一、先關閉不需要的端口

只開了3389 21 80 1433 3306

修改3389端口：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp]

"PortNumber"=dword:00002683

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/wds/rdpwd/tds/tcp]

"PortNumber"=dword:00002683

二、關閉不需要的服務 打開相應的審核策略

Computer Browser 維護網絡上計算機的最新列表以及提供這個列表

Task scheduler 允許程序在指定時間運行

Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務

Removable storage 管理可移動媒體、驅動程序和庫

Remote Registry Service 允許遠程注冊表操作

Print Spooler 將文件加載到內存中以便以后打印。要用打印機的朋友不能禁用這項

IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE）和IP安全驅動程序

Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知

Com+ Event System 提供事件的自動發布到訂閱COM組件

Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序

Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息

Telnet 允許遠程用戶登錄到此計算機并運行程序

在"網絡連接"里，把不需要的協議和服務都刪掉，這里只安裝了基本的Internet協議（TCP/IP），由于要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS（S）"。在高級選項里，使用"Internet連接防火墻"，這是windows 2003 自帶的防火墻，在2000系統里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經基本達到了一個IPSec的功能。

三、權限設置

C盤只給administrators 和system權限，其他的權限不給，其他的盤也可以這樣設置，這里給的system權限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。

先給C:/Windows/目錄加上IIS_WPG用戶組的默認權限

然后再去分別給個別目錄加 先去C:/Program Files/Common Files/上Guests默認權限

然后再去 C:/WINNT/Temp 加上Guests的讀寫兩個權限 其他的去小

然后就是C:/WINDOWS/system32目錄里的了

最后還要C:/WINNT/system32/inetsrv目錄要加上Guests默認權限

這下就好了 我用ASP馬試了一下 權限加好了 沒問題

要是想開WEB的話 就給WEB所在目錄加上 administrator（組或用戶）和SYSTEM所有權限和新建立的 Guest組用戶 這個用戶只給 讀寫權限就可以了。
(責任編輯：武林網)