說明：僅針對windows server 2003 SP1 Internet(IIS) 服務器
系統安裝在C:\盤
系統用戶情況為：
administrators 超級管理員(組)
system 系統用戶(內置安全主體)
guests 來賓帳號(組)
iusr_服務器名 匿名訪問web用戶
iwam_服務器名 啟動iis進程用戶
www_cnnsc_org 自己添加的用戶、添加后刪除Users(組)、刪除后添加到guests來賓帳號(組)
為加強系統安全、(guest)用戶及(iusr_服務器名)用戶均被禁用
將訪問web目錄的全部賬戶設為guests組、去除其他的組

■盤符 安全訪問權限
△C:\盤 administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限
△D:\盤 (如果用戶網站內容放置在這個分區中)、administrators(組) 完全控制權限
△E:\盤 administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限
△f:\盤 administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限
△如有其他盤符類推下去.

■目錄安全訪問權限
▲c:\windows\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限

▲c:\windows\system32\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限、iwam_服務器名(用戶) 讀取+運行權限

▲c:\windows\temp\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限、guests(組) 完全控制權限

▲C:\WINDOWS\system32\config\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限

▲c:\Program Files\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限

▲C:\Program Files\Common Files\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限、guests(組) 讀取+運行權限

▲c:\Documents and Settings\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限

▲C:\Documents and Settings\All Users\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限

▲C:\Documents and Settings\All Users\Application Data\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限

▲C:\Documents and Settings\All Users\Application Data\Microsoft\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限

▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\
△administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限

■禁止系統盤下的EXE文件：
net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe
△些文件都設置成 administrators 完全控制權限

■新建WWW(網站)根目錄【administrators(組) 完全控制權限、system(內置安全主體) 完全控制權限】
▲根目錄里新建wwwroot目錄
▲網站根目錄、網頁請上傳到這個目錄
△administrators(組) 完全控制權限
△www_cnnsc_org(用戶)完全控制權限

▲根目錄里新建logfiles目錄
▲網站訪問日志文件、本目錄不占用您的空間
△administrators(組) 完全控制權限

▲根目錄里新建database目錄
▲數據庫目錄、用來存放ACCESS數據庫
△administrators(組) 完全控制權限

▲根目錄里新建others目錄
▲用于存放您的其它文件、該類文件不會出現在網站上
△administrators(組) 完全控制權限
△www_cnnsc_org(用戶)完全控制權限

▲在FTP(登陸消息文件里填)IIS日志說明：
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
歡迎您使用本虛擬主機.
請使用CUTEFTP或者LEAFTP等軟件上傳您的網頁.
注意、如果上傳不了、請把FTP軟件的PASV模式關掉再試.

您登陸進去的根目錄為FTP根目錄
\--wwwroot網站根目錄、網頁請上傳到這個目錄.
\--logfiles 網站訪問日志文件、本目錄不占用您的空間.
\--database 數據庫目錄、用來存放ACCESS數據庫.
\--others 用于存放您的其它文件，該類文件不會出現在網站上.
為了保證服務器高速穩定運行、請勿上傳江湖游戲、廣告交換、
博彩類網站、大型論壇、軟件下載等耗費系統資源的程序.

IIS日志說明
\--Date 動作發生時的日期
\--Time 動作發生時的時間
\--s-sitename 客戶所訪問的Internet服務于以及實例號
\--s-computername 產生日志條目的服務器的名字
\--s-ip 產生日志條目的服務器的IP地址
\--cs-method客戶端企圖執行的動作(例如GET方法)
\--cs-uri-stem被訪問的資源、例如Default.asp
\--cs-uri-query 客戶所執行的查詢
\--s-port 客戶端連接的端口號
\--cs-username通過身份驗證訪問服務器的用戶名、不包括匿名用戶
\--c-ip 訪問服務器的客戶端IP地址
\--cs(User-Agent) 客戶所用的瀏覽器
\--sc-status用HTTP或者FTP術語所描述的動作狀態
\--sc-win32-status用Microsoft Windows的術語所描述的動作狀態
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

■禁止下載Access數據庫
△Internet 信息服務(IIS)管理器→網站→屬性→主目錄→配置→添加
△可執行文件：C:\WINDOWS\twain_32.dll
△擴展名：.mdb
▲如果你還想禁止下載其它的東東
△Internet 信息服務(IIS)管理器→網站→屬性→主目錄→配置→添加
△可執行文件：C:\WINDOWS\twain_32.dll
△擴展名：.(改成你要禁止的文件名)
▲然后刪除擴展名：shtml stm shtm cdx idc cer

■防止列出用戶組和系統進程:
△開始→程序→管理工具→服務
△找到 Workstation 停止它、禁用它

■卸載最不安全的組件：
△開始→運行→cmd→回車鍵
▲cmd里輸入：
△regsvr32/u C:\WINDOWS\system32\wshom.ocx
△del C:\WINDOWS\system32\wshom.ocx
△regsvr32/u C:\WINDOWS\system32\shell32.dll
△del C:\WINDOWS\system32\shell32.dll
△也可以設置為禁止guests用戶組訪問

■解除FSO上傳程序小于200k限制：
△在服務里關閉IIS admin service服務
△打開 C:\WINDOWS\system32\inetsrv\MetaBase.xml
△找到ASPMaxRequestEntityAllowed
△將其修改為需要的值、默認為204800、即200K、把它修改為51200000(50M)、然后重啟
IIS admin service服務

■禁用IPC連接
△開始→運行→regedit
△找到如下組建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa)中的
(restrictanonymous)子鍵
△將其值改為1即

■清空遠程可訪問的注冊表路徑：
△開始→運行→gpedit.msc
△依次展開“計算機配置→Windows 設置→安全設置→本地策略→安全選項”
△在右側窗口中找到“網絡訪問：可遠程訪問的注冊表路徑”
△然后在打開的窗口中、將可遠程訪問的注冊表路徑和子路徑內容全部設置為空即

■關閉不必要的服務
△開始→程序→管理工具→服務
△Telnet、TCP\IP NetBIOS Helper

■解決終端服務許可證過期的辦法
△如果你服務器上已經開著終端服務、那就在添加刪除程序里刪除終端服務和終端授權
服務
△我的電腦--右鍵屬性--遠程---遠程桌面、打勾、應用
△重啟服務器、OK了、再也不會提示過期了

■取消關機原因提示
△開始→運行→gpedit.msc
△打開組策略編輯器、依次展開
△計算機配置→管理模板→系統
△雙擊右側窗口出現的(顯示“關閉事件跟蹤程序”)
△將(未配置)改為(已禁用)即可

本文來自CSDN博客，轉載請標明出處：file:///C:/Documents%20and%20Settings/Administrator/桌面/安全設置/windows%20server%202003%20IIS權限設置%20-%20hlzhs的專欄%20-%20CSDN博客.htm