大家好，不多BB，开门见山。

操作系统： windows enterprise 2003

环境： iis asp php .net

一、系统的安装和基础配置。

1. 安装系统。【这个就不用说了吧】
2. 安装iis。
3. 分区，盘符。如图：
4. 

做下解释，为什么要这样化分盘符呢？说明如下：

1. 对于服务器而言要有备份盘吧。
2. Sys 代表系统盘。Web代表应用盘。Bak则为备份盘。盘符由自己定义。

二、系统远程的打开和端口修改。

操作如下:我的电脑-右键-属性-远程。

记得勾选，由于是服务器，因此远程必须打开。

 

B，远程端口的修改。两种办法：

第一种，手工修改：

Cmd，输入regedit 打开注册表。

进入如下位置：

找到portnumber 进行修改：

然后再进入，上边要选十进制，进驻不能选16进制。

 

找到portnumber 进行修改，两部缺一不可。如下：

端口由自己定义，这里的65321只是我随便想的一个端口，加完后记得在防火墙添加端口免得远程不能连接。

注意：做安全要养成良好习惯，胆大心细才能做好安全，做完每一步都记得想到防火墙。

然后重启机器，或者重启服务，在对服务不懂的情况下可以用端口修改工具进行修改，我这里已经有做好的工具，大家不要忘了添加防火墙允许远程端口，这个是重中之重。

三、系统更新方式的修改，由于服务器的原因不能随意打开自动更新，因此设置必要方式如下，有重要安全补丁可以打上。

四、多余协议的卸载。

 

远程连接，加上端口号，如下：

网上邻居-属性-本地连接-属性

 

卸载多余协议，只留下tcpip和qos数据包协议.

五、组策略的配置和管理员组的修改。

开始 –运行 –gpedit.msc  打开组策略管理器。

做如下密码策略。

审核策略做如下更改：

安全选项做如下修改，以下四项策略均清空。

管理员帐号的修改（这里把guest命名成administrator为了迷惑其他人员，管理员给成自己喜欢的即可）

配合更改管理员组。我的电脑-管理-本地用户和组-组，然后选中管理员组更改为sys_users 或者别的，guests组改成administrators ，原因同上。最好把描述也改了。

当然这个有点变态了，但安全，呵呵。做完这些以后重启计算机。

六、盘符权限的配置。

登录的时候记得用改过的管理员。Administrator现在是guest已经被停用了，哈哈

C d e 盘分别做如下配置

只保留管理员组和system的访问权限，当然管理员组换成管理员更变态，但那样如果做数据迁移不利于数据恢复，这里先这么做。

配置好的服务器最好做如下设置

以下为特殊文件夹权限，首先是C:\Documents and Settings  权限如下

只给管理员和system完全控制权限，是管理员不是管理员组，记住了。

C:\Documents and Settings\All Users 权限如下

同上。这样做即使被添加管理员，远程登录也会出现无法加载配置界面卡到登录界面不能登录。

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index 这个目录要特别注意，经常被用作提权目录，因为这个目录经常有everyone可读可写可执行权限，记得仔细检查 权限同上。

对他进行权限配置C:\Documents and Settings\All Users\Application Data，子目录继承。

C:\Inetpub 权限如下：

C:\wmpub 权限如下：

C：\Windows  目录比较特殊 不能随便更改权限 更不能像上边那样，否则会导致无法启动windows，因此用到cmd，阻止权限继承。如下去掉他的users可读权限。

可以看到windows 已经没有users权限了，这样许多shell 无法读取windows目录了。

C:\WINDOWS\temp目录更特殊，经常被用来提权，所以一定得小心配置。权限如下

Users高级权限去掉上面两个框和下面两个框 中间去掉删除子文件夹和文件即可，其他不变。

C:\Program Files 这个权限同上

值得注意的是这个底下有个目录必须给users可读可执行权限，一定得记住否则会导致windows无法启动

对没错就是C:\Program Files\Common Files，切记。

C:\WINDOWS\system32\inetsrv\ASP Compiled Templates 这个目录值得注意，他有iis_wpg的完全控制权限，而iis的进程执行用户是network serives 也是属于这个组的所以一定要去掉执行权限，免得被提权 ，iis_wpg 高级权限如下：

同上，去掉上边两个下边两个中间一个

这样基本目录就已经完了，当然如果服务器在idc托管记得查看以上我提到的重要目录的目录和子目录，经常有everyone完全控制权限，记得照着更改。好了，至此第一部分，系统的安装和基础配置已经结束了，如果有疑问，可以qq我，这些东西务必反复练习，在不熟悉的情况下用虚拟机操作，免得破坏服务器，还有基础配置尽量在服务器未进入机房之前操作，操作完重启测试。谢谢大家。