Windows 2003权限及安全.doc

一、系统的安装　　? １、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。 ２、IIS6.0的安装 　　开始菜单—控制面板—添加或删除程序—添加/删除Windows组件 　　应用程序?———ASP.NET（可选） 　　　　　　　|——启用网络?COM+?访问（必选） 　　　　　　　|——Internet?信息服务(IIS)———Internet?信息服务管理器（必选）　 　　　　　　　　　　　　　　　　　　　　　?|——公用文件（必选） 　　　　　　　　　　　　　　　　　　　　　?|——万维网服务———Active?Server?pages（必选） 　　　　　　　　　　　　　　　　　　　　　　?　　　　　　　|——Internet?数据连接器（可选）? 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　?|——WebDAV?发布（可选） 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　?|——万维网服务（必选） 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　?|——在服务器端的包含文件（可选） 　　然后点击确定—下一步安装。（具体见本文附件1） ３、系统补丁的更新 　　点击开始菜单—所有程序—Windows?Update 　　按照提示进行补丁的安装。 ４、备份系统 　　用GHOST备份系统。 ５、安装常用的软件 　　例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。 6、先关闭不需要的端口?开启防火墙?导入IPSEC策略 在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用Internet连接防火墙，这是windows?2003?自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。 win2003服务器防止海洋木马的安全设置 1. 删除以下的注册表主键: WScript.Shell WScript.Shell.1 Shell.application Shell.application.1 WSCRIPT.NETWORK WSCRIPT.NETWORK.1 regsvr32/u?wshom.ocx回车、regsvr32/u?wshext.dll回车 regsvr32/u?C:\WINNT\System32\wshom.ocx del?C:\WINNT\System32\wshom.ocx regsvr32/u?C:\WINNT\system32\shell32.dll del?C:\WINNT\system32\shell32.dll 再把以上2个文件权限设置为ADMINISTRATOR组完全权限所有 这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winnt\system32\scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。 对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！ 改名不安全组件 需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。 打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失，把这两个注册表项导出来，保存为?.reg?文件。 比如我们想做这样的更改 C279-11CE-A49E-444553540000?改名为C279-11CE-A49E-444553540001 Shell.application?改名为?Shell.application_ajiang 那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和A