MDB是共用映射，下面用红色表示

应用程序扩展 映射文件 执行动作
STM=.stm C:WINDOWSsystem32inetsrvssinc.dll GET,POST
SHTM=.shtm C:WINDOWSsystem32inetsrvssinc.dll GET,POST
SHTML=.shtml C:WINDOWSsystem32inetsrvssinc.dll GET,POST
ASP=.asp C:WINDOWSsystem32inetsrvasp.dll GET,HEAD,POST,TRACE
ASA=.asa C:WINDOWSsystem32inetsrvasp.dll GET,HEAD,POST,TRACE
ASPX=.aspx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php C:php5php5isapi.dll GET,HEAD,POST
PHP3=.php3 C:php5php5isapi.dll GET,HEAD,POST
PHP4=.php4 C:php5php5isapi.dll GET,HEAD,POST
MDB=.mdb C:WINDOWSsystem32inetsrvssinc.dll GET,POST

ASP.NET 进程帐户所需的 NTFS 权限

目录 所需权限
Temporary ASP.NET Files%windir%Microsoft.NETFramework{版本}Temporary ASP.NET Files
进程帐户和模拟标识：
完全控制

临时目录 (%temp%)
进程帐户
完全控制

.NET Framework 目录%windir%Microsoft.NETFramework{版本}
进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

.NET Framework 配置目录%windir%Microsoft.NETFramework{版本}CONFIG
进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

网站根目录
C:inetpubwwwroot
或默认网站指向的路径
进程帐户：
读取

系统根目录
%windir%system32
进程帐户：
读取

全局程序集高速缓存
%windir%assembly
进程帐户和模拟标识：
读取

内容目录
C:inetpubwwwrootYourWebApp
(一般来说不用默认目录，管理员可根据实际情况调整比如D:wwwroot)
进程帐户：
读取和执行
列出文件夹内容
读取
注意 对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括：
C:
C:inetpub
C:inetpubwwwroot

5、 服务器安全设置之--服务器安全和性能配置
把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoRecentDocsMenu"=hex:01,00,00,00
"NoRecentDocsHistory"=hex:01,00,00,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
"DontDisplayLastUserName"="1"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverParameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"EnableICMPRedirect"=dword:00000000
"KeepAliveTime"=dword:000927c0
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
"TcpMaxConnectResponseRetransmissions"=dword:00000001
"TcpMaxDataRetransmissions"=dword:00000003
"TCPMaxPortsExhausted"=dword:00000005
"DisableIPSourceRouting"=dword:00000002
"TcpTimedWaitDelay"=dword:0000001e
"TcpNumConnections"=dword:00004e20
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
"EnableICMPRedirects"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]
"BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAFDParameters]
"EnableDynamicBacklog"=dword:00000001
"MinimumDynamicBacklog"=dword:00000014
"MaximumDynamicBacklog"=dword:00007530
"DynamicBacklogGrowthDelta"=dword:0000000a

功能：可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源）

6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)

协议 IP协议端口 源地址 目标地址 描述 方式
ICMP -- -- -- ICMP 阻止
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止
UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止
UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止

以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口
7、服务器安全设置之--本地安全策略设置

安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动)

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改　成功　失败
审核登录事件　成功　失败
审核对象访问失败
审核过程跟踪　无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件　成功　失败
审核账户登录事件　成功　失败
审核账户管理　成功　失败
B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。
通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名　启用
网络访问：不允许SAM帐户和共享的匿名枚举启用
网络访问：不允许为网络身份验证储存凭证　启用
网络访问：可匿名访问的共享　全部删除
网络访问：可匿名访问的命全部删除
网络访问：可远程访问的注册表路径全部删除
网络访问：可远程访问的注册表路径和子路径全部删除
帐户：重命名来宾帐户重命名一个帐户
帐户：重命名系统管理员帐户　重命名一个帐户

UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机
帐户: 使用空白密码的本地帐户只允许进行控制台登录
已启用
已启用
已启用
已启用

帐户: 重命名系统管理员帐户
推荐
推荐
推荐
推荐

帐户: 重命名来宾帐户
推荐
推荐
推荐
推荐

设备: 允许不登录移除
已禁用
已启用
已禁用
已禁用

设备: 允许格式化和弹出可移动媒体
Administrators, Interactive Users
Administrators, Interactive Users
Administrators
Administrators

设备: 防止用户安装打印机驱动程序
已启用
已禁用
已启用
已禁用

设备: 只有本地登录的用户才能访问 CD-ROM
已禁用
已禁用
已启用
已启用

设备: 只有本地登录的用户才能访问软盘
已启用
已启用
已启用
已启用

设备: 未签名驱动程序的安装操作
允许安装但发出警告
允许安装但发出警告
禁止安装
禁止安装

域成员: 需要强 (Windows 2000 或以上版本) 会话密钥
已启用
已启用
已启用
已启用

交互式登录: 不显示上次的用户名
已启用
已启用
已启用
已启用

交互式登录: 不需要按 CTRL+ALT+DEL
已禁用
已禁用
已禁用
已禁用

交互式登录: 用户试图登录时消息文字
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)
2
2
0
1

交互式登录: 在密码到期前提示用户更改密码
14 天
14 天
14 天
14 天

交互式登录: 要求域控制器身份验证以解锁工作站
已禁用
已禁用
已启用
已禁用

交互式登录: 智能卡移除操作
锁定工作站
锁定工作站
锁定工作站
锁定工作站

Microsoft 网络客户: 数字签名的通信（若服务器同意）
已启用
已启用
已启用
已启用

Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。
已禁用
已禁用
已禁用
已禁用

Microsoft 网络服务器: 在挂起会话之前所需的空闲时间
15 分钟
15 分钟
15 分钟
15 分钟

Microsoft 网络服务器: 数字签名的通信（总是）
已启用
已启用
已启用
已启用

Microsoft 网络服务器: 数字签名的通信（若客户同意）
已启用
已启用
已启用
已启用

Microsoft 网络服务器: 当登录时间用完时自动注销用户
已启用
已禁用
已启用
已禁用

网络访问: 允许匿名 SID/名称 转换
已禁用
已禁用
已禁用
已禁用

网络访问: 不允许 SAM 帐户和共享的匿名枚举
已启用
已启用
已启用
已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举
已启用
已启用
已启用
已启用

网络访问: 不允许为网络身份验证储存凭据或 .NET Passports
已启用
已启用
已启用
已启用

网络访问: 限制匿名访问命名管道和共享
已启用
已启用
已启用
已启用

网络访问: 本地帐户的共享和安全模式
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证

网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值
已启用
已启用
已启用
已启用

网络安全: 在超过登录时间后强制注销
已启用
已禁用
已启用
已禁用

网络安全: LAN Manager 身份验证级别
仅发送 NTLMv2 响应
仅发送 NTLMv2 响应
仅发送 NTLMv2 响应拒绝 LM & NTLM
仅发送 NTLMv2 响应拒绝 LM & NTLM

网络安全: 基于 NTLM SSP（包括安全 RPC）客户的最小会话安全
没有最小
没有最小
要求 NTLMv2 会话安全 要求 128-位加密
要求 NTLMv2 会话安全 要求 128-位加密

网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全
没有最小
没有最小
要求 NTLMv2 会话安全 要求 128-位加密
要求 NTLMv2 会话安全 要求 128-位加密

故障恢复控制台: 允许自动系统管理级登录
已禁用
已禁用
已禁用
已禁用

故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问
已启用
已启用
已禁用
已禁用

关机: 允许在未登录前关机
已禁用
已禁用
已禁用
已禁用

关机: 清理虚拟内存页面文件
已禁用
已禁用
已启用
已启用

系统加密: 使用 FIPS 兼容的算法来加密，哈希和签名
已禁用
已禁用
已禁用
已禁用

系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者
对象创建者
对象创建者
对象创建者
对象创建者

系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则
已禁用
已禁用
已禁用
已禁用

8、防御PHP木马攻击的技巧

PHP本身再老版本有一些问题，比如在 php4.3.10和php5.0.3以前有一些比较严重的bug，所以推荐使用新版。另外，目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式，所以要保证
安全，PHP代码编写是一方面，PHP的配置更是非常关键。
我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。

(1) 打开php的安全模式

php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，
同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，
但是默认的php.ini是没有打开安全模式的，我们把它打开：
safe_mode = on

(2) 用户组安全

当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同
组的用户也能够对文件进行访问。
建议设置为：

safe_mode_gid = off

如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要
对文件进行操作的时候。

(3) 安全模式下执行程序主目录

如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

safe_mode_exec_dir = D:/usr/bin

一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，
然后把需要执行的程序拷贝过去，比如：

safe_mode_exec_dir = D:/tmp/cmd

但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件，那么就修改一下选项：

safe_mode_include_dir = D:/usr/www/include/

其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

(5) 控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问
不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

open_basedir = D:/usr/www

(6) 关闭危险函数

如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，
我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的
phpinfo()等函数，那么我们就可以禁止它们：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，
就能够抵制大部分的phpshell了。

(7) 关闭PHP版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

expose_php = Off

比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。

(8) 关闭注册全局变量

在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，
这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：
register_globals = Off
当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，
那么就要用$_GET['var']来进行获取，这个php程序员要注意。

(9) 打开magic_quotes_gpc来防止SQL注入

SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，

所以一定要小心。php.ini中有一个设置：

magic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，
比如把 ' 转为 '等，这对防止sql注射有重大作用。所以我们推荐设置为：

magic_quotes_gpc = On

(10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当
前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

display_errors = Off

如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

error_reporting = E_WARNING & E_ERROR

当然，我还是建议关闭错误提示。

(11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

log_errors = On

同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

error_log = D:/usr/local/apache2/logs/php_error.log

注意：给文件必须允许apache用户的和组具有写的权限。

MYSQL的降权运行

新建立一个用户比如mysqlstart

net user mysqlstart fuckmicrosoft /add

net localgroup users mysqlstart /del

不属于任何组

如果MYSQL装在d:mysql ，那么，给 mysqlstart 完全控制 的权限

然后在系统服务中设置，MYSQL的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。

重新启动 MYSQL服务，然后MYSQL就运行在低权限下了。

如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，
这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

net user apache fuckmicrosoft /add

net localgroup users apache /del

ok.我们建立了一个不属于任何组的用户apche。

我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，
重启apache服务，ok，apache运行在低权限下了。

实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。
这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。

9、MSSQL安全设置
sql2000安全很重要

将有安全问题的SQL过程删除.比较全面.一切为了安全!

删除了调用shell，注册表，COM组件的破坏权限

use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

全部复制到"SQL查询分析器"

点击菜单上的--"查询"--"执行"，就会将有安全问题的SQL过程删除(以上是7i24的正版用户的技术支持)

更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限.

数据库不要放在默认的位置.

SQL不要安装在PROGRAM FILE目录下面.

最近的SQL2000补丁是SP4

10、启用WINDOWS自带的防火墙
启用win防火墙
桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>

（选中）Internet 连接防火墙—>设置

把服务器上面要用到的服务端口选中

例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）

在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”、“安全WEB服务器”前面打上对号

如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，SMTP和POP3根据需要打开

具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

一般需要打开的端口有：21、 25、 80、 110、 443、 3389、 等，根据需要开放需要的端口。

11、用户安全设置
用户安全设置
用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。

4、把系统Administrator账号改名

大家都知道，Windows 2000 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

5、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。

6、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

7、开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

8、不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。

密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

12、Windows2003 下安装 WinWebMail 3.6.3.1 完全攻略手册

这段时间论坛上有朋友提及无法在WINDOWS2003+IIS6下面建立WINWEBMAIL邮件,遇到不一些问题,特意将这篇旧文重新发一次给大家

1)查看硬盘:两块9.1G SCSI 硬盘(实容量8.46*2)

2)分区
系统分区X盘7.49G
WEB 分区X盘1.0G
邮件分区X盘8.46G（带１０００个１００Ｍ的邮箱足够了）

3)安装WINDOWS SERVER 2003

4)打基本补丁(防毒)．．．在这之前一定不要接网线！

5)在线打补丁

6)卸载或禁用微软的SMTP服务(Simple Mail Transpor Protocol)，否则会发生端口冲突

7)安装WinWebMail,然后重启服务器使WinWebMail完成安装.并注册.然后恢复WinWebMail数据.

8)安装Norton 8.0并按WinWebMail帮助内容设定,使Norton与WinWebMail联合起到邮件杀毒作用(将Norton更新到最新的病毒库)
8.1 启用Norton的实时防护功能
8.2 必须要设置对于宏病毒和非宏病毒的第1步操作都必须是删除被感染文件，并且必须关闭警告提示！！
8.3 必须要在查毒设置中排除掉安装目录下的 mail 及其所有子目录，只针对WinWebMail安装文件夹下的 temp 文件夹进行实时查毒。注意：如果没有 temp 文件夹时，先手工创建此 temp 文件夹，然后再进行此项设置。

9)将WinWebMail的DNS设置为win2k3中网络设置的DNS，切记，要想发的出去最好设置一个不同的备用DNS地址，对外发信的就全靠这些DNS地址了

10)给予安装 WinWebMail 的盘符以及父目录以 Internet 来宾帐户 (IUSR_*) 允许 [读取运行列出文件夹目录] 的权限.
WinWebMail的安装目录,INTERNET访问帐号完全控制
给予[超级用户/SYSTEM]在安装盘和目录中[完全控制]权限,重启IIS以保证设定生效.

11)防止外发垃圾邮件:
11.1 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-->“收发规则”中选中“启用SMTP发信认证功能”项，有效的防范外发垃圾邮件。
11.2 在“系统设置”-->“收发规则”中选中“只允许系统内用户对外发信”项。
11.3 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-->“防护”页选中“启用外发垃圾邮件自动过滤功能”项，然后再启用其设置中的“允许自动调整”项。
11.4 “系统设置”-->“收发规则”中设置“最大收件人数”-----> 10.
11.5 “系统设置”-->“防护”页选中“启用连接攻击保护功能”项，然后再设置“启用自动保护功能”.
11.6 用户级防付垃圾邮件，需登录WebMail，在“选项 | 防垃圾邮件”中进行设置。

12)打开IIS 6.0, 确认启用支持 asp 功能, 然后在默认站点下建一个虚拟目录(如: mail), 然后指向安装 WinWebMail 目录下的 Web 子目录, 打开浏览器就可以按下面的地址访问webmail了:
http://<;;你的IP或域名>/mail/什么? 嫌麻烦不想建? 那可要错过WinWebMail强大的webmail功能了, 3分钟的设置保证物超所值

13)Web基本设置:
13.1 确认“系统设置”-->“资源使用设置”内没有选中“公开申请的是含域名帐号”
13.2 “系统设置”-->“收发规则”中设置Helo为您域名的MX记录

13.3.解决SERVER 2003不能上传大附件的问题:
13.3.1 在服务里关闭 iis admin service 服务。
13.3.2 找到 windowssystem32inetsrv 下的 metabase.xml 文件。
13.3.3 用纯文本方式打开，找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为10M即：10240000），默认为：204800，即：200K。
13.3.4 存盘，然后重启 iis admin service 服务。

13.4.解决SERVER 2003无法下载超过4M的附件的问题
13.4.1 先在服务里关闭 iis admin service 服务。
13.4.2 找到 windowssystem32inetsrv 下的 metabase.xml 文件。
13.4.3 用纯文本方式打开，找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即：20480000）。
13.4.4 存盘，然后重启 iis admin service 服务。

13.5.解决大附件上传容易超时失败的问题.
在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或（虚拟目录）”的“主目录”下点击“配置”按钮，设置脚本超时间为：300秒（注意：不是Session超时时间）。

13.6.解决Windows 2003的IIS 6.0中，Web登录时经常出现"[超时，请重试]"的提示.
将WebMail所使用的应用程序池“属性-->回收”中的“回收工作进程”以及"属性-->性能"中的“在空闲此段时间后关闭工作进程”这两个选项前的勾号去掉，然后重启一下IIS即可解决.

13.7.解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题.
适当增加会话时间（Session）为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击[配置---选项]，就可以进行设置了(SERVER 2003默认为20分钟).

13.8.安装后查看WinWebMail的安装目录下有没有 temp 目录,如没有,手工建立一个.

14)做邮件收发及10M附件测试(内对外,内对内,外对内).

15)打开2003自带防火墙,并打开POP3.SMTP.WEB.远程桌面.充许此4项服务, OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打开相应的端口.

16)再次做邮件收发测试(内对外,内对内,外对内).

17)改名、加强壮口令，并禁用GUEST帐号。

18)改名超级用户、建立假administrator、建立第二个超级用户。

都搞定了！忙了半天, 现在终于可以来享受一把 WinWebMail 的超强 webmail 功能了, let's go!

13、IIS+PHP+MySQL+Zend Optimizer+GD库+phpMyAdmin安装配置[完整修正实用版]
http://www.chinaser.net/show.php?tid=31

14、一般故障解决

一般网站最容易发生的故障的解决方法

--------------------------------------------------------------------------------
1.出现提示网页无法显示,500错误的时候，又没有详细的提示信息

可以进行下面的操作显示详细的提示信息：IE－工具－internet选项－高级－友好的http错误信息提示，将这选项前面不打勾，则可以看到详细的提示信息了

以下是解决500错误的方法。请复制以下信息并保存为： 解决IIS6.0的(asp不能访问)请求的资源在使用中的办法.bat

然后在服务器上执行一下，你的ASP就又可以正常运行了。

echo off
echo 文件说明：解决IIS6.0的: 请求的资源在使用中的最佳解决方法
echo 联系
echo 正在恢复IIS的500错误,请稍等......
net stop iisadmin /y
regsvr32 %windir%system32jscript.dll
regsvr32 %windir%system32vbscript.dll
net start w3svc
ECHO.
ECHO   恭喜你！500错误解决成功！
ECHO.
pause
exit

2.系统在安装的时候提示数据库连接错误

一是检查const文件的设置关于数据库的路径设置是否正确

二是检查服务器上面的数据库的路径和用户名、密码等是否正确

3.IIS不支持ASP解决办法：

IIS的默认解析语言是否正确设定？将默认改为VBSCRIPT，进入IIS，右键单击默认Web站点，选择属性，在目录安全性选项卡的匿名访问和身份验证控制中，单击编辑，在身份验证方法属性页中，去掉匿名访问的选择试试.

4.FSO没有权限

FSO的权限问题，可以在后台测试是否能删除文件，解决FSO组件是否开启的方法如下：

首先在系统盘中查找scrrun.dll，如果存在这个文件，请跳到第三步，如果没有，请执行第二步。

在安装文件目录i386中找到scrrun.dl_，用winrar解压缩，得scrrun.dll，然后复制到（你的系统盘）C:windowssystem32目录中。 运行regsvr32 scrrun.dll即可。

如果想关闭FSO组件，请运行regsvr32/u scrrun.dll即可

关于服务器FSO权限设置的方法，给大家一个地址可以看看详细的操作：http://www.upsdn.net/html/2005-01/314.html

5.Microsoft JET Database Engine 错误 '80040e09' 不能更新。数据库或对象为只读

原因分析：
未打开数据库目录的读写权限

解决方法：

（ 1 ）检查是否在 IIS 中对整个网站打开了 “ 写入 ” 权限，而不仅仅是数据库文件。
（ 2 ）检查是否在 WIN2000 的资源管理器中，将网站所在目录对 EveryOne 用户打开所有权限。具体方法是：
打开 “ 我的电脑 ”---- 找到网站所在文件夹 ---- 在其上点右键 ---- 选 “ 属性 ”----- 切换到 “ 安全性 ” 选项卡，在这里给 EveryOne 用户所有权限。

注意： 如果你的系统是 XP ，请先点 “ 工具 ”----“ 文件夹选项 ”----“ 查看 ”----- 去掉 “ 使用简单文件共享 ” 前的勾，确定后，文件夹 “ 属性 ” 对话框中才会有 “ 安全性 ” 这一个选项卡。

6.验证码不能显示

原因分析：
造成该问题的原因是 Service Pack 2 为了提高系统的稳定性，默认状态下是屏蔽了对 XBM，也即是 x-bitmap 格式的图片的显示，而这些验证码恰恰是 XBM 格式的，所以显示不出来了。

解决办法：
解决的方法其实也很简单，只需在系统注册表中添加键值 "BlockXBM"=dword:00000000 就可以了，具体操作如下：

1》打开系统注册表；

2》依次点开HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSecurity；

3》在屏幕右边空白处点击鼠标右键，选择新建一个名为“BlockXBM”为的 DWORD 键，其值为默认的0。

4》退出注册表编辑器。

如果操作系统是2003系统则看是否开启了父路径

7.windows 2003配置IIS支持.shtml

要使用 Shtml 的文件，则系统必须支持SSI，SSI必须是管理员通过Web 服务扩展启用的
windows 2003安装好IIS之后默认是支持.shtml的，只要在“WEB服务扩展”允许“在服务器前端的包含文件”即可

8.如何去掉“处理 URL 时服务器出错。请与系统管理员联系。”

如果是本地服务器的话，请右键点IIS默认网站，选属性，在主目录里点配置，选调试。 选中向客户端发送详细的ASP错误消息。 然后再调试程序，此时就可以显示出正确的错误代码。

7.修改终端服务端口：
运行regedit，找到[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。
第二处HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：
cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值：
cracker可以根据ping回的TTL值来大致判断你的操作系统，如：
TTL=107（WINNT）;
TTL=108（win2000）;
TTL=127或128（win9x）;
TTL=240或241（linux）;
TTL=252（solaris）;
TTL=240（Irix）;
实际上你可以自己更改的：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff（0-255 十进制，默认值128）改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。

10. 删除默认共享：
有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接：
默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。

其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

删除c:inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述