Win服务器终极配置.docx

Win服务器终极配置.docx

《Win服务器终极配置.docx》由会员分享，可在线阅读，更多相关《Win服务器终极配置.docx（12页珍藏版）》请在冰点文库上搜索。

Win服务器终极配置

最严谨的win2003服务器配置手册（2012）

（我的QQ：

29299972我的126小栈：

）

远程连接

一、更改远程桌面连接端口默认是3389，更改为6112（任意，不是80、21等被占用的就可以）

更改方法：

　　1、第一处

　　运行regedit，找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，看到右边的PortNumber了吗？

在十进制状态下改成你想要的端口号吧，改为十进制显示，改为6112。

2、第二处HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp，看到右边的PortNumber了吗？

改为十进制显示，方法同上，改为6112。

到此重启一下！

３、在TCP、IP里，禁用所有端口，改为只允许80和6112端口，重启服务器。

4、windows自带的防火墙里开启修改后的端口，添加上6112。

重启服务器，用IP:

端口连接远程桌面，接着做下一步。

二、在windows的管理里，把本地帐号里的administrator帐号改名，改成自己的名称，密码修改一下，改成复杂一点的。

然后再新建一个名为administrator的普通帐号，属于users组。

重新启动一下服务器，接着做下一步。

权限设置

一、C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

另外，还将：

net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。

IIS安全（非常重要！

）

IIS的安全：

（只针对专题网站）

１、删掉c:

/inetpub目录。

２、每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为，密码为：

www@315safe@com，权限为隶属于users组。

二、启用匿名访问，把这个帐号加到这个网站，输入这个帐号的密码。

三、最重要的一步：

在此网站的本地文件夹上，权限里只加上administrators完全控制和这个帐号的默认权限（只读），并且只把images\下的head.fix和body.fix和data\data.asp三个文件，改成可写！

四、请把data\data.asp改名，另外把int\lconn.asp和admin\lconn.asp两个文件中引用这个数据库的地方，也要做相应更改！

其实，如果第三步配好，不改名也无所谓！

五、请把admin改名，改成用户猜不到的！

六、请在IIS里，点开data\data.asp的属性，设置成不可读取！

（把读取勾掉）

SQLServer

1、为Sa配置一个超级复杂的密码

　　2、删除以下的扩展存储过程格式为：

　　usemaster

　　EXECsp_dropextendedproc‘扩展存储过程名‘

　　a、xp_cmdshell：

是进入操作系统的最佳捷径，删除

　　b、访问注册表的存储过程，删除

Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues

　　Xp_regread　　　　　Xp_regwrite　　　Xp_regremovemultistring

　　c、OLE自动存储过程，删除

　　Sp_OACreate　　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty

　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

3、隐藏SQLServer、更改默认的1433端口：

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏SQLServer实例，并改原默认的1433端口。

其它安全相关设置

1、隐藏重要文件/目录

可以修改注册表实现完全隐藏：

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

2、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

3.禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery值为0

4.防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects值设为0

5.不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel值为0