windows2003系统安全权限设置的方案最新版.doc

windows 2003系统目前最完善最完美的安全权限方案我在电信局做网管，原来管理过三十多台服务器，从多年积累的经验，写出以下详细的Windows2003服务系统的安全方案,我应用以下方案，安全运行了二年，无黑客有成功入侵的记录，也有黑客入侵成功的在案，但最终还是没有拿到肉鸡的最高管理员身份,只是可以浏览跳转到服务器上所有客户的网站。服务器安全设置  IIS6.0的安装　　 开始菜单—控制面板—添加或删除程序—添加/删除Windows组件　　 应用程序 ———ASP.NET（可选）　　　　　　　 |——启用网络 COM+ 访问（必选）　　　　　　　 |——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）　　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必选）　　　　　　　　　　　　　　　　　　　　　 |——万维网服务———Active Server pages（必选）　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　 |——Internet 数据连接器（可选） 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 发布（可选）　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——万维网服务（必选）　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服务器端的包含文件（可选） 在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)  IIS (Internet信息服务器管理器) 在主目录选项设置以下读 允许写 不允许脚本源访问 不允许目录浏览 建议关闭记录访问 建议关闭索引资源 建议关闭执行权限 推荐选择 “纯脚本”  建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。  在IIS6.0 -本地计算机 - 属性- 允许直接编辑配置数据库在IIS中 属性-主目录-配置-选项中。 在网站把”启用父路径“前面打上勾 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许” 优化IIS6应用程序池　　 1、取消“在空闲此段时间后关闭工作进程（分钟）”　　 2、勾选“回收工作进程（请求数目）”　　 3、取消“快速失败保护” 解决SERVER 2003不能上传大附件的问题　　 在“服务”里关闭 iis admin service 服务。　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。　　 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为20M即　　 存盘，然后重启 iis admin service 服务。 解决SERVER 2003无法下载超过4M的附件问题　　 在“服务”里关闭 iis admin service 服务。　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。　　 找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即　　 存盘，然后重启 iis admin service 服务。 超时问题　　 解决大附件上传容易超时失败的问题　　 在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，　　 设置脚本超时时间为：300秒 (注意：不是Session超时时间)　　解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题　　 适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--选项”，　　 就可以进行设置了(Windows 2003默认为20分钟) 修改3389远程连接端口[HKEY_LOCAL_MACHINE\SYSTEM\Curren