Windows 2003安全设置大全

Windows系统中的系统安全设置Windows操作系统是目前世界上使用最广泛的操作系统之一，它提供了许多强大的功能和便利的界面，但同时也面临着各种安全风险。

为了保护系统的安全性，用户需要正确配置Windows系统的安全设置。

本文将探讨Windows系统中的几个重要的系统安全设置，并提供相关的配置建议。

一、用户账户管理在Windows系统中，用户账户起到了多个方面的作用，包括系统访问权限管理、应用程序授权和文件保护等。

因此，合理管理用户账户是确保系统安全的重要一环。

1. 创建强密码：使用强密码可以防止密码被破解或猜测。

强密码包括至少8个字符，包括大写和小写字母、数字和特殊字符。

2. 限制管理员权限：尽量避免使用管理员账户进行日常操作，可以创建一个普通用户账户，并将其设置为默认账户。

只在需要进行系统更改或安装软件时使用管理员账户。

3. 禁止共享账户：避免多个用户共享同一个账户，每个用户应有独立的账户，以方便追踪用户的活动并限制权限。

二、防火墙设置Windows系统内置了强大的防火墙功能，可以监视和控制进出系统的网络连接。

用户可以根据自己的需求配置防火墙。

1. 打开防火墙：确保防火墙处于打开状态，以阻止未经授权的网络连接。

2. 配置入站规则：根据具体需求，设置允许或阻止某些应用程序或端口的网络连接。

3. 禁用不需要的出站规则：关闭不必要的出站连接，以减少系统面临的网络攻击风险。

三、自动更新与补丁管理Windows系统定期发布安全补丁和更新，以修复系统漏洞和提升系统安全性。

及时安装这些补丁对于系统安全至关重要。

1. 开启自动更新：确保系统自动下载和安装Windows更新。

这样可以确保及时获取最新的安全补丁和改进。

2. 定期检查更新：即使开启了自动更新，也应该定期检查系统是否缺少最新的安全补丁，并手动安装。

四、杀毒软件和安全工具为了进一步提升系统的安全性，用户可以安装杀毒软件和其他安全工具。

以下是一些建议：1. 杀毒软件：安装一个可信赖的杀毒软件，并及时更新病毒库。

Win 2003 Server 服务器安全设置（七）服务器安全设置之--本地安全策略设置
安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除
C、本地策略——>安全选项
交互式登陆：不显示上次的用户名启用
网络访问：不允许SAM帐户和共享的匿名枚举启用
网络访问：不允许为网络身份验证储存凭证启用
网络访问：可匿名访问的共享全部删除
网络访问：可匿名访问的命全部删除
网络访问：可远程访问的注册表路径全部删除
网络访问：可远程访问的注册表路径和子路径全部删除
帐户：重命名来宾帐户重命名一个帐户
帐户：重命名系统管理员帐户重命名一个帐户。

Windows 2003安全设置大全-2003系统错误大全解释71 当前已无法再同此远程计算机连接，因为已达到计算机的连接数目极限。

72 已暂停指定的打印机或磁盘设备。

80 文件存在。

82 无法创建目录或文件。

83 INT 24 失败。

84 无法取得处理此请求的存储空间。

85 本地设备名已在使用中。

86 指定的网络密码错误。

87 参数错误。

88 网络上发生写入错误。

89 系统无法在此时启动另一个进程。

100 无法创建另一个系统信号灯。

101 另一个进程拥有独占的信号灯。

102 已设置信号灯且无法关闭。

103 无法再设置信号灯。

104 无法在中断时请求独占的信号灯。

105 此信号灯的前一个所有权已结束。

107 程序停止，因为替代的软盘未插入。

108 磁盘在使用中，或被另一个进程锁定。

109 管道已结束。

110 系统无法打开指定的设备或文件。

111 文件名太长。

112 磁盘空间不足。

113 无法再获得内部文件的标识。

114 目标内部文件的标识不正确。

117 应用程序制作的IOCTL 调用错误。

118 验证写入的切换参数值错误。

119 系统不支持请求的命令。

120 此功能只被此系统支持。

121 信号灯超时时间已到。

122 传递到系统调用的数据区太小。

123 文件名、目录名或卷标语法不正确。

124 系统调用级别错误。

125 磁盘没有卷标。

126 找不到指定的模块。

127 找不到指定的程序。

128 没有等候的子进程。

130 试图使用操作(而非原始磁盘I/O)的已打开磁盘分区的文件句柄。

131 试图移动文件指针到文件开头之前。

132 无法在指定的设备或文件上设置文件指针。

133 包含先前加入驱动器的驱动器无法使用JOIN 或SUBST 命令。

134 试图在已被合并的驱动器上使用JOIN 或SUBST 命令。

135 试图在已被合并的驱动器上使用JOIN 或SUBST 命令。

136 系统试图解除未合并驱动器的JOIN。

windows 2003权限及安全设置解决方案目录一、服务器安全设置1.IIS6.0的安装和设置2.WEB目录权限设置3.SQL权限设置二、系统常规安全设置4.系统补丁的更新5.备份系统6.安装常用的软件7.先关闭不需要的端口，开启防火墙导入IPSEC策略8.win2003服务器防止海洋木马的安全设置9.改名不安全组件10.系统安全策略11.网络设置[这里针对网卡参数进行设置]12.PHP安全13.修改3389远程连接端口14.本地策略--->用户权限分配15.在安全设置里本地策略-用户权利分配，通过终端服务拒绝登陆加入16.计算机管理的本地用户和组17.删除默认共享18.常用DOS命令安全设置19.卸载删除具有CMD命令功能的危险组件20．用户安全设置21.密码安全设置22.磁盘权限设置23.本地安全策略设置24.终端服务配置TerminalServiceConfigration25.禁用不必要的服务26.修改注册表27.系统DOS命令保护和转移三、各目录权限设置28.C盘的目录权限一、服务器安全设置1. IIS6.0的安装和设置1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络 COM+ 访问（必选）|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务———Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

Windwos2003系统文件夹权限异常解决办法
本方法可以解决Windwos2003系统文件夹拒绝访问、无法访问、无法查看或便捷目前的权限设置
详细描述：Windwos2003系统打开某些文件夹或文件时，有的可以打开，有的打不开直接提示“无法访问”拒绝访问，查看该文件夹或文件的权限，点“安全”是提示，你无权查看或编辑目前文件夹或文件的权限设置
解决办法：
第一步骤：在有问题的文件夹或者文件的根目录文件夹右击→属性→安全→高级
详见下图
第二步骤：进入高级安全设置后，切换到“所有者”选项卡，选中“替换子容器及对象的所有者”，点击“应用”
详细如图
第三步骤：进入高级安全设置，切换到“审核”选项卡，选中“允许父项的继承审核项目传播到该对象的所有子对象”和“用在此显示的那些可以应用到子对象的项目替代所有子对象的权限项目”，点击“应用”。

最后关闭所有打开的窗口，问题解决。

一、安装补丁安装好Windows 2003操作系统之后，在托管之前一定要完成补丁的安装，配置好网络后，最好安装上SP1，然后点击开始选择Windows Update，安装所有的关键更新。

二、安装杀毒软件目前的杀毒软件种类很多，其中瑞星、诺顿、卡巴斯基等都是很不错的选择。

不过，也不要指望杀毒软件能够杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决，这样比较好，比筛选更有灵活性，桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置，把服务器上面要用到的服务端口选中，例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389），在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号，如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。

注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

1、权限设置的原理1）WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。

在开始→程序→管理工具→计算机管理→本地用户和组，管理系统用户和用户组。

2）NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。

文件（夹）上右键→属性→安全，在这里管理NTFS文件（夹）权限。

3）IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

Windows 2003服务器安全配置终极技巧1、安装系统补丁。

扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。

∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。

打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘，有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限，无只给Administrators 权限。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

功能还可以！Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows2003服务器的安全性。