一、先關(guān)閉不需要的端口

只開了3389 21 80 1433 3306

修改3389端口：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp]

"PortNumber"=dword:00002683

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/wds/rdpwd/tds/tcp]

"PortNumber"=dword:00002683

二、關(guān)閉不需要的服務(wù) 打開相應(yīng)的審核策略

Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表

Task scheduler 允許程序在指定時(shí)間運(yùn)行

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫

Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作

Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)

IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE）和IP安全驅(qū)動(dòng)程序

Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知

Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件

Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)

Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序

Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息

Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序

在"網(wǎng)絡(luò)連接"里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS（S）"。在高級(jí)選項(xiàng)里，使用"Internet連接防火墻"，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達(dá)到了一個(gè)IPSec的功能。

三、權(quán)限設(shè)置

C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置，這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的，需要加上這個(gè)用戶，否則造成啟動(dòng)不了。

先給C:/Windows/目錄加上IIS_WPG用戶組的默認(rèn)權(quán)限

然后再去分別給個(gè)別目錄加 先去C:/Program Files/Common Files/上Guests默認(rèn)權(quán)限

然后再去 C:/WINNT/Temp 加上Guests的讀寫兩個(gè)權(quán)限 其他的去小

然后就是C:/WINDOWS/system32目錄里的了

最后還要C:/WINNT/system32/inetsrv目錄要加上Guests默認(rèn)權(quán)限

這下就好了 我用ASP馬試了一下 權(quán)限加好了 沒問題

要是想開WEB的話 就給WEB所在目錄加上 administrator（組或用戶）和SYSTEM所有權(quán)限和新建立的 Guest組用戶 這個(gè)用戶只給 讀寫權(quán)限就可以了。
(責(zé)任編輯：武林網(wǎng))