windows 2003服务器安装步骤和安全配置

1、kaits windows 2003 服务器安装步骤和安全配置1. 系统安装 (windows 2003启动光盘+ raid 磁盘和软件驱)- 系统安装, - 用户名: jasun 单位:jasun co. sn: jcgmj-tc669-kcbg7-hb8x2-fxg7m- 计算机名称: jasun-ma1 管理员密码: 12345678902. 完成系统安装后, 并安装相应的驱动程序(如声卡,网卡等). 并安装好iis6 开启系统自带防火墙.设置上网的ip等.然后安装sp1并在线升级- 安装iis6 - 设置服务器ip 39 网关: 39 d

2、ns: (主)00 (副)8- windows 2003 补丁打上并在线升级补丁 winrar 5.2安装 五笔输入法安装与设置- 防火墙设置端口: 80,1433,3306,25,110,3389,21,ipsec或ip筛选设置(ip筛选要允许tcp的80,1433,3306,25,1103389,21端口嗵 过,其它全禁止)- 调整虚拟内存服务器都最高设置成 4096m- office 2003 安装 word+excel+access- 安装防火墙和杀毒软件，可使用macfee的杀毒软件和防火墙。- windows 2003 基本优化设置,-

3、 在 iis 6.0 中，默认设置是特别严格和安全的，最大只能传送 204,800 个字节，这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。（在 iis 6.0 之前的版本中无此限制） 在 iis 6.0 中，修改上传附件大于200k的方法，可以按以下步骤解决(一般用于web邮件发送或文件上传)： 1、先在服务里关闭 iis admin service 服务。 2、找到 windowssystem32inetsrv 下的 metabase.xml 文件。 3、用纯文本方式打开，找到 aspmaxrequestentityallowed 把它修改为需要的值（可修改为10m即：1024

4、0000），默认为：204800，即：200k。 4、存盘，然后重启 iis admin service 服务。 在 iis 6.0 中，无法下载超过4m的附件时，可以按以下步骤解决： 1、先在服务里关闭 iis admin service 服务。 2、找到 windowssystem32inetsrv 下的 metabase.xml 文件。 3、用纯文本方式打开，找到 aspbufferinglimit 把它修改为需要的值（可修改为20m即：20480000）。 4、存盘，然后重启 iis admin service 服务。- 禁用关机事件跟踪开始 - 运行 - gpedit.msc - c

5、omputer configuration - administrative templates - system - display shutdown event tracker - 设置为 disable。如果是中文版，则：开始 - 运行 - gpedit.msc-计算机配置 - 管理模板 - 系统 - 显示关机事件跟踪 - 禁用。- 禁用开机 ctrl+alt+del和实现自动登陆管理工具 - local security settings（本地安全策略） - 本地策略 - 安全选项 - interactive logon: do not require ctrl+alt+del，启用之

6、。3.修改终端服务端口(安全) - 运行regedit，找到hkey_local_machine system currentcontrolset control terminal server wds rdpwd tds tcp，看到右边的portnumber了吗？在十进制状态下改成你想要的端口号吧，比如6101之类的，只要不与其它冲突即可。 - 第二处hkey_local_machine system currentcontrolset control terminal server winstations rdp-tcp，方法同上，记得改的端口号和上面改的一样就行了。4.禁止ipc空连接

7、(安全) hacker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到local_machinesystemcurrentcontrolsetcontrollsa 下的restrictanonymous 把这个值改成”1”即可。5.更改ttl值(安全) hacker可以根据ping回的ttl值来大致判断你的操作系统，如： ttl=107(winnt); ttl=108(win2000); ttl=127或128(win9x); ttl=240或241(linux); ttl=252(solaris);

8、ttl=240(irix); 修改方法: hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters新建一个reg_dword值的defaultttl 然后输入十进制值就是0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦6. 删除默认共享(安全) 有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2k为管理而设置的默认共享，必须通过修改注册表的方式取消它：hkey_local_machinesystemcurrentco

9、ntrolsetserviceslanmanserverparameters：新建一个autoshareserver类型是reg_dword把值改为0即可7.禁用tcp/ip上的netbios 网上邻居-属性-本地连接-属性-internet协议（tcp/ip）属性-高级-wins面板-netbios设置-禁用tcp/ip上的netbios。这样hacker就无法用nbtstat命令来读取你的netbios信息和网卡mac地址了。8更改日志文件默认保存目录，将应用程序日志、系统日志、安全日志更改到e:logfileevent目录需要修改注册表以更改，调整日志文件大小，将该目录只允许system

10、有写入权限和administrator完全控制权限。注册表中找到以下三项：hkey_local_machinesystemcurrentcontrolsetserviceseventlogsecurityhkey_local_machinesystemcurrentcontrolsetserviceseventlogapplicationhkey_local_machinesystemcurrentcontrolsetserviceseventlogsystem；将其中项值flie的路径更改9.设置一个伪管理员帐号并将原来的administrator管理帐号的名称改掉 进入管理工具里的计算机管

11、理, 找到本地用户和组里的用户项目. 这时你会发现有几个帐号直接在administrator帐号上重命名,改成你喜欢的名称, 如: kaitmaster 并设定一个复杂的密码 ,不用担心改掉后会影响服务器的设置,没关系的!一点也不会损坏系统和设置 然后新建一个administrator 帐号 然后随便设置一个密码, 下面选择密码永不过期的选项.然后在该帐号上右击点属性,然后将这个帐号的权限设置成最低就是!,上面的功能应该关的就全关了!不让系统显示上次登录的用户名 默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框

12、里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“hklmsoftwaremicrosoftwindows tcurrentversionwinlogondont-displaylastusername”，把reg_sz的键值改成1。 10.sql2000安装+sql sp4 安装 设定sa密码11.php 5.12+mysql4.1.16+zend 2.62安装 下载: php（5.1.2）：/get/php-5.1.2-win32.zip/from/a/mirrormysql（4.1.16）：/soft/2

13、4418.htmlzend optimizer（2.6.2）：/store/free_download.php?pid=13phpmyadmin（）：/soft/4190.html- 安装 php 5.1.2下载解压 php5.1.2 并解压到c盘下的c:php 文件夹里然后将php里所有的 dll文件复制到 c:windowssystem32的文件夹里并代替原有的文件将c:windowsphp.ini-dist改名为php.ini,然后用记事本打开，利用记事本的查找功能搜索register_globals

14、 = off，将 off 改成 on ；extension_dir =，并将其路径指到你的 php 目录下的 extensions 目录，比如：extension_dir = c:phpext ；在c:php 下建文件夹tmp 找upload_tmp_dir并改 upload_tmp_dir = “c:phptmp” ,去掉前面的 ; (目录必须有读写权限。)查找 ;windows extensions 将下面列举的;extension=php_curl.dll;extension=php_dbase.dll;extension=php_gd2.dll (这个是用来支持gd库的，一般需要，必选

15、);extension=php_ldap.dll;extension=php_zip.dll;extension=php_mbstring.dll;extension=php_mssql.dll (可选) ;extension=php_mysql.dll将这些前的；去掉，其他的你需要的也可以去掉前面的;然后关闭保存该文件。查找 ;session.save_path = 去掉前面 ; 号,本文这里将其设置置为 session.save_path = “c:phptmp”一些朋友经常反映无法上传较大的文件或者运行某些程序经常超时，那么可以找到c:windows目录下的php.ini以下内容修改：

16、max_execution_time = 30 ; 这个是每个脚本运行的最长时间，可以自己修改加长，单位秒 max_input_time = 60 ; 这是每个脚本可以消耗的时间，单位也是秒 memory_limit = 8m ; 这个是脚本运行最大消耗的内存，也可以自己加大 upload_max_filesize = 2m ; 上载文件的最大许可大小 ，自己改吧，一些图片论坛需要这个更大的值上面修改完成后,将php.ini文件复制到 c:windows下配置iis来支持 phpisapi 模式设置:打开iis 6 展开”internet 服务管理器“的下在你需要设置的”网站“上并单击右键选择

17、“属性” 在弹出的属性窗口上选择“isapi 筛选器”选项卡找到并点击“添加”按钮，在弹出的“筛选器属性”窗口中的“筛选器名称”栏中输入：php 可执行文件里浏览选择php5isapi.dll文件,在c:php php5isapi.dll下打开“站点属性”窗口的“主目录”选项卡，找到并点击“配置”按钮; 在”应用程序映射“选项卡找到并点击“添加”按钮新增一个扩展名映射, 可执行文件指向 php4isapi.dll 所在路径(c:php php5isapi.dll) 扩展名为 .php 动作限于”get,head,post,trace“，如果自己有独立的服务器,可以直接在iis的web服务扩展下

18、加一个php的扩展,方法如isapi 筛选器的增加方法,最后设置为允许.然后重启服务器,在网站目录下新建一个 php文件来测试,内容如下:安装mysql (参照/article.asp?id=104 )安装 zend optimizer 2.62 安装 phpmyadmin 解压然后放到虚拟主机下,新建一个目录,把文件都放进去, 找到并打开phpmyadmin目录下的 config.default.php ，做以下修改：查找 $cfgpmaabsoluteuri 设置你的phpmyadmin的web访问url，比如本文中：$cfgpmaabsoluteuri

19、= http:/localhost/phpmyadmin/; 注意这里假设 phpmyadmin在默认站点的根目录下 查找 $cfgblowfish_secret = 设置cookies加密密匙，如则设置为$cfgblowfish_secret = ; 查找 $cfgservers$iauth_type = ， 默认为config，是不安全的，不推荐，推荐使用cookie，将其设置为 $cfgservers$iauth_type = cookie; 注意这里如果设置为config请在下面设置用户名和密码！例如： $cfgservers$iuser = root; /

20、 mysql user-mysql连接用户 $cfgservers$ipassword = ; 搜索$cfgdefaultlang ，将其设置为 zh-gb2312 ；搜索$cfgdefaultcharset ，将其设置为 gb2312 ；打开浏览器，输入：http:/地址/phpad的目录 ，若 iis 和 mysql 均已启动，输入用户root密码(如没有设置密码则密码留空)即可进入phpmyadmin数据库管理。首先点击权限进入用户管理，删除除root和主机不为localhost的用户并重新读取用户权限表，这里同样可以修改和设置root的密码，添加其他用户等

21、phpmyadmin 的具体功能，请慢慢熟悉，这里不再赘述。至此所有安装完毕。目录结构以及mtfs格式下安全的目录权限设置：当前目录结构为 c:php | + (php5) tmp mysql zend phpmyadmin c:php 设置为 administrators和system完全权限 即可，其他用户均无权限对于其下的二级目录c:php 设置为 users 读取/运行 权限c:phptmp 设置为 users 读/写/删 权限c:phpmysql 、c:phpzend 设置为 administrators和system完全权限phpmyadmin web匿名用户读取权限12 seru

22、 ftp ,.jmail 和 aspjpeg 插件的安装 (可选,需要的时候才装也行)先停掉serv-u服务用ultraedit打开servudaemon.exe查找 ascii：localadministrator 和 #l$ak#.lk;0p修改成等长度的其它字符就可以了，servuadmin.exe也一样处理。另外注意设置serv-u所在的文件夹的权限，不要让iis匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。13. .windows 2003配置iis支持.shtml 要使用 shtml 的文件，则系统必须支持ssi，ssi必须是管理员通过web

23、服务扩展启用的 windows 2003安装好iis之后默认是支持.shtml的，只要在“web服务扩展”允许“在服务器前端的包含文件”即可14. windows 2003下winwebmail的安装- 安装winwebmail,然后重启服务器使winwebmail完成安装.并注册.然后恢复winwebmail数据.- 安装mcafee并按winwebmail帮助内容设定,使mcafee与winwebmail联合起到邮件杀毒作用(将mcafee更新到最新的病毒库) -mcafee在邮件服务器的设置为：设置 winwebmail 的杀毒产品名称为“mcafee virusscan for win

24、32”并指定有效的执行程序路径。请将执行程序路径指向： 系统盘符:program filescommon filesnetwork associates 目录或其子目录下的 scan.exe 文件。 注意1：必须使用缺省的执行程序文件名。使用 mcafee 时就必须指向 scan.exe 文件，而不能使用其他文件（如：scan32.exe），否则不但无法查毒，并且会影响邮件系统的正常工作。 注意2：scan.exe 文件并不在其安装目录下！禁用 virusscan 的电子邮件扫描功能。在 virusscan 扫描属性下“所有进程 | 检测”中的“排除磁盘、文件和文件夹”内，点击“排除”按钮，在

25、其“设置排除”中添加一个排除设置将安装 winwebmail 的目录以及所有子目录都设为排除。必须要设置排除，否则有可能出现邮件计数错误，从而造成邮箱满的假象。在 mcafee 控制台中有“访问保护”项中必须在其规则中不要选中“禁止大量发送邮件的蠕虫病毒发送邮件”项。否则会引起“service unavailable”错误。 - 必须要在查毒设置中排除掉安装目录下的 mail 及其所有子目录，只针对winwebmail安装文件夹下的 temp 文件夹进行实时查毒。注意：如果没有 temp 文件夹时，先手工创建此 temp 文件夹，然后再进行此项设置。 - 将winwebmail的dns设置为w

26、in2k3中网络设置的dns，切记，要想发的出去最好设置一个不同的备用dns地址，对外发信的就全靠这些dns地址了 - 给予安装 winwebmail 的盘符以及父目录以 internet 来宾帐户 (iusr_*) 允许 读取运行列出文件夹目录 的权限.winwebmail的安装目录,internet访问帐号完全控制给予超级用户/system在安装盘和目录中完全控制权限,重启iis以保证设定生效.- 防止外发垃圾邮件:- 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-“收发规则”中选中“启用smtp发信认证功能”项，有效的防范外发垃圾邮件。- 在“系统设置”-“收发规则”中选中“只

27、允许系统内用户对外发信”项。- 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-“防护”页选中“启用外发垃圾邮件自动过滤功能”项，然后再启用其设置中的“允许自动调整”项。- “系统设置”-“收发规则”中设置“最大收件人数”- 10.- “系统设置”-“防护”页选中“启用连接攻击保护功能”项，然后再设置“启用自动保护功能”.- 用户级防付垃圾邮件，需登录webmail，在“选项 | 防垃圾邮件”中进行设置。- 打开iis 6.0, 确认启用支持 asp 功能, 然后在默认站点下建一个虚拟目录(如: mail), 然后指向安装 winwebmail 目录下的 web 子目录, 打开浏览器就

28、可以按下面的地址访问webmail了:- web基本设置:- 确认“系统设置”-“资源使用设置”内没有选中“公开申请的是含域名帐号”- “系统设置”-“收发规则”中设置helo为您域名的mx记录- .解决大附件上传容易超时失败的问题.在iis中调大一些脚本超时时间，操作方法是： 在iis的“站点或（虚拟目录）”的“主目录”下点击“配置”按钮，设置脚本超时间为：300秒（注意：不是session超时时间）。- .解决windows 2003的iis 6.0中，web登录时经常出现超时，请重试的提示.将webmail所使用的应用程序池“属性-回收”中的“回收工作进程”以及属性-性能中的“在空闲此段

29、时间后关闭工作进程”这两个选项前的勾号去掉，然后重启一下iis即可解决.- .解决通过webmail写信时间较长后，按下发信按钮就会回到系统登录界面的问题.适当增加会话时间（session）为 60分钟。在iis站点或虚拟目录属性的“主目录”下点击配置-选项，就可以进行设置了(server 2003默认为20分钟).- .安装后查看winwebmail的安装目录下有没有 temp 目录,如没有,手工建立一个.- 打开2003自带防火墙,并打开pop3.smtp.web.远程桌面.充许此4项服务, ok, 如果想用imap4或ssl的smtp.pop3.imap4也需要打开相应的端口.15. 服

30、务器安全设置之-组件安全设置 (非常重要！)a、卸载wscript.shell 和 shell.application 组件， 反注册wshom.ocx控件 cmd命令: regsvr32/u c:windowssystem32wshom.ocx然后手动删除c:windowssystem32下的wshom.ocx或cmd命令: del c:windowssystem32wshom.ocx反注册shell32.dll 组件 cmd命令: regsvr32/u c:windowssystem32shell32.dll然后手动删除c:windowssystem32的shell32.dll 或cmd命

31、令: del c:windowssystem32shell32.dllb、改名不安全组件，需要注意的是组件的名称和clsid都要改，并且要改彻底了，不要照抄，要自己改【开始运行regedit回车】打开注册表编辑器 然后【编辑查找填写shell.application查找下一个】 用这个方法能找到两个注册表项： 13709620-c279-11ce-a49e-444553540000 和 shell.application 。 第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。 第二步：比如我们想做这样的更改 13709620-c279-11ce-a49e-4445

32、53540000 改名为 13709620-c279-11ce-a49e-444553540001 shell.application 改名为 shell.application_nohack 第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即 可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，clsid中只能是十个数字和abcdef六个字母。 其实，只要把对应注册表项导出来备份，然后直接改键名就可以了，c、禁止使用filesystemobject组件 (注意:更改了这个后,如果你利用该组件,

33、记得在asp程序里将原来的scripting.filesystemobject也改成scripting.filesystemobject_c 不然不能上传文件)filesystemobject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。hkey_classes_root scripting.filesystemobject 改名为其它的名字，如：改为scripting.filesystemobject_c自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下hkey_classes_rootscripting.filesystemobje

34、ctclsid项目的值也可以将其删除，来防止此类木马的危害。2003注销此组件命令：regsrv32 /u c:windowssystemscrrun.dll 如何禁止guest用户使用scrrun.dll来防止调用此组件？使用这个命令：cacls c:winntsystem32scrrun.dll /e /d guestsd、禁止使用wscript.shell组件(同a的组件)wscript.shell可以调用系统内核运行dos基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。hkey_classes_rootwscript.shell及hkey_classes_rootwsc

35、ript.shell.1改名为其它的名字，如：改为wscript.shell_changename 或 wscript.shell.1_changename自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下hkey_classes_rootwscript.shellclsid项目的值hkey_classes_rootwscript.shell.1clsid项目的值也可以将其删除，来防止此类木马的危害。e、禁止使用shell.application组件(同a的组件)shell.application可以调用系统内核运行dos基本命令可以通过修改注册表，将此组件改名，来防止

36、此类木马的危害。hkey_classes_rootshell.application及hkey_classes_rootshell.application.1改名为其它的名字，如：改为shell.application_changename 或 shell.application.1_changename自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下hkey_classes_rootshell.applicationclsid项目的值hkey_classes_rootshell.applicationclsid项目的值也可以将其删除，来防止此类木马的危害。禁止gue

37、st用户使用shell32.dll来防止调用此组件。2003使用命令：cacls c:windowssystem32shell32.dll /e /d guestsf、调用cmd.exe禁用guests组用户调用cmd.exe2003使用命令：cacls c:windowssystem32cmd.exe /e guestsg、防御php木马攻击的技巧php本身再老版本有一些问题，比如在 php4.3.10和php5.0.3以前有一些比较严重的bug，所以推荐使用新版。另外，目前闹的轰轰烈烈的sql injection也是在php上有很多利用方式，所以要保证安全，php代码编写是一方面，php的

38、配置更是非常关键。我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行php能够更安全。整个php中的安全设置主要是为了防止phpshell和sql injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。(1) 打开php的安全模式php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，同时把很多文件操作函数进行了

39、权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，但是默认的php.ini是没有打开安全模式的，我们把它打开：safe_mode = on(2) 用户组安全当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同组的用户也能够对文件进行访问。建议设置为：safe_mode_gid = off如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要对文件进行操作的时候。(3) 安全模式下执行程序主目录如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：safe_mode_exec_

40、dir = d:/usr/bin一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，然后把需要执行的程序拷贝过去，比如：safe_mode_exec_dir = d:/tmp/cmd但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：safe_mode_exec_dir = d:/usr/www (4) 安全模式下包含文件如果要在安全模式下包含某些公共文件，那么就修改一下选项：safe_mode_include_dir = d:/usr/www/include/其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。(5) 控制ph

41、p脚本能访问的目录使用open_basedir选项能够控制php脚本只能访问指定的目录，这样能够避免php脚本访问不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：open_basedir = d:/usr/www(6) 关闭危险函数如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的phpinfo()等函数，那么我们就可以禁止它们：disable_functions = system,passthru,exec,shell

42、_exec,popen,phpinfo如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，就能够抵制大部分的phpshell了。(7) 关闭php版本信息在http头中的泄漏我们为

43、了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：expose_php = off比如黑客在 telnet 80 的时候，那么将无法看到php的信息。(8) 关闭注册全局变量在php中提交的变量，包括使用post或者get提交的变量，都将自动注册为全局变量，能够直接访问，这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：register_globals = off当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取get提交的变量var，那么就要用$_getvar来进行获取，这个php程序员

44、要注意。(9) 打开magic_quotes_gpc来防止sql注入sql注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。php.ini中有一个设置：magic_quotes_gpc = off这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 转为 等，这对防止sql注射有重大作用。所以我们推荐设置为：magic_quotes_gpc = on(10) 错误信息控制一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当前的路径信息或者查询的sql语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务

45、器建议禁止错误提示：display_errors = off如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：error_reporting = e_warning & e_error当然，我还是建议关闭错误提示。(11) 错误日志建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：log_errors = on同时也要设置错误日志存放的目录，建议根apache的日志存在一起：error_log = d:/usr/local/apache2/logs/php_error.log注意：给文件必须允许apache用户的和组具有写的

46、权限。mysql的降权运行新建立一个用户比如mysqlstartnet user mysqlstart fuckmicrosoft /add net localgroup users mysqlstart /del 不属于任何组如果mysql装在d:mysql ，那么，给 mysqlstart 完全控制 的权限然后在系统服务中设置，mysql的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。重新启动 mysql服务，然后mysql就运行在低权限下了。如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，这很恐怖，

47、这让人感觉很不爽.那我们就给apache降降权限吧。 net user apache fuckmicrosoft /add net localgroup users apache /del ok.我们建立了一个不属于任何组的用户apche。 我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，重启apache服务，ok，apache运行在低权限下了。 实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商

48、的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。 16.本地安全策略打开“本地安全策略”，推荐设置如下：密码策略设置为：(这个设置后,管理员密码是更改不到的.,要重新禁用 密码必须符合复杂性要求 才能更改)启用密码必须符合复杂性要求，设置密码最小长度值为8，密码最长驻留期30天，最短0天，强制保留密码历史为5个记住的密码。 帐户锁定策略设置为：复位帐户锁定计数器设置为30分钟之后，帐户锁定时间为30分钟，帐户锁定阈值为5次无效登陆。本地策略审核策略 审核策略更改成功失败审核登录事件成功失败审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件

49、成功失败 审核账户登录事件成功失败 审核账户管理成功失败本地策略用户权限分配 关闭系统：只有administrators组、其它全部删除。 通过终端服务拒绝登陆：加入guests、user组 通过终端服务允许登陆：只加入administrators组，其他全部删除本地策略安全选项 交互式登陆：不显示上次的用户名启用 网络访问：不允许sam帐户和共享的匿名枚举 启用 网络访问：不允许为网络身份验证储存凭证启用 网络访问：可匿名访问的共享全部删除 网络访问：可匿名访问的命名管道全部删除 网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 帐户：重命名来宾帐户

50、重命名一个帐户 帐户：重命名系统管理员帐户重命名一个帐户17. 禁用或删除掉guest帐号 (先设置好上面的安全策略才删除guest,如果先删guest是不能设置安全策略的), 推荐 禁用就行（手工或工具均可，推荐删除guest）。先在regedit下将administrator授权为完全控制.然后regedt32程序运行了 打开注册表程序，把 hkey_local_machinesamdomainsaccountusers下的两个相关键删掉。一个是000001f5，一个是names下的guest18.服务 禁用设置 必须禁用的服务：以下服务危险性较大，必须禁用先停止服务再将属性设置为已禁用。

51、 禁用alerter 禁用print spooler禁用remote registry服务说明：禁止远程连接注册表禁用task schedule服务说明：禁止自动运行程序禁用server服务说明：禁止默认共享 禁computer browser服务说明:禁止共享浏览, 对于服务器没用的,一般用来自动浏览局域网里的网络资源禁用telnet服务 说明：禁止telnet远程登陆禁用workstation服务 说明：防止一些漏洞和系统敏感信息获取 以下可选禁用或手动clipbook 不需要查看远程剪贴簿的剪贴页面fax service 不需要发送或接收传真indexing service不提供远程文件

52、索引和快速访问或者没有连上局域网internet connection sharing 不需要共享连接网络 ipsec policy agent如连接要windows域该服务需要开启messager 未连接到windows 2000的域并且不需要管理警报net logon 不需要让局域网的其他用户登陆netmeeting remote desktop sharing 不需要使用netmeeting远程管理计算机network dde 提高安全性network dde dsdm提高安全性tcp/ip netbios helper service 服务器不需要开启共享runas service 不

53、需要在某一用户态下用另外一用户执行程序wireless configuration 不需要无线网络qos rsvp 不需要使用依赖于qos的程序 remote access auto connection manager 不需要让程序读取网络信息时自动连接到网络routing and remote access 机器不做路由之用smart card 没有智能卡阅读器和智能卡 smart card helper 没有旧式智能卡阅读器和智能卡uninterruptible power supply没有使用ups或者ups不支持双向传输信号utility manager不从一个窗口中启动和配置辅助工具19.cmd命令的权限设置.都基本上关系到系统帐号提权的,然后去除部分危险命令的system权限以防止缓冲区溢出等安全问题引发的安全问题。首先可以将cacls设置