客户机与服务器的安全设置 客户机与服务器的安全设置在哪里

一般新装服务器，大家都会做哪些安全设置？

一，硬盘设置 文件目录权限 删除共享，删除文件及文件夹中的高危权限二，服务设置 关闭不需要用到的服务三，本地安全策略设置 管理员改名设置 陷阱帐号，GUEST密码复杂重置 开启日志等结合服务器安全狗和网站安全狗，保护文件及目录安全，关闭不需要的端口等功能。

网站建设哪家好，找成都创新互联公司！专注于网页设计、网站建设、微信开发、成都微信小程序、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了岫岩免费建站欢迎大家使用！

盘点Windows XP安全快速配置安全选项

Windows Vista操作系统已经发布了很多个版本的测试版了，相信大家很多人都已经试用过了，笔者给大家整理了一些Vista的相关疑问。有不正当之处请指正。

Windows XP操作系统提供了强大的安全机制，但是如果要一一设置这些安全配置，却是非常费时、费力的事，那么有没有一种可以快速配置安全选项的办法呢？答案是肯定的，用安全模板就能快速、批量地设定所有安全选项。

一、了解安全模板

"安全模板"是一种可以定义安全策略的文件表示方式，它能够配置账户和本地策略、事件日志、受限组、文件系统、注册表以及系统服务等项目的安全设置。安全模板都以.inf格式的文本文件存在，用户可以方便地复制、粘贴、导入或导出某些模板。此外，安全模板并不引入新的安全参数，而只是将所有现有的安全属性组织到一个位置以简化安全性管理，并且提供了一种快速批量修改安全选项的方法。

系统已经预定义了几个安全模板以帮助加强系统安全，在默认情况下，这些模板存储在"%Systemroot%SecurityTemplates"目录下。它们分别是：

1.Compatws.inf

提供基本的安全策略，执行具有较低级别的安全性但兼容性更好的环境。放松用户组的默认文件和注册表权限，使之与多数没有验证的应用程序的要求一致。"Power Users"组通常用于运行没有验证的应用程序。

2.Hisec*.inf

提供高安全的客户端策略模板，执行高级安全的环境，是对加密和签名作进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。

3.Rootsec.inf

确保系统根的安全，可以指定由Windows XP Professional所引入的新的根目录权限。默认情况下，Rootsec.inf为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。

4.Secure*.inf

定义了至少可能影响应用程序兼容性的增强安全设置，还限制了LAN Manager和NTLM身份认证协议的使用，其方式是将客户端配置为仅可发送NTLMv2响应，而将服务器配置为可拒绝LAN Manager的响应。

5.Setupsecurity.inf

重新应用默认设置。这是一个针对于特定计算机的模板，它代表在安装操作系统期间所应用的默认安全设置，其设置包括系统驱动器的根目录的文件权限，可用于系统灾难恢复。

以上就是系统预定义的安全模板，用户可以使用其中一种安全模板，也可以创建自己需要的新安全模板。

二、管理安全模板

1.安装安全模板

安全模板文件都是基于文本的.inf文件，可以用文本打开进行编辑，但是这种方法编辑安全模板太复杂了，所以要将安全模板载入到MMC控制台，以方便使用。

①依次点击"开始"和"运行"按钮，键入"mmc"并点击"确定"按钮就会打开控制台节点；

②点击"文件"菜单中的"添加/删除管理单元"，在打开的窗口中点击"独立"标签页中的"添加"按钮；

③在"可用的独立管理单元"列表中选中"安全模板"，然后点击"添加"按钮，最后点击"关闭"，这样安全模板管理单元就被添加到MMC控制台中了。

为了避免退出后再运行MMC时每次都要重新载入，可以点击"文件"菜单上的"保存"按钮，将当前设置为保存。

2.建立、删除安全模板

将安全模板安装到MMC控制台后，就会看到系统预定义的那几个安全模板，你还可以自己建立新的安全模板。

首先打开"控制台根节点"列表中的"安全模板"，在存储安全模板文件的文件夹上点击鼠标右键，在dan出的快捷菜单中选择"新加模板"，这样就会dan出新建模板窗口，在"模板名称"中键入新建模板的名称，在"说明"中，键入新模板的说明，最后点击"确定"按钮。这样一个新的安全模板就成功建立了。

删除安全模板非常简单，打开"安全模板"，在控制台树中找到要删除的模板，在其上面点击鼠标右键，选择"删除"即可。

3.应用安全模板

新的安全模板经过配置后，就可以应用了，你必须通过使用"安全配置和分析"管理单元来应用安全模板设置。

①首先要添加"安全配置和分析"管理单元，打开MMC控制台的"文件"菜单，点击"添加/删除管理单元"，在"添加独立管理单元"列表中选中"安全配置和分析"，并点击"添加"按钮，这样"安全配置和分析"管理单元就被添加到MMC控制台中了；

②在控制台树中的"安全配置和分析"上点击鼠标右键，选择"打开数据库"，在dan出的窗口中键入新数据库名，然后点击"打开"按钮；

③在安全模板列表窗口中选择要导入的安全模板，然后点击"打开"按钮，这样该安全模板就被成功导入了；

④在控制台树中的"安全配置和分析"上点击右键，然后在快捷菜单中选择"立即配置计算机"，就会dan出确认错误日志文件路径窗口，点击"确定"按钮。

这样，刚才被导入的安全模板就被成功应用了。

三、设置安全模板

1.设置账户策略

账户策略之中包括密码策略、账户锁定策略和Kerberos策略的安全设置，密码策略为密码复杂程度和密码规则的修改提供了一种标准的手段，以便满足高安全性环境中对密码的要求。账户锁定策略可以跟踪失败的登录尝试，并且在必要时可以锁定相应账户。Kerberos策略用于域用户的账户，它们决定了与Kerberos相关的设置，诸如票据的期限和强制实施。

(1)密码策略

在这里可以配置5种与密码特征相关的设置，分别是"强制密码历史"、"密码最长使用期限"、"密码最短使用期限"、"密码长度最小值"和"密码必须符合复杂性要求"。

①强制密码历史：确定互不相同的新密码的个数，在重新使用旧密码之前，用户必须使用过这么多的密码，此设置值可介于0和24之间；

②密码最长使用期限：确定在要求用户更改密码之前用户可以使用该密码的天数。其值介于0和999之间；如果该值设置为0，则密码永不过期；

③密码最短使用期限：确定用户可以更改新密码之前这些新密码必须保留的天数。此设置被设计为与"强制密码历史"设置一起使用，这样用户就不能很快地重置有次数要求的密码并更改回旧密码。该设置值可以介于0和999之间；如果设置为0，用户可以立即更改新密码。建议将该值设为2天；

④密码长度最小值：确定密码最少可以有多少个字符。该设置值介于0和14个字符之间。如果设置为0，则允许用户使用空白密码。建议将该值设置为8个字符；

⑤密码必须符合复杂性要求：该项启用后，将对所有的新密码进行检查，确保它们满足复杂密码的基本要求。如果启用该设置，则用户密码必须符合特定要求，如至少有6个字符、密码不得包含三个或三个以上来自用户账户名中的字符等。

(2)账户锁定策略

在这里可以设置在指定的时间内一个用户账户允许的登录尝试次数，以及登录失败后，该账户的锁定时间。

①账户锁定时间：这里的设置决定了一个账户在解除锁定并允许用户重新登录之前所必须经过的时间，即被锁定的用户不能进行登录操作的时间，该时间的单位为分钟，如果将时间设置为0，将会永远锁定该账户，直到管理员解除账户的锁定；

②账户锁定阀值：确定尝试登录失败多少次后锁定用户账户。除非管理员进行了重新设置或该账户的锁定期已满，才能重新使用账户。尝试登录失败的次数可设置为1到999之间的值，如果设置为0，则始终不锁定该账户。

2.设置本地策略

本地策略包括审核策略、用户权限分配和安全选项三项安全设置，其中，审核策略确定了是否将安全事件记录到计算机上的安全日志中；用户权利指派确定了哪些用户或组具有登录计算机的权利或特权；安全选项确定启用或禁用计算机的安全设置。

(1)审核策略

审核被启用后，系统就会在审核日志中收集审核对象所发生的一切事件，如应用程序、系统以及安全的相关信息，因此审核对于保证域的安全是非常重要的。审核策略下的各项值可分为成功、失败和不审核三种，默认是不审核，若要启用审核，可在某项上双击鼠标，就会dan出"属性"窗口，首先选中"在模板中定义这些策略设置"，然后按需求选择"成功"或"失败"即可。

审核策略包括审核账户登录事件、审核策略更改、审核账户管理、审核登录事件、审核系统事件等，下面分别进行介绍。

①审核策略更改：主要用于确定是否对用户权限分配策略、审核策略或信任策略作出更改的每一个事件进行审核。建议设置为"成功"和"失败"；

②审核登录事件：用于确定是否审核用户登录到该计算机、从该计算机注销或建立与该计算机的网络连接的每一个实例。如果设定为审核成功，则可用来确定哪个用户成功登录到哪台计算机；如果设为审核失败，则可以用来检测入侵，但攻击者生成的庞大的登录失败日志，会造成拒绝服务(DoS)状态。建议设置为"成功"；

③审核对象访问：确定是否审核用户访问某个对象，例如文件、文件夹、注册表项、打印机等，它们都指定了自己的系统访问控制列表(SACL)的事件。建议设置为"失败"；

④审核过程跟踪：确定是否审核事件的详细跟踪信息，如程序激活、进程退出、间接对象访问等。如果你怀疑系统被攻击，可启用该项，但启用后会生成大量事件，正常情况下建议将其设置为"无审核"；

⑤审核目录服务访问：确定是否审核用户访问那些指定有自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。启用后会在域控制器的安全日志中生成大量审核项，因此仅在确实要使用所创建的信息时才应启用。建议设置为"无审核"；

⑥审核特权使用：该项用于确定是否对用户行使用户权限的每个实例进行审核，但除跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录等权限。建议设置为"不审核"；

⑦审核系统事件：用于确定当用户重新启动或关闭计算机时，或者对系统安全或安全日志有影响的事件发生时，是否予以审核。这些事件信息是非常重要的，所以建议设置为"成功"和"失败"；

⑧审核账户登录事件：该设置用于确定当用户登录到其他计算机(该计算机用于验证其他计算机中的账户)或从中注销时，是否进行审核。建议设置为"成功"和"失败"；

⑨审核账户管理：用于确定是否对计算机上的每个账户管理事件，如重命名、禁用或启用用户账户、创建、修改或删除用户账户或管理事件进行审核。建议设置为"成功"和"失败"。

(2)用户权利指派

用户权利指派主要是确定哪些用户或组被允许做哪些事情。具体设置方法是：

①双击某项策略，在dan出"属性"窗口中，首先选中"在模板中定义这些策略设置"；

②点击"添加用户或组"按钮就会出现"选择用户或组"窗口，先点击"对象类型"选择对象的类型，再点击"位置"选择查找的位置，最后在"输入对象名称来选择"下的空白栏中输入用户或组的名称，输完后可点击"检查名称"按钮来检查名称是否正确；

③最后点击"确定"按钮即可将输入的对象添加到用户列表中。

(3)安全选项

在这里可以启用或禁用计算机的安全设置，如数据的数字签名、Administrator和Guest账户的名称、软盘驱动器和CD-ROM驱动器访问、驱动程序安装行为和登录提示等。下面介绍几个适合于一般用户使用的设置。

①防止用户安装打印机驱动程序。对于要打印到网络打印机的计算机，网络打印机的驱动程序必须安装在本地打印机上。该安全设置确定了允许哪些人安装作为添加网络打印机一部分的打印机驱动程序。使用该设置可防止未授权的用户下载和安装不可信的打印机驱动程序。

双击"设备：防止用户安装打印机驱动程序"，会dan出属性窗口，首先选中"在模板中定义这个策略设置"项，然后将"已启用"选中，最后点击"确定"按钮。这样则只有管理员和超级用户才可以安装作为添加网络打印机一部分的打印机驱动程序；

②无提示安装未经签名的驱动程序。当试图安装未经Windows硬件质量实验室(WHQL)颁发的设备驱动程序时，系统默认会dan出警告窗口，然后让用户选择是否安装，这样很麻烦，你可以将其设置为无提示就直接安装。

双击"设备：未签名驱动程序的安装操作"项，在出现的.属性窗口中，选中"在模板中定义这个策略设置"项，然后点击后面的下拉按钮，选择"默认安装"，最后点击"确定"按钮即可；

③登录时显示消息文字。指定用户登录时显示的文本消息。利用这个警告消息设置，可以警告用户不得以任何方式滥用公司信息或者警告用户其操作可能会受到审核，从而更好地保护系统数据。

双击"jiao互式登录：用户试图登录时消息文字"，进入属性窗口，先将"在模板中定义这个策略设置"选中，然后在下面的空白输入框中输入消息文字，最多可以输入512个字符，最后点击"确定"按钮。这样，用户在登录到控制台之前就会看到这个警告消息对话框。

3.设置事件日志

这个安全模板是定义与应用程序、安全和系统日志相关的属性的，如最大的日志大小、对每个日志的访问权限以及保留设置和方法。其中，应用程序日志负责记录由程序生成的事件；安全日志根据审核对象记录安全事件；系统日志记录操作系统事件。

(1)日志保留天数

这个选项可以设置应用程序、安全性和系统日志可以保留多少天。需要注意的是，仅当以预定的时间间隔对日志进行存档时才应设置此值，并要确保最大日志大小足够大，以满足此时间间隔。这个天数可以是1到365天中的任何一个，用户可按需要进行设置，建议设置为14天。

(2)日志保留方法

在这里可以设置达到设定的最大日志文件的处理方法，共有按天数改写事件、按需要改写事件和不改写事件(手动清除日志)三种方式。如果希望将应用程序日志存档，就要选中"按需要覆盖事件"；如果希望以预定的时间间隔对日志进行存档，可选中"按天数覆盖事件"；如果需要在日志中保留所有事件，可选中"不要改写事件(手动清除日志)"，在这种情况下，当达到最大日志大小时，将会丢弃新事件日志。

(3)限制本地来宾组访问日志

在这里可以设置是否限制来宾访问应用程序、安全性和系统事件日志。默认设置是允许来宾用户和空连接可以查看系统日志，但禁止访问安全日志。

(4)日志最大值

这里可以设置日志文件的最大值和最小值，可用值的范围是64KB到4194240KB。如果设置值太小会导致日志经常被填满，这样就需要经常性地清理、保存日志；而设置值过大，会占据大量的硬盘空间，所以一定要根据自己的需要进行设置。

4.设置受限制的组

在这里可以允许管理员对安全性敏感的组定义"成员"和"隶属组"两个属性，其中"成员"定义了哪些用户属于以及哪些用户不属于受限制的组；"隶属组"定义了受限制的组属于其他哪些组。利用本策略，可以控制组中的成员身份，所有未在本策略中指定的成员都会被删除，而当前不是该组成员的用户将被添加。

(1)创建受限制的组

首先在控制台树中的"受限制的组"上点击鼠标右键，选择"添加组"。然后在"添加组"窗口中键入受限制的策略组的名称，或点击"浏览"，在打开的"选择组"窗口中查找要进行操作的组，最后点击"确定"按钮。这时你会发现新的一个组已经被创建成功了。

如果你想将所有受限制的组项从一个模板复制到另一个模板，可以在控制台树中右键点击"受限制的组"，在dan出的快捷菜单中选择"复制"，然后在另一个模板中右键点击"受限制的组"，并在dan出的快捷菜单中选择"粘贴"。

(2)添加用户

先在详细信息窗格中，找到要添加用户的组，然后在上面点击鼠标右键，在dan出的快捷菜单中选择"属性"，就会dan出该组的属性窗口。点击"这个组的成员"列表框右边的"添加"按钮，然后键入要添加的成员即可。重复此步骤，可添加更多的成员。

同样，如要将本组添加为任何其他组的成员中，请点击在"这个组隶属于"列表框右侧的"添加"按钮，然后在dan出的窗口中键入组名称，最后点击"确定"即可。

5.设置系统服务

在这里可以定义所有系统服务的启动模式和访问权限，启动模式包括自动、手动和已禁用，其中自动表示重新启动计算机时自动启动；手动表示只有在有人启动时才启动；已禁用表示不能启动该服务。而访问权限指的是用户对服务的读取、写入、删除、启动、暂停和停止等操作。利用这个安全模板可以很方便地设定哪些用户或组账户具有读取、写入、删除的权限，或具有执行继承设置或审核以及所有权的权限。需要注意的是，禁用某些服务可能会导致系统无法引导，所以如果要禁用系统的服务，请先在非生产系统中进行测试。

那么如何来配置系统服务设置呢？

①双击要配置的服务，就会dan出服务的属性对话框；

②选中"在模板中定义这个策略配置"项，如果这个策略以前从来没有被配置过，就会自动出现安全设置对话框。如果没有自动出现的话，需要点击"编辑安全设置"按钮，调出对话框；

③点击"添加"按钮，按照添加用户或组的步骤将想要操作的用户添加到列表中；

④在"组或用户名称"下的列表中选择某一用户或组，下面的权限列表中就会列出所有能够编辑的权限。按照实际需要选择是允许还是拒绝某项权限，如想编辑特别权限或高级设置，则点击"高级"按钮，编辑完成后点击"确定"按钮；

⑤在属性窗口中的"选择服务启动模式"下，选择自动、手动或已停用。

6.设置注册表

在这里，允许管理员定义注册表项的访问权限(关于DACL)和审核设置(关于SACL)。

DACL即任意访问控制列表，它赋予或拒绝特定用户或组访问某个对象的权限的对象安全描述符的组成部分。只有某个对象的所有者才可以更改DACL中赋予或拒绝的权限，这样，此对象的所有者就可以自由访问该对象。SACL即系统访问控制列表，它表示部分对象的安全描述符的列表，该安全描述符指定了每个用户或组的哪个事件将被审核。审核事件的例子是文件访问、登录尝试和系统关闭。

(1)设置注册表安全性

①在控制台树中，用鼠标右键点击"注册表"节点，在dan出的快捷菜单中选择"添加密钥"；

②在"选择注册表项"对话框中，选择好要添加密钥的注册表项，然后点击"确定"按钮；

③在"数据库安全设置"对话框中，为该注册表项选择合适的权限，然后点击"确定"按钮；

④在"模板安全策略设置"对话框中，选择需要的继承权限方式，最后点击"确定"按钮。

(2)修改注册表键的权限

①在注册表项详细列表中，双击要进行修改的注册表键；

②在dan出的"模板安全策略设置"窗口中，选中"配置这个键，然后"，下面有两项：其中"将继承权传播到所有子项"项表示所有子键都从被设置的键处继承新设置的权限；"用可继承权代替所有子项上的现有权限"项表示所有子键都会被应用新设置的权限。按自己的需要选择其中一项。

③点击"编辑安全设置"按钮，然后在dan出的对话框中点击"高级"按钮，进入高级安全设置窗口；

④在"高级安全设置"窗口中，点击"添加"按钮来增删用户，以符合建议的设置标准；

⑤选中要进行操作的用户或组，然后点击"编辑"按钮就会dan出权限设置对话框，首先在"应用到"后的下拉按钮中选择正确的设置，如只有该项、该项及子项等。接着在"权限"列表中选择希望使用的权限，最后点击"确定"按钮即可完成设置。

7.设置文件系统

文件系统是指文件命名、存储和组织的总体结构。Windows XP支持FAT、FAT32和NTFS三种文件系统，在安装Windows、格式化现有的卷或者安装新的硬盘时，可选择文件系统。每个文件系统都有其自己的优点和局限性，其中，NTFS文件系统所能提供的性能、安全性、可靠性是其他文件系统所不具备的。如NTFS可以通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障，NTFS就会使用日志文件和检查点信息来恢复文件系统的一致性。而在Windows XP操作系统中，NTFS还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能。

(1)查看文件系统安全设置

想要手工查看一个特定文件或文件夹的权限，可参考如下操作：

首先打开Windows资源管理器，在要查看的文件或文件夹上点击鼠标右键，在dan出的快捷菜单中选择"属性"。然后在属性窗口中，进入"安全"选项卡，最后点击"高级"按钮，在打开的窗口中就可以查看文件或文件夹相关的权限信息了。

(2)为文件设置文件系统安全性

①用右键点击控制台数中的"文件系统"节点，在dan出的快捷菜单中点击"添加文件"按钮；

②在"添加文件或文件夹"对话框中，找到要为其添加安全的文件或文件夹，然后点击"确定"按钮；

③在出现的"数据库安全设置"对话框中配置适当的权限，然后点击"确定"按钮；

④回到"模板安全策略设置"对话框中，点击"确定"按钮即可完成设置。

(3)修改文件系统安全设置

手工逐个修改每个文件和文件夹的权限设置，是非常浪费时间和精力的，通过安全模板可以快速、批量进行设置。

①在窗口右侧的面板中，双击要改变的文件或文件夹；

②在出现的"模板安全策略设置"窗口中有两个选项，其中"向所有子文件夹和文件传播继承权限"表示该文件夹的子文件夹和文件都被重新配置并全部继承新的权限；"替换所有带继承权限的子文件夹和文件上的现存权限"表示不管那些子文件夹是否具备允许继承权限，都将会被应用新的权限，并且会从被配置的键继承新的权限。按需要任选一项，然后点击"编辑安全设置"按钮。

③在"安全设置"窗口中，点击"高级"按钮；

④在高级安全设置窗口中，如果父项的权限没有被继承，就需要保证"从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目"项没有被选中，然后点击"添加"按钮来修改会受到权限影响的用户或组，最后选中要进行配置的组或用户，并点击"编辑"按钮；

⑤在文件夹的权限项目窗口中，首先点击"应用到"后的下拉按钮，选择一个合适的应用位置，如只有子文件夹、只有该文件夹等，然后就可以到"权限"列表中配置权限了。最后点击"确定"按钮来应用配置的权限。

关于2003服务器的安全设置

windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法来提高我们服务器的安全性。

第一招：正确划分文件系统格式，选择稳定的操作系统安装盘

为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟;有windows 2003的企业可升级版，这个一个完全破解了的版本，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。

第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点：

1、系统盘权限设置

C:分区部分：

c:\

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER 全部(只有子文件来及文件)

system 全部(该文件夹，子文件夹及文件)

IIS_WPG 创建文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹，子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:\Documents and Settings

administrators 全部(该文件夹，子文件夹及文件)

Power Users (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹，子文件夹及文件)

C:\Program Files

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER全部(只有子文件来及文件)

IIS_WPG (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹，子文件夹及文件)

修改权限

SYSTEM全部(该文件夹，子文件夹及文件)

TERMINAL SERVER USER (该文件夹，子文件夹及文件)

修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理

E:\

Administrators全部(该文件夹，子文件夹及文件)

E:\wwwsite

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

service全部(该文件夹，子文件夹及文件)

E:\wwwsite\vhost1

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

vhost1全部(该文件夹，子文件夹及文件)

3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限

比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

t

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format点抗

5.删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述

第三招：禁用不必要的服务，提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

第四招:修改注册表，让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

2、启动系统自带的Internet连接_blank"防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

10. 删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

2. 账户安全

首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户，看你崩溃不？

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;"这样，出错了自动转到首页

4. 安全日志

我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略-审核策略中打开相应的审核，推荐的审核是：

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义

5. 运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank"防火墙

6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置，更改默认端口，和管理密码

7.设置ip筛选、用blackice禁止木马常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值.

打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".

启动"安全配置和分析"MMC管理单元:"开始"-"运行"-"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.

右击"安全配置和分析"-"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".

当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".

如果系统提示"拒绝访问数据库",不管他.

你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.