2003服务器软件怎么设置

㈠ Windows2003服务器系统，安装软件设置

软件不兼容的情况好像多点~~因为03企业版是企业服务器用的系统~~你家用的话好多东西都不兼容的~~~下软件的时候看好软件兼容的系统版本就可以了~~~游戏你想都不要想了~~~CS都打不了~~~~如果有什么不懂得话给我留言吧~~~

㈡ 如何在 Windows Server 2003 中设置 ftp 服务器

FTP服务器，是在互联网上提供存储空间的计算机，它们依照FTP协议提供服务。 FTP的全称是File Transfer Protocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。简单地说，支持FTP协议的服务器就是FTP服务器。
一、确认是否安装FTP服务
1.确认是否已经安装FTP服务，有些操作系统是默认安装了，我们这里还是确认一下！
开始--控制面板--添加或删除程序--添加/删除 windows组件。
2.双击应用程序服务器--internet信息服务--文件传输协议ftp服务。
二、FTP站点设置
1.确认完已经安装FTP服务后，要对FTP站点进行设置！
开始--管理工具--internet信息服务管理器
2.internet信息服务--本地计算机--ftp站点--默认站点--属性（修改配置）
3.设置相关信息
FTP站点标识：添加该FTP的描述，IP地址（一般是内网地址），TCP端口（默认为21端口，也可以设置为其他端口）
FTP站点连接：根据具体情况设置
4.安全账户
保险的做法是 不允许匿名登录，吧钩去掉
后面我们会添加一个用户，并且赋予权限
5.主目录
可以设置时当前计算机目录或者是另一台计算机目录（映射）
FTP站点目录：浏览定位FTP文件所在站点，给予是否可以进行的操作（读，写，查）
三、添加用户
1.开始--控制工具--计算机管理
2.系统工具---本地用户和组--用户--右键 新用户
3.创建一个新用户
按照要求设置即可，记住用户名和密码，下面要用
点击创建后，关闭对话框
四、给新添加的用户设置权限
1.打开FTP站点--右键权限
2.把刚刚添加的用户，写到下面的对话框，点击确定
3.设置权限
4.为了保险起见，FTP站点重启一下！

㈢ 关于2003服务器的安全设置

windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法来提高我们服务器的安全性。

第一招：正确划分文件系统格式，选择稳定的操作系统安装盘

为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版，这个一个完全破解了的版本，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。

第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点：

1、系统盘权限设置

C:分区部分：

c:\

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER 全部(只有子文件来及文件)

system 全部(该文件夹，子文件夹及文件)

IIS_WPG 创建文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹，子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:\Documents and Settings

administrators 全部(该文件夹，子文件夹及文件)

Power Users (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹，子文件夹及文件)

C:\Program Files

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER全部(只有子文件来及文件)

IIS_WPG (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹，子文件夹及文件)

修改权限

SYSTEM全部(该文件夹，子文件夹及文件)

TERMINAL SERVER USER (该文件夹，子文件夹及文件)

修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理

E:\

Administrators全部(该文件夹，子文件夹及文件)

E:\wwwsite

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

service全部(该文件夹，子文件夹及文件)

E:\wwwsite\vhost1

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

vhost1全部(该文件夹，子文件夹及文件)

3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限

比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述

第三招：禁用不必要的服务，提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

第四招:修改注册表，让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

2、启动系统自带的Internet连接_blank">防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

10. 删除默认共享
有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

2. 账户安全
首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户，看你崩溃不？

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">这样，出错了自动转到首页

4. 安全日志

我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查兇手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义

5. 运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些着名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙

6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置，更改默认端口，和管理密码

7.设置ip筛选、用blackice禁止木马常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值.

打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".

启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.

右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".

当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".

如果系统提示"拒绝访问数据库",不管他.

你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.

㈣ 如何手动安全设置windows2003服务器

你是要的安全,以高安全性为目标,那使用起来有时会麻烦哦

1． 用户口令设置

设置一个键的密码，在很大程度上可以避免口令攻击。密码设置的字符长度应当在8个以上，最好是字母、数字、特殊字符的组合，如“psp53,@pq”、“skdfksadf10@”等，可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。

2． 删除默认共享

单击“开始→运行”，输入“gpedit.msc”后回车，打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”，双击登录项，然后添加“delshare.bat”（参数不需要添加），从而删除Windows 2003默认的共享。

接下来再禁用IPC连接：打开注册表编辑器，依次展开[HKEY_

LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支，在右侧窗口中找到“restrictanonymous”子键，将其值改为“1”即可。

3． 关闭自动播放功能

自动播放功能不仅对光驱起作用，而且对其它驱动器也起作用，这样很容易被黑客利用来执行黑客程序。

打开组策略编辑器，依次展开“计算机配置→管理模板→系统”，在右侧窗口中找到“关闭自动播放”选项并双击，在打开的对话框中选择“已启用”，然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”，按“确定”即可生效。

4． 清空远程可访问的注册表路径

将远程可访问的注册表路径设置为空，这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息

打开组策略编辑器，依次展开“计算机配置→Windows 设置→安全设置→安全选项”，在右侧窗口中找到“网络 访问：可远程访问的注册表路径”，然后在打开的如图所的窗口中，将可远程访问的注册表路径和子路径内容全部删除

------------------------------------------
另外:

windows2003 硬盘安全设置
1、系统盘权限设置
C:分区部分：
c:administrators 全部(该文件夹，子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹，子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹，子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限

c:\Documents and Settings
administrators 全部(该文件夹，子文件夹及文件)
Power Users (该文件夹，子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹，子文件夹及文件)

C:\Program Files
administrators 全部(该文件夹，子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹，子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹，子文件夹及文件)
修改权限
SYSTEM全部(该文件夹，子文件夹及文件)
TERMINAL SERVER USER (该文件夹，子文件夹及文件)
修改权限

2、网站及虚拟机权限设置(比如网站在E盘)
说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建

了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组

，把所有的vhost用户全部加入这个webuser组里面方便管理
E:\
Administrators全部(该文件夹，子文件夹及文件)
E:\wwwsite

Administrators全部(该文件夹，子文件夹及文件)
system全部(该文件夹，子文件夹及文件)
service全部(该文件夹，子文件夹及文件)

E:\wwwsite\vhost1
Administrators全部(该文件夹，子文件夹及文件)
system全部(该文件夹，子文件夹及文件)
vhost1全部(该文件夹，子文件夹及文件)

3、数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限
比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置
请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com

㈤ 有高手么怎么用WIN2003设置虚拟服务器啊

Windows Server 2003 系统配置方案

由于近短ASP木马问题严重/很多主机租用朋友和主机管理员想我询问WIN2003的一些安全配置措施，现我做拉初步整理。希望对大家有所帮助。有不足之处请大家补上。

一、系统的安装

1、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

2、IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET（可选）
|——启用网络 COM+ 访问（必选）
|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）
|——公用文件（必选）
|——万维网服务———Active Server pages（必选）
|——Internet 数据连接器（可选）
|——WebDAV 发布（可选）
|——万维网服务（必选）
|——在服务器端的包含文件（可选）
然后点击确定—>下一步安装。

3、系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。

4、备份系统
用GHOST备份系统。

5、安装常用的软件
例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。

二、系统权限的设置
1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

2、本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败

B、本地策略——>用户权限分配
关闭系统：只有Administrators组、其它全部删除。
通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除

C、本地策略——>安全选项
交互式登陆：不显示上次的用户名 启用
网络访问：不允许SAM帐户和共享的匿名枚举 启用
网络访问：不允许为网络身份验证储存凭证 启用
网络访问：可匿名访问的共享 全部删除
网络访问：可匿名访问的命 全部删除
网络访问：可远程访问的注册表路径 全部删除
网络访问：可远程访问的注册表路径和子路径 全部删除
帐户：重命名来宾帐户 重命名一个帐户
帐户：重命名系统管理员帐户 重命名一个帐户

3、禁用不必要的服务
开始菜单—>管理工具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

4、启用防火墙
桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>（选中）Internet 连接防火墙—>设置
把服务器上面要用到的服务端口选中
例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）
在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号
如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。
然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。
ASP虚拟主机安全检测探针V1.5

㈥ windows 2003服务器各种服务如何设置

第一步：
一、先关闭不需要的端口
我比较小心，先关了端口。只开了3389 21 80 1433（MYSQL）有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改

了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口， 直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效!
还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，表怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在\\system32\\drivers\\etc\\services中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。
二、关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。
在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
三、磁盘权限设置
1.系统盘权限设置
C:分区部分：
c:\
administrators 全部（该文件夹，子文件夹及文件）
CREATOR OWNER 全部（只有子文件来及文件）
system 全部（该文件夹，子文件夹及文件）
IIS_WPG 创建文件/写入数据（只有该文件夹）
IIS_WPG（该文件夹，子文件夹及文件）
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部（该文件夹，子文件夹及文件）
Power Users （该文件夹，子文件夹及文件）
读取和运行
列出文件夹目录
读取
SYSTEM全部（该文件夹，子文件夹及文件）
C:\Program Files
administrators 全部（该文件夹，子文件夹及文件）
CREATOR OWNER全部（只有子文件来及文件）
IIS_WPG （该文件夹，子文件夹及文件）
读取和运行
列出文件夹目录
读取
Power Users（该文件夹，子文件夹及文件）
修改权限
SYSTEM全部（该文件夹，子文件夹及文件）
TERMINAL SERVER USER （该文件夹，子文件夹及文件）
修改权限
2.网站及虚拟机权限设置（比如网站在E盘）
说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理。
E:\
Administrators全部（该文件夹，子文件夹及文件）
E:\wwwsite
Administrators全部（该文件夹，子文件夹及文件）
system全部（该文件夹，子文件夹及文件）
service全部（该文件夹，子文件夹及文件）
E:\wwwsite\vhost1
Administrators全部（该文件夹，子文件夹及文件）
system全部（该文件夹，子文件夹及文件）
vhost1全部（该文件夹，子文件夹及文件）
3.数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限。
4.其它地方的权限设置
请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限。
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述。
四、防火墙、杀毒软件的安装
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些着名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库，我们推荐mcafree杀毒软件+blackice防火墙
五、SQL2000 SERV-U FTP安全设置
SQL安全方面
1.System Administrators 角色最好不要超过两个
2.如果是在本机最好将身份验证配置为Win登陆
3.不要使用Sa账户，为其配置一个超级复杂的密码
4.删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径，删除
访问注册表的存储过程，删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程，不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5.隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口
serv-u的几点常规安全需要设置下:
选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。
六、IIS安全设置
IIS的相关设置：
删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c：inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C：WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件（如生成html的程序）不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步，更多的只能在方法用户从脚本提升权限：
ASP的安全设置：
http://www.knowsky.com/system.asp
设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：
regsvr32/u C：\WINNT\System32\wshom.ocx
del C：\WINNT\System32\wshom.ocx
regsvr32/u C：\WINNT\system32\shell32.dll
del C：\WINNT\system32\shell32.dll
即可将WScript.Shell， Shell.application， WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。
另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c：winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！
PHP的安全设置：
默认安装的php需要有以下几个注意的问题：
C：\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置：
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on，但需检查一遍]
open_basedir =web目录
disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的；]
MySQL安全设置：
如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：
删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表，取消不必要用户的shutdown_priv，relo
ad_priv，process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限（此目录存放了mysql数据库的数据信息）。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题：
安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围（4001—4003）在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in， home directory does not exist.比如在测试的时候ftp根目录为d：soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。
七、其它
1.隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0
2.启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器；
3.防止SYN洪水攻击：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为SynAttackProtect，值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300，000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值，名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为IGMPLevel 值为0
7.修改终端服务端口：
运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。
8.禁止IPC空连接：
cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9.更改TTL值：
cracker可以根据ping回的TTL值来大致判断你的操作系统，如：
TTL=107（WINNT）;
TTL=108（win2000）;
TTL=127或128（win9x）;
TTL=240或241（linux）;
TTL=252（solaris）;
TTL=240（Irix）;
实际上你可以自己更改的：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff（0-255 十进制，默认值128）改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。
10. 删除默认共享：
有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接：
默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
12.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
13. 账户安全
首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户，看你崩溃不？
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样，出错了自动转到首页。
15.本地安全策略和组策略的设置，如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值
打开 %SystemRoot%\Security文件夹，创建一个 "OldSecurity"子目录，将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名，如改为"Secedit.old"
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC"，启动管理控制台，"添加/删除管理单元"，将"安全配置和分析"管理单元添加上
右击"安全配置和分析"->"打开数据库"，浏览"C:\WINNT\security\Database"文件夹，输入文件名"secedit.sdb"，单击"打开"
当系统提示输入一个模板时，选择"Setup Security.inf"，单击"打开"，如果系统提示"拒绝访问数据库"，不管他，你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库，在"C:\WINNT\security"子文件夹下重新生成了log文件，安全数据库重建成功。
16.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

第二步：
尽管Windows 2003的功能在不断增强，但是由于先天性的原因，它还存在不少安全隐患，要是不将这些隐患“堵住”，可能会给整个系统带来不必要的麻烦；下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法，希望能对各位带来帮助！
堵住自动保存隐患

Windows 2003操作系统在调用应用程序出错时，系统中的Dr. Watson会自动将一些重要的调试信息保存起来，以便日后维护系统时查看，不过这些信息很有可能被黑客“瞄上”，一旦瞄上的话，各种重要的调试信息就会暴露无疑，为了堵住Dr. Watson自动保存调试信息的隐患，我们可以按如下步骤来实现：

1、打开开始菜单，选中“运行”命令，在随后打开的运行对话框中，输入注册表编辑命令“ergedit”命令，打开一个注册表编辑窗口；

2、在该窗口中，用鼠标依次展开HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在对应AeDebug键值的右边子窗口中，用鼠标双击Auto值，在弹出的参数设置窗口中，将其数值重新设置为“0”，

3、打开系统的Windows资源管理器窗口，并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹，最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。

完成上面的设置后，重新启动一下系统，就可以堵住自动保存隐患了。

堵住资源共享隐患

为了给局域网用户相互之间传输信息带来方便，Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能，不过我们在享受该功能带来便利的同时，共享功能也会“引狼入室”，“大度”地向黑客们敞开了不少漏洞，给服务器系统造成了很大的不安全性；所以，在用完文件或打印共享功能时，大家千万要随时将功能关闭哟，以便堵住资源共享隐患，下面就是关闭共享功能的具体步骤：

1、执行控制面板菜单项下面的“网络连接”命令，在随后出现的窗口中，用鼠标右键单击一下“本地连接”图标；

2、在打开的快捷菜单中，单击“属性”命令，这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框；

3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项；

4、如此一来，本地计算机就没有办法对外提供文件与打印共享服务了，这样黑客自然也就少了攻击系统的“通道”。

堵住远程访问隐患

在Windows2003系统下，要进行远程网络访问连接时，该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码，通过普通明文内容方式传输给对应连接端的客户端程序；在明文帐号传输过程中，实现“安插”在网络通道上的各种嗅探工具，会自动进入“嗅探”状态，这个明文帐号就很容易被“俘虏”了；明文帐号内容一旦被黑客或其他攻击者另谋他用的话，呵呵，小心自己的系统被“疯狂”攻击吧！为了杜绝这种安全隐患，我们可以按下面的方法来为系统“加固”：

1、点击系统桌面上的“开始”按钮，打开开始菜单；

2、从中执行控制面板命令，从弹出的下拉菜单中，选中“系统”命令，打开一个系统属性设置界面；

3、在该界面中，用鼠标单击“远程”标签；

4、在随后出现的标签页面中，将“允许用户远程连接到这台计算机”选项取消掉，这样就可以将远程访问连接功能屏蔽掉，从而堵住远程访问隐患了。

堵住用户切换隐患

Windows 2003系统为我们提供了快速用户切换功能，利用该功能我们可以很轻松地登录到系统中；不过在享受这种轻松时，系统也存在安装隐患，例如我们要是执行系统“开始”菜单中的“注销”命令来，快速“切换用户”时，再用传统的方式来登录系统的话，系统很有可能会本次登录，错误地当作是对计算机系统的一次暴力“袭击”，这样Windows2003系统就可能将当前登录的帐号当作非法帐号，将它锁定起来，这显然不是我们所需要的；不过，我们可以按如下步骤来堵住用户切换时，产生的安全隐患：

在Windows 2003系统桌面中，打开开始菜单下面的控制面板命令，找到下面的“管理工具”命令，再执行下级菜单中的“计算机管理”命令，找到“用户帐户”图标，并在随后出现的窗口中单击“更改用户登录或注销的方式”；在打开的设置窗口中，将“使用快速用户切换”选项取消掉就可以了。

㈦ 如何在server2003服务器配置 让程序自动运行

1. 经典的启动“启动”文件夹，单击“开始→程序”，“启动”菜单，这就是最经典的Windows启动位置，放在这合理的程序和快捷方式都会在系统启动时自动运行。

2. 智能的启动——开/关机/登录/注销脚本：
   在Windows中，单击“开始→运行”，输入gpedit.msc回车可以打开“组策略编辑器”，在左侧窗格展开“本地计算机策略→ 用户配置→管理模板→系统→登录”，然后在右窗格中双击“在用户登录时运行这些程序”，单击“显示”按钮，在“登录时运行的项目”下就可以添加自启动的程序。

3. 定时的启动——任务计划：
   在默认情况下，“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹，并将计划任务设置为“系统启动时”或 “登录时”，这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。可以双击“控制面板”中的“计划任务”图标查看其中的项目。

   
   

4. 注册表启动项：注册表是启动程序最多的地方，主要有以下几项：
   1.Run键
   Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_
   ]和[HKEY_
   LOCAL_]，其下的所有程序在每次启动登录时都会按顺序自动执行。
   还有一个不被注意的Run键，位于注册表[HKEY_CURRENT_
   ]和 [HKEY_LOCAL_
   PoliciesExplorerRun]。
   2.RunOnce键
   RunOnce位于[HKEY_CURRENT_USERSoftwareMicrosoftWindows
   CurrentVersionRunOnce]和[HKEY_LOCAL_MACHINESoftwareMicrosoft
   WindowsCurrentVersionRunOnce]键，与Run不同的是，RunOnce下的程序仅会被自动执行一次。
   3.RunServicesOnce键
   RunServicesOnce键位于[HKEY_CURRENT_USERSoftwareMicrosoft
   ]和[HKEY_LOCAL_MACHINE
   SoftwareMicrosoft]下，其中的程序会在系统加载时自动启动执行一次。
   4.RunServices键
   RunServices继RunServicesOnce之后启动的程序，位于注册表[HKEY_CURRENT_USERSoftware ]和[HKEY_LOCAL_MACHINE SOFTWARE]键。

   5.RunOnceEx键
   该键是WindowsXP/2003特有的自启动注册表项，位于[HKEY_
   CURRENT_USER\]和 [HKEY_LOCAL_RunOnceEx]。

   6.load键
   [HKEY_CURRENT_]下的load键值的程序也可以自启动。
   7.Winlogon键
   该键位于位于注册表[HKEY_CURRENT_USERSOFTWARE
   ]和[HKEY_LOCAL_MACHINE
   SOFTWARE]，注意下面的Notify、Userinit、Shell键值也会自启动程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。

   8.其他注册表位置
   还有一些其他键值，经常会有一些程序在这里自动运行，如：[HKEY_CURRENT_]
   [HKEY_LOCAL_ShellServiceObjectDelayLoad]
   [HKEY_CURRENT_]
   [HKEY_LOCAL_]

   提示：注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别：前者对所有用户有效，后者只对当前用户有效。

㈧ 请问一下如何将Windows 2003 的终端服务设置为应用程序服务器模式

Windows 2003 server 的终端服务器的工作模式和windows 2003的工作模式有些不同。
Windows 2003 server的终端服务两种模式：
一种是远程桌面模式；一种是应用程序服务器模式。
区别两种模式是通过查看“添加/删除Windows组件”列表中终端服务是否打勾来确认的。
如果“终端服务器”条目的勾被勾上了，说明是工作在应用程序服务器模式，相反则是工作在远程桌面模式。
在系统安装好后，默认情况下是工作在远程模式，但这时真正的却无法通过远程桌面程序来连接服务器，原因是远程桌面未开启。需要手动在右键“我的电脑”->“属性”->“远程”中勾选远程桌面选项来启动。
像你说的这种情况，你只要通过“添加/删除Windows组件”中勾选“终端服务器”安装相应程序即可以解决。

1.Open Control Panel.
2.Double-click Add/Remove Programs.
3.On the left side of the screen, double click Add/Remove Windows Components.
4.Under Components, scroll down the list until you find Terminal Server. If Terminal Server is not selected, the service that is running is the "Remote Desktop" service and you can not continue with your Citrix Server installation. You must change the check box to checked and continue to install the Terminal Server finished. Restart computer, the Terminal Server will be worked in Application Server Mode.

㈨ 装有win 2003server的服务器如何设置才能使用啊

1.可以，对外的网卡设置电信IP，对内的网卡设置192.168.1.1
2.如果你不想每台电脑都指定IP的话，可以开启DHCP
3.邮件，网页，FTP都可以使用IIS来进行设置，邮件的话可以装EXCHANGE或别的邮件服务软件，来实现邮件功能
4.DNS一般情况下可以不设置，使用电信提供的就行了，默认网关就是你的服务器对内网卡的IP

㈩ 怎样配置windows server 2003 r2 服务器配置

安装操作系统
Windows
Server
2003最方便的方法是用U盘启动
Windows
PE
并格式化C盘后，将系统镜像解压，并使用
Win$Man
软件来安装。Win$Man会自动拷贝文件并设置启动项，重启后直接从硬盘启动，选择"Windows
Server
2003
系统安装"的启动项即可。
需要注意的是，如果在
Windows
PE
下直接使用安装光盘中的
setup.exe
来执行安装，则可能自动将系统安装在当前作为启动的硬盘的活动分区。例如使用U盘启动PE时，可能会将系统默认安装在U盘上（囧~）。此问题可以尝试通过更改安装过程中的"高级设置"中的选择分区来解决，如果在硬盘上安装了Windows
PE，可以忽略此问题。利用虚拟光驱安装的童鞋，也需要在“高级设置”中选择“复制安装源”，否则在重启后会找不到安装源。
版本是
Windows
Server
2003
R2
Standard
with
SP2简体中文32位版本，官方镜像有两张CD，使用CD1安装之后是Windows
Server
2003
SP2，CD2将系统升级到Windows
Server
2003
R2
SP2。
需要注意的是，安装完毕后还应安装WindowsServer2003-KB958644补丁，否则以后配置好网络以后，Server服务和Workstation服务运行一段时间以后会自动停止，这是微软早期操作系统的一个着名的漏洞。该文件可在微软下载中心下载，也可以从网络网盘下载适用于简体中文32位操作系统的WindowsServer2003-KB958644-x86-CHS.exe文件。