配置安全的windows2003服务器

一、先关闭不需要的端口

只开了3389 21 80 1433 3306

修改3389端口：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp]

"PortNumber"=dword:00002683

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/wds/rdpwd/tds/tcp]

"PortNumber"=dword:00002683

二、关闭不需要的服务 打开相应的审核策略

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

三、权限设置

C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

先给C:/Windows/目录加上IIS_WPG用户组的默认权限

然后再去分别给个别目录加 先去C:/Program Files/Common Files/上Guests默认权限

然后再去 C:/WINNT/Temp 加上Guests的读写两个权限 其他的去小

然后就是C:/WINDOWS/system32目录里的了

最后还要C:/WINNT/system32/inetsrv目录要加上Guests默认权限

这下就好了 我用ASP马试了一下 权限加好了 没问题

要是想开WEB的话 就给WEB所在目录加上 administrator（组或用户）和SYSTEM所有权限和新建立的 Guest组用户 这个用户只给 读写权限就可以了。
(责任编辑：武林网)