不管是VPS还是服务器，WIN 2003的市场地位依然牢固，下面让我们来一起学习下 2003的安全设置。

 1> 禁止默认共享方法一：建立一个记事本，填上以下代码。保存为*.bat 并加到启动项目中 net share c$ /del net share d$ /del net share e$ /del服务器net share ipc$ /del net share admin$ /del 方法二：修改注册表（注意：修改注册表前一定要先备份一下注册表，备份方法：在运行>regedit，选择文件》导出，取个文件名，导出即可），如果修改注册表失败，可以找到导出的注册表文件，双击运行即可。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerPa rameters 新建“DWORD 值”值名为“AutoShareServer” 数据值为“0” 2> 远程桌面连接配置开始> 程序> 管理工具> 终端服务配置> 连接，选择右侧”RDP-tcp”连接右击属性==> 权限删除其它用户，只保留system,添加administrator(不是 administrators),设置这两个用户(system 和administrator)是”完全控制”权限, 这样即使服务器被创建了其它的管理员.也无法使用终端服务。

 3> serv_u 安全设置注意一定要设置管理密码，否则会被提权打开serv_u,点击“本地服务“，在右边点击”设置/更改密码“，如果没有设置密码，”旧密码为空，填好新密码点击” 确定“。

 4> 关闭139、445 端口 ①控 制 面 板 网络 本地链接属性 (这里勾选取消”网络文件和打印机共享 “)tcp/ip 协议属性高级WINSNetbios 设置==>禁用Netbios，即可关闭139 端口. ②关闭445 端口（注意修改注册表前一定要先备份一下注册表，备份方法。在运行>regedit，选择文件》导出，取个文件名，导出即可，如果修改注册表失败，可以找到导出的注册表文件双击运行即可。） HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameter s 新建“DWORD 值”值名为“SMBDeviceEnabled” 数据为默认值“0”

 5> 删除不安全组件 WScript.Shell 、Shell.application 这两个组件一般一些ASP 木马或一些恶意程序都会使用到。方法：在“运行”里面分别输入以下命令 ①regsvr32 /u wshom.ocx 卸载WScript.Shell 组件 ②regsvr32 /u shell32.dll 卸载Shell.application 组件。 ③regsvr32 /u %windir%\system32\Wshext.dll

6> 设置iis 权限。针对每个网站单独建立一个用户。（下面仅是其中一个站点的权限设置,如果vps 上有多个站点，其它站点依据本站点分别设置不同的internet 来宾用户。） ①首先，右击“我的电脑”》管理》本地计算机和组》用户，在右边。右击“新用户”，建 立新用户，并设置好密码。如图：

例如：本测试添加test 为某一网站访问用户。 ②设置站点文件夹的权限然后，打开internet 信息服务管理器。找到相应站点。右击，选择“权限”如图：

选择权限后，如下图： 

删除其它用户，只保留一个超级管理员administrator(可以自己定义，注意不是管理员组administrators）。和系统用户(system)，还有添加访问网站的inernet 来宾用户。可以点击“添加”将刚才在系统创建的用户(如test)添加里面。然后勾选该用户（test）读取和运行、列出文件夹目录、读取、写入的权限。超级管员 (administrator)”完全控制”，系统用户（system） “完全控制”权限。并且选择用户(test)“高级”出现如下图

 

选中“用在些显示的可以应用到子对象的项目替代所有子对象的权限项目”点击“应用”后，等待文件夹权限传递完毕。然后点“确定”。 ③设置访问用户。右击站点属性==》目录安全性==》编辑， 将刚才添加的用户(如test)添加到匿名访问用户。密码和添加用户时密码一致。 

 ④设置站点访问权限。右击要设置的站点。属性==》主目录本地路径下面只选中读取记录访问索引资源其它都不要选择。执行权限选择“纯脚本”。不要选择“脚本和可执行文件”。如图所示： 

 其它设置和就是iis 站点的一般设置，不再多说。 注意：对于ASP.NET 程序，则需要设置IIS_WPG 组的帐号权限、上传目录的权限设置。这时需要注意，一定要将上传目录的执行权限设为“无”，将文件夹的写入权限选上,这样即使上传了ASP、PHP 等脚本程序或者exe 程序，也不会在用户浏览器里触发执行。对于纯静态网站(全部是html)将(纯脚本)改成(无)。对于某些程序可能要求everyone 有完全控制的权限，可以将网站访问用户(如 test 用户)对文件夹设置完全控制的权限就行了，并不需要添加everyone 来设置完全控制。

7> 数据库安全设置一定要设置数据库密码。另外。对于sql 数据库建议卸载扩展存储过程xp_cmdshell xp_cmdshell 是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL 语句： use master exec sp_dropextendedproc ‘xp_cmdshell’ 如果你需要这个存储过程，请用这个语句也可以恢复过来。第一步执行: EXEC sp_addextendedproc xp_cmdshell,@dllname =’xplog70.dll’declare @o int 第二步执行: sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’

8> 防止access 数据库被下载在IIS 属性——主目录——配置——映射——应用程序扩展那里添加。mdb 文件的应用解析。注意这里的选择的D LL 不要选择asp.dll,找一个映射里面不使用的 dll 文件。

9> 利用防火墙限制端口。对外只打开自己需要的端口，对于vps 用户，需要打开网站服务端口80，远程登录端口3389，如果使用的有servu 等ftp 服务软件，需要打开21 端口。具体打开端口请参考下面：

 右击网上邻居选择“属性”,===>本地连接==属性==高级设置  选中”启用”按钮,点击“例外”==》添加端口。根据自己需要添加对外的端口。注意在添加的端口前面勾选上，添加完端口,点击”确定”确定

10>防止列出用户组和系统进程如果上传asp 木马用户列表可能会被黑客利用，我们应当隐藏起来，方法是：【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

 11> 安装杀毒软件虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题，可以查杀部分木马程序。建议安装占用内存资源比较小的杀毒软件，另外，要经常升级软件才有效。