在上一篇“实战windows server 2008 企业版WEB 服务器环境的配置”中简要的讲了一下关于WIN2008 系统的安装、IIS7 的安装配置及PHP5、MYSQL5 等的安装配置。那这一节主要来阐述一下关于windows server 2008 WEB 服务器的安装设置。
转贴自：http://www.tomatoll.com/thread-24396-1-1.html

      以下配置仅供参考，如有问题，欢迎大家指正。将服务器上所有的磁盘格式化为 NTFS。在CMD 下敲命令：convert c:/fs:ntfs 将C 盘转为NTFS 格式。其他盘类推。
             1：所有盘根目录只给system 和administrators 的权限，其余全部删除
             2：设置win2k8 的屏幕保护，并选择在“恢复时显示登陆屏幕”
             3：关闭光盘和磁盘的自动播放功能，在“控制面板”中双击“自动播放”，在弹出框中取消“为所有媒体和设备使用自动播放”的选择，点保存。
             4：删除系统默认共享，不明白徽软为什么还要在win2008 中默认开启它们？可以使用 net share 命令查看。这些默认共享全部删除。
                           net share c$ /del
                           net share d$ /del
                           net share e$ /del
                           net share f$ /del
                           net share ipc$ /del
                           net share admin$ /del
                   也可以在“服务”中直接禁用“server”服务。
              5：重命名帐户Administrator 和Guest。禁用Guest 账号，并加一个超级复杂的密码，密码可以是复制一段文本进去。禁用SQLDebugger 帐号。

                   重命名管理员用户组Administrators
              6：创建一个陷阱用户即创建一个名为“Administrator”的本地用户，把它的权限降最低，并且加上一个超过16 位的超级复杂密码。这样，可以让哪些HACKER 忙一段时间了。
              7：本地安全策略设置开始菜单—>管理工具—>本地安全策略
                  一、本地策略——>审核策略
                                                审核策略更改 成功 失败
                                                审核登录事件 成功 失败
                                                审核对象访问 失败
                                                审核过程跟踪 无审核
                                                审核目录服务访问 失败
                                                审核特权使用 失败
                                                审核系统事件 成功 失败
                                                审核账户登录事件 成功 失败
                                                审核账户管理 成功 失败
                  二、本地策略——>用户权限分配关闭系统：只有Administrators 组、其它的全部删除。通过终端服务允许登陆：只加入Administrators,Remote Desktop Users 组，

                         其他全部删除在组策略中，计算机配置 > 管理模板 > 系统显示“关闭事件跟踪程序”更改为已禁用
                  三、本地策略——>安全选项交互式登陆：不显示最后的用户名 启用
网络访问：不允许SAM 帐户和共享的匿名枚举 启用
                                                                 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用
                                                                 网络访问：可匿名访问的共享 全部删除
                                                                 网络访问：可匿名访问的命名管道 全部删除
                                                                 网络访问：可远程访问的注册表路径 全部删除
                                                                 网络访问：可远程访问的注册表路径和子路径 全部删除
              9：禁止dump file 的产生系统属性>高级>启动和故障恢复把写入调试信息 改成“无”。
            10：禁用不必要的服务。控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。
                                   TCP/IP NetBIOS Helper

                                   Server
                                   Distributed Link

                                   Tracking Client
                                   Microsoft Search
                                   Print Spooler
                                   Remote Registry
                                   Workstation
            11：只开启需要用的端口，关闭不必要的，以减少攻击面。
                                   80：IIS7
                                   21：FTP
                                   3389：远程
                                   3306：Mysql
                                   1433：Mssql
                     以上是我常用的端口，用不到的端口一律不要开启。
            12：下列系统程序都只给管理员权限，别的全部删除。
                                   arp.exe
                                   attrib.exe
                                   cmd.exe
                                   format.com
ftp.exe
                                   tftp.exe
                                   net.exe
                                   net1.exe
                                   netstat.exe
                                   ping.exe
                                   regedit.exe
                                   regsvr32.exe
                                   telnet.exe
                                   xcopy.exe
                                   at.exe
                      所有的*.cpl 和*.msc 文件也只给管理员权限。
            13：打开Windows 高级防火墙。设置一些规则，具体的规则我们在以后专门的防火墙设置里讲一下。
            14：站点属性设置：删除 C:\ inetpub 目录更改站点路径，最好和系统盘分开。在安装IIS7 时，目录浏览功能不用安装，因为此功能容易爆路径。

                   安装角色时，以最小化角色运行服务器，即只安装你要用到的角色功能，如果你的服务器没有ASP 的站点，那ASP 角色就不需要安装，这样可以减少受攻击的面。

                   一般给站点目录权限为：
                              System 完全控制
                              Administrator 完全控制
                              Users 读
                              IIS_Iusrs 读、写
                   在 IIS7 中删除不常用的映射
            15：安装一款杀毒软件，推荐Mcafee，再配合Windows 防火墙，它们俩应该是一个不错的组合。应该是 windows 2008 里面的黄金搭挡了。
            16：经常关注徽软补丁更新情况，一些高危补丁要及时更新。通过以上配置，服务器安全性比原来默认又提升了一级。好了，这节就写到这里了。