window2003 server服务器配置标准

 

 

服务管理里禁用不必要的服务:

Telnet,Alerter,Computer Browser,Distributed File System,Indexing Service,Messenger,server,Remote Registry,Print Spooler,Workstation

 

磁盘操作:

在C盘根目录下把所有权限去掉去,只留下administators及system,并点高级把"重置所有子对象的权限..."打上勾,再点确定,把C盘所有文件权限都设置成只有这两个用户所有.

 

其它的D,E,F,G...等盘类似设置,注意其它盘一般只在初始安装时设置,如果已经有站点在运行的,一般不需要设置.该设置会影响到站点的运行,所有站点的权限都要重新设置,否则会出现站点未授权现象.

 

 

为C盘添加必要的权限:

C:\program files\common files everyone 读与执行

%WinDir%\temp everyone 完全控制

%WinDir%\Fonts everyone 读与执行

%WinDir%\IIS Temporary Compressed Files IIS_WPG 完全控制

%WinDir%\Help\iisHelp IIS_WPG 完全控制

%WinDir%\system32\inetsrv\ASP Compiled Templates IIS_WPG 完全控制

%WinDir%\Microsoft.NET\Framework\v1.1.4322 everyone 读与执行

%WinDir%\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files everyone 完全控制

%WinDir%\Microsoft.NET\Framework\v2.0.50727 everyone 读与执行

%WinDir%\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files everyone 完全控制

%WinDir%\system32 everone 读与执行

%WinDir%\system32\config system,administrators 完全控制

%WinDir%\system32\*.com system,administrators 完全控制

%WinDir%\system32\*.exe system,administrators 完全控制

%WinDir%\system32\msdtc.exe system,administrators 完全控制,NETWORKSERVICE 读与执行

%WinDir%\system32\dllhost.exe system,administrators 完全控制,everyone 读与执行

%WinDir%\system32\svchost.exe system,administrators 完全控制,everyone 读与执行

%WinDir%\system32\shell32.dll system,administrators 完全控制

%WinDir%\system32\wshom.ocx everyone 拒绝

%WinDir%\system32\net.exe everyone 拒绝

%WinDir%\system32\net1.exe everyone 拒绝

%WinDir%\system32\ftp.exe everyone 拒绝

%WinDir%\system32\tftp.exe everyone 拒绝

%WinDir%\system32\cmd.exe administrators 完全控制

%WinDir%\Registration everyone 完全控制

%WinDir%\WinSxS everyone 完全\控制

 

 

端口过虑:

TCP端口只开放:21,25,80,90,110,1433,1814,1815(慧林系统端口),1816,3306,3389等常用端口.另外再加30000-30005六个端口给serv-u做PASV端口用

 

修改远程登录端口

regedit再打开

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp]，将PortNumber的值（默认是3389）修改成自定义端口

远程登录端口设置后，务必开放刚才的自定义端口，否则远程不上，并且删除多余的开放端口1816

 

serv-U设置:

设置serv-u管理员密码,一定要设置,50%的***通过该漏洞完成.并且对serv-u高级进行设计，上传包超时加大到3000，并取消适应超时。

 

检查IIS扩展服务：

IIS扩展之运行：Active Server Pages，ASP.NET 1.1 和ASP.NET 2.0以及后续版本和PHP，其他都要禁止 （本文由中国数科(专注提供 php空间 asp空间)首发！www.7ydns.com)

 

 

转载于:https://blog.51cto.com/7ydns/875469