以下是我服務器的安全配置情況,寫得沒好,請沒要介意.也沒要拿磚頭砸我

一.磁盤權限的設置

c:\
Administrators 完全控制
System 完全控制
Users 讀取 讀取運行 列出文件夾目錄(為了讓防盜鏈能正常運行)
Guest 拒絕所有權限.并只應用到“只有該文件夾”

C:\Documents and Settings
Administrators 完全控制
System 完全控制

C:\Documents and Settings\All Users
Administrators 完全控制
System 完全控制

C:\php
讀取 讀取運行 列出文件夾目錄

C:\Program Files
Administrators 完全控制
System 完全控制

C:\Program Files\Common Files\System
把Everyone權限加上去，賦予 讀取 讀取運行 列出文件夾目錄權限

C:\WINDOWS
Administrators 完全控制
System 完全控制
IIS_WPG 讀取 讀取運行 列出文件夾目錄,并應用到“只有子文件夾及文件”

Users 讀取 讀取運行 列出文件夾目錄,并應用到“只有該文件夾”
C:\WINDOWS\system32
Administrators 完全控制 System 完全控制
Everyone 讀取 讀取運行 列出文件夾目錄,并應用到“只有子文件夾及文件”

搜索 cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe
賦予Administrators完全控制權限.并將C:\WINDOWS\ServicePackFiles\i386目錄下面多余的刪掉！

D盤看不到，不用管

E:\
Administrators 完全控制
E:\web
Administrators 完全控制
e:\web下面是網站目錄，每個站點使用獨立的匿名用戶，這個不用多說了.

F:\
Administrators 完全控制

f:\web

administrators 完全控制
f:\web下面也是用戶目錄。。。自己設置權限去...

服務器上有2個PHP的站點.因為PHP的安全機制
設置的權限有所不同.
F:\web\www.ndsman.net
administrators 完全控制
system 完全控制
everyone 完全控制，不是繼承的.點高級-把那個勾去掉
F:\web\www.ndsman.net\sb 是網站目錄
administrators 完全控制
system 完全控制
www.ndsman.net 除了完全控制以外，全部賦予

F:\web\www.xzhy.cn 這個也是PHP的，設置權限如上，不再重復.

另：E:\web\IIS備份 此目錄下是IIS站點配置備份.建立站點時直接導入就可，E:\2盤\bak\建立網站用戶的批處理.BAT 直接運行就會自動建立網站匿名帳戶.

二.系統安全設置

1.啟用Windows自帶防火墻，并開放80 21 3306 52013 端口.（想開什么端口自己加）
2.刪除以下的注冊表主鍵:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1

regsvr32 /u wshom.ocx回車、regsvr32 /u wshext.dll回車

3.刪除沒有必要的儲存過程
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

（本人建議直接找對應的DLL文件刪除比較保險）

4.禁用Workstation服務，防止ASP木馬列出用戶.

5.關閉默認共享防止LAN內IPC入侵。可以用批處理來實現.如下：
echo off
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
保存為bat放到C:\Documents and Settings\All Users\「開始」菜單\程序\啟動 即可

6.定時重啟IIS服務及SQL服務.釋放資源.可以用計劃任務來實現.怎么弄自己想去。

7.設置終端登陸權限，只允許授權用戶登陸.開始-程序-管理工具-終端服務配置-RDP-屬性-權限
Administrator
chadmin
system
完全控制,不過盡管這樣還是有一定的不安全,克隆個帳戶就得了.建議限制IP登陸.盡管這樣還是不安全滴,人家可以映射終端端口.最好的就是把服務器搞得上沒得網.用IP安全策略可以做到.

8.Serv-U改一下本地管理密碼，防止本地溢出.設置一下FTP域安全性，選擇允許SSL/TLS和規則會話.

OK.就照著這樣設置就行了，又安全又不影響第三方軟件使用.每臺服務器的權限配置都不一樣，不要照搬了。服務器升天我不負責.這樣設置防防點小菜鳥應該足夠啦.哈~