首先从以下几个方面入手

　　1、新系统安装后，先进行全面的windows updata 打全所有官方公布的补丁程序。(很关键的步骤，不能省略)

　　2、系统服务中的各项服务进行优化和筛选。(看操作把，我已经设置过了，我会告诉的)

　　Computer Browser此服务最好关闭，防止局域网之间的浏览

　　Messenger没用的服务，自然是停止了

　　Print Spooler没用的服务，自然是停止了

　　Remote Procedure Call (RPC) 此服务可不能停，要把恢复项中的失败全部设置为不操作

　　Remote Registry此项服务可以远程操作本地注册表，自然仅用了

　　Server此项没有，自然禁用了

　　TCP/IP NetBIOS Helper此项服务也是没用了，禁用。

　　Telnet 终端，不用说了禁用。

　　Terminal Services 远程访问控制(3389端口)，根据情况开启

　　Windows Firewall/Internet Connection Sharing (ICS)此项为系统自带的防火墙，根据情况最好开启

　　Windows Time此项没有，自然禁用了

　　Windows User Mode Driver Framework此项没有，自然禁用了

　　WinHTTP Web Proxy Auto-Discovery Service 此项没有，自然禁用了

　　Wireless Configuration此项没有，自然禁用了

　　Workstation此项最好关闭

　　主要项关闭后，系统的常规共享、IPC$等等都关闭了，还有网卡的设置，看wins中选择禁用，这是最好了同时也关闭了137/138端口

　　3、本地安全策略进行端口和ICMP设置(关闭常用端口及防止PING攻击)操作此项根据个人的习惯，最好进行处理

　　重新设置一下，首先禁用ICMP，即PING

　　这样就设置好了icmp，如果希望通过指定IP地址来登陆3389如何设置那，看操作，这里以本机IP地址为例192.168.210.252这样就设置好了

　　还可以关闭常用的端口，操作例关闭1000-1080端口这样就好了，最后选择指派，就生效了

　　4、TCP/IP 筛选(这个也是对网卡进行操作，可以选择)

　　5、IIS设置(略，如果希望讲解，TCP端口可以设置常用的开放端口，UDP可以全部不开放，如果提供DNS服务，开放53端口就行了)，还要对本地计算机的组策略进行设置 gpedit.msc，计算机配置中的帐户策略，密码策略，密码最小长度最好超过8位以上，以后就算被入侵了，不知道密码的最小长度，也没有办法添加用户，帐户锁定策略锁定阚值必须设置，最好2次不要超过3次，锁定时间自定，本地策略，根据自己本身情况设置，其他的根据自己的情况酌量而行

　　下面的内容还是要酌量而行，如果权限设置的过于BT有可能要出问题，所以看情况

　　6、常用命令及控件的权限分配(CMD.EXE/NET.EXE/NET1.EXE/SHELL32.DLL/wshom.ocx/ftp.EXE/tftp.EXE/cacls.EXE/NETSTAT.EXE/wshext.dll/scrrun.DLL)

　　这些命令或组件都是危险的东西，根据自己的实际环境，不必要删除或卸载，可以把它们的users组权限取消，同时对C盘的主要目录进行权限分配

　　下面以CMD.EXE为例，大家看到了没有users组，我已经删掉了，下面是常用的反注册危险组件的方法

　　卸载Wscript.Network对象，在cmd下或直接运行：regsvr32 /u c:windowssystem32WSHom.ocx

　　WScript.Shell: regsvr32/u wshext.dll

　　Shell.Application: regsvr32.exe/u shell32.dll

　　卸载FSO对象,在cmd下或直接运行：regsvr32.exe /u c:windowssystem32scrrun.dll

　　卸载stream对象,在cmd下或直接运行： regsvr32 /s /u "C:Program FilesCommon FilesSystemadomsado15.dll"

　　下面是对硬盘的安全设置

　　，我就不操作了，权限都有了，也可以根据情况对 windows/program files/serv-u目录进行设置也可以。

　　Windows 2003 硬盘安全设置

　　c:

　　administrators 全部

　　system 全部

　　iis_wpg 只有该文件夹

　　列出文件夹/读数据

　　读属性

　　读扩展属性

　　读取权限

　　c:inetpubmailroot

　　administrators 全部

　　system 全部

　　service 全部

　　c:inetpubftproot

　　everyone 只读和运行

　　c:windows

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　IIS_WPG 读取和运行，列出文件夹目录，读取

　　Users 读取和运行(此权限最后调整完成后可以取消)

　　C:WINDOWSMicrosoft.Net

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　Users 读取和运行，列出文件夹目录，读取

　　'www.knowsky.com

　　C:WINDOWSMicrosoft.Net

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　Users 读取和运行，列出文件夹目录，读取

　　C:WINDOWSMicrosoft.Nettemporary ASP.NET Files

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　Users 全部

　　c:Program Files

　　Everyone 只有该文件夹

　　不是继承的

　　列出文件夹/读数据

　　administrators 全部

　　iis_wpg 只有该文件夹

　　列出文件/读数据

　　读属性

　　读扩展属性

　　读取权限

　　c:windowstemp

　　Administrator 全部权限

　　System全部权限

　　users 全部权限

　　c:Program FilesCommon Files

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　TERMINAL SERVER Users(如果有这个用户)

　　修改，读取和运行，列出文件夹目录，读取，写入

　　Users 读取和运行，列出文件夹目录，读取

　　c:Program FilesDimac(如果有这个目录)

　　Everyone 读取和运行，列出文件夹目录，读取

　　administrators 全部

　　c:Program FilesComPlus Applications (如果有)

　　administrators 全部

　　c:Program FilesGflSDK (如果有)

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　TERMINAL SERVER Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　Users 读取和运行，列出文件夹目录，读取

　　Everyone 读取和运行，列出文件夹目录，读取

　　c:Program FilesInstallShield Installation Information (如果有)

　　c:Program FilesInternet Explorer (如果有)

　　c:Program FilesNetMeeting (如果有)

　　administrators 全部

　　c:Program FilesWindowsUpdate

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　administrators 全部

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　c:Program FilesMicrosoft SQL(如果SQL安装在这个目录)

　　administrators 全部

　　Service 全部

　　system 全部

　　d: (如果用户网站内容放置在这个分区中)

　　administrators 全部权限

　　d:FreeHost (如果此目录用来放置用户网站内容)

　　administrators 全部权限

　　SERVICE 读取与运行

　　经过以上的设置后，我相信服务器的安全会很大的提高了，就算有漏洞服务器上传了ASP或其他的木马，也没有运行的机会了。好了，

　　希望本教学会对大家有所帮助，谢谢了。

Tags：