Windows 2003 伺服器安全設定圖文教程_win伺服器

一、系統的安裝

1、按照Windows2003安裝光碟片的提示安裝,預設情況下2003沒有把IIS6.0安裝在系統裡面。
2、IIS6.0的安裝
開始菜單—>控制台—>添加或刪除程式—>添加/刪除Windows組件
應用程式 ———ASP.NET(可選)
|——啟用網路 COM+ 訪問(必選)
|——Internet 資訊服務(IIS)———Internet 資訊服務管理器(必選)
|——公用檔案(必選)
|——全球資訊網服務———Active Server pages(必選)
|——Internet 資料連線器(可選)
|——WebDAV 發布(可選)
|——全球資訊網服務(必選)
|——在伺服器端的包含檔案(可選)

然後點擊確定—>下一步安裝。

3、系統補丁的更新(建議使用360或者伺服器安全狗進行補丁更新，windows內建的容易出現問題)
點擊開始菜單—>所有程式—>Windows Update
按照提示進行補丁的安裝。
4、備份系統
用GHOST備份系統（軟體下載http://www.jb51.net/softs/54.html這個是綠色軟體，很方便，如果不能使用可以使用http://www.jb51.net/softs/8860.html）。
5、安裝常用的軟體
例如:殺毒軟體mcafee、解壓縮軟體winrar等;安裝之後用GHOST再次備份系統。

伺服器上更多的實用軟體可以到s.jb51.net下載。

二、系統許可權的設定

1、磁碟許可權
系統硬碟及所有磁碟只給 Administrators 組和 SYSTEM 的完全控制許可權
系統硬碟\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
系統硬碟\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM
的完全控制許可權
系統硬碟\Inetpub 目錄及下面所有目錄、檔案只給 Administrators 組和 SYSTEM 的完全控制許可權
系統硬碟\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 檔只給
Administrators 組和 SYSTEM 的完全控制許可權
2、本地安全性原則設定
開始菜單—>管理工具—>本地安全性原則
A、本地策略——>稽核原則
稽核原則更改 成功 失敗
審核登入事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權使用 失敗
審核系統事件 成功 失敗
審核賬戶登入事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>使用者權限分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests、User組
通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
互動式登陸:不顯示上次的使用者名稱 啟用
網路訪問:不允許SAM帳戶和共用的匿名枚舉 啟用
網路訪問:不允許為網路身分識別驗證儲存憑證 啟用
網路訪問:可匿名訪問的共用 全部刪除
網路訪問:可匿名訪問的命 全部刪除
網路訪問:可遠端存取的註冊表路徑 全部刪除
網路訪問:可遠端存取的註冊表路徑和子路徑 全部刪除
帳戶:重新命名來賓帳戶 重新命名一個帳戶
帳戶:重新命名系統管理員帳戶 重新命名一個帳戶
3、禁用不必要的服務
開始菜單—>管理工具—>服務
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統上面預設啟動的服務中禁用的,預設禁用的服務如沒特別需要的話不要啟動。
4、啟用防火牆
案頭—>網路位置—>(右鍵)屬性—>本地串連—>(右鍵)屬性—>進階—>(選中)網際網路連線防火牆—>設定
把伺服器上面要用到的服務連接埠選中
例如:一台WEB伺服器,要提供WEB(80)、FTP(21)服務及遠端桌面管理(3389)
在“FTP 伺服器”、“WEB伺服器(HTTP)”、“遠端桌面”前面打上對號
如果你要提供服務的連接埠不在裡面,你也可以點擊“添加”銨鈕來添加,具體參數可以參照系統裡面原有的參數。
然後點擊確定。注意:如果是遠端管理這台伺服器,請先確定遠端管理的連接埠是否選中或添加。

Win2003 Server的安全性較之Win2K確實有了很大的提高,但是用Win2003
Server作為伺服器是否就真的安全了?如何才能打造一個安全的個人Web伺服器?下面給大家一些建議:

一、Windows Server2003的安裝
1、安裝系統最少兩需要個分區,分區格式都採用NTFS格式
2、在斷開網路的情況安裝好2003系統
3、安裝IIS,僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP
服務)。預設情況下,IIS服務沒有安裝,在添加/刪除Win組件中選擇“應用程式伺服器”,然後點擊“詳細資料”,雙擊Internet資訊服務(iis),勾選以下選項:
Internet 資訊服務管理器;
公用檔案;
背景智慧型傳送服務 (BITS) 伺服器擴充;
全球資訊網服務。
如果你使用 FrontPage 擴充的 Web 網站再勾選:FrontPage 2002 Server Extensions
4、安裝MSSQL及其它所需要的軟體然後進行Update。
5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer)
工具分析電腦的安全配置,並標識缺少的Hotfix和更新。下載地址:見頁末的連結

二、設定和管理賬戶

1、系統管理員賬戶最好少建,更改預設的系統管理員帳戶名(Administrator)和描述,密碼最好採用數字加大小寫字母加數位上檔鍵組合,長度最好不少於14位。
2、建立一個名為Administrator的陷阱帳號,為其設定最小的許可權,然後隨便輸入組合的最好不低於20位的密碼
3、將Guest賬戶禁用並更改名稱和描述,然後輸入一個複雜的密碼,當然現在也有一個DelGuest的工具,也許你也可以利用它來刪除Guest賬戶,但我沒有試過。
4、在運行中輸入gpedit.msc斷行符號,開啟組策略編輯器,選擇電腦配置-Windows設定-安全設定-賬戶策略-賬戶鎖定策略,將賬戶設為“三次登陸無效”,“鎖定時間為30分鐘”,“複位鎖定計數設為30分鐘”。
5、在安全設定-本地策略-安全選項中將“不顯示上次的使用者名稱”設為啟用
6、在安全設定-本地策略-使用者權利分配中將“從網路訪問此電腦”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。
7、建立一個User賬戶,運行系統,如果要運行特權命令使用Runas命令。

三、網路服務安全管理

1、禁止C$、D$、ADMIN$一類的預設共用
開啟註冊表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右邊的視窗中建立Dword值,名稱設為AutoShareServer值設為0
2、 解除NetBios與TCP/IP協議的綁定
右擊網路位置-屬性-右擊本地串連-屬性-雙擊Internet協議-進階-Wins-禁用TCP/IP上的NETBIOS
3、關閉不需要的服務,以下為建議選項
Computer Browser:維護網路電腦更新,禁用
Distributed File System: 區域網路管理共用檔案,不需要禁用
Distributed linktracking client:用於區域網路更新串連資訊,不需要禁用
Error reporting service:禁止發送錯誤報表
Microsoft Serch:提供快速的單詞搜尋,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
PrintSpooler:如果沒有印表機可禁用
Remote Registry:禁止遠程修改註冊表
Remote Desktop Help Session Manager:禁止遠程協助
四、開啟相應的稽核原則
在運行中輸入gpedit.msc斷行符號,開啟組策略編輯器,選擇電腦配置-Windows設定-安全設定-稽核原則在建立審核項目時需要注意的是如果審核的項目太多,產生的事件也就越多,那麼要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件,所以你需要根據情況在這二者之間做出選擇。
推薦的要審核的項目:
登入事件 成功 失敗
賬戶登入事件 成功 失敗
系統事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗
特權使用 失敗

五、其它安全相關設定
1、隱藏重要檔案/目錄
可以修改註冊表實現完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,滑鼠右擊
“CheckedValue”,選擇修改,把數值由1改為0
2、啟動系統內建的Internet串連防火牆,在設定服務選項中勾選Web伺服器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
建立DWORD值,名為SynAttackProtect,值為2
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
建立DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重新導向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支援IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
建立DWORD值,名為IGMPLevel 值為0
7、禁用DCOM:
運行中輸入 Dcomcnfg.exe。 斷行符號, 單擊“主控台根目錄”下的“元件服務”。 開啟“電腦”子檔案夾。
對於本機電腦,請以按右鍵“我的電腦”,然後選擇“屬性”。選擇“預設屬性”選項卡。
清除“在這台電腦上啟用分散式 COM”複選框。
注:3-6項內容我採用的是Server2000設定,沒有測試過對2003是否起作用。但有一點可以肯定我用了一段的時間沒有發現其它副面的影響。
六、配置 IIS 服務:
1、不使用預設的Web網站,如果使用也要將 將IIS目錄與系統磁碟分開。
2、刪除IIS預設建立的Inetpub目錄(在安裝系統的盤上)。
3、刪除系統硬碟下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、刪除不必要的IIS副檔名映射。
按右鍵“預設Web網站→屬性→主目錄→配置”,開啟應用程式視窗,去掉不必要的應用程式對應。主要為.shtml, .shtm,
.stm
5、更改IIS日誌的路徑
按右鍵“預設Web網站→屬性-網站-在啟用日誌記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003啟動並執行IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一個ISAPI篩選器,它對傳入的HTTP資料包進行分析並可以拒絕任何可疑的通訊量。目前最新的版本是2.5,如果是2000Server需要先安裝1.0或2.0的版本。下載地址見頁未的連結
如果沒有特殊的要求採用UrlScan預設配置就可以了。
但如果你在伺服器運行ASP.NET程式,並要進行調試你需開啟要%WINDIR%\System32\Inetsrv\URLscan
檔案夾中的URLScan.ini 檔案,然後在UserAllowVerbs節添加debug謂詞,注意此節是區分大小寫。
如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。
如果你的網頁使用了非ASCII代碼,你需要在Option節中將AllowHighBitCharacters的值設為1
在對URLScan.ini 檔案做了更改後,你需要重啟IIS服務才會生效,快速方法運行中輸入iisreset
如果你在配置後出現什麼問題,你可以通過添加/刪除程式刪除UrlScan。
8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.

七、配置Sql伺服器
1、System Administrators 角色最好不要超過兩個
2、如果是在本機最好將身分識別驗證配置為Win登陸
3、不要使用Sa賬戶,為其配置一個超級複雜的密碼
4、刪除以下的擴充預存程序格式為:
use master
sp_dropextendedproc '擴充預存程序名'
xp_cmdshell:是進入*作系統的最佳捷徑,刪除
訪問註冊表的預存程序,刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動預存程序,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隱藏 SQL Server、更改預設的1433連接埠
右擊執行個體選屬性-常規-網路設定中選擇TCP/IP協議的屬性,選擇隱藏 SQL Server 執行個體,並改原預設的1433連接埠。
八、如果只做伺服器,不進行其它*作,使用IPSec
1、管理工具—本地安全性原則—右擊IP安全性原則—管理IP篩選器表和篩選器*作—在管理IP篩選器表選項下點擊
添加—名稱設為Web篩選器—點擊添加—在描述中輸入Web伺服器—將源地址設為任何IP地址——將目標地址設為我的IP地址——協議類型設為Tcp——IP協議連接埠第一項設為從任意連接埠,第二項到此連接埠80——點擊完成——點擊確定。
2、再在管理IP篩選器表選項下點擊
添加—名稱設為所有入站篩選器—點擊添加—在描述中輸入所有入站篩選—將源地址設為任何IP地址——將目標地址設為我的IP地址——協議類型設為任意——點擊下一步——完成——點擊確定。
3、在管理篩選器*作選項下點擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關閉管理IP篩選器表和篩選器*作視窗
4、右擊IP安全性原則——建立IP安全性原則——下一步——名稱輸入資料包篩選器——下一步——取消預設啟用響應原則——下一步——完成
5、在開啟的新IP安全性原則屬性視窗選擇添加——下一步——不指定隧道——下一步——所有網路連接——下一步——在IP篩選器列表中選擇建立的
Web篩選器——下一步——在篩選器*作中選擇許可——下一步——完成——在IP篩選器列表中選擇建立的阻止篩選器——下一步——在篩選器*作中選擇阻止
——下一步——完成——確定
6、在IP安全性原則的右邊視窗中右擊建立的資料包篩選器,點擊指派,不需要重啟,IPSec就可生效.
九 嚴重注意
如果你按這些去*作,建議每做一項更改就測試一下伺服器,如果有問題可以馬上撤消更改。而如果更改的項數多,才發現出問題,那就很難判斷問題是出在哪一步上了。

十、運行伺服器記錄當前的程式和開放的連接埠

1、將當前伺服器的進程抓圖或記錄下來,將其儲存,方便以後對照查看是否有不明的程式。
2、將當前開放的連接埠抓圖或記錄下來,儲存,方便以後對照查看是否開放了不明的連接埠。當然如果你能分辨每一個進程,和連接埠這一步可以省略。

建議設定

極限測試

在”網路連接”裡，把不需要的協議和服務都刪掉，這裡只安裝了基本的Internet協議（TCP/IP），由於要控制頻寬Cellular Data Package，額外安裝了Qos資料包排程器。

在進階tcp/ip設定裡--"NetBIOS"設定"禁用tcp/IP上的NetBIOS（S）"。

在2003系統裡，不推薦用TCP/IP篩選裡的連接埠過濾功能，譬如在使用FTP伺服器的時候，如果僅僅只開放21連接埠，由於FTP協議的特殊性，在進行FTP傳輸的時候，由於FTP 特有的Port模式和Passive模式，在進行資料轉送的時候，需要動態開啟高連接埠，所以在使用TCP/IP過濾的情況下，經常會出現串連上後無法列出目錄和資料轉送的問題。所以在2003系統上增加的windows串連防火牆能很好的解決這個問題，所以都不推薦使用網卡的TCP/IP過濾功能。

在進階選項裡，使用”Internet串連防火牆”，這是windows 2003 內建的防火牆，在2000系統裡沒有的功能，雖然沒什麼功能，但可以屏蔽連接埠，這樣已經基本達到了一個IPSec的功能。

放開使用到的連接埠，如果修改了遠端桌面的連接埠，別忘記添加上。如果有郵件伺服器的話還要放開SMTP伺服器連接埠25 POP3伺服器連接埠110。對外提供服務的連接埠都要加上，不然無法訪問服務。

修改ICMP設定，建議全部啟用，便於網路測試ping等

當然為了安全也防止本機成為肉雞，有時候需要設定本地不要訪問外部的80，22等連接埠，這裡提供一個bat代碼，如果需要訪問 外部的網站需要把80連接埠去掉就可以了

@rem 配置windows2003系統的IP安全性原則@rem version 3.0 time:2014-5-12netsh ipsec static add policy name=dropnetsh ipsec static add filterlist name=drop_portnetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=21 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=22 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=23 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=25 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=53 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=80 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=135 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=139 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=443 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=445 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1314 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1433 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1521 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=2222 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3306 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3433 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3389 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=4899 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=8080 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=18186 protocol=TCP mirrored=nonetsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any protocol=UDP mirrored=nonetsh ipsec static add filteraction name=denyact action=blocknetsh ipsec static add rule name=kill policy=drop filterlist=drop_port filteraction=denyactnetsh ipsec static set policy name=drop assign=y

許可權的設定所有磁碟分割的根目錄只給Administrators組和SYSTEM 的完全控制許可權，注意系統硬碟不要替換子目錄的許可權。windows目錄和Program Files目錄等一些目錄並沒有繼承父目錄許可權，這些目錄還需要其它一些許可權才能運行。 C:Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權，並應用到子物件的項目替代所有子物件的許可權項目。 系統硬碟Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權。這裡給的system許可權也不一定需要給，只是由於某些第三方應用程式是以服務形式啟動的，需要加上這個使用者，否則造成啟動不了。

c:/Documents and Settings/這裡要注意，後面的目錄裡的許可權根本不會繼承從前的設定，如果僅僅只是設定了C盤給administrators許可權，而在All Users/Application Data目錄下會 出現everyone使用者有完全控制許可權，這樣入侵這可以跳轉到這個目錄，寫入指令碼或只檔案，再結合其他漏洞來提升許可權；譬如利用serv-u的本地溢出提升許可權，或系統遺漏有補丁，資料庫的弱點等等。在用做web/ftp伺服器的系統裡，建議設定。

Windows目錄要加上給users的預設許可權，否則ASP和ASPX等應用程式就無法運行。如果修改的話，不要應用到子物件的項目替代所有子物件的許可權項目。系統目錄許可權拿不準的話就不要動了，一般做好根目錄和Documents and Settings就比較安全了，asp程式訪問不了根目錄就訪問不了子目錄。

另外Documents and Settings目錄增加Users使用者組的讀取運行許可權，可以避免出現LoadUserProfile失敗,需要注意的是一但有users組讀取許可權，asp木馬就能訪問這個目錄。為了安全需要接受一些錯誤記錄檔。（2009年1月13日注意事項：貌似是沒有system完全就出現LoadUserProfile，與users無關。）

系統硬碟
下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 檔案只給 Administrators 組和SYSTEM 的完全控制許可權。可尋找一下統一設定，或者編輯一份批處理，使用cacls命令處理。

本地策略→稽核原則

　　稽核原則更改　　　成功　失敗　　
　　審核登入事件　　　成功　失敗
　　審核對象訪問　　　　　　失敗
　　審核過程跟蹤　　　無審核
　　審核目錄服務訪問　　　　失敗
　　審核特權使用　　　　　　失敗
　　審核系統事件　　　成功　失敗
　　審核賬戶登入事件　成功　失敗
　　審核賬戶管理　　　成功　失敗

　　本地策略→使用者權限分配
　　關閉系統：只有Administrators組、其它全部刪除。
　　通過終端服務允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

　　本地策略→安全選項
　　互動式登陸：不顯示上次的使用者名稱　　　　　　　啟用
　　網路訪問：不允許SAM帳戶和共用的匿名枚舉　　啟用
　　網路訪問：不允許為網路身分識別驗證儲存憑證　　　啟用
　　網路訪問：可匿名訪問的共用　　　　　　　　　全部刪除
　　網路訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網路訪問：可遠端存取的註冊表路徑　　　　　　全部刪除
　　網路訪問：可遠端存取的註冊表路徑和子路徑　　全部刪除
　　帳戶：重新命名來賓帳戶　　　　　　　　　　　　重新命名一個帳戶
　　帳戶：重新命名系統管理員帳戶　　　　　　　　　重新命名一個帳戶

【禁用不必要的服務 開始-運行-services.msc】

　　Computer Browser　：維護網路上電腦的最新列表以及提供這個列表
　　Distributed File System　：區域網路管理共用檔案，不需要可禁用
　　Distributed Link Tracking Client　：用於區域網路更新串連資訊，不需要可禁用
　　Error Reporting Service　：禁止發送錯誤報表
　　Messenger　：傳輸用戶端和伺服器之間的 NET SEND 和 警報器服務訊息
　　Microsoft Serch　：提供快速的單詞搜尋，不需要可禁用
　　NT LM Security Support Provider　：telnet服務和Microsoft Serch用的，不需要可禁用
　　Print Spooler　：如果沒有印表機可禁用
　　Remote Desktop Help Session Manager　：禁止遠程協助
　　Remote Registry：禁止遠程修改註冊表
　　Server　：支援此電腦通過網路的檔案、列印、和具名管道共用
　　Task scheduler　：允許程式在指定時間運行
　　TCP/IPNetBIOS Helper　：提供 TCP/IP 服務上的 NetBIOS 和網路上用戶端的 NetBIOS 名稱解析的支援而使使用者能夠共用文
　　Workstation　：關閉的話遠程NET命令列不出使用者組
　　以上是在Windows Server 2003 系統上面預設啟動的服務中禁用的，預設禁用的服務如沒特別需要的話不要啟動。

【卸載最不安全的組件】

　　最簡單的辦法是直接卸載後刪除相應的程式檔案。

　　將下面的代碼儲存為一個.BAT檔案，( 以下以win2003為例系統檔案夾應該是 C:WINDOWS )

複製代碼 代碼如下:

　　regsvr32 /u C:WINDOWSsystem32wshom.ocx
　　regsvr32 /u C:windowssystem32wshext.dll
　　regsvr32 /u C:WINDOWSsystem32shell32.dll

　　如果有可能刪除這些組件
　　del C:WINDOWSsystem32shell32.dll
　　del C:WINDOWSsystem32wshom.ocx
　　del C:windowssystem32wshext.dll
　　然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。
　　去http://www.ajiang.net/products/aspcheck/下載阿江的探針查看相關安全設定情況。

　　可能會提示無法刪除檔案，不用管它，重啟一下伺服器，你會發現這三個都提示“×安全”了。

　　恢複的話，去掉/u就行了FSO(FileSystemObject)是微軟ASP的一個對檔案操作的控制項，該控制項可以對伺服器進行讀取、建立、修改、刪除目錄以及檔案的操作。是ASP編程中非常有用的一個控制項。但是因為許可權控制的問題，很多虛擬機器主機伺服器的FSO反而成為這台伺服器的一個公開的後門，因為客戶可以在自己的ASP網頁裡面直接就對該控制項編程，從而控制該伺服器甚至刪除伺服器上的檔案。因此不少業界的虛擬機器主機供應商都乾脆關掉了這個控制項，讓客戶少了很多靈活性。我們公司的W2K虛擬機器主機伺服器具有高安全性，可以讓客戶在自己的網站空間中任意使用卻有沒有辦法危害系統或者妨礙其他客戶網站的正常運行。

FSO的添加

1、首先在系統硬碟中尋找scrrun.dll，如果存在這個檔案，請跳到第三步，如果沒有，請執行第二步。
2、在安裝檔案目錄i386中找到scrrun.dl_，用winrar解壓縮後scrrun.dll複製到系統硬碟:windowssystem32目錄。
3、運行regsvr32 scrrun.dll即可。

FSO刪除
regsvr32 /u scrrun.dll
建議保留

卸載stream對象

在cmd下運行：
regsvr32 /s /u "C:Program FilesCommon FilesSystemadomsado15.dll"
恢複的話，去掉/u就行了，建議保留修改遠端桌面連線的3389連接埠為9874，十六進位2692等於十進位9874，根據需要修改成合適的連接埠。將下面的內容儲存為.reg檔案，匯入註冊表即可。（非必需）

複製代碼 代碼如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
"PortNumber"=dword:00002692

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
"PortNumber"=dword:00002692

殺毒

這裡介紹MCAFEE 8.5i 中文企業版(s.jb51.net有的下載)
因為這個版本對於國內的許多惡意代碼和木馬都能夠及時的更新.
比如已經能夠檢測到海陽頂端2006
而且能夠殺除IMAIL等SMTP軟體使用的隊列中MIME編碼的病毒檔案
而很多人喜歡安裝諾頓企業版.而諾頓企業版,對於WEBSHELL.基本都是沒有反應的.
而且無法對於MIME編碼的檔案進行殺毒.
在MCAFEE中.
我們還能夠加入規則.阻止在windows目錄建立和修改EXE.DLL檔案等
我們在軟體中加入對WEB目錄的殺毒計劃.
每天執行一次
並且開啟即時監控.
注意：安裝一些殺毒軟體會影響ASP地執行，是因為禁用了jscript.dll和vbscript.dll組件
在dos方式下運行 regsvr32 jscript.dll, regsvr32 vbscript.dll釋放保留即可
比如出現 請求的資源在使用中

regsvr32 %windir%system32jscript.dll
regsvr32 %windir%system32vbscript.dll

關於ip安全性原則可以參考這篇文章：

http://www.jb51.net/article/23037.htm

http://www.jb51.net/article/30832.htm