一.更改終端預設埠號

步驟：

1.執行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp]，看見PortNamber值了嗎？其預設值是3389，修改成所希望的埠即可，例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值（預設是3389）修改成埠12345（自定義）。

4.防火牆中設定ipsec 編輯規則修改完畢，重新啟動電腦，以後遠端登入的時候使用埠12345就可以了。

二.NTFS許可權設定

注意：

1、2008R2預設的資料夾和檔案所有者為TrustedInstaller，這個使用者同時擁有所有控制權限。 2、登錄檔同的項也是這樣，所有者為TrustedInstaller。 3、如果要修改檔案許可權時應該先設定 管理員組 administrators 為所有者，再設定其它許可權。 4、如果要刪除或改名登錄檔，同樣也需先設定 管理員組 為所有者，同時還要應該到子項，

直接刪除當前項 還是刪除不掉時可以先刪除子項後再刪除此項

步驟：

1.C盤只給administrators 和system許可權，其他的許可權不給，其他的盤也可以這樣設定（web目錄許可權依具體情況而定）
2.這裡給的system許可權也不一定需要給，只是由於某些第三方應用程式是以服務形式啟動的，需要加上這個使用者，否則造成啟動不了。

Windows目錄要加上給users的預設許可權，否則ASP和ASPX等應用程式就無法執行（如果你使用IIS的話，要引用windows下的dll檔案）。

3.c:/user/ 只給administrators 和system許可權

三.刪除預設共享

步驟：

1.開啟dos，net share 檢視預設共享
2.新建文字文件輸入命令

net share c$ /del net share d$ /del //如有E盤可再新增 預設共享名均為c$、d$等
net share IPC$ /del net share admin$ /del 另存為sharedelte.bat

3.執行gpedit.msc，展開windous設定—指令碼（啟動\關機）—啟動）—右鍵屬性—新增sharedelte.bat

同理可編輯其它規則

四.ipsec策略 
以遠端終端為例1.控制面板——windows防火牆——高階設定——入站規則——新建規則——埠——特定埠tcp（如3389）——允許連線 2.完成以上操作之後右擊該條規則作用域——本地ip地址——任何ip地址——遠端ip地址——下列ip地址—— 新增管理者ip 同理其它埠可以通過此功能對特定網段遮蔽（如80埠）

其它請參考win2003安全優化

Windows 2008 R2伺服器的安全加固 補充

最近託管了一臺2U伺服器到機房，安裝的是Windows 2008系統，打算用IIS做web server，因此需要把沒用的埠、服務關閉，減小風險。

我發現現在網路上有價值的東西實在是太少了，很多人都是轉載來轉載去，學而不思，沒有一點營養。還是自己總結總結吧，大概有以下幾步：

1. 如何關掉IPv6？

這一點國內國外網站上基本上都有了共識，都是按照下面兩步來進行。據說執行之後就剩本地換回路由還沒關閉。但關閉之後我發現某些埠還是同時監聽ipv4和ipv6的埠，尤其是135埠，已經把ipv4關閉了，ipv6竟然還開著。匪夷所思啊……

先關閉網路連線->本地連線->屬性->Internet協議版本 6 (TCP/IPv6)

然後再修改登錄檔：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

重啟伺服器即可關閉ipv6

2. 如何關閉135埠？

這個破埠是RPC服務的埠，以前出過很多問題，現在貌似沒啥漏洞了，不過還是心有餘悸啊，想關的這樣關：

開始->執行->dcomcnfg->元件服務->計算機->我的電腦->屬性->預設屬性->關閉“在此計算機上啟用分散式COM”->預設協議->移除“面向連線的TCP/IP”

但是感覺做了以上的操作還能看到135在Listen狀態，還可以試試這樣。

在cmd中執行：netsh rpc add 127.0.0.0，這樣135埠只監聽127.0.0.1了。

3. 如何關閉445埠？

445埠是netbios用來在區域網內解析機器名的服務埠，一般伺服器不需要對LAN開放什麼共享，所以可以關閉。

修改登錄檔：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0

4. 關閉Netbios服務（關閉139埠）

網路連線->本地連線->屬性->Internet協議版本 4->屬性->高階->WINS->禁用TCP/IP上的NetBIOS

5. 關閉LLMNR（關閉5355埠）

什麼是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用於解析本地網段上的名稱，沒啥用但還佔著5355埠。

使用組策略關閉，執行->gpedit.msc->計算機配置->管理模板->網路->DNS客戶端->關閉多播名稱解析->啟用

還有一種方法，我沒嘗試，如果沒有組策略管理的可以試試，修改登錄檔HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof\Windows NT\DNSClient，新建一個Dword項，名字：EnableMulticast，值：0

6. 關閉Windows Remote Management服務（關閉47001埠）

Windows遠端管理服務，用於配合IIS管理硬體，一般用不到，但開放了47001埠很不爽，關閉方法很簡單，禁用這個服務即可。

7. 關閉UDP 500，UDP 4500埠

這兩個埠讓我搜索了半天，雖然知道應該和VPN有關，但是不知道是哪個服務在佔用。最後終於找到了，其實是IKE and AuthIP IPsec Keying Modules服務在作怪。如果你的伺服器上不執行基於IKE認證的VPN服務，就可以關閉了。（我用的是PPTP方式連線VPN，把ipsec和ike都關閉了）

8. 刪除檔案和印表機共享

網路連線->本地連線->屬性，把除了“Internet協議版本 4”以外的東西都勾掉。

9. 關閉檔案和印表機共享

直接停止“server”服務，並設定為禁用，重啟後再右鍵點某個磁碟選屬性，“共享”這個頁面就不存在了。

比較重要的幾部

1.更改預設administrator使用者名稱，複雜密碼
2.開啟防火牆
3.安裝防毒軟體

1)新做系統一定要先打上補丁
2)安裝必要的防毒軟體
3)刪除系統預設共享

4)修改本地策略——>安全選項 
互動式登陸：不顯示最後的使用者名稱 啟用
網路訪問：不允許SAM 帳戶和共享的匿名列舉 啟用
網路訪問: 不允許儲存網路身份驗證的憑據或 .NET Passports 啟用
網路訪問：可遠端訪問的登錄檔路徑和子路徑 全部刪除
5)禁用不必要的服務
TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation
6)禁用IPV6

server 2008 r2互動式登入: 不顯示最後的使用者名稱

其實最重要的就是開啟防火牆+伺服器安全狗（安全狗自帶的一些功能基本上都設定的差不多了）+mysql(sqlserver)低許可權執行基本上就差不多了。3389遠端登入，一定要限制ip登入。

一、系統及程式

1、螢幕保護與電源

桌面右鍵--〉個性化--〉螢幕保護程式，螢幕保護程式 選擇無，更改電源設定 選擇高效能，選擇關閉顯示器的時間 關閉顯示器 選 從不 儲存修改

2、配置IIS7元件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite環境。在這裡我給大家可以推薦下阿里雲的伺服器一鍵環境配置，全自動安裝設定很不錯的。點選檢視地址

二、系統安全配置

1、目錄許可權

除系統所在分割槽之外的所有分割槽都賦予Administrators和SYSTEM有完全控制權，之後再對其下的子目錄作單獨的目錄許可權

2、遠端連線

我的電腦屬性--〉遠端設定--〉遠端--〉只允許執行帶網路超級身份驗證的遠端桌面的計算機連線，選擇允許執行任意版本遠端桌面的計算機連線(較不安全)。備註：方便多種版本Windows遠端管理伺服器。windows server 2008的遠端桌面連線，與2003相比，引入了網路級身份驗證（NLA，network level authentication)，XP SP3不支援這種網路級的身份驗證，vista跟win7支援。然而在XP系統中修改一下注冊表，即可讓XP SP3支援網路級身份驗證。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右視窗中雙擊Security Pakeages，新增一項“tspkg”。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders，在右視窗中雙擊SecurityProviders，新增credssp.dll；請注意，在新增這項值時，一定要在原有的值後新增逗號後，別忘了要空一格（英文狀態）。然後將XP系統重啟一下即可。再檢視一下，即可發現XP系統已經支援網路級身份驗證

3、修改遠端訪問服務埠

更改遠端連線埠方法，可用windows自帶的計算器將10進位制轉為16進位制。更改3389埠為8208，重啟生效！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 
"PortNumber"=dword:0002010

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
"PortNumber"=dword:00002010

（1）在開始--執行選單裡,輸入regedit,進入登錄檔編輯,按下面的路徑進入修改埠的地方 
（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 
（3）找到右側的 "PortNumber"，用十進位制方式顯示，預設為3389，改為(例如)6666埠 
（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 
（5）找到右側的 "PortNumber"，用十進位制方式顯示，預設為3389，改為同上的埠 
（6）在控制面板--Windows 防火牆--高階設定--入站規則--新建規則 
（7）選擇埠--協議和埠--TCP/特定本地埠：同上的埠 
（8）下一步，選擇允許連線 
（9）下一步，選擇公用 
（10）下一步，名稱：遠端桌面-新(TCP-In)，描述：用於遠端桌面服務的入站規則，以允許RDP通訊。[TCP 同上的埠] 
（11）刪除遠端桌面(TCP-In)規則 
（12）重新啟動計算機

4、配置本地連線

網路--〉屬性--〉管理網路連線--〉本地連線，開啟“本地連線”介面，選擇“屬性”，左鍵點選“Microsoft網路客戶端”，再點選“解除安裝”，在彈出的對話方塊中“是”確認解除安裝。點選“Microsoft網路的檔案和印表機共享”，再點選“解除安裝”，在彈出的對話方塊中選擇“是”確認解除安裝。

解除Netbios和TCP/IP協議的繫結139埠：開啟“本地連線”介面，選擇“屬性”，在彈出的“屬性”框中雙擊“Internet協議版本（TCP/IPV4）”，點選“屬性”，再點選“高階”—“WINS”，選擇“禁用TCP/IP上的NETBIOS”，點選“確認”並關閉本地連線屬性。

禁止預設共享：點選“開始”—“執行”，輸入“Regedit”，開啟登錄檔編輯器，開啟登錄檔項“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”，在右邊的視窗中新建Dword值，名稱設為AutoShareServer，值設為“0”。

關閉 445埠：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建 Dword（32位）名稱設為SMBDeviceEnabled 值設為“0”

5、共享和發現

右鍵“網路” 屬性 網路和共享中心  共享和發現 
關閉，網路共享，檔案共享，公用檔案共享，印表機共享，顯示我正在共享的所有檔案和資料夾，顯示這臺計算機上所有共享的網路資料夾

6、用防火牆限制Ping

網上自己查吧，ping還是經常需要用到的

7、防火牆的設定

控制面板→Windows防火牆設定→更改設定→例外，勾選FTP、HTTP、遠端桌面服務 核心網路

HTTPS用不到可以不勾

3306：Mysql 
1433：Mssql

8、禁用不需要的和危險的服務，以下列出服務都需要禁用。

控制面板 管理工具 服務

Distributed linktracking client   用於區域網更新連線資訊 
PrintSpooler  列印服務 
Remote Registry  遠端修改登錄檔 
Server 計算機通過網路的檔案、列印、和命名管道共享 
TCP/IP NetBIOS Helper  提供 
TCP/IP (NetBT) 服務上的 
NetBIOS 和網路上客戶端的 
NetBIOS 名稱解析的支援 
Workstation   洩漏系統使用者名稱列表 與Terminal Services Configuration 關聯 
Computer Browser 維護網路計算機更新 預設已經禁用 
Net Logon   域控制器通道管理 預設已經手動 
Remote Procedure Call (RPC) Locator   RpcNs*遠端過程呼叫 (RPC) 預設已經手動 
刪除服務sc delete MySql

9、安全設定-->本地策略-->安全選項

在執行中輸入gpedit.msc回車，開啟組策略編輯器，選擇計算機配置-->Windows設定-->安全設定-->本地策略-->安全選項

互動式登陸：不顯示最後的使用者名稱　　　　　　　啟用 
網路訪問：不允許SAM帳戶的匿名列舉　　 　　  啟用 已經啟用 
網路訪問：不允許SAM帳戶和共享的匿名列舉　　 啟用 
網路訪問：不允許儲存網路身份驗證的憑據　　　啟用 
網路訪問：可匿名訪問的共享　　　　　　　　　內容全部刪除 
網路訪問：可匿名訪問的命名管道　　　　　　　內容全部刪除 
網路訪問：可遠端訪問的登錄檔路徑　　　　　　內容全部刪除 
網路訪問：可遠端訪問的登錄檔路徑和子路徑　　內容全部刪除 
帳戶：重新命名來賓帳戶　　　　　　　　　　　　這裡可以更改guest帳號 
帳戶：重命名系統管理員帳戶　　　　　　　　　這裡可以更改Administrator帳號

10、安全設定-->賬戶策略-->賬戶鎖定策略

在執行中輸入gpedit.msc回車，開啟組策略編輯器，選擇計算機配置-->Windows設定-->安全設定-->賬戶策略-->賬戶鎖定策略，將賬戶鎖定閾值設為“三次登陸無效”，“鎖定時間為30分鐘”，“復位鎖定計數設為30分鐘”。

11、本地安全設定

選擇計算機配置-->Windows設定-->安全設定-->本地策略-->使用者許可權分配 
關閉系統：只有Administrators組、其它全部刪除。 
通過終端服務拒絕登陸：加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger   
通過終端服務允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除

12、更改Administrator，guest賬戶，新建一無任何許可權的假Administrator賬戶

管理工具→計算機管理→系統工具→本地使用者和組→使用者 
新建一個Administrator帳戶作為陷阱帳戶，設定超長密碼，並去掉所有使用者組 
更改描述：管理計算機(域)的內建帳戶

13、密碼策略

選擇計算機配置-->Windows設定-->安全設定-->密碼策略 
啟動 密碼必須符合複雜性要求 
最短密碼長度

14、禁用DCOM （"衝擊波"病毒 RPC/DCOM 漏洞）

執行Dcomcnfg.exe。控制檯根節點→元件服務→計算機→右鍵單擊“我的電腦”→屬性”→預設屬性”選項卡→清除“在這臺計算機上啟用分散式 COM”複選框。

15、ASP漏洞

主要是解除安裝WScript.Shell 和 Shell.application 元件，是否刪除看是否必要。

regsvr32/u C:\WINDOWS\System32\wshom.ocx 
regsvr32/u C:\WINDOWS\system32\shell32.dll

刪除可能許可權不夠

del C:\WINDOWS\System32\wshom.ocx 
del C:\WINDOWS\system32\shell32.dll

如果確實要使用，或者也可以給它們改個名字。

WScript.Shell可以呼叫系統核心執行DOS基本命令

可以通過修改登錄檔，將此元件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

自己以後呼叫的時候使用這個就可以正常呼叫此元件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\專案的值

HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\專案的值

也可以將其刪除，來防止此類木馬的危害。

Shell.Application可以呼叫系統核心執行DOS基本命令

可以通過修改登錄檔，將此元件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

自己以後呼叫的時候使用這個就可以正常呼叫此元件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\Shell.Application\CLSID\專案的值 
HKEY_CLASSES_ROOT\Shell.Application\CLSID\專案的值

也可以將其刪除，來防止此類木馬的危害。

禁止Guest使用者使用shell32.dll來防止呼叫此元件。

2000使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests 
2003使用命令：cacls C:\WINDOWS\system32\shell32.dll /e /d guests

禁止使用FileSystemObject元件，FSO是使用率非常高的元件，要小心確定是否解除安裝。改名後呼叫就要改程式了，Set FSO = Server.CreateObject("Scripting.FileSystemObject")。

FileSystemObject可以對檔案進行常規操作,可以通過修改登錄檔，將此元件改名，來防止此類木馬的危害。 
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 
改名為其它的名字，如：改為 FileSystemObject_ChangeName 
自己以後呼叫的時候使用這個就可以正常呼叫此元件了 
也要將clsid值也改一下HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\專案的值 
也可以將其刪除，來防止此類木馬的危害。 
2000登出此元件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 
2003登出此元件命令：RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll 
如何禁止Guest使用者使用scrrun.dll來防止呼叫此元件？ 
使用這個命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests

15、開啟UAC

控制面板 使用者賬戶 開啟或關閉使用者賬戶控制

16、程式許可權

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 
或完全禁止上述命令的執行 
gpedit.msc-〉使用者配置-〉管理模板-〉系統 
啟用 阻止訪問命令提示符 同時 也停用命令提示符指令碼處理 
啟用 阻止訪問登錄檔編輯工具 
啟用 不要執行指定的windows應用程式，新增下面的 
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

17、Serv-u安全問題（個人建議不是特別高的要求沒必要用serv_U可以使用FTP伺服器 FileZilla Server ）

安裝程式儘量採用最新版本，避免採用預設安裝目錄，設定好serv-u目錄所在的許可權，設定一個複雜的管理員密碼。修改serv-u的banner資訊，設定被動模式埠範圍（4001—4003）在本地伺服器中設定中做好相關安全設定：包括檢查匿名密碼，禁用反超時排程，攔截“FTP bounce”攻擊和FXP，對於在30秒內連線超過3次的使用者攔截10分鐘。域中的設定為：要求複雜密碼，目錄只使用小寫字母，高階中設定取消允許使用MDTM命令更改檔案的日期。

更改serv-u的啟動使用者：在系統中新建一個使用者，設定一個複雜點的密碼，不屬於任何組。將servu的安裝目錄給予該使用者完全控制權限。建立一個FTP根目錄，需要給予這個使用者該目錄完全控制權限，因為所有的ftp使用者上傳，刪除，更改檔案都是繼承了該使用者的許可權，否則無法操作檔案。另外需要給該目錄以上的上級目錄給該使用者的讀取許可權，否則會在連線的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該使用者的讀取許可權，為了安全取消d盤其他資料夾的繼承許可權。而一般的使用預設的system啟動就沒有這些問題，因為system一般都擁有這些許可權的。如果FTP不是必須每天都用，不如就關了吧，要用再開啟。

下面是其它網友的補充：大家可以參考下

Windows Web Server 2008 R2伺服器簡單安全設定

1、新做系統一定要先打上已知補丁，以後也要及時關注微軟的漏洞報告。略。 
2、所有碟符根目錄只給system和Administrator的許可權，其他的刪除。
3、將所有磁碟格式轉換為NTFS格式。
命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統 
4、開啟Windows Web Server 2008 R2自帶的高階防火牆。
預設已經開啟。
5、安裝必要的防毒軟體如mcafee，安裝一款ARP防火牆，安天ARP好像不錯。略。
6、設定螢幕屏保護。
7、關閉光碟和磁碟的自動播放功能。
8、刪除系統預設共享。
命令：net share c$ /del 這種方式下次啟動後還是會出現，不徹底。也可以做成一個批處理檔案，然後設定開機自動執動這個批處理。但是還是推薦下面的方法，直修改登錄檔的方法。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面新建AutoShareServer ,值為0 。。重啟一下，測試。已經永久生效了。
9、重命Administrator和Guest帳戶,密碼必須複雜。GUEST使用者我們可以複製一段文字作為密碼，你說這個密碼誰能破。。。。也只有自己了。...
重新命名管理員使用者組Administrators。
10、建立一個陷阱使用者Administrator，許可權最低。

上面二步重新命名最好放在安裝IIS和SQL之前做好，那我這裡就不演示了。

11、本地策略——>稽核策略
稽核策略更改 成功 失敗
稽核登入事件 成功 失敗
稽核物件訪問 失敗
稽核過程跟蹤 無稽核
稽核目錄服務訪問 失敗
稽核特權使用 失敗
稽核系統事件 成功 失敗
稽核賬戶登入事件 成功 失敗
稽核賬戶管理 成功 失敗

12、本地策略——>使用者許可權分配
關閉系統：只有Administrators 組、其它的全部刪除。

管理模板 > 系統 顯示“關閉事件跟蹤程式”更改為已禁用。這個看大家喜歡。

13、本地策略——>安全選項
互動式登陸：不顯示最後的使用者名稱 啟用
網路訪問：不允許SAM 帳戶和共享的匿名列舉 啟用
網路訪問: 不允許儲存網路身份驗證的憑據或 .NET Passports 啟用
網路訪問：可遠端訪問的登錄檔路徑 全部刪除
網路訪問：可遠端訪問的登錄檔路徑和子路徑 全部刪除
14、禁止dump file 的產生。
系統屬性>高階>啟動和故障恢復把 寫入除錯資訊 改成“無”
15、禁用不必要的服務。
TCP/IP NetBIOS Helper
Server 
Distributed Link Tracking Client
Print Spooler
Remote Registry
Workstation

16、站點方件夾安全屬性設定
刪除C:\ inetpub 目錄。刪不了，不研究了。把許可權最低。。。禁用或刪除預設站點。我這裡不刪除了。停止即可。一般給站點目錄許可權為：
System 完全控制
Administrator 完全控制
Users 讀
IIS_Iusrs 讀、寫
在IIS7 中刪除不常用的對映 建立站點試一下。一定要選到程式所在的目錄，這裡是www.postcha.com目錄，如果只選擇到wwwroot目錄的話，站點就變成子目錄或虛擬目錄安裝了，比較麻煩。所以一定要選擇站點檔案所在的目錄，填上主機頭。因為我們是在虛擬機器上測試，所以對hosts檔案修改一下，模擬用域名訪問。真實環境中，不需要修改hosts檔案，直接解釋域名到主機就行。目錄許可權不夠，這個下個教程繼續說明。至少，我們的頁面已經正常了。

17、禁用IPV6。看操作。 

在windows server 2008 R2作業系統下部署weblogic web application，部署完成後進行測試，發現測試頁的地址使用的是隧道介面卡的地址，而不是靜態的ip地址，而且所在的網路並沒有ipv6接入，因此決定將ipv6和隧道介面卡禁用，操作如下：
禁用ipv6很簡單，進入 控制面板\網路和 Internet\網路和共享中心 單擊面板右側“更改介面卡設定”進入網路連線介面，選擇要設定的連線，右鍵選擇屬性，取消Internet 協議版本 6 (TCP/IPv6) 前面的選擇框確定即可。

要禁用隧道介面卡需要更改登錄檔資訊，操作如下：
開始 -> 執行 - > 輸入 Regedit 進入登錄檔編輯器 
定位到： 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters] 
右鍵點選 Parameters，選擇新建 -> DWORD (32-位)值 
命名值為 DisabledComponents，然後修改值為 ffffffff (16進位制) 
重啟後生效 
DisableComponents 值定義：
0， 啟用所有 IPv 6 元件，預設設定 
0xffffffff，禁用所有 IPv 6 元件, 除 IPv 6 環回介面 
0x20， 以字首策略中使用 IPv 4 而不是 IPv 6 
0x10， 禁用本機 IPv 6 介面 
0x01， 禁用所有隧道 IPv 6 介面 
0x11， 禁用除用於 IPv 6 環回介面所有 IPv 6 介面

OVER ! 重啟下伺服器吧