击打开网站属性，切换到“主目录”标签，在应用程序池下拉菜单处，选择IISWK_001应用程序池，如组图5所示： 4.更改网站的匿名访问用户。 在IIS管理控件台中，右击打开网站属性，切换到“目录安全性”标签，点击“编辑”按钮，在身份认证方法窗口中，点击“浏览”按钮，选择步骤2所创建的用户IUSR_001用户，输入密码和确认密码，如组图6所示： 5.设置网站目录及其文件的安全权限。 限于篇幅问题，本文将注重网站目录权限的设置，而其他目录的安全权限设置在此处只作简单介绍。 (1) 删除各逻辑分区目录下的Everyone 用户和Users用户组。 (2) CDocuments and SettingsAll Users CWINDOWSsystem32config CProgram Files等目录 以及CWINDOWSsystem32 目录下常用的如cmd.exe、net.exe、reg.exe等管理工具，权限都有必要调整。删除Everyone和Users组的访问权限。 回到正题，对网站的根目录，做如下的安全设置： 保留Administrators用户组和System用户组的完全控制权限，删除其他所有用户的权限。 然后再对IISWK_001和IUSR_001开放以下三个权限：读取和运行、列出文件夹目录、读取如组图7所示。 然后对根目录下那些需要开放写入和修改权限的目录进行更改：开放IISWK_001和IUSR_001的写入权限和修改权限。 如本例中的数据库目录Database和上传目录Upload，应该开放IISWK_001和IUSR_001的写入和修改权限(如组图8所示)，这样网站便可以正常运行asp、等动态程序了。 按照同样方法对网站根目录开放IISWK_002和IUSR_002的读取访问权限，而其下需要修改权限的目录则开放IISWK_002和IUSR_002的写入和修改权限；对网站根目录开放IISWK_003和IUSR_003的读取访问权限，其下需要修改权限的目录则开放IISWK_003和IUSR_003的写入和修改权限。至于Windows 2003文件安全权限的更高级用法，请参考有关的资料，本文不再多作介绍。 配置到此完成。 接下来我们还需要重启上面所创建的所有应用程序池，或者直接重启IIS，否则访问网站时将出现“ Service Unavailable”的错误。 重启IIS的方法： “开始菜单”“运行”输入 iisreset 命令即可。 现在我们可以正常浏览网站了。打开任务管理，查看进程，我们将发现三个w3wp进程的运行用户不再是NETWORK SERVICE，而是上面所创建的IISWK_001、IISWK_002和IISWK_003。 如果想实现批量添加用户，则可根据下面提供的命令，修改成相应的用户名和密码，然后保存为.bat脚本文件即可。 1. 批量添加应用程序池的安全性用户： net user IISWK_001 _Password1 /fullnameIISWK_001 /add /y /expires:never /passwordchgno /activeyes net user IISWK_002 _Password2 /fullnameIISWK_002 /add /y /expiresnever /passwordchgno /activeyes net user IISWK_003 _Password3 /fullnameIISWK_003 /add /y /expiresnever /passwordchgno /activeyes 此处_Password1、_Password2和_Password3为对应用户的密码字段，请记得进行修改。 2. 批量添加网站的匿名访问帐户 net user IUSR_001 _Password1 /fullname:IUSR_001 /add /y /expires:never /passwordchgno /activeyes net user IUSR_002 _Password2 /fullname:IUSR_002 /add /y /expires:never /passwordchgno /activeyes net user IUSR_003 _Password3 /fullname:IUSR_003 /add /y /expires:never /passwordchgno /activeyes 3. 批量将所创建的用户从默认的Users组中删除。 net localgroup users IISWK_001 /delete net localgroup users IISWK_002 /delete net localgroup users IISWK_003 /delete net localgroup users IUSR_001 /delete net localgroup users IUSR_002 /delete net localgroup users IUSR_003 /delete 4. 批量将所创建的应用程序池安全性用户加入IIS_WPG组(参见表2)。 注意，成功添加用户后，记得将所有帐号的属性设定为“密码永不过期”。 Windows2003用户权限设置系统用户：自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组这里可以设置一个 WEB用户的组 把WEB站点用户名加到这个组中盘符 安全访问权限 C:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限D:盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限E:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限f:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限如有其他盘符类推下去.目录安全访问权限c:windowsadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限c:windowssystem32administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限c:windowstempadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限这里要给你的WEB用户组添加权限 要不access就是出现500错误C:WINDOWSsystem32configadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限c:Program Filesadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Program FilesCommon Filesadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限c:Documents and Settingsadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll Usersadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication Dataadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication DataMicrosoftadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication DataMicrosoftHTML Helpadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限禁止系统盘下的EXE文件：net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe些文件都设置成 administrators 完全控制权限使用时恢复权限或删除后刷新Windows 2003网站安全权限设置指南Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可，基于IIS Web服务器软件的网站数量也越来越多。 通常情况下，高校的大多数服务器会由技术力量相对雄厚的网络中心等IT资源部门运维管理。而网站程序的制作则由各单位、各部门自主负责，少数用户单位会自主开发，或者请专业的IT公司代为开发。更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。因此，各网站程序的安全性参差不齐。在这种情况下，如果不对服务器的默认安全权限进行调整，将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。 最常遇到的情况是：一台Windows 2003服务器上运行多个网站，其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤)，黑客便可通过攻击该网站取得权限，上传网页木马，得到了一个Web SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有Web站点的源文件，往源文件里加入js和iframe恶意代码。此时那些没有安装反病毒软件的访客，浏览这些页面时便会感染上病毒，不仅引来用户的严重不满和投诉，同时也使学校的形象严重受损。 为了避免类似事件的发生，我们有必要分开部署网站和数据库。通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。但是，仅启用以上的安全措施还远远不够，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限作出严格的控制，实现各网站之间权限的隔离，方法如下： 在Web服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。 2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。 3.将各个网站分配到相应的应用程序池。如果网站数目不多，可以一个网站分配一个应用程序池。 如果网站数目较多，则可以采用分组的形式，组内网站则共处同一应用程序池。 4.更改网站的匿名访问用户。 5.设置网站目录及其文件的安全权限。 本文将通过实例来详细介绍上面的设置方法： 我们的服务器运行着三个网站 http/ http/ http/ 现在我们想为这三个网站分配不同的权限，实现各个网站之间的隔离。于是我们做了如下的规划： (1)首先创建三个用户IISWK_001、IISWK_002和IISWK_003，分别作为网站、和应用程序池的安全性用户； (2)接着创建三个用户IUSR_001、IUSR_002和IUSR_003，分别作为这三个网站的匿名访问帐户； (3)最后我们对这三个网站的目录权限进行调整，比如网站根目录只对IISWK_001和IUSR_001用户开读取权限，而网站根目录只对IISWK_002和IUSR_002用户开读取权限，从而实现了各网站之间权限的隔离。 为达到上述目标，我们进行如下设置： 1. 创建若干个系统用户，分别作IIS6的应用程序池安全性用户和网站匿名访问帐户。 (1) 创建IIS6的应用程序池安全性用户: 首先创建三个用户IISWK_001、IISWK_002和IISWK_003，分别作为网站、和应用程序池的安全性用户。 右击“我的电脑”“管理”“系统工具”“本地用户和组”右击“用户”“新用户” 分别添加IISWK_001、IISWK_002和IISWK_003这三个用户，请保存好相关用户的密码，下面将会用到。 同时设置“用户不能更改密码”，“密码永不过期”等相关属性，确保帐号的有效性。 请注意，IISWK_001、IISWK_002和IISWK_003帐号创建完毕后,还必须进行以下的设置： 赋予这三个用户写入和修改%SystemRoot%Temp目录的权限(例如CwindowsTemp目录)； 将这三个用户从Users组中删除，同时加入IIS_WPG组。 以上二步是确保应用程序池以及 等程序的正常运行，避免访问页面时报错提示”Service Unavailable”。 (2) 创建三个网站的匿名访问帐户: IUSR_001、IUSR_002和IUSR_003，同时删除其隶属于Users组的权限。如组图2。 2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。 下面为网站创建新的应用程序池IISWK_001，并对进行相关的配置： 打开IIS管理控制台，右击“应用程序池”“新建”“应用程序池”，在出现的“添加新应用程序池”窗口中输入应用程序池ID IISWK_001,如组图3所示： 接着右击所创建的应用程序池IISWK_001，选择“属性”“标识”，在应用程序池标识处，选择“配置”，并点击其右边的“浏览”按钮，查找到IISWK_001用户，确认并输入IISWK_001用户的密码和确认密码。如组图4所示： 3.将网站分配到相应的应用程序池。 在IIS管理控件台中，右击打开网站属性，切换到“主目录”标签，在应用程序池下拉菜单处，选择IISWK_001应用程序池，如组图5所示： 4.更改网站的匿名访问用户。 在IIS管理控件台中，右击打开网站属性，切换到“目录安全性”标签，点击“编辑”按钮，在身份认证方法窗口中，点击“浏览”按钮，选择步骤2所创建的用户IUSR_001用户，输入密码和确认密码，如组图6所示： 5.设置网站目录及其文件的安全权限。 限于篇幅问题，本文将注重网站目录权限的设置，而其他目录的安全权限设置在此处只作简单介绍。 (1) 删除各逻辑分区目录下的Everyone 用户和Users用户组。 (2) CDocuments and SettingsAll Users CWINDOWSsystem32config CProgram Files等目录 以及CWINDOWSsystem32 目录下常用的如cmd.exe、net.exe、reg.exe等管理工具，权限都有必要调整。删除Everyone和Users组的访问权限。 回到正题，对网站的根目录，做如下的安全设置： 保留Administrators用户组和System用户组的完全控制权限，删除其他所有用户的权限。 然后再对IISWK_001和IUSR_001开放以下三个权限：读取和运行、列出文件夹目录、读取如组图7所示。 然后对根目录下那些需要开放写入和修改权限的目录进行更改：开放IISWK_001和IUSR_001的写入权限和修改权限。 如本例中的数据库目录Database和上传目录Upload，应该开放IISWK_001和IUSR_001的写入和修改权限(如组图8所示)，这样网站便可以正常运行asp、等动态程序了。 按照同样方法对网站根目录开放IISWK_002和IUSR_002的读取访问权限，而其下需要修改权限的目录则开放IISWK_002和IUSR_002的写入和修改权限；对网站根目录开放IISWK_003和IUSR_003的读取访问权限，其下需要修改权限的目录则开放IISWK_003和IUSR_003的写入和修改权限。至于Windows 2003文件安全权限的更高级用法，请参考有关的资料，本文不再多作介绍。 配置到此完成。 接下来我们还需要重启上面所创建的所有应用程序池，或者直接重启IIS，否则访问网站时将出现“ Service Unavailable”的错误。 重启IIS的方法： “开始菜单”“运行”输入 iisreset 命令即可。 现在我们可以正常浏览网站了。打开任务管理，查看进程，我们将发现三个w3wp进程的运行用户不再是NETWORK SERVICE，而是上面所创建的IISWK_001、IISWK_002和IISWK_003。 如果想实现批量添加用户，则可根据下面提供的命令，修改成相应的用户名和密码，然后保存为.bat脚本文件即可。 1. 批量添加应用程序池的安全性用户： net user IISWK_001 _Password1 /fullnameIISWK_001 /add /y /expires:never /passwordchgno /activeyes net user IISWK_002 _Password2 /fullnameIISWK_002 /add /y /expiresnever /passwordchgno /activeyes net user IISWK_003 _Password3 /fullnameIISWK_003 /add /y /expiresnever /passwordchgno /activeyes 此处_Password1、_Password2和_Password3为对应用户的密码字段，请记得进行修改。 2. 批量添加网站的匿名访问帐户 net user IUSR_001 _Password1 /fullname:IUSR_001 /add /y /expires:never /passwordchgno /activeyes net user IUSR_002 _Password2 /fullname:IUSR_002 /add /y /expires:never /passwordchgno /activeyes net user IUSR_003 _Password3 /fullname:IUSR_003 /add /y /expires:never /passwordchgno /activeyes 3. 批量将所创建的用户从默认的Users组中删除。 net localgroup users IISWK_001 /delete net localgroup users IISWK_002 /delete net localgroup users IISWK_003 /delete net localgroup users IUSR_001 /delete net localgroup users IUSR_002 /delete net localgroup users IUSR_003 /delete 4. 批量将所创建的应用程序池安全性用户加入IIS_WPG组(参见表2)。 注意，成功添加用户后，记得将所有帐号的属性设定为“密码永不过期”。 Windows2003用户权限设置系统用户：自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组这里可以设置一个 WEB用户的组 把WEB站点用户名加到这个组中盘符 安全访问权限 C:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限D:盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限E:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限f:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限如有其他盘符类推下去.目录安全访问权限c:windowsadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限c:windowssystem32administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限c:windowstempadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限这里要给你的WEB用户组添加权限 要不access就是出现500错误C:WINDOWSsystem32configadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限c:Program Filesadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Program FilesCommon Filesadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限c:Documents and Settingsadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll Usersadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication Dataadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication DataMicrosoftadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication DataMicrosoftHTML Helpadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限禁止系统盘下的EXE文件：net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe些文件都设置成 administrators 完全控制权限使用时恢复权限或删除后刷新Windows2003硬盘权限设置1、系统盘权限设置 C:分区部分： c: administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) system 全部(该文件夹，子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹，子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:Documents and Settings administrators 全部(该文件夹，子文件夹及文件) Power Users (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 SYSTEM全部(该文件夹，子文件夹及文件) C:Program Files administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 Power Users(该文件夹，子文件夹及文件) 修改权限 SYSTEM全部(该文件夹，子文件夹及文件) TERMINAL SERVER USER (该文件夹，子文件夹及文件) 修改权限 2、网站及虚拟机权限设置(比如网站在E盘) 说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建 了一个guest用户，用户名为vhost1.vhostn并且创建了一个webuser组 ，把所有的vhost用户全部加入这个webuser组里面方便管理 E: Administrators全部(该文件夹，子文件夹及文件) E:wwwsite Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) service全部(该文件夹，子文件夹及文件) E:wwwsitevhost1 Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) vhost1全部(该文件夹，子文件夹及文件) 3、数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限 比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限 4、其它地方的权限设置 请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许administrators访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe Windows Server2003防木马权限设置 小编网络上很多关于WIN2003的安全设置以及自己动手做了一些实践，综合了这些安全设置文章整理而成，希望对大家有所帮助，另外里面有不足之处还请大家多多指点，然后给补上，谢谢！ 一、系统的安装 、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。 、IIS6.0的安装 开始菜单控制面板添加或删除程序添加/删除Windows组件 应用程序 ASP.NET（可选） |启用网络 COM+ 访问（必选） |Internet 信息服务(IIS)Internet 信息服务管理器（必选） |公用文件（必选） |万维网服务Active Server pages（必选） |Internet 数据连接器（可选） |WebDAV 发布（可选） |万维网服务（必选） |在服务器端的包含文件（可选） 然后点击确定下一步安装。（具体见本文附件1） 、系统补丁的更新 点击开始菜单所有程序Windows Update 按照提示进行补丁的安装。 、备份系统 用GHOST备份系统。 、安装常用的软件 例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。 6、先关闭不需要的端口 开启防火墙 导入IPSEC策略 在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用Internet连接防火墙，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。 修改3389远程连接端口 修改注册表. 开始-运行-regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) 注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口 修改完毕.重新启动服务器.设置生效。二、用户安全设置 1、禁用Guest账号 在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。 2、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3、把系统Administrator账号改名 大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。 4、创建一个陷阱用户 什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。 5、把共享文件的权限从Everyone组改成授权用户 任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。 6、开启用户策略 使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 （该项为可选） 7、不让系统显示上次登录的用户名 默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。 密码安全设置 1、使用安全密码 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。 2、设置屏幕保护密码 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。 3、开启密码策略 注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。 4、考虑使用智能卡来代替密码 对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。三、系统权限的设置 、磁盘权限 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全 控制权限 另将System32cmd.exe、、ftp.exe转移到其他目录或更名 Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看，包括下面的所有子目录。 删除c:inetpub目录 、本地安全策略设置 开始菜单管理工具本地安全策略 A、本地策略审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略用户权限分配 关闭系统：只有Administrators组