帮助中心FAQ

1.  首先取消各磁盘中不必要的权限。C盘建议只保留administrators组、system组的完全控制权限和IIS_WPG组的读取执行权限。(建议使用“安全”选项卡中的“高级”进行权限分配工作)

D盘如果是用于存放网站程序文件,建议保留administrators组、system组的完全控制权和设置users组“读取属性”的权限(用于ASP.NET创建目录)。


其余盘尽可能只保留administrators组、system组的完全控制权,其余权限都去除掉。  
 
2.把  WScript,Shell这些组件反注册掉。
在开始菜单—运行—输入“CMD”后按确认—输入下面指令:
regsvr32/u wshom.ocx
regsvr32/u shell32.dll

 3.  C:windowssystem32下的cacls.exenet.exenet1.execmd.exewshom.ocxshell32.dll、文件,按鼠标右键“属性”->“安全”->“高级”,去掉“允许父项的继承权限...”这个选项(接着点“复制”),然后将除了administratorssystem之外的权限都去掉




4.  增加账号安全管理。在开始菜单--“运行”中输入:gpedit.msc。然后“计算机配置”windows设置”“安全设置”鼠标右键“导入策略”



预先定义的安全模板有:

1)默认安全(setup security.inf

2)域控制器默认安全(DC security.inf

3)兼容(compatws.inf

4)安全(secure*.inf

5)高度安全(hisec*.inf

6)系统根目录安全(rootsec.inf

7IE浏览器安全(iesacls.inf


可根据服务器的实际业务情况自行选择合适的模板

 

 5.  取消不必要的系统服务。开始菜单—运行-- services.msc。
将不必要服务的启动类型设置为“禁用”


以下为Win 2003系统中不必要开放的服务列表:

·Computer Browser 维护网络上计算机的最新列表以及提供这个列表

·Task scheduler 允许程序在指定时间运行

·Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

·Removable storage 管理可移动媒体、驱动程序和库

·Remote Registry Service 允许远程注册表操作

·Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

·IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)IP安全驱动程序

·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

·Com+ Event System 提供事件的自动发布到订阅COM组件

·Alerter 通知选定的用户和计算机管理警报

·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

·Telnet 允许远程用户登录到此计算机并运行程序