win2003服务器安全配置（经测试，本配置在Win2003+IIS6.0+Serv-U+SQLServer的单服务器多网站中一切正常。）系统权限的设置１、磁盘权限系统盘只给Administrators组和SYSTEM的完全控制权限其他磁盘只给Administrators组完全控制权限系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限系统盘\windows\system32\config\禁止guests组系统盘\DocumentsandSettings\AllUsers\「开始」菜单\程序\禁止guests组系统盘\windowns\system32\inetsrv\data\禁止guests组系统盘\Windows\System32\at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe文件只给Administrators组和SYSTEM的完全控制权限其二（下列这些文件只允许administrators访问net.exenet1.exetcmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exeformat.com）系统盘\Windows\System32\cmd.exe、format.com仅Administrators组完全控制权限把所有（Windows\system32和Windows\ServicePackFiles\i386）format.com更名为format_nowayh.com２、本地安全策略设置开始菜单->管理工具->本地安全策略A、本地策略-->审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败其二（登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败）B、本地策略-->用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests组通过终端服务允许登陆：加入Administrators、RemoteDesktopUsers组，其他全部删除C、本地策略-->安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户D、账户策略-->账户锁定策略将账户设为“5次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”其他配置√·把Administrator账户更改管理工具→本地安全策略→本地策略→安全选项√·新建一无任何权限的假Administrator账户管理工具→计算机管理→系统工具→本地用户和组→用户更改描述：管理计算机(域)的内置帐户（顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户）×·重命名IIS来宾账户1、管理工具→计算机管理→系统工具→本地用户和组→用户→重命名IUSR_ComputerName2、打开IIS管理器→本地计算机→属性→允许直接编辑配置数据库3、进入Windows\system32\inetsrv文件夹→MetaBase.xml→右键编辑→找到"AnonymousUserName"→写入"IUSR_"新名称→保存4、关闭"允许直接编辑配置数据库"√·禁止文件共享本地连接属性→去掉"Microsoft网络的文件和打印共享"和"Microsoft网络客户端"前面的"√"√·禁止NetBIOS（关闭139端口）本地连接属性→TCP/IP属性→高级→WINS→禁用TCP/IP上的NetBIOS管理工具→计算机管理→设备管理器→查看→显示隐藏的设备→非即插即用驱动程序→禁用NetBiosovertcpip→重启√·防火墙的设置本地连接属性→高级→Windows防火墙设置→高级→第一个"设置"，勾选FTP、HTTP、远程桌面服务√·禁止ADMIN$缺省共享、磁盘默