原文:我在電信局做網管，原來管理過三十多臺服務器，從多年積累的經驗，寫出以下詳細的Windows2003服務系統的安全方案,我應用以下方案，安全運行了二年，無黑客有成功入侵的記錄，也有黑客入侵成功的在案，但最終還是沒有拿到肉雞的最高管理員身份,只是可以瀏覽跳轉到服務器上所有客戶的網站。

服務器安全設置

>> IIS6.0的安裝
　　 開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
　　 應用程序 ———asp.net（可選）
　　　　　　　 |——啟用網絡 COM+ 訪問（必選）
　　　　　　　 |——Internet 信息服務(IIS)———Internet 信息服務管理器（必選）　
　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必選）
　　　　　　　　　　　　　　　　　　　　　 |——萬維網服務———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　 |——Internet 數據連接器（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——萬維網服務（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服務器端的包含文件（可選）

>> 在”網絡連接”里，把不需要的協議和服務都刪掉，這里只安裝了基本的Internet協議（TCP/ip）和Microsoft網絡客戶端。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS（S）"。

>>在“本地連接”打開Windows 2003 自帶的防火墻，可以屏蔽端口，基本達到一個IPSec的功能,只保留有用的端口,比如遠程(3389)和 Web(80),Ftp(21),郵件服務器(25,110),https(443),SQL(1433)

>> IIS (Internet信息服務器管理器) 在"主目錄"選項設置以下
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關閉
記錄訪問 建議關閉
索引資源 建議關閉
執行權限 推薦選擇 “純腳本”

>> 建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態，用戶代理，而且每天均要審查日志。
(最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和system為Full Control)。

>> 在IIS6.0 -本地計算機 - 屬性- 允許直接編輯配置數據庫在IIS中 屬性->主目錄->配置->選項中。

>> 在網站把”啟用父路徑“前面打上勾

>> 在IIS中的Web服務擴展中選中Active Server Pages，點擊“允許”

>> 優化IIS6應用程序池
　　 1、取消“在空閑此段時間后關閉工作進程（分鐘）”
　　 2、勾選“回收工作進程（請求數目）”
　　 3、取消“快速失敗保護”

>> 解決SERVER 2003不能上傳大附件的問題
　　 在“服務”里關閉 iis admin service 服務。
　　 找到 windows/system32/inetsrv/ 下的 metabase.xml 文件。
　　 找到 ASPMaxRequestEntityAllowed 把它修改為需要的值（可修改為20M即：20480000）
　　 存盤，然后重啟 iis admin service 服務。

>> 解決SERVER 2003無法下載超過4M的附件問題
　　 在“服務”里關閉 iis admin service 服務。
　　 找到 windows/system32/inetsrv/ 下的 metabase.xml 文件。
　　 找到 AspBufferingLimit 把它修改為需要的值（可修改為20M即：20480000）
　　 存盤，然后重啟 iis admin service 服務。

>> 超時問題
　　 解決大附件上傳容易超時失敗的問題
　　 在IIS中調大一些腳本超時時間，操作方法是： 在IIS的“站點或虛擬目錄”的“主目錄”下點擊“配置”按鈕，
　　 設置腳本超時時間為：300秒 (注意：不是session超時時間)

　　解決通過WebMail寫信時間較長后，按下發信按鈕就會回到系統登錄界面的問題
　　 適當增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊“配置-->選項”，
　　 就可以進行設置了(Windows 2003默認為20分鐘)

>> 修改3389遠程連接端口
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp]
"PortNumber"=dWord:0000端口號
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]
"PortNumber"=dword:0000端口號
設置這兩個注冊表的權限, 添加“IUSR”的完全拒絕 禁止顯示端口號

>> 本地策略--->用戶權限分配
　　 關閉系統：只有Administrators組、其它全部刪除。
　　 通過終端服務允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

>> 在安全設置里 本地策略-用戶權利分配，通過終端服務拒絕登陸 加入
ASPNET
IUSR_
IWAM_
NETWORK SERVICE
(注意不要添加進user組和administrators組 添加進去以后就沒有辦法遠程登陸了)

>> 在安全設置里 本地策略-安全選項
網絡訪問:可匿名訪問的共享;
網絡訪問:可匿名訪問的命名管道;
網絡訪問:可遠程訪問的注冊表路徑;
網絡訪問:可遠程訪問的注冊表路徑和子路徑;
將以上四項全部刪除

>> 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用"
>> 不允許 SAM 賬戶和共享的匿名枚舉 更改為"已啟用" ;
>> 網絡訪問: 不允許存儲網絡身份驗證的憑據或 .NET Passports 更改為"已啟用" ;
>> 網絡訪問.限制匿名訪問命名管道和共享,更改為"已啟用" ;
將以上四項通通設為“已啟用”

>> 計算機管理的本地用戶和組
禁用終端服務(TsInternetUser), SQL服務(SQLDebugger), SUPPORT_388945a0

>> 禁用不必要的服務
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO
sc config Dnscache start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= AUTO
sc config helpsvc start= DISABLED
sc config HidServ start= AUTO
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiService start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanworkstation start= DISABLED
sc config LicenseService start= DISABLED
sc config LmHosts start= DISABLED
sc config Messenger start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= AUTO
sc config MSIServer start= DEMAND
sc config MSSEARCH start= AUTO
sc config MSSQLSERVER start= AUTO
sc config MSSQLServerADHelper start= DEMAND
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DEMAND
sc config Netman start= DEMAND
sc config Nla start= DEMAND
sc config NtFrs start= DEMAND
sc config NtLmSsp start= DEMAND
sc config NtmsSvc start= DEMAND
sc config PlugPlay start= AUTO
sc config PolicyAgent start= AUTO
sc config PRotectedStorage start= AUTO
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DEMAND
sc config Remoteaccess start= DISABLED
sc config RemoteRegistry start= DISABLED
sc config RpcLocator start= DEMAND
sc config RpCSS start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DEMAND
sc config SamSs start= AUTO
sc config SCardSvr start= DEMAND
sc config Schedule start= AUTO
sc config seclogon start= AUTO
sc config SENS start= AUTO
sc config SharedAccess start= DISABLED
sc config ShellHWDetection start= AUTO
sc config SMTPSVC start= AUTO
sc config Spooler start= DISABLED
sc config SQLSERVERAGENT start= AUTO
sc config stisvc start= DISABLED
sc config swprv start= DEMAND
sc config SysmonLog start= AUTO
sc config TapiSrv start= DEMAND
sc config TermService start= AUTO
sc config Themes start= DISABLED
sc config TlntSvr start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWks start= AUTO
sc config Tssdis start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DEMAND
sc config vds start= DEMAND
sc config VSS start= DEMAND
sc config W32Time start= AUTO
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DEMAND
sc config Wmi start= DEMAND
sc config WmiApSrv start= DEMAND
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND

>> 刪除默認共享

@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::
:: 先列舉存在的分區，然后再逐個刪除以分區名命名的共享；
:: 通過修改注冊表防止admin$共享在下次開機時重新加載；
:: IPC$共享需要administritor權限才能成功刪除
::
::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

title 默認共享刪除器
color 1f
echo.
echo ------------------------------------------------------
echo.
echo 開始刪除每個分區下的默認共享.
echo.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
if exist %%a:/nul (
net share %%a$ /delete>nul 2>nul && echo 成功刪除名為 %%a$ 的默認共享 || echo 名為 %%a$ 的默認共享不存在
)
)
net share admin$ /delete>nul 2>nul && echo 成功刪除名為 admin$ 的默認共享 || echo 名為 admin$ 的默認共享不存在
echo.
echo ------------------------------------------------------
echo.
net stop Server /y>nul 2>nul && echo Server服務已停止.
net start Server>nul 2>nul && echo Server服務已啟動.
echo.
echo ------------------------------------------------------
echo.
echo 修改注冊表以更改系統默認設置.
echo.
echo 正在創建注冊表文件.
echo Windows Registry Editor Version 5.00> c:/delshare.reg
:: 通過注冊表禁止Admin$共享，以防重啟后再次加載
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]>> c:/delshare.reg
echo "AutoShareWks"=dword:00000000>> c:/delshare.reg
echo "AutoShareServer"=dword:00000000>> c:/delshare.reg
:: 刪除IPC$共享，本功能需要administritor權限才能成功刪除
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa]>> c:/delshare.reg
echo "restrictanonymous"=dword:00000001>> c:/delshare.reg
echo 正在導入注冊表文件以更改系統默認設置.
regedit /s c:/delshare.reg
del c:/delshare.reg && echo 臨時文件已經刪除.
echo.
echo ------------------------------------------------------
echo.
echo 程序已經成功刪除所有的默認共享.
echo.
echo 按任意鍵退出...
pause>nul

>> 打開C:/Windows目錄 搜索以下DOS命令文件
NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE
把以上命令文件通通只給Administrators 和SYSTEM為完全控制權限

>> 卸載刪除具有CMD命令功能的危險組件
WSHOM.OCX對應于WScript.Shell組件  

HKEY_CLASSES_ROOT/WScript.Shell/
及
HKEY_CLASSES_ROOT/WScript.Shell.1/
添加IUSR用戶完全拒絕權限

Shell32.dll對應于Shell.application組件

HKEY_CLASSES_ROOT/Shell.Application/
及
HKEY_CLASSES_ROOT/Shell.Application.1/
添加IUSR用戶完全拒絕權限

regsvr32/u C:/Windows/System32/wshom.ocx
regsvr32/u C:/Windows/System32/shell32.dll

WSHOM.OCXx和Shell32.dl這兩個文件只給Administrator完全權限

>>> SQL權限設置
1、一個數據庫,一個帳號和密碼,比如建立了一個數據庫，只給PUBLIC和DB_OWNER權限，SA帳號基本是不使用的，因為SA實在是太危險了.

2、更改 sa 密碼為你都不知道的超長密碼,在任何情況下都不要用 sa 這個帳戶.

3、Web登錄時經常出現"[超時，請重試]"的問題
　 如果安裝了 SQL Server 時，一定要啟用“服務器網絡實用工具”中的“多協議”項。

4、將有安全問題的SQL擴展存儲過程刪除. 將以下代碼全部復制到"SQL查詢分析器"

use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

恢復的命令是
EXEC sp_addextendedproc 存儲過程的名稱,@dllname ='存儲過程的dll'
例如：恢復存儲過程xp_cmdshell
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'
注意，恢復時如果xplog70.dll已刪除需要copy一個。

>> WEB目錄權限設置
Everyone:顧名思義，所有的用戶，這個計算機上的所有用戶都屬于這個組。
最好在C盤以外(如D,E,F.....)的根目錄建立到三級目錄,一級目錄只給Administrator權限，二級目錄給Administrator完全控制權限和Everyone除了完全控制，更改，取得，其它全部打勾的權限和IUSR只有該文件夾的完全拒絕權限，三級目錄是每個客戶的虛擬主機網站，給Administrator完全控制權限和Everyone除了完全控制，更改，取得，其它全部打勾的權限即可.

C盤的目錄權限以表格的方式來說明,簡單明了。