win2003 服务器 安全设置 技术实例(比较安全的方法)

列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

　　filesystemobject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。

hkey_classes_root\scripting.filesystemobject\

改名为其它的名字，如：改为 filesystemobject_changename

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

hkey_classes_root\scripting.filesystemobject\clsid\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　2000注销此组件命令：regsrv32 /u c:\winnt\system\scrrun.dll

　　2003注销此组件命令：regsrv32 /u c:\windows\system\scrrun.dll

　　如何禁止guest用户使用scrrun.dll来防止调用此组件？

　　使用这个命令：cacls c:\winnt\system32\scrrun.dll /e /d guests

　　二、禁止使用wscript.shell组件

　　wscript.shell可以调用系统内核运行dos基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　hkey_classes_root\wscript.shell\及hkey_classes_root\wscript.shell.1\

　　改名为其它的名字，如：改为wscript.shell_changename 或 wscript.shell.1_changename

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　hkey_classes_root\wscript.shell\clsid\项目的值

　　hkey_classes_root\wscript.shell.1\clsid\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　三、禁止使用shell.application组件

　　shell.application可以调用系统内核运行dos基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　hkey_classes_root\shell.application\

及

hkey_classes_root\shell.application.1\

改名为其它的名字，如：改为shell.application_changename 或 shell.application.1_changename

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　hkey_classes_root\shell.application\clsid\项目的值

hkey_classes_root\shell.application\clsid\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　禁止guest用户使用shell32.dll来防止调用此组件。

　　2000使用命令：cacls c:\winnt\system32\shell32.dll /e /d guests
2003使用命令：cacls c:\windows\system32\shell32.dll /e /d guests

注：操作均需要重新启动web服务后才会生效。

　　四、调用cmd.exe

　　禁用guests组用户调用cmd.exe

2000使用命令：cacls c:\winnt\system32\cmd.exe /e /d guests
2003使用命令：cacls c:\windows\system32\cmd.exe /e /d guests

　　通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。

先停掉serv-u服务

用ultraedit打开servudaemon.exe

查找 ascii：localadministrator 和 #l@$ak#.lk;0@p

修改成等长度的其它字符就可以了，servuadmin.exe也一样处理。

另外注意设置serv-u所在的文件夹的权限，不要让iis匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

temporary asp.net files%windir%\microsoft.net\framework\{版本}temporary asp.net files

进程帐户和模拟标识：
完全控制

临时目录 (%temp%)

进程帐户
完全控制

.net framework 目录%windir%\microsoft.net\framework\{版本}

进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

.net framework 配置目录%windir%\microsoft.net\framework\{版本}\config

进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

网站根目录
c:\inetpub\wwwroot
或默认网站指向的路径

进程帐户：
读取

系统根目录
%windir%\system32

进程帐户：
读取

全局程序集高速缓存
%windir%\assembly

进程帐户和模拟标识：
读取

内容目录
c:\inetpub\wwwroot\yourwebapp
(一般来说不用默认目录，管理员可根据实际情况调整比如d:\wwwroot)

进程帐户：
读取和执行
列出文件夹内容
读取
注意 对于 .net framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括：
c:\
c:\inetpub\
c:\inetpub\wwwroot\

帐户: 使用空白密码的本地帐户只允许进行控制台登录

已启用

已启用

已启用

已启用

帐户: 重命名系统管理员帐户

推荐

推荐

推荐

推荐

帐户: 重命名来宾帐户

推荐

推荐

推荐

推荐

设备: 允许不登录移除

已禁用

已启用

已禁用

已禁用

设备: 允许格式化和弹出可移动媒体

administrators, interactive users

administrators, interactive users

administrators

administrators

设备: 防止用户安装打印机驱动程序

已启用

已禁用

已启用

已禁用

设备: 只有本地登录的用户才能访问 cd-rom

已禁用

已禁用

已启用

已启用

设备: 只有本地登录的用户才能访问软盘

已启用

已启用

已启用

已启用

设备: 未签名驱动程序的安装操作

允许安装但发出警告

允许安装但发出警告

禁止安装

禁止安装

域成员: 需要强 (windows 2000 或以上版本) 会话密钥

已启用

已启用

已启用

已启用

交互式登录: 不显示上次的用户名

已启用

已启用

已启用

已启用

交互式登录: 不需要按 ctrl+alt+del

已禁用

已禁用

已禁用

已禁用

交互式登录: 用户试图登录时消息文字

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)

2

2

0

1

交互式登录: 在密码到期前提示用户更改密码

14 天

14 天

14 天

14 天

交互式登录: 要求域控制器身份验证以解锁工作站

已禁用

已禁用

已启用

已禁用

交互式登录: 智能卡移除操作

锁定工作站

锁定工作站

锁定工作站

锁定工作站

microsoft 网络客户: 数字签名的通信（若服务器同意）

已启用

已启用

已启用

已启用

microsoft 网络客户: 发送未加密的密码到第三方 smb 服务器。

已禁用

已禁用

已禁用

已禁用

microsoft 网络服务器: 在挂起会话之前所需的空闲时间

15 分钟

15 分钟

15 分钟

15 分钟

microsoft 网络服务器: 数字签名的通信（总是）

已启用

已启用

已启用

已启用

microsoft 网络服务器: 数字签名的通信（若客户同意）

已启用

已启用

已启用

已启用

microsoft 网络服务器: 当登录时间用完时自动注销用户

已启用

已禁用

已启用

已禁用

网络访问: 允许匿名 sid/名称 转换

已禁用

已禁用

已禁用

已禁用

网络访问: 不允许 sam 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许 sam 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许为网络身份验证储存凭据或 .net passports

已启用

已启用

已启用

已启用

网络访问: 限制匿名访问命名管道和共享

已启用

已启用

已启用

已启用

网络访问: 本地帐户的共享和安全模式

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

网络安全: 不要在下次更改密码时存储 lan manager 的哈希值

已启用

已启用

已启用

已启用

网络安全: 在超过登录时间后强制注销

已启用

已禁用

已启用

已禁用

网络安全: lan manager 身份验证级别

仅发送 ntlmv2 响应

仅发送 ntlmv2 响应

仅发送 ntlmv2 响应\拒绝 lm & ntlm

仅发送 ntlmv2 响应\拒绝 lm & ntlm

网络安全: 基于 ntlm ssp（包括安全 rpc）客户的最小会话安全

没有最小

没有最小

要求 ntlmv2 会话安全 要求 128-位加密

要求 ntlmv2 会话安全 要求 128-位加密

网络安全: 基于 ntlm ssp(包括安全 rpc)服务器的最小会话安全

没有最小

没有最小

要求 ntlmv2 会话安全 要求 128-位加密

要求 ntlmv2 会话安全 要求 128-位加密

故障恢复控制台: 允许自动系统管理级登录

已禁用

已禁用

已禁用

已禁用

故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问

已启用

已启用

已禁用

已禁用

关机: 允许在未登录前关机

已禁用

已禁用

已禁用

已禁用

关机: 清理虚拟内存页面文件

已禁用

已禁用

已启用

已启用

系统加密: 使用 fips 兼容的算法来加密，哈希和签名

已禁用

已禁用

已禁用

已禁用

系统对象: 由管理员 (administrators) 组成员所创建的对象默认所有者

对象创建者

对象创建者

对象创建者

对象创建者

系统设置: 为软件限制策略对 windows 可执行文件使用证书规则

已禁用

已禁用

已禁用

已禁用

　　php本身再老版本有一些问题，比如在 php4.3.10和php5.0.3以前有一些比较严重的bug，所以推荐使用新版。另外，目前闹的轰轰烈烈的sql 　　injection也是在php上有很多利用方式，所以要保证
安全，php代码编写是一方面，php的配置更是非常关键。
我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行　　php能够更安全。整个php中的安全设置主要是为了防止phpshell和sql injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开　　/etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。

　　(1) 打开php的安全模式

　　php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，
同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，
但是默认的php.ini是没有打开安全模式的，我们把它打开：
safe_mode = on

　　(2) 用户组安全

当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同
组的用户也能够对文件进行访问。
建议设置为：

safe_mode_gid = off

　　如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要
对文件进行操作的时候。

　　(3) 安全模式下执行程序主目录

如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

safe_mode_exec_dir = d:/usr/bin

一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，
然后把需要执行的程序拷贝过去，比如：

safe_mode_exec_dir = d:/tmp/cmd

但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

safe_mode_exec_dir = d:/usr/www

　　(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件，那么就修改一下选项：

safe_mode_include_dir = d:/usr/www/include/

　　其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

　　(5) 控制php脚本能访问的目录

使用open_basedir选项能够控制php脚本只能访问指定的目录，这样能够避免php脚本访问
不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

open_basedir = d:/usr/www

　　(6) 关闭危险函数

如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，
我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的
phpinfo()等函数，那么我们就可以禁止它们：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

　　如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, 　　rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，
就能够抵制大部分的phpshell了。

　　(7) 关闭php版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

expose_php = off

　　比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到php的信息。

　　(8) 关闭注册全局变量

在php中提交的变量，包括使用post或者get提交的变量，都将自动注册为全局变量，能够直接访问，
这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：
register_globals = off
当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取get提交的变量var，
那么就要用$_get['var']来进行获取，这个php程序员要注意。

　　(9) 打开magic_quotes_gpc来防止sql注入

sql注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，

所以一定要小心。php.ini中有一个设置：

magic_quotes_gpc = off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，
比如把 ' 转为 \'等，这对防止sql注射有重大作用。所以我们推荐设置为：

magic_quotes_gpc = on

　　(10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当
前的路径信息或者查询的sql语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

display_errors = off

　　如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

error_reporting = e_warning & e_error

　　当然，我还是建议关闭错误提示。

　　(11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

log_errors = on

　　同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

error_log = d:/usr/local/apache2/logs/php_error.log

　　注意：给文件必须允许apache用户的和组具有写的权限。

mysql的降权运行

　　新建立一个用户比如mysqlstart

　　net user mysqlstart ****microsoft /add

　　net localgroup users mysqlstart /del

　　不属于任何组

　　如果mysql装在d:\mysql ，那么，给 mysqlstart 完全控制 的权限

　　然后在系统服务中设置，mysql的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。

　　重新启动 mysql服务，然后mysql就运行在低权限下了。

　　如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，
这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

　　net user apache ****microsoft /add

　　net localgroup users apache /del

　　ok.我们建立了一个不属于任何组的用户apche。

　　我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，
重启apache服务，ok，apache运行在低权限下了。

　　实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。
这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。

将有安全问题的sql过程删除.比较全面.一切为了安全!

删除了调用shell，注册表，com组件的破坏权限

use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'sp_oacreate'
exec sp_dropextendedproc 'sp_oadestroy'
exec sp_dropextendedproc 'sp_oageterrorinfo'
exec sp_dropextendedproc 'sp_oagetproperty'
exec sp_dropextendedproc 'sp_oamethod'
exec sp_dropextendedproc 'sp_oasetproperty'
exec sp_dropextendedproc 'sp_oastop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'xp_regread'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask

全部复制到"sql查询分析器"

点击菜单上的--"查询"--"执行"，就会将有安全问题的sql过程删除(以上是7i24的正版用户的技术支持)

更改默认sa空密码.数据库链接不要使用sa帐户.单数据库单独设使用帐户.只给public和db_owner权限.

数据库不要放在默认的位置.

sql不要安装在program file目录下面.

最近的sql2000补丁是sp4

　　 桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>

（选中）internet 连接防火墙—>设置

把服务器上面要用到的服务端口选中

例如：一台web服务器，要提供web（80）、ftp（21）服务及远程桌面管理（3389）

在“ftp 服务器”、“web服务器（http）”、“远程桌面”、“安全web服务器”前面打上对号

如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，smtp和pop3根据需要打开

具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

　　 一般需要打开的端口有：21、 25、 80、 110、 443、 3389、 等，根据需要开放需要的端口。

用户安全设置

1、禁用guest账号

在计算机管理的用户里面把guest账号禁用。为了保险起见，最好给guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的duplicate user用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有administrators 权限的用户只在需要的时候使用。

4、把系统administrator账号改名

大家都知道，windows 2000 的administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成guesycludx。

5、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 hacker们忙上一段时间，借此发现它们的入侵企图。

6、把共享文件的权限从everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“everyone”组，包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。

7、开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

8、不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“hklmsoftwaremicrosoftwindows tcurrentversionwinlogondont-displaylastusername”，把reg_sz的键值改成1。

密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

这段时间论坛上有朋友提及无法在windows2003+iis6下面建立winwebmail邮件,遇到不一些问题,特意将这篇旧文重新发一次给大家

1)查看硬盘:两块9.1g scsi 硬盘(实容量8.46*2)

2)分区
系统分区x盘7.49g
web 分区x盘1.0g
邮件分区x盘8.46g（带１０００个１００ｍ的邮箱足够了）

3)安装windows server 2003

4)打基本补丁(防毒)．．．在这之前一定不要接网线！

5)在线打补丁

6)卸载或禁用微软的smtp服务(simple mail transpor protocol)，否则会发生端口冲突

7)安装winwebmail,然后重启服务器使winwebmail完成安装.并注册.然后恢复winwebmail数据.

8)安装norton 8.0并按winwebmail帮助内容设定,使norton与winwebmail联合起到邮件杀毒作用(将norton更新到最新的病毒库)
8.1 启用norton的实时防护功能
8.2 必须要设置对于宏病毒和非宏病毒的第1步操作都必须是删除被感染文件，并且必须关闭警告提示！！
8.3 必须要在查毒设置中排除掉安装目录下的 \mail 及其所有子目录，只针对winwebmail安装文件夹下的 \temp 文件夹进行实时查毒。注意：如果没有 \temp 文件夹时，先手工创建此 \temp 文件夹，然后再进行此项设置。

9)将winwebmail的dns设置为win2k3中网络设置的dns，切记，要想发的出去最好设置一个不同的备用dns地址，对外发信的就全靠这些dns地址了

10)给予安装 winwebmail 的盘符以及父目录以 internet 来宾帐户 (iusr_*) 允许 [读取\运行\列出文件夹目录] 的权限.
winwebmail的安装目录,internet访问帐号完全控制
给予[超级用户/system]在安装盘和目录中[完全控制]权限,重启iis以保证设定生效.

11)防止外发垃圾邮件:
11.1 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-->“收发规则”中选中“启用smtp发信认证功能”项，有效的防范外发垃圾邮件。
11.2 在“系统设置”-->“收发规则”中选中“只允许系统内用户对外发信”项。
11.3 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-->“防护”页选中“启用外发垃圾邮件自动过滤功能”项，然后再启用其设置中的“允许自动调整”项。
11.4 “系统设置”-->“收发规则”中设置“最大收件人数”-----> 10.
11.5 “系统设置”-->“防护”页选中“启用连接攻击保护功能”项，然后再设置“启用自动保护功能”.
11.6 用户级防付垃圾邮件，需登录webmail，在“选项 | 防垃圾邮件”中进行设置。

12)打开iis 6.0, 确认启用支持 asp 功能, 然后在默认站点下建一个虚拟目录(如: mail), 然后指向安装 winwebmail 目录下的 \web 子目录, 打开浏览器就可以按下面的地址访问webmail了:
http://<;;你的ip或域名>/mail/什么? 嫌麻烦不想建? 那可要错过winwebmail强大的webmail功能了, 3分钟的设置保证物超所值 :)

13)web基本设置:
13.1 确认“系统设置”-->“资源使用设置”内没有选中“公开申请的是含域名帐号”
13.2 “系统设置”-->“收发规则”中设置helo为您域名的mx记录

13.3.解决server 2003不能上传大附件的问题:
13.3.1 在服务里关闭 iis admin service 服务。
13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.3.3 用纯文本方式打开，找到 aspmaxrequestentityallowed 把它修改为需要的值（可修改为10m即：10240000），默认为：204800，即：200k。
13.3.4 存盘，然后重启 iis admin service 服务。

13.4.解决server 2003无法下载超过4m的附件的问题
13.4.1 先在服务里关闭 iis admin service 服务。
13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.4.3 用纯文本方式打开，找到 aspbufferinglimit 把它修改为需要的值（可修改为20m即：20480000）。
13.4.4 存盘，然后重启 iis admin service 服务。

13.5.解决大附件上传容易超时失败的问题.
在iis中调大一些脚本超时时间，操作方法是： 在iis的“站点或（虚拟目录）”的“主目录”下点击“配置”按钮，设置脚本超时间为：300秒（注意：不是session超时时间）。

13.6.解决windows 2003的iis 6.0中，web登录时经常出现"[超时，请重试]"的提示.
将webmail所使用的应用程序池“属性-->回收”中的“回收工作进程”以及"属性-->性能"中的“在空闲此段时间后关闭工作进程”这两个选项前的勾号去掉，然后重启一下iis即可解决.

13.7.解决通过webmail写信时间较长后，按下发信按钮就会回到系统登录界面的问题.
适当增加会话时间（session）为 60分钟。在iis站点或虚拟目录属性的“主目录”下点击[配置---选项]，就可以进行设置了(server 2003默认为20分钟).

13.8.安装后查看winwebmail的安装目录下有没有 \temp 目录,如没有,手工建立一个.

14)做邮件收发及10m附件测试(内对外,内对内,外对内).

15)打开2003自带防火墙,并打开pop3.smtp.web.远程桌面.充许此4项服务, ok, 如果想用imap4或ssl的smtp.pop3.imap4也需要打开相应的端口.

16)再次做邮件收发测试(内对外,内对内,外对内).

17)改名、加强壮口令，并禁用guest帐号。

18)改名超级用户、建立假administrator、建立第二个超级用户。

都搞定了！忙了半天, 现在终于可以来享受一把 winwebmail 的超强 webmail 功能了, let's go!

iis+php+mysql+zend optimizer+gd库+phpmyadmin安装配置[完整修正实用版]

[补充]关于参照本贴配置这使用中使用的相关问题请参考
关于win主机下配置php的若干问题解决方案总结这个帖子尽量自行解决,谢谢

一、软件准备：以下均为截止2006-1-20的最新正式版本，下载地址也均长期有效

1.php，推荐php4.4.0的zip解压版本：

php（4.4.0）：http://cn.php.net/get/php-4.4.0-win32.zip/from/a/mirror

php（5.1.2）：http://cn.php.net/get/php-5.1.2-win32.zip/from/a/mirror

2.mysql，配合php4推荐mysql4.0.26的win系统安装版本：

mysql（4.0.26）：

mysql（4.1.16）：

mysql（5.0.18）：

3.zend optimizer，当然选择当前最新版本拉：

zend optimizer（2.6.2）：

（zend软件虽然免费下载，但需要注册用户，这里提供注册好的帐户名:xqincom和密码:xqin.com，方便大家使用，请不要修改本帐号或将本帐户用于其他费正当途径，谢谢！）

登陆后选择windows x86的platform版本，如最新版本2.6.2

4.phpmyadmin


当然同样选择当前最新版本拉，注意选择for windows 的版本哦：

phpmyadmin（2.8.0.3）：

假设 c:\ 为你现在所使用操作系统的系统盘，如果你目前操作系统不是安装在 c:\ ，请自行对应修改相应路径。同时由于c盘经常会因为各种原因重装系统，数据放在该盘不易备份和转移 选择安装目录，故本文将所有php相关软件均安装到d:\php目录下，这个路径你可以自行设定，如果你安装到不同目录涉及到路径的请对应修改以下的对应路径即可

二、安装 php ：本文php安装路径取为d:\php\php4\(为避混淆，php5.1.x版本安装路径取为d:\php\php5\)

（1）、下载后得到 php-4.4.0-win32.zip ，解压至d:\php目录，将得到二级目录php-4.4.0-win32，改名为 php4，
也即得到php文件存放目录d:\php\php4\

[如果是php5.1.2，得到的文件是php-5.1.2-win32.zip，直接全部接压至d:\php\php5目录即可得php文件存放目录d:\php\php5\]；

（2）、再将d:\php\php4目录和d:\php\php4\dlls目录

[php5为d:\php\php5\]下的所有dll文件 copy 到 c:\windows\system32 (win2000系统为 c:/winnt/system32/)下，覆盖已有的dll文件；

（3）、将php.ini-dist用记事本打开，利用记事本的查找功能搜索并修改：

;extension=php_mbstring.dll

这个必须要

;extension=php_curl.dll

;extension=php_dbase.dll

;extension=php_gd2.dll
这个是用来支持gd库的，一般需要，必选


;extension=php_ldap.dll

;extension=php_zip.dll


对于php5的版本还需要查找

;extension=php_mysql.dll

并同样去掉前面的";"

这个是用来支持mysql的，由于php5将mysql作为一个独立的模块来加载运行的，故要支持mysql必选

其他的你可以选择需要的去掉前面的;


然后将该文件另存为为 php.ini 到 c:\windows ( windows 2000 下为 c:\winnt)目录下，注意更改文件后缀名为ini，

得到 c:\windows\php.ini ( windows 2000 下为 c:\winnt\php.ini)


若路径等和本文相同可直接保存到c:\windows ( windows 2000 下为 c:\winnt) 目录下 使用

max_execution_time = 30 ; 这个是每个脚本运行的最长时间，可以自己修改加长，单位秒
max_input_time = 60 ; 这是每个脚本可以消耗的时间，单位也是秒
memory_limit = 8m ; 这个是脚本运行最大消耗的内存，也可以自己加大
upload_max_filesize = 2m ; 上载文件的最大许可大小 ，自己改吧，一些图片论坛需要这个更大的值

（4）、配置 iis 使其支持 php ：

首先必须确定系统中已经正确安装 iis ，如果没有安装，需要先安装 iis ，安装步骤如下：
windows 2000/xp 下的 iis 安装：

用 administrator 帐号登陆系统，将 windows 2000 安装光盘插入光盘驱动器，进入“控制面板”点击“添加/删除程序”，再点击左侧的“添加/删除 windows 组件”，在弹出的窗口中选择“internet 信息服务（iis）”，点下面的“详细信息”按钮，选择组件，以下组件是必须的：“internet 服务管理器”、“world wide web 服务器”和“公用文件”，确定安装。

安装完毕后，在“控制面板”的“管理工具”里打开“服务”，检查“iis admin service”和“world wide web publishing service”两项服务，如果没有启动，将其启动即可。

windows 2003 下的 iis 安装：

由于 windows 2003 的 iis 6.0 集成在应用程序服务器中，因此安装应用程序服务器就会默认安装 iis 6.0 ，在“开始”菜单中点击“配置您的服务器”，在打开的“配置您的服务器向导”里左侧选择“应用程序服务器（iis，asp.net）”，单击“下一步”出现“应用程序服务器选项”，你可以选择和应用程序服务器一起安装的组件，默认全选即可，单击“下一步”，出现“选择总结界面”，提示了本次安装中的选项，配置程序将自动按照“选择总结”中的选项进行安装和配置。

打开浏览器，输入：，看到成功页面后进行下面的操作：

php 支持 cgi 和 isapi 两种安装模式，cgi 更消耗资源，容易因为超时而没有反映，但是实际上比较安全，负载能力强，节省资源，但是安全性略差于cgi，本人推荐使用 isapi 模式。故这里只解介绍 isapi 模式安装方法：(以下的截图因各个系统不同，窗口界面可能不同，但对应选项卡栏目是相同的，只需找到提到的对应选项卡即可)

在“控制面板”的“管理工具”中选择“internet 服务管理器”，打开 iis 后停止服务，对于win2000系统在”internet 服务管理器“的下级树一般为你的”计算机名“上单击右键选择“属性”，再在属性页面选择主属性”www 服务“右边的”编辑“

对于xp/2003系统展开”internet 服务管理器“的下级树一般为你的”计算机名“选择”网站“并单击右键选择“属性”

在弹出的属性窗口上选择“isapi 筛选器”选项卡找到并点击“添加”按钮，在弹出的“筛选器属性”窗口中的“筛选器名称”栏中输入：

php ，再将浏览可执行文件使路径指向 php4isapi.dll 所在路径，

如本文中为：d:\php\php4\sapi\php4isapi.dll

[php5对应路径为 d:\php\php5\php5isapi.dll]

打开“站点属性”窗口的“主目录”选项卡，找到并点击“配置”按钮

在弹出的“应用程序配置”窗口中的”应用程序映射“选项卡找到并点击“添加”按钮新增一个扩展名映射，在弹出的窗口中单击“浏览”将可执行文件指向 php4isapi.dll 所在路径，如本文中为：d:\php\php4\sapi\php4isapi.dll[php5对应路径为d:\php\php5\php5isapi.dll]，扩展名为 .php ，动作限于”get,head,post,trace“，将“脚本引擎”“确认文件是否存在”选中，然后一路确定即可。如果还想支持诸如 .php3 ，.phtml 等扩展名的 php 文件，可以重复“添加”步骤，对应扩展名设置为需要的即可如.phpx。

此步操作将使你服务器iis下的所有站点都支持你所添加的php扩展文件，当然如果你只需要部分站点支持php，只需要在“你需要支持php的web站点”比如“默认web站点”上单击右键选择“属性”，在打开的“ web 站点属性”“主目录”选项卡，编辑或者添加php的扩展名映射即可或者将你步需要支持php的站点中的php扩展映射删除即可

再打开“站点属性”窗口的“文档”选项卡，找到并点击“添加”按钮，向默认的 web 站点启动文档列表中添加 index.php 项。您可以将 index.php 升到最高优先级，这样，访问站点时就会首先自动寻找并打开 index.php 文档。

确定 web 目录的应用程序设置和执行许可中选择为纯脚本，然后关闭 internet 信息服务管理器
对于2003系统还需要在“internet 服务管理器”左边的“web服务扩展”中设置isapi 扩展允许，active server pages 允许

完成所有操作后，重新启动iis服务。
在cmd命令提示符中执行如下命令：

net stop w3svc
net stop iisadmin
net start w3svc

到此，php的基本安装已经完成，我们已经使网站支持php脚本。
检查方法是，在 iis 根目录下新建一个文本文件存为 php.php ，内容如下：

<?php
phpinfo();
?>

打开浏览器，输入：，将显示当前服务器所支持 php 的全部信息，可以看到 server api的模式为：isapi 。

或者利用php探针检测下载后解压到你的站点根目录下并访问即可

三、安装 mysql ：

对于mysql4.0.26下载得到的是mysql-4.0.26-win32.zip，解压到mysql-4.0.26-win32目录双击执行 setup.exe 一路next下一步，选择安装目录为d:\php\mysql和安装方式为custom自定义安装，再一路next下一步即可。

安装完毕后，在cmd命令行中输入并运行：

d:\php\mysql\bin\mysqld-nt -install

如果返回service successfully installed.则说明系统服务成功安装

新建一文本文件存为my.ini，编辑配置my.ini，这里给出一个参考的配置

[mysqld]
basedir=d:/php/mysql
#mysql所在目录
datadir=d:/php/mysql/data
#mysql数据库所在目录，可以更改为其他你存放数据库的目录
#language=d:/php/mysql/share/your language directory
#port=3306
set-variable = max_connections=800
skip-locking
set-variable = key_buffer=512m
set-variable = max_allowed_packet=4m
set-variable = table_cache=1024
set-variable = sort_buffer=2m
set-variable = thread_cache=64
set-variable = join_buffer_size=32m
set-variable = record_buffer=32m
set-variable = thread_concurrency=8
set-variable = myisam_sort_buffer_size=64m
set-variable = connect_timeout=10
set-variable = wait_timeout=10
server-id = 1
[isamchk]
set-variable = key_buffer=128m
set-variable = sort_buffer=128m
set-variable = read_buffer=2m
set-variable = write_buffer=2m

[myisamchk]
set-variable = key_buffer=128m
set-variable = sort_buffer=128m
set-variable = read_buffer=2m
set-variable = write_buffer=2m

[winmysqladmin]
server=d:/php/mysql/bin/mysqld-nt.exe



保存后复制此my.ini文件到c:\windows ( windows 2000 下为 c:\winnt)目录下
回到cmd命令行中输入并运行：

net start mysql

mysql 服务正在启动 .
mysql 服务已经启动成功。

将启动 mysql 服务；

dos下修改root密码：当然后面安装phpmyadmin后修改密码也可以通过phpmyadmin修改

格式：mysqladmin -u用户名 -p旧密码 password 新密码

例：给root加个密码xqin.com

首先在进入cmd命令行，转到mysql目录下的bin目录，然后键入以下命令

mysqladmin -uroot password 你的密码

注：因为开始时root没有密码，所以-p旧密码一项就可以省略了。

d:\php\mysql\bin>mysqladmin -uroot password 你的密码


回车后root密码就设置为你的密码了

如果你下载的是 mysql5.x或者mysql4.1.x，例mysql-5.0.18-win32：解压后双击执行 setup.exe ，next下一步后选择custom自定义安装，再next下一步选择安装路径这里我们选择d:\php\mysql，继续next下一步跳过sign up完成安装。

安装完成后会提示你是不是立即进行配置，选择是即可进行配置。当然一般安装后菜单里面也有配置向导mysql server instance config wizar，运行后按下面步骤配置并设置root密码即可

next下一步后选择standard configuration

next下一步，钩选include .. path

next下一步，设置root密码，建议社设置复杂点，确保服务器安全！

apply完成后将在d:\php\mysql目录下生成my.ini配置文件，添加并启动mysql服务

如果你的mysql安装出错，并且卸载重装仍无法解决，这里提供一个小工具系统服务管理器，用于卸载后删除存在的mysql服务，重起后再按上述说明进行安装一般即可成功安装

四、安装 zend optimizer ：

下载后得到 zendoptimizer-2.6.2-windows-i386.exe ，直接双击安装即可，安装过程要你选择 web server 时，选择 iis ，然后提示你是否 restart web server，选择是，完成安装之前提示是否备份 php.ini ，点确定后安装完成。我这里安装到d:\php\zend

以下两步的目录根据你自己的默认web站点目录来选，当然也可以选择到d:\php\zend目录

zend optimizer 的安装向导会自动根据你的选择来修改 php.ini 帮助你启动这个引擎。下面简单介绍一下 zend optimizer 的配置选项。以下为本人安装完成后 php.ini 里的默认配置代码（分号后面的内容为注释）：

[zend]
zend_extension_ts="d:\php\zend\lib\zendextensionmanager.dll"
;zend optimizer 模块在硬盘上的安装路径。
zend_extension_manager.optimizer_ts="d:\php\zend\lib\optimizer-2.6.2"
;优化器所在目录，默认无须修改。
zend_optimizer.optimization_level=1023
;优化程度，这里定义启动多少个优化过程，默认值是 15 ，表示同时开启 10 个优化过程中的 1-4 ，我们可以将这个值改为 1023 ，表示开启全部10个优化过程。

调用phpinfo()函数后显示：

zend engine v1.3.0, copyright (c) 1998-2004 zend technologies with zend extension manager v1.0.9, copyright (c) 2003-2006, by zend technologies with zend optimizer v2.6.2, copyright (c) 1998-2006, by zend technologies

则表示安装成功。

五.安装gd库

这一步在前面php.ini配置中去掉“;extension=php_gd2.dll”前面的;实际上已经安装好了~

[在php.ini里找到"extension=php_gd2.dll"这一行，并且去掉前面的分号，gd库安装完成，用 echophpinfo() ;测试是否成功！ ]

六、安装 phpmyadmin

下载得到 phpmyadmin-2.7.0.zip (如果需要这个版本可以找我qq：4615825 3300073)，

将其解压到d:\php\或者 iis 根目录，改名phpmyadmin-2.7.0为phpmyadmin，

查找 $cfg['pmaabsoluteuri']

设置你的phpmyadmin的web访问url，比如本文中：$cfg['pmaabsoluteuri'] = 'http://localhost/phpmyadmin/'; 注意这里假设phpmyadmin在默认站点的根目录下

查找 $cfg['servers'][$i]['auth_type'] = ，

默认为config，是不安全的，不推荐，推荐使用cookie，将其设置为 $cfg['servers'][$i]['auth_type'] = 'cookie';

注意这里如果设置为config请在下面设置用户名和密码！例如：

$cfg['servers'][$i]['user'] = 'root'; // mysql user-----mysql连接用户

$cfg['servers'][$i]['password'] = 'xqin.com';

打开浏览器，输入： ，若 iis 和 mysql 均已启动，输入用户root密码xqin.com(如没有设置密码则密码留空)即可进入phpmyadmin数据库管理。

首先点击权限进入用户管理，删除除root和主机不为localhost的用户并重新读取用户权限表，这里同样可以修改和设置root的密码，添加其他用户等

phpmyadmin 的具体功能，请慢慢熟悉，这里不再赘述。
至此所有安装完毕。

六、目录结构以及mtfs格式下安全的目录权限设置：
当前目录结构为

　　 　　 　　 　　　　 　d:\php

+—————+——————+———————+———————+
php4(php5) tmp 　　 　mysql 　　 　　 zend 　　 phpmyadmin

d:\php 设置为 administrators和system完全权限 即可，其他用户均无权限

对于其下的二级目录

d:\php\php4(或者d:\php\php5) 设置为 users 读取/运行 权限


d:\php\tmp 设置为 users 读/写/删 权限

d:\php\mysql 、d:\php\zend 设置为 administrators和system完全权限

phpmyadmin web匿名用户读取权限

七、优化：

参见
php 优化配置——加速你的vbb,phpwind,discuz,ipb,molyx.....　　

1.出现提示网页无法显示,500错误的时候，又没有详细的提示信息

可以进行下面的操作显示详细的提示信息：ie－工具－internet选项－高级－友好的http错误信息提示，将这选项前面不打勾，则可以看到详细的提示信息了

以下是解决500错误的方法。请复制以下信息并保存为： 解决iis6.0的(asp不能访问)请求的资源在使用中的办法.bat

然后在服务器上执行一下，你的asp就又可以正常运行了。

echo off echo 文件说明：解决iis6.0的: 请求的资源在使用中的最佳解决方法 echo 正在恢复iis的500错误,请稍等...... net stop iisadmin /y regsvr32 %windir%\system32\j******.dll regsvr32 %windir%\system32\vb******.dll net start w3svc echo. echo 恭喜你！500错误解决成功！ echo. pause exit


2.系统在安装的时候提示数据库连接错误

一是检查const文件的设置关于数据库的路径设置是否正确

二是检查服务器上面的数据库的路径和用户名、密码等是否正确


3.iis不支持asp解决办法：

iis的默认解析语言是否正确设定？将默认改为vbscript，进入iis，右键单击默认web站点，选择属性，在目录安全性选项卡的匿名访问和身份验证控制中，单击编辑，在身份验证方法属性页中，去掉匿名访问的选择试试.

4.fso没有权限

fso的权限问题，可以在后台测试是否能删除文件，解决fso组件是否开启的方法如下：

首先在系统盘中查找scrrun.dll，如果存在这个文件，请跳到第三步，如果没有，请执行第二步。

在安装文件目录i386中找到scrrun.dl_，用winrar解压缩，得scrrun.dll，然后复制到（你的系统盘）c:\windows\system32\目录中。 运行regsvr32 scrrun.dll即可。

如果想关闭fso组件，请运行regsvr32/u scrrun.dll即可

关于服务器fso权限设置的方法，给大家一个地址可以看看详细的操作：

5.microsoft jet database engine 错误 '80040e09' 不能更新。数据库或对象为只读

原因分析：
未打开数据库目录的读写权限

解决方法：

（ 1 ）检查是否在 iis 中对整个网站打开了 “ 写入 ” 权限，而不仅仅是数据库文件。
（ 2 ）检查是否在 win2000 的资源管理器中，将网站所在目录对 everyone 用户打开所有权限。具体方法是：
打开 “ 我的电脑 ”---- 找到网站所在文件夹 ---- 在其上点右键 ---- 选 “ 属性 ”----- 切换到 “ 安全性 ” 选项卡，在这里给 everyone 用户所有权限。

注意： 如果你的系统是 xp ，请先点 “ 工具 ”----“ 文件夹选项 ”----“ 查看 ”----- 去掉 “ 使用简单文件共享 ” 前的勾，确定后，文件夹 “ 属性 ” 对话框中才会有 “ 安全性 ” 这一个选项卡。

6.验证码不能显示

原因分析：
造成该问题的原因是 service pack 2 为了提高系统的稳定性，默认状态下是屏蔽了对 xbm，也即是 x-bitmap 格式的图片的显示，而这些验证码恰恰是 xbm 格式的，所以显示不出来了。

解决办法：
解决的方法其实也很简单，只需在系统注册表中添加键值 "blockxbm"=dword:00000000 就可以了，具体操作如下：

1》打开系统注册表；

2》依次点开hkey_local_machine\\software\\microsoft\\internet explorer\\security；

3》在屏幕右边空白处点击鼠标右键，选择新建一个名为“blockxbm”为的 dword 键，其值为默认的0。

4》退出注册表编辑器。

如果操作系统是2003系统则看是否开启了父路径


7.windows 2003配置iis支持.shtml

要使用 shtml 的文件，则系统必须支持ssi，ssi必须是管理员通过web 服务扩展启用的
windows 2003安装好iis之后默认是支持.shtml的，只要在“web服务扩展”允许“在服务器前端的包含文件”即可


8.如何去掉“处理 url 时服务器出错。请与系统管理员联系。”

如果是本地服务器的话，请右键点iis默认网站，选属性，在主目录里点配置，选调试。 选中向客户端发送详细的asp错误消息。 然后再调试程序，此时就可以显示出正确的错误代码。


如果你是租用的空间的话，请和你的空间商联系