一（yī）、係統（tǒng）的安裝（zhuāng）　　

１、按照Windows2003安裝光盤的提示安裝（zhuāng），默認情況（kuàng）下2003沒有把IIS6.0安裝在（zài）係統裏麵。
２、IIS6.0的安（ān）裝
　　開始菜單—>控製麵板—>添加（jiā）或刪除程序—>添加（jiā）/刪除（chú）Windows組件
　　應用程序 ———ASP.NET（可選）
　　　　　　　|——啟用網絡 COM+ 訪問（必選）
　　　　　　　|——Internet 信息服務(IIS)———Internet 信息服務管理器（必選）　
　　　　　　　　　　　　　　　　　　　|——公用文件（jiàn）（必選）
　　　　　　　　　　　　　　　　　　　|——萬維網服務———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　|——Internet 數據連接器（可選） 
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——萬（wàn）維網服務（必選（xuǎn））
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服務器端的包含文件（可選）
　　然後點擊確（què）定—>下一步安裝。（具體見本文附件1）

３、係統補丁的更新
　　點擊開始菜單—>所有程（chéng）序—>Windows Update
　　按照提示進行補丁的安裝。

４、備份係統（tǒng）
　　用GHOST備份係統。

５、安裝常用的軟（ruǎn）件
　　例如：殺（shā）毒軟件、解壓（yā）縮軟件等；安裝完畢後,配置殺毒軟件,掃描係統漏洞,安（ān）裝之後用GHOST再次備份係統。

6、先（xiān）關閉不需要的端口 開啟防火牆 導入（rù）IPSEC策略
在”網（wǎng）絡連接”裏，把不需要的協議和服務都刪掉，這裏隻安裝（zhuāng）了基本的Internet協議（TCP/IP），由於（yú）要控製帶（dài）寬流量服務，額外安裝了Qos數據包計劃（huá）程序。在高級tcp/ip設置裏--"NetBioses"設置"禁用tcp/IP上的NetBioses（S）"。在高級選項裏，使用"Internet連接防火牆"，這是（shì）windows 2003 自（zì）帶（dài）的防火牆，在2000係（xì）統裏沒有的功能，雖然沒什麽功能（néng），但可以屏蔽端口，這樣已經基本達到了一個IPSec的功（gōng）能。

修改3389遠程連接端口
修改注冊表. 
開始--運行--regedit 
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ 
TERMINAL SERVER/WDS/RDPWD/TDS/TCP 
右邊鍵值中 PortNumber 改為你（nǐ）想用的端口號.注意使用十進製(例 10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ 
WINSTATIONS/RDP-TCP/ 
右邊（biān）鍵值中 PortNumber 改為（wéi）你想用的端（duān）口號.注意使用十進製(例 10000 ) 
注意：別忘了在WINDOWS2003自帶（dài）的防火牆給+上10000端口
修改完畢.重新啟動服（fú）務器.設（shè）置生（shēng）效.

二、用戶安全設置 
1、禁用Guest賬號 
在計算機管理的用戶（hù）裏麵把Guest賬號禁用。為（wéi）了保險起見，最好給Guest加一個（gè）複雜的密碼。你可以打開記事本，在裏麵輸入一串包含特殊字符、數字（zì）、字母的長（zhǎng）字符串，然後把它作為（wéi）Guest用戶的（de）密（mì）碼拷進去。 
2、限製（zhì）不必要的用（yòng）戶 
去掉所有的Duplicate User用戶、測試用戶、共享用戶等等（děng）。用戶組（zǔ）策（cè）略設置（zhì）相（xiàng）應權限，並且經常檢查係統的用戶，刪除已經不再使用的用戶。這些用戶很多時候都是黑客（kè）們入侵係統的突破口。 
3、把係統Administrator賬號改名 
大家（jiā）都知道，Windows 2003 的Administrator用戶是不能被停用的，這意味著（zhe）別人可以一遍又一遍地嚐試這個用戶（hù）的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。 
4、創建一個陷阱用戶 
什麽是陷阱用戶?即創建一個（gè）名為“Administrator”的本地（dì）用戶，把它的權限（xiàn）設置成最（zuì）低，什麽事也（yě）幹不了的那種，並且加上一個超過10位的（de）超級（jí）複雜密碼（mǎ）。這樣可（kě）以讓那些（xiē） Hacker們忙上一段（duàn）時間（jiān），借此發現它（tā）們的入侵（qīn）企圖。 
5、把共（gòng）享文（wén）件（jiàn）的權限從Everyone組改成授權用戶 
任何時候都不要把（bǎ）共（gòng）享文件的用戶（hù）設置成“Everyone”組，包括打印共享，默認的屬（shǔ）性就是“Everyone”組的，一定不（bú）要忘了改（gǎi）。 
6、開啟用戶（hù）策略 
使用（yòng）用戶策略，分別設置複位用戶鎖定計數器時間為20分鍾，用戶鎖定時間為20分鍾，用戶鎖定閾值為3次。 （該項為可選）
7、不讓係統顯示（shì）上次登錄的用戶名 
默認情（qíng）況下，登錄對話框中會顯示上次登錄的（de）用戶名。這使得別人可以很容易地（dì）得到係統的一（yī）些用（yòng）戶名，進而做密碼猜測。修改注冊表可以不讓對話框裏顯示上次登錄的用戶名。方法為：打開注冊表編（biān）輯器（qì）並找到注冊表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的鍵值改成1。 
密碼安全設置 
1、使用安全密碼 
一（yī）些公司的管理員創建賬號的時候往往用公司名、計（jì）算機名做用戶（hù）名，然後又把這些（xiē）用戶的密碼設置得太簡單，比如“welcome”等等。因此（cǐ），要注意（yì）密碼的（de）複雜性，還要記住經常改密碼。 
2、設置屏幕保護密碼 
這（zhè）是一個很簡單也很有必要的操作。設置屏幕保護（hù）密碼也是防止內部（bù）人員破壞服（fú）務器的一個屏障。 
3、開啟密碼策略 
注意應用密碼策（cè）略，如啟用密碼複雜性要（yào）求，設置密碼長度最小值為6位 ，設置強製密碼曆史為5次，時間為（wéi）42天。 
4、考慮使用智能卡（kǎ）來代替密碼 
對於密碼，總是使安全管理員進退兩難，密碼設置簡單容（róng）易受到黑客的攻擊，密碼設置複雜又容易忘記。如果（guǒ）條件允許，用智能卡來代（dài）替複雜的密（mì）碼是一（yī）個很好的解決方法。
三、係統權限的設置
１、磁（cí）盤權限
　　係統盤及（jí）所有（yǒu）磁盤（pán）隻給（gěi） Administrators 組和 SYSTEM 的完全控製權限
　　係統盤\Documents and Settings 目錄（lù）隻給 Administrators 組和 SYSTEM 的完全控製權限
　　係統盤\Documents and Settings\All Users 目錄隻給 Administrators 組和 SYSTEM 的完全（quán）控製權限
　　係統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、       netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件隻給 Administrators 組和SYSTEM 的（de）完全  控製權（quán）限  
另將\System32\cmd.exe、format.com、ftp.exe轉移到其他目錄或更名 
　　Documents and Settings下所有（yǒu）些目錄都設置隻給adinistrators權限。並且要一個一個目錄查（chá）看（kàn），包括下麵的所有子目錄。
刪（shān）除（chú）c:\inetpub目錄

２、本地（dì）安全策（cè）略設（shè）置
　　開始菜單—>管理（lǐ）工具—>本地安全（quán）策略
　　A、本地策略——>審（shěn）核策略 
　　審核策略更改　　　成功　失敗　　
　　審核登錄（lù）事件　　　成功　失敗
　　審核對象訪問　　　　　　失敗
　　審（shěn）核過程跟蹤　　　無審核
　　審核目錄服（fú）務訪問　　　　失敗
　　審核特權使用　　　　　　失敗
　　審核係統事件　　　成功　失敗
　　審核賬戶登錄（lù）事件　成（chéng）功　失敗
　　審核賬戶管（guǎn）理　　　成功　失敗

　　B、本地策略——>用戶權限分配
　　關閉（bì）係統：隻有Administrators組、其它全部刪除。 
　　通過終端服務允許登陸：隻（zhī）加入Administrators,Remote Desktop Users組，其他全部刪除

　　C、本地策略——>安（ān）全選項
　　交互（hù）式登陸：不顯示上（shàng）次的用戶名　　　　　　　啟（qǐ）用
　　網絡訪問：不允許SAM帳戶和共享的匿名枚舉　 啟用
　　網絡訪問：不允許為網絡身份（fèn）驗證儲存憑證　　　啟用
　　網絡訪問：可匿名訪問（wèn）的共享　　　　　　　　　全部刪除
　　網絡訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網絡訪問：可遠程訪問的注冊表路徑　　　　　　全部刪除 
　　網絡（luò）訪（fǎng）問：可遠程訪問的注（zhù）冊表路徑和子（zǐ）路徑　　全部刪除 
　　帳戶：重命名來賓帳戶　　　　　　　　　　　　重命名一個帳戶 
　　帳（zhàng）戶：重命名係統管理員（yuán）帳戶　　　　　　　　　重命名一個帳戶

３、禁用不必（bì）要的服務  開始（shǐ）-運行-services.msc
      TCP/IPNetBioses Helper提（tí）供 TCP/IP 服務上的 NetBioses 和網絡上客戶端的（de） NetBioses 名稱解析的支持而使用戶能夠共享
      文件、打印和登錄到網絡
      Server支持（chí）此計算機通過（guò）網絡（luò）的（de）文件、打印、和命名管道共享
　　Computer Browser 維護網絡上計（jì）算機的最新列表以及提供（gòng）這個列表 
      Task scheduler 允許程序在指定時間運行 
      Messenger 傳輸客戶端和服務器之間的（de） NET SEND 和 警報器服務消息 
　　Distributed File System: 局域網管理共享文（wén）件，不需要可禁用 
　　Distributed linktracking client：用於局域網（wǎng）更新連接信息，不需要可禁用 
　　Error reporting service：禁止發送錯誤報（bào）告