windows server 2003的权限设置方案.docVIP

HYPERLINK /item/windows2003ZuiWanShanZuiWanMeiDeQuanXianJiAnQuanSheZhiJieJueFangAn.html windows 2003最完善最完美的权限及安全设置解决方案 一、服务器安全设置 1. IIS6.0的安装和设置 1.1 开始菜单—控制面板—添加或删除程序—添加/删除Windows组件 应用程序 ———ASP.NET（可选） 　　　　　　　 |——启用网络 COM+ 访问（必选） 　　　　　　　 |——Internet 信息服务(IIS)———Internet 信息服务管理器（必选） 　　　　　　　　　　　　　　　|——公用文件（必选） 　　　　　　　　　　　　　　　|——万维网服务———Active Server pages（必选） 　　　　　　　　　　　　　　　　　　　　|——Internet 数据连接器（可选） 　　　　　　　　　　　　　　　　　　　　　　　　|——WebDAV 发布（可选） 　　　　　　　　　　　　　　　　　　　　　　　　|——万维网服务（必选） 　　　　　　　　　　　　　　　　　　　　　　　　|——在服务器端的包含文件（可选） 在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。 在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433) 1.2. IIS (Internet信息服务器管理器) 在主目录选项设置以下 读 允许 写 不允许 脚本源访问 不允许 目录浏览 建议关闭 记录访问 建议关闭 索引资源 建议关闭 执行权限 推荐选择 “纯脚本” 建议使用W 3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。 (最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。 1.3. 在IIS6.0 -本地计算机 - 属性- 允许直接编辑配置数据库 在IIS中 属性-主目录-配置-选项中，在网站“启用父路径”前面打上勾 1.4. 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许” 1.5. 优化IIS6应用程序池 　　 1、取消“在空闲此段时间后关闭工作进程（分钟）” 　　 2、勾选“回收工作进程（请求数目）” 　　 3、取消“快速失败保护” 1.6. 解决SERVER 2003不能上传大附件的问题 　　 在“服务”里关闭 iis admin service 服务。 　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 　　 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为 20M即 　　 存盘，然后重启 iis admin service 服务。 1.7. 解决SERVER 2003无法下载超过 4M的附件问题 　　 在“服务”里关闭 iis admin service 服务。 　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 　　 找到 AspBufferingLimit 把它修改为需要的值（可修改为 20M即 　　 存盘，然后重启 iis admin service 服务。 1.8. 超时问题 　　 解决大附件上传容易超时失败的问题 　　 在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮， 　　 设置脚本超时时间为：300秒 (注意：不是Session超时时间) 　　 解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题 　　 适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--选项”， 　　 就可以进行设置了(Windows 2003默认为20分钟) 2. WEB目录权限设置 Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。 最好在C盘以外(如D,E,F)的根目录建立到三级目录,一级目录只给Administrator权限，二级目录给Administrato