Windows Server 2008 R2 WEB 服务器安全设置指南(三)之文件夹权限设置

win2008r2服务器环境配置（PHP）WEB
服务器-电脑资料
以下是FTP/ASP/PHP/环境配置
一、FTP与ASP安装流程
通过远程登录VPS,点击计算机管理》角色
1.1首先我们选择自己需要装的配置环境ASP与FTP,所以只要在前面打勾再安装就可以了
1.2：需要安装的配置，确认安装
1.3：安装完成
二、安装PHP环境
2.1首先我们通过在线平台安装PHP所需要的软件配置
2.2进入平台》产品》框架》
选择PHP5.3.8与Windows Cache Extension 1.1 for PHP 5.3安装
2.3安装确认
2.4安装完成
2.5到IIS里面找到PHP Manager
2.6找到之前安装到C盘目录的PHP里面找到php-cgi.exe
2.7查看配置的环境
2.8完成后，PHP环境基本的就配置好了
如果想提高PHP运行性能，可以安装个Zend Optimizer
三、安装环境
所需组件下载
.NET Framework 3.5 Service Pack 1
基本的2008 R2系统都有默认4.0版本的，如果有的话，可以不需要安装.NET Framework 3.5 Service Pack 1 这个版本
在IIS里面更改已经默认好的版本【如图】
3.1
3.2选择自己安装好的版本，确认保存即可，默认最高的是
4.0版本的
现在的环境安装配置大致如此，如果你还有什么好的建议可以回复哦，这样我们才会完善的更好~。

win2008服务器安全设置部署⽂档（推荐）年前⼀直在赶项⽬，到最后⼏⽇才拿到新服务器新添加的硬盘，重做阵列配置⽣产环境，还要编写部署⽂档做好安全策略，交给测试部门与相关部门做上线前最后测试，然后将部署⽂档交给相关部门同事，让他根据部署⽂档再做⼀次系统，以保证以后其他同事能⾃⼰正常部署服务器，最后终于赶在放假前最后⼀天匆忙搞定测试后，简单的指导同事按部署⽂档将服务器重新部署了⼀次就先跑路回家了，剩下的就留给加班的同事负责将服务器托管到机房了。

年后回来上班后按⼯作计划开始做⽂档（主要对之前编写的部署⽂档进⾏修正和将相关未添加的安全策略添加进⽂档中，并在测试环境进⾏安全测试）。

等搞定后要对服务器做最后⼀次安全检查时，运营部门已将⽹站推⼴出去了，真是晕死，都不给⼈活了......只能是加班加点对已挂到公⽹的服务器⽇志和相关设置项做⼀次体检。

当然⼀检查发现挂出去的服务器有着各种各样的攻击记录，不过还好都防住了，没有什么问题，然后就是继续添加⼀些防⽕墙策略和系统安全设置。

接下来还是不停的忙，要写《服务器安全检查指引——⽇常维护说明》。

公司新项⽬要开发，得对新项⽬分析需求，编写开发⽂档，然后搭建前后端开发框架，旧系统要增加新功能，⼜得写V3、V4不同版本的功能升级开发⽂档......今天终于忙得七七⼋⼋了，回头⼀看，2⽉份就这样⼀眨眼就过去了，看来程序员⽼得快还是有道理的，时间都不是⾃⼰的了。

前⾯啰哩啰嗦的讲了⼀⼤堆费话，现在开始转⼊正题。

对于服务器的安全，相信很多开发⼈员都会碰到，但绝⼤多数⼈对安全都没有什么概念。

记得10年前我刚接⼿服务器时，仅兴奋，⼜彷徨，⽽真正⾯对时，却⽆从下⼿，上百度和⾕歌上找，也没有完整的说明介绍，对安全都是⼀头雾⽔。

刚开始配置的服务器漏洞百出，那时⼏乎吃睡在机房，也避免不了服务器给⿊的事情发⽣，⽽且⼤多被⿊后还⼀⽆所知，想想都是郁闷~~~当然经验也是在被⿊的过程中慢慢升级的，哈哈...... 下⾯就将写好的《服务器安全部署⽂档》分享出来，希望能对⼤家有所帮助。

在Windows 2008R2配置WEB服务器本文档主要介绍如何在Windows 2008R2配置WEB服务器的详细步骤和操作。

以下是各个章节的具体内容：一、服务器准备工作1.确认操作系统为Windows 2008R2版本。

2.安装所需的硬件设备，如网卡、硬盘等。

3.进行操作系统的基本配置，如设置IP地质、网络连接等。

二、安装IIS服务1.打开服务器管理器。

2.在“角色”中选择“添加角色”。

3.选择“Web服务器（IIS）”角色并进行安装。

4.按照向导完成IIS的安装过程。

三、配置网站1.打开IIS管理器。

2.创建一个新的网站。

3.配置网站的基本信息，如网站名称、物理路径等。

4.配置网站的访问权限和认证方式。

5.配置网站的绑定信息，如IP地质、端口号等。

四、设置虚拟目录1.打开IIS管理器。

2.在相应的网站节点上创建虚拟目录。

3.配置虚拟目录的基本信息，如虚拟路径、物理路径等。

4.配置虚拟目录的访问权限和认证方式。

五、配置应用程序池1.打开IIS管理器。

2.在相应的网站节点上创建应用程序池。

3.配置应用程序池的基本信息，如名称、.NET版本等。

4.配置应用程序池的高级设置，如内存限制、进程模型等。

六、配置安全性1.打开IIS管理器。

2.配置网站和应用程序池的身份验证方式。

3.配置网站和应用程序池的权限。

4.配置SSL证书以实现安全传输。

七、配置日志记录1.打开IIS管理器。

2.配置网站和应用程序池的日志记录方式。

3.配置日志记录的格式和位置。

八、测试和优化1.使用浏览器访问配置好的网站。

2.进行性能测试并优化性能参数。

3.定期维护和监控服务器，确保WEB服务器的稳定运行。

附件：1.示例代码和配置文件。

2.相关参考文档。

法律名词及注释：1.操作系统：计算机系统的核心软件，负责管理计算机硬件和软件资源。

2.IIS（Internet Information Services）：Windows操作系统中的一种网络服务器软件。

Windows2008R2远程桌⾯服务（⼋）远程桌⾯服务器安全设置1）开始—运⾏，输⼊tsconfig.msc，打开远程桌⾯主机会话配置。

右键RDP-Tcp，属性。

“常规”选项卡，安全性，安全层更改为“SSL (TLS 1.0)”,加密级别设为“⾼”。

（2）开始—运⾏，输⼊“gpedit.msc”，打开本地组策略编辑器。

计算机配置\管理模板\Windows 组件\远程桌⾯服务\远程桌⾯会话主机\远程会话环境从“关机”对话框删除“断开连接”选项●启⽤在“关机”对话框中删除“关机”和重新启动。

以防⽌不熟悉的管理员意外把远程桌⾯服务器关机或重启。

●禁⽤ “关机”对话框⽆改变这个功能⾮常有⽤，特别是公司的域管理员⽐较多时，你负责远程桌⾯服务器的管理，你不想别的管理员因为不⼩⼼把这台服务器关闭时，可以启⽤此选项。

不过这并不影响你使⽤命令来关机和重启。

重启服务器命令：shutdown –r -f –t 0 (强制计算机⽴即重启)关闭服务器命令：shutdown –s -f –t 0 (强制计算机⽴即关机)（3）更改控制⾯板类⽂件的权限●取得c:\windows\system32\*.msc⽂件的所有权为administrats组。

在⽬录c:\windows\system32\*.msc默认的⽂件所有者为TrustedInstaller。

takeown /F c:\windows\system32\*.msc /A注意：运⾏这个命令必须以本地计算机的administrator帐号运⾏才能成功。

如果以域管理员运⾏，即使加⼊了本地管理员组，执⾏命令显⽰成功，也不能取得⽂件所有者。

●删除c:\windows\system32\*.msc⽂件的的所有权限。

我使⽤Xcacls.vbs脚本来删除Users组对c:\windows\system32\*.msc⽂件的所有权限，使⽤⽅法及下载，请看我的博客⽂章：批处理命令：for /R c:\windows\system32 %i in (*.msc) do cscript d:\xcacls.vbs %i /E /R "BUILTIN\users"出现下⾯的错误提⽰:Starting XCACLS.VBS (Version: 5.2) Script at 2009/12/31 13:57:19************************************************* Script not tested on this version of Windows *************************************************This script hasn't been tested on version "6.1" of Windows.Currently, the script has been tested on the following:Win2000, WinXP, Win2003Previous versions of Windows NT can use:"XCACLS.EXE" from the NT 4.0 Resource Kit.For more recent versions, there may be an update to this script.Please contact David Burrell (dburrell@)Note: WMI must be installed for this script to function.If you need to run this script on the current OS,and you verified WMI is installed, do the following:open this script in Notepadsearch for Function IsOSSupported()change this line:Case "5.0", "5.1", "5.2"to:Case "5.0", "5.1", "5.2", "6.1"Save the script.Exiting script now.Operation CompleteElapsed Time: .078125 seconds.Ending Script at 2009/12/31 13:57:19看上⾯的提⽰：我们知道Xcacls.vbs在编写时只有Win2000, WinXP, Win2003，因此对于Win2008不认识，提⽰中指明了修改的⽅法：编辑⽂件Xcacls.vbs，查找Function IsOSSupported()，把这⼀⾏Case "5.0", "5.1", "5.2"更改为Case "5.0", "5.1", "5.2", "6.1"。

Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口1给administrator用户加密码，开始运行control userpassword2控制面板\用户帐户给administrator设密码control userpasswords2这个运行命令，可以取消输入密码你输入的没有错误，可能是你机子根本没有密码吧，你仔细看会发现你的指针是闪过一下漏斗的。

下面的效果一样的开始--运行，输入“rundll32 netplwiz.dll,UsersRunDll”，按回车键后弹出“用户帐户”窗口，看清楚，这可跟“控制面板”中打开的“用户账户”面板窗口不同哦！然后取消选定“要使用本机，用户必须输入用户名和密码”选项，单击确定，在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可。

2修改远程访问端口，这个可以在使用的软件上修改修改远程访问服务端口更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208，重启生效！Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002010（1）在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp（3）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp（5）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为同上的端口（6）在控制面板--Windows 防火墙--高级设置--入站规则--新建规则（7）选择端口--协议和端口--TCP/特定本地端口：同上的端口（8）下一步，选择允许连接（9）下一步，选择公用（10）下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。

Win2008R2WEB服务器安全设置指南之禁⽤不必要的服务和关闭端⼝安全是重中之重，以最少的服务换取最⼤的安全。

通过只启⽤需要⽤到的服务、关闭暂时⽤不到的服务或不⽤的服务，这样最⼤程度来提⾼安全性。

作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务都可以禁⽤。

当然了，你的系统补丁也需要更新到最新，⼀些端⼝的漏洞已经随着补丁的更新⽽被修复了。

⽹上的⼀些⽂章都是相互复制且是基于win2003系统较多，⽽win2008相⽐win2003本⾝就要安全很多。

那我们为什么还要谈关闭端⼝呢，因为我们要防患于未然，万⼀服务器被⿊就不好玩了。

禁⽤不必要的服务控制⾯板―――管理⼯具―――服务：把下⾯的服务全部停⽌并禁⽤。

TCP/IP NetBIOS HelperServer 这个服务器需要⼩⼼。

天翼云主机需要⽤到这个服务，所以在天翼云主机上不能禁⽤。

Distributed Link Tracking ClientMicrosoft Search 如果有，则禁⽤Print SpoolerRemote Registry因为我们使⽤的是云主机，跟单机⼜不⼀样，所以有些服务并不能⼀概⽽论，如上⾯的Server服务。

例如天翼云的主机，上海1和内蒙池的主机就不⼀样，内蒙池的主机需要依赖Server服务，⽽上海1的不需要依赖此服务，所以上海1的可以禁⽤，内蒙池就不能禁⽤了。

所以在禁⽤某⼀项服务时必须要⼩⼼再⼩⼼。

删除⽂件打印和共享本地连接右击属性，删除TCP/IPV6、Microsoft⽹络客户端、⽂件和打印共享。

打开防⽕墙，⼊站规则，所的“⽹络发现”和“⽂件和打印机共享”的规则全部禁⽤。

关闭端⼝关闭139端⼝本地连接右击属性，选择“TCP/IPv4协议”，属性，在“常规”选项卡下选择“⾼级”，选择“WINS”选项卡，选中“禁⽤ TCP/IP 上的NetBIOS”，这样即关闭了139端⼝。

使⽤IP安全策略关闭端⼝1.点击控制⾯板-管理⼯具"，双击打开"本地策略"，选中"IP安全策略，在本地计算机“右边的空⽩位置右击⿏标，弹出快捷菜单，选择"创建IP安全策略”，弹出向导。

win2008r2防火墙如何设置win2008 r2 防火墙能够对电脑实现有效的防护!那么我们要怎么样去设置它呢?下面由店铺给你做出详细的win2008 r2 防火墙设置方法介绍!希望对你有帮助!win2008 r2 防火墙设置方法一：开始→运行里输入：services.msc，回车，打开服务。

找到Windows Defender和Windows Firewall设置为禁用即可。

或者在运行中输入：firewall.cpl 按回车键，就能打开防火墙设置。

win2008 r2 防火墙设置方法二：防火墙开启可以有效防止外部非法访问，能够很好的保护内网电脑。

可是开启防火墙之后，很多应用服务内外网访问都有限制，那么可以通过设置防火墙端口排除例外来解决这个问题，本经验咗嚛以win2008R2系统截图为例Windows2008R2系统防火墙在，控制面板里面去找(还可以到服务器管理器里面找)点击进入08防火墙设置选项卡，注意一下【高级设置】里面去设置如图，在防火墙设置右上方，有【创建规则】入站规则进入规则向导页面，如图选择【端口】类型本案例以开放webmail自定义端口为例，选择特定端口如8008操作设置然后在操作设置里面，选择【允许连接】安全域选择接下来就是重点了，需要允许应用到的规则域区域。

建议全部选择，然后是规则的名称，可以任意取名。

建议加上备注，比如XX服务器XX应用检查配置(出站和入站的区别就是端口的指向)设置好之后，如图点击入站规则里面查看。

可以看到刚刚的配置设置出站规则出站规则设置方法是一样的，注意一下。

协议类型，有TCP. UDP 你可以选择所有及 ALL类型测试端口设置好服务器防火墙端口开放之后，再内网的还需要在路由器上设置映射。

可以通过站长工具在线测试注意事项以上介绍的是08系统防火墙常规添加规则的方法，当然您也可以直接在网卡TCP/IP里面设置筛选也是一样的效果。

win2008 r2 防火墙设置方法三：1、原则上开启这两个就会达到目标是，远程控制和远程80访问。