Windows server 2008 R2 服務器系統安全防護加固方法

時間 2019-11-06

標籤 windows server r2 服務器系統安全防護加固方法欄目 Windows 简体版

原文原文鏈接

一.更改終端默認端口號php

步驟：mysql

1.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp]，看見PortNamber值了嗎？其默認值是3389，修改爲所但願的端口便可，例如12345 3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值（默認是3389）修改爲端口12345（自定義）。ios

4.防火牆中設置ipsec 編輯規則修改完畢，從新啓動電腦，之後遠程登陸的時候使用端口12345就能夠了。web

二.NTFS權限設置sql

注意：shell

一、2008R2默認的文件夾和文件全部者爲TrustedInstaller，這個用戶同時擁有全部控制權限。二、註冊表同的項也是這樣，全部者爲TrustedInstaller。三、若是要修改文件權限時應該先設置管理員組 administrators 爲全部者，再設置其它權限。四、若是要刪除或更名註冊表，一樣也需先設置管理員組爲全部者，同時還要應該到子項，windows

直接刪除當前項仍是刪除不掉時能夠先刪除子項後再刪除此項安全

步驟：服務器

1.C盤只給administrators 和system權限，其餘的權限不給，其餘的盤也能夠這樣設置（web目錄權限依具體狀況而定）
2.這裏給的system權限也不必定須要給，只是因爲某些第三方應用程序是以服務形式啓動的，須要加上這個用戶，不然形成啓動不了。網絡

Windows目錄要加上給users的默認權限，不然ASP和ASPX等應用程序就沒法運行（若是你使用IIS的話，要引用windows下的dll文件）。

3.c:/user/ 只給administrators 和system權限

三.刪除默認共享

步驟：

1.打開dos，net share 查看默認共享
2.新建文本文檔輸入命令

net share c$ /del net share d$ /del //若有E盤可再添加默認共享名均爲c$、d$等
net share IPC$ /del net share admin$ /del 另存爲sharedelte.bat

3.運行gpedit.msc，展開windous設置—腳本（啓動\關機）—啓動）—右鍵屬性—添加sharedelte.bat

同理可編輯其它規則

四.ipsec策略
以遠程終端爲例1.控制面板——windows防火牆——高級設置——入站規則——新建規則——端口——特定端口tcp（如3389）——容許鏈接 2.完成以上操做以後右擊該條規則做用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口能夠經過此功能對特定網段屏蔽（如80端口）

其它請參考win2003安全優化

Windows 2008 R2服務器的安全加固補充

最近託管了一臺2U服務器到機房，安裝的是Windows 2008系統，打算用IIS作web server，所以須要把沒用的端口、服務關閉，減少風險。

我發現如今網絡上有價值的東西實在是太少了，不少人都是轉載來轉載去，學而不思，沒有一點養分。仍是本身總結總結吧，大概有如下幾步：

如何關掉IPv6？

這一點國內國外網站上基本上都有了共識，都是按照下面兩步來進行。聽說執行以後就剩本地換回路由還沒關閉。但關閉以後我發現某些端口仍是同時監聽ipv4和ipv6的端口，尤爲是135端口，已經把ipv4關閉了，ipv6居然還開着。匪夷所思啊……

先關閉網絡鏈接->本地鏈接->屬性->Internet協議版本 6 (TCP/IPv6)

而後再修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增長一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

重啓服務器便可關閉ipv6

如何關閉135端口？

這個破端口是RPC服務的端口，之前出過不少問題，如今貌似沒啥漏洞了，不過仍是心有餘悸啊，想關的這樣關：

開始->運行->dcomcnfg->組件服務->計算機->個人電腦->屬性->默認屬性->關閉「在此計算機上啓用分佈式COM」->默認協議->移除「面向鏈接的TCP/IP」

可是感受作了以上的操做還能看到135在Listen狀態，還能夠試試這樣。

在cmd中執行：netsh rpc add 127.0.0.0，這樣135端口只監聽127.0.0.1了。

如何關閉445端口？

445端口是netbios用來在局域網內解析機器名的服務端口，通常服務器不須要對LAN開放什麼共享，因此能夠關閉。

修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0

關閉Netbios服務（關閉139端口）

網絡鏈接->本地鏈接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS

關閉LLMNR（關閉5355端口）

什麼是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用於解析本地網段上的名稱，沒啥用但還佔着5355端口。

使用組策略關閉，運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啓用

還有一種方法，我沒嘗試，若是沒有組策略管理的能夠試試，修改註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsof\Windows NT\DNSClient，新建一個Dword項，名字：EnableMulticast，值：0

關閉Windows Remote Management服務（關閉47001端口）

Windows遠程管理服務，用於配合IIS管理硬件，通常用不到，但開放了47001端口很不爽，關閉方法很簡單，禁用這個服務便可。

關閉UDP 500，UDP 4500端口

這兩個端口讓我搜索了半天，雖然知道應該和×××有關，可是不知道是哪一個服務在佔用。最後終於找到了，實際上是IKE and AuthIP IPsec Keying Modules服務在做怪。若是你的服務器上不運行基於IKE認證的×××服務，就能夠關閉了。（我用的是PPTP方式鏈接×××，把ipsec和ike都關閉了）

刪除文件和打印機共享

網絡鏈接->本地鏈接->屬性，把除了「Internet協議版本 4」之外的東西都勾掉。

關閉文件和打印機共享

直接中止「server」服務，並設置爲禁用，重啓後再右鍵點某個磁盤選屬性，「共享」這個頁面就不存在了。

比較重要的幾部

1.更改默認administrator用戶名，複雜密碼
2.開啓防火牆
3.安裝殺毒軟件

1)新作系統必定要先打上補丁
2)安裝必要的殺毒軟件
3)刪除系統默認共享

4)修改本地策略——>安全選項
交互式登錄：不顯示最後的用戶名啓用
網絡訪問：不容許SAM 賬戶和共享的匿名枚舉啓用
網絡訪問: 不容許存儲網絡身份驗證的憑據或 .NET Passports 啓用
網絡訪問：可遠程訪問的註冊表路徑和子路徑所有刪除
5)禁用沒必要要的服務
TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation
6)禁用IPV6

server 2008 r2交互式登陸: 不顯示最後的用戶名

其實最重要的就是開啓防火牆+服務器安全狗（安全狗自帶的一些功能基本上都設置的差很少了）+mysql(sqlserver)低權限運行基本上就差很少了。3389遠程登陸，必定要限制ip登陸。

1、系統及程序

一、屏幕保護與電源

桌面右鍵--〉個性化--〉屏幕保護程序，屏幕保護程序選擇無，更改電源設置選擇高性能，選擇關閉顯示器的時間關閉顯示器選從不保存修改

二、配置IIS7組件、FTP七、php 5.5.七、mysql 5.6.1五、phpMyAdmin 4.1.八、phpwind 9.0、ISAPI_Rewrite環境。在這裏我給你們能夠推薦下阿里雲的服務器一鍵環境配置，全自動安裝設置很不錯的。點擊查看地址

2、系統安全配置

一、目錄權限

除系統所在分區以外的全部分區都賦予Administrators和SYSTEM有徹底控制權，以後再對其下的子目錄做單獨的目錄權限

二、遠程鏈接

個人電腦屬性--〉遠程設置--〉遠程--〉只容許運行帶網絡超級身份驗證的遠程桌面的計算機鏈接，選擇容許運行任意版本遠程桌面的計算機鏈接(較不安全)。備註：方便多種版本Windows遠程管理服務器。windows server 2008的遠程桌面鏈接，與2003相比，引入了網絡級身份驗證（NLA，network level authentication)，XP SP3不支持這種網絡級的身份驗證，vista跟win7支持。然而在XP系統中修改一下注冊表，便可讓XP SP3支持網絡級身份驗證。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中雙擊Security Pakeages，添加一項「tspkg」。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders，在右窗口中雙擊SecurityProviders，添加credssp.dll；請注意，在添加這項值時，必定要在原有的值後添加逗號後，別忘了要空一格（英文狀態）。而後將XP系統重啓一下便可。再查看一下，便可發現XP系統已經支持網絡級身份驗證

三、修改遠程訪問服務端口

更改遠程鏈接端口方法，可用windows自帶的計算器將10進制轉爲16進制。更改3389端口爲8208，重啓生效！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0002010

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002010

（1）在開始--運行菜單裏,輸入regedit,進入註冊表編輯,按下面的路徑進入修改端口的地方
（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
（3）找到右側的 "PortNumber"，用十進制方式顯示，默認爲3389，改成(例如)6666端口
（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
（5）找到右側的 "PortNumber"，用十進制方式顯示，默認爲3389，改成同上的端口
（6）在控制面板--Windows 防火牆--高級設置--入站規則--新建規則
（7）選擇端口--協議和端口--TCP/特定本地端口：同上的端口
（8）下一步，選擇容許鏈接
（9）下一步，選擇公用
（10）下一步，名稱：遠程桌面-新(TCP-In)，描述：用於遠程桌面服務的入站規則，以容許RDP通訊。[TCP 同上的端口]
（11）刪除遠程桌面(TCP-In)規則
（12）從新啓動計算機

四、配置本地鏈接

網絡--〉屬性--〉管理網絡鏈接--〉本地鏈接，打開「本地鏈接」界面，選擇「屬性」，左鍵點擊「Microsoft網絡客戶端」，再點擊「卸載」，在彈出的對話框中「是」確認卸載。點擊「Microsoft網絡的文件和打印機共享」，再點擊「卸載」，在彈出的對話框中選擇「是」確認卸載。

解除Netbios和TCP/IP協議的綁定139端口：打開「本地鏈接」界面，選擇「屬性」，在彈出的「屬性」框中雙擊「Internet協議版本（TCP/IPV4）」，點擊「屬性」，再點擊「高級」—「WINS」，選擇「禁用TCP/IP上的NETBIOS」，點擊「確認」並關閉本地鏈接屬性。

禁止默認共享：點擊「開始」—「運行」，輸入「Regedit」，打開註冊表編輯器，打開註冊表項「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters」，在右邊的窗口中新建Dword值，名稱設爲AutoShareServer，值設爲「0」。

關閉 445端口：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建 Dword（32位）名稱設爲SMBDeviceEnabled 值設爲「0」

五、共享和發現

右鍵「網絡」屬性網絡和共享中心共享和發現
關閉，網絡共享，文件共享，公用文件共享，打印機共享，顯示我正在共享的全部文件和文件夾，顯示這臺計算機上全部共享的網絡文件夾

六、用防火牆限制Ping

網上本身查吧，ping仍是常常須要用到的

七、防火牆的設置

控制面板→Windows防火牆設置→更改設置→例外，勾選FTP、HTTP、遠程桌面服務核心網絡

HTTPS用不到能夠不勾

3306：Mysql
1433：Mssql

八、禁用不須要的和危險的服務，如下列出服務都須要禁用。

控制面板管理工具服務

Distributed linktracking client   用於局域網更新鏈接信息
PrintSpooler 打印服務
Remote Registry 遠程修改註冊表
Server 計算機經過網絡的文件、打印、和命名管道共享
TCP/IP NetBIOS Helper 提供
TCP/IP (NetBT) 服務上的
NetBIOS 和網絡上客戶端的
NetBIOS 名稱解析的支持
Workstation   泄漏系統用戶名列表與Terminal Services Configuration 關聯
Computer Browser 維護網絡計算機更新默認已經禁用
Net Logon   域控制器通道管理默認已經手動
Remote Procedure Call (RPC) Locator   RpcNs*遠程過程調用 (RPC) 默認已經手動
刪除服務sc delete MySql

九、安全設置-->本地策略-->安全選項

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-->Windows設置-->安全設置-->本地策略-->安全選項

交互式登錄：不顯示最後的用戶名　　　　　　　啓用
網絡訪問：不容許SAM賬戶的匿名枚舉　　　　啓用已經啓用
網絡訪問：不容許SAM賬戶和共享的匿名枚舉　　啓用
網絡訪問：不容許儲存網絡身份驗證的憑據　　　啓用
網絡訪問：可匿名訪問的共享　　　　　　　　　內容所有刪除
網絡訪問：可匿名訪問的命名管道　　　　　　　內容所有刪除
網絡訪問：可遠程訪問的註冊表路徑　　　　　　內容所有刪除
網絡訪問：可遠程訪問的註冊表路徑和子路徑　　內容所有刪除
賬戶：重命名來賓賬戶　　　　　　　　　　　　這裏能夠更改guest賬號
賬戶：重命名系統管理員賬戶　　　　　　　　　這裏能夠更改Administrator賬號

十、安全設置-->帳戶策略-->帳戶鎖定策略

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-->Windows設置-->安全設置-->帳戶策略-->帳戶鎖定策略，將帳戶鎖定閾值設爲「三次登錄無效」，「鎖定時間爲30分鐘」，「復位鎖定計數設爲30分鐘」。

十一、本地安全設置

選擇計算機配置-->Windows設置-->安全設置-->本地策略-->用戶權限分配
關閉系統：只有Administrators組、其它所有刪除。
經過終端服務拒絕登錄：加入Guests組、IUSR*****、IWAM*****、NETWORK SERVICE、SQLDebugger
經過終端服務容許登錄：加入Administrators、Remote Desktop Users組，其餘所有刪除

十二、更改Administrator，guest帳戶，新建一無任何權限的假Administrator帳戶

管理工具→計算機管理→系統工具→本地用戶和組→用戶
新建一個Administrator賬戶做爲陷阱賬戶，設置超長密碼，並去掉全部用戶組
更改描述：管理計算機(域)的內置賬戶

1三、密碼策略

選擇計算機配置-->Windows設置-->安全設置-->密碼策略
啓動密碼必須符合複雜性要求
最短密碼長度

1四、禁用DCOM （"衝擊波"病毒 RPC/DCOM 漏洞）

運行Dcomcnfg.exe。控制檯根節點→組件服務→計算機→右鍵單擊「個人電腦」→屬性」→默認屬性」選項卡→清除「在這臺計算機上啓用分佈式 COM」複選框。

1五、ASP漏洞

主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。

regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll

刪除可能權限不夠

del C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\system32\shell32.dll

若是確實要使用，或者也能夠給它們改個名字。

WScript.Shell能夠調用系統內核運行DOS基本命令

能夠經過修改註冊表，將此組件更名，來防止此類***的危害。

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

更名爲其它的名字，如：改成WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

本身之後調用的時候使用這個就能夠正常調用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值

HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值

也能夠將其刪除，來防止此類***的危害。

Shell.Application能夠調用系統內核運行DOS基本命令

能夠經過修改註冊表，將此組件更名，來防止此類***的危害。

HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\更名爲其它的名字，如：改成Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

本身之後調用的時候使用這個就能夠正常調用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

也能夠將其刪除，來防止此類***的危害。

禁止Guest用戶使用shell32.dll來防止調用此組件。

2000使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令：cacls C:\WINDOWS\system32\shell32.dll /e /d guests

禁止使用FileSystemObject組件，FSO是使用率很是高的組件，要當心肯定是否卸載。更名後調用就要改程序了，Set FSO = Server.CreateObject("Scripting.FileSystemObject")。

FileSystemObject能夠對文件進行常規操做,能夠經過修改註冊表，將此組件更名，來防止此類***的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
更名爲其它的名字，如：改成 FileSystemObject_ChangeName
本身之後調用的時候使用這個就能夠正常調用此組件了
也要將clsid值也改一下HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
也能夠將其刪除，來防止此類***的危害。
2000註銷此組件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003註銷此組件命令：RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用戶使用scrrun.dll來防止調用此組件？
使用這個命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests

1五、打開UAC

控制面板用戶帳戶打開或關閉用戶帳戶控制

1六、程序權限

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
或徹底禁止上述命令的執行
gpedit.msc-〉用戶配置-〉管理模板-〉系統
啓用阻止訪問命令提示符同時也停用命令提示符腳本處理
啓用阻止訪問註冊表編輯工具
啓用不要運行指定的windows應用程序，添加下面的
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

1七、Serv-u安全問題（我的建議不是特別高的要求不必用serv_U可使用FTP服務器 FileZilla Server ）

安裝程序儘可能採用最新版本，避免採用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個複雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口範圍（4001—4003）在本地服務器中設置中作好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截「FTP bounce」***和FXP，對於在30秒內鏈接超過3次的用戶攔截10分鐘。域中的設置爲：要求複雜密碼，目錄只使用小寫字母，高級中設置取消容許使用MDTM命令更改文件的日期。

更改serv-u的啓動用戶：在系統中新建一個用戶，設置一個複雜點的密碼，不屬於任何組。將servu的安裝目錄給予該用戶徹底控制權限。創建一個FTP根目錄，須要給予這個用戶該目錄徹底控制權限，由於全部的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，不然沒法操做文件。另外須要給該目錄以上的上級目錄給該用戶的讀取權限，不然會在鏈接的時候出現530 Not logged in, home directory does not exist。好比在測試的時候ftp根目錄爲d:soft，必須給d盤該用戶的讀取權限，爲了安全取消d盤其餘文件夾的繼承權限。而通常的使用默認的system啓動就沒有這些問題，由於system通常都擁有這些權限的。若是FTP不是必須天天都用，不如就關了吧，要用再打開。

下面是其它網友的補充：你們能夠參考下

Windows Web Server 2008 R2服務器簡單安全設置

一、新作系統必定要先打上已知補丁，之後也要及時關注微軟的漏洞報告。略。
二、全部盤符根目錄只給system和Administrator的權限，其餘的刪除。
三、將全部磁盤格式轉換爲NTFS格式。
命令：convert c:/fs:ntfs c:表明C盤，其餘盤類推。WIN08 r2 C盤必定是ntfs格式的，否則不能安裝系統
四、開啓Windows Web Server 2008 R2自帶的高級防火牆。
默認已經開啓。
五、安裝必要的殺毒軟件如mcafee，安裝一款ARP防火牆，安天ARP好像不錯。略。
六、設置屏幕屏保護。
七、關閉光盤和磁盤的自動播放功能。
八、刪除系統默認共享。
命令：net share c$ /del 這種方式下次啓動後仍是會出現，不完全。也能夠作成一個批處理文件，而後設置開機自動執動這個批處理。可是仍是推薦下面的方法，直修改註冊表的方法。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面新建AutoShareServer ,值爲0 。。重啓一下，測試。已經永久生效了。
九、重命Administrator和Guest賬戶,密碼必須複雜。GUEST用戶咱們能夠複製一段文本做爲密碼，你說這個密碼誰能破。。。。也只有本身了。...
重命名管理員用戶組Administrators。
十、建立一個陷阱用戶Administrator，權限最低。

上面二步重命名最好放在安裝IIS和SQL以前作好，那我這裏就不演示了。

十一、本地策略——>審覈策略
審覈策略更改成功失敗
審覈登陸事件成功失敗
審覈對象訪問失敗
審覈過程跟蹤無審覈
審覈目錄服務訪問失敗
審覈特權使用失敗
審覈系統事件成功失敗
審覈帳戶登陸事件成功失敗
審覈帳戶管理成功失敗

十二、本地策略——>用戶權限分配
關閉系統：只有Administrators 組、其它的所有刪除。

管理模板 > 系統顯示「關閉事件跟蹤程序」更改成已禁用。這個看你們喜歡。

1三、本地策略——>安全選項
交互式登錄：不顯示最後的用戶名啓用
網絡訪問：不容許SAM 賬戶和共享的匿名枚舉啓用
網絡訪問: 不容許存儲網絡身份驗證的憑據或 .NET Passports 啓用
網絡訪問：可遠程訪問的註冊表路徑所有刪除
網絡訪問：可遠程訪問的註冊表路徑和子路徑所有刪除
1四、禁止dump file 的產生。
系統屬性>高級>啓動和故障恢復把寫入調試信息改爲「無」
1五、禁用沒必要要的服務。
TCP/IP NetBIOS Helper
Server
Distributed Link Tracking Client
Print Spooler
Remote Registry
Workstation

1六、站點方件夾安全屬性設置
刪除C:\ inetpub 目錄。刪不了，不研究了。把權限最低。。。禁用或刪除默認站點。我這裏不刪除了。中止便可。通常給站點目錄權限爲：
System 徹底控制
Administrator 徹底控制
Users 讀
IIS_Iusrs 讀、寫
在IIS7 中刪除不經常使用的映射創建站點試一下。必定要選到程序所在的目錄，這裏是www.postcha.com目錄，若是隻選擇到wwwroot目錄的話，站點就變成子目錄或虛擬目錄安裝了，比較麻煩。因此必定要選擇站點文件所在的目錄，填上主機頭。由於咱們是在虛擬機上測試，因此對hosts文件修改一下，模擬用域名訪問。真實環境中，不須要修改hosts文件，直接解釋域名到主機就行。目錄權限不夠，這個下個教程繼續說明。至少，咱們的頁面已經正常了。

1七、禁用IPV6。看操做。

在windows server 2008 R2操做系統下部署weblogic web application，部署完成後進行測試，發現測試頁的地址使用的是隧道適配器的地址，而不是靜態的ip地址，並且所在的網絡並無ipv6接入，所以決定將ipv6和隧道適配器禁用，操做以下：
禁用ipv6很簡單，進入控制面板\網絡和 Internet\網絡和共享中心單擊面板右側「更改適配器設置」進入網絡鏈接界面，選擇要設置的鏈接，右鍵選擇屬性，取消Internet 協議版本 6 (TCP/IPv6) 前面的選擇框肯定便可。

要禁用隧道適配器須要更改註冊表信息，操做以下：
開始 -> 運行 - > 輸入 Regedit 進入註冊表編輯器
定位到：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
右鍵點擊 Parameters，選擇新建 -> DWORD (32-位)值
命名值爲 DisabledComponents，而後修改值爲 ffffffff (16進制)
重啓後生效
DisableComponents 值定義：
0，啓用全部 IPv 6 組件，默認設置
0xffffffff，禁用全部 IPv 6 組件, 除 IPv 6 環回接口
0x20，之前綴策略中使用 IPv 4 而不是 IPv 6
0x10，禁用本機 IPv 6 接口
0x01，禁用全部隧道 IPv 6 接口
0x11，禁用除用於 IPv 6 環回接口全部 IPv 6 接口

OVER ! 重啓下服務器吧

做者：GGxiaobai
來源：CSDN
原文：http://www.javashuo.com/article/p-qzcvwcor-eq.html 版權聲明：本文爲博主原創文章，轉載請附上博文連接！