标签： Windows

2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般入侵，需要高级服务器安全维护，请联系我。我们一起交流一下！做为一个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的密码一定要强壮！
服务器安全设置
1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.
2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.

3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.



4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.

5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.

6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.

7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。)

8.在安全设置里 本地策略-安全选项 将
网络访问:可匿名访问的共享 ;
网络访问:可匿名访问的命名管道 ;
网络访问:可远程访问的注册表路径 ;
网络访问:可远程访问的注册表路径和子路径 ;
以上四项清空.

9.在安全设置里 本地策略-安全选项通过终端服务拒绝登陆 加入
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了.)

10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000

11. 禁用不需要的和危险的服务,以下列出服务都需要禁用.
Alerter 发送管理警报和通知
Computer Browser:维护网络计算机更新
Distributed File System: 局域网管理共享文件
Distributed linktracking client 用于局域网更新连接信息
Error reporting service 发送错误报告
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
Remote Registry 远程修改注册表
Removable storage 管理可移动媒体、驱动程序和库
Remote Desktop Help Session Manager 远程协助
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Messenger 消息文件传输服务
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的
PrintSpooler 打印服务
telnet telnet服务
Workstation 泄漏系统用户名列表
12.更改本地安全策略的审核策略
账户管理 成功失败
登录事件 成功失败
对象访问 失败
策略更改 成功失败
特权使用 失败
系统事件 成功失败
目录服务访问 失败
账户登录事件 成功 失败
13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
c.exe 特殊文件 有可能在你的计算机上找不到此文件.
在搜索框里输入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 点击搜索 然后全选 右键 属性 安全

以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.
14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。
以上是设置安全服务器必要的步骤.下面我们来说说数据库安装.
1.在企业管理器内建立一个空的数据库名为oblog4,打开查询分析器,将data目录的oblog4.sql导入查询分析器.找到oblog4数据库执行.
2.将初始数据库oblog4.mdb导入我们刚刚建立好的数据库.
好了数据库装好了,下面我们来说说IIS的安全设置.
1. 在计算机管理中设定一个新的用户组 iis guest 这个用户组来将我们的站点使用的匿名用户归类.方便管理.
2. 新建一个用户已 U_开头 以后站点的匿名用户就都是以U_开头方便识别和管理 当然你可以自己设定,只要方便识别即可.然后去掉其所归属的user用户组添加入 iis guest用户组.比如新建的站点是www.lovalaozang.cn 那么我我们就新建一个
U_lovelaozang.cn用户,然后将它除去user组的隶属关系,然后将其加入guest组.
3. 在发布盘上新建一个文件夹作为网站目录.再这里我们新建E:wwwroot为我们的站点文件夹[目录最好带有迷惑性如:E:wireless security]
4. 将网站传入到此文件夹下.
5. 设置iis发布此站点.站点的主机头设为您的域名.

6. 设置iis匿名用户访问权限为刚刚我们新建的U_lovelaozang.cn用户.

7. 设置发布目录文件夹权限所有为U_lovelaozang.cn用户读取运行权限.

8. 设置 目录U(用户日志生成静态目录),目录 Uploadfiles(上传目录) skin下的skin.mdb 根目录下的 index.html 等目录或文件权限为可以修改.

9. 在iis上设置Uploadfiles文件夹为不可执行脚本.

10. 修改conn.asp和config.asp文件.适应我们的设置.

11. 访问您设定的网址 安装完成.

windows下根目录的权限设置：

C:WINDOWSDownloaded Program Files 默认不改

C:WINDOWSOffline Web Pages 默认不改

C:WINDOWSHelp TERMINAL SERVER USER 除前两项权限不选其余都选

C:WINDOWSIIS Temporary Compressed Files IIS_WPG选全部权限

C:WINDOWSInstaller 删除EVEryone组权限

C:WINDOWSPrefetch 默认权限不改

C:WINDOWSRegistration 添加NETWORK SERVICE 选择其中三项权限，其它保留默认

C:WINDOWSsystem32 添加NETWORK SERVICE 选择其中三项权限，其它保留默认

C:WINDOWSTAPI 删除user组，其它组的权限保留默认

C:WINDOWSTemp 删除user组，其它组的权限保留默认

C:WINDOWSWeb 注意权限设置为继承。具体看演示

C:WINDOWSWinSxS 添加NETWORK SERVICE 选择其中三项权限，其它保留默认

C:WINDOWSApplication Compatibility Scripts

C:WINDOWSDebugUserMode 删除users组的权限
C:WINDOWSDebugWPD 目录删除Authenticated Users组权限。其它默认不变

C:WINDOWSime

C:WINDOWSinf

C:WINDOWSInstaller 删除其子目录下所有包含EVEryone组的权限

C:WINDOWSMicrosoft.NET 和C:WINDOWSMicrosoft.NETFrameworkv1.1.4322 子目录中有很多组权限。保留默认就行

C:WINDOWSPCHealthUploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和EVEryone组权限
C:WINDOWSPCHealthHelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和EVEryone组权限
如果C:WINDOWSPCHealth还有其它演示中没有的目录，也如此操作，依情况灵活运用

C:WINDOWSRegistrationCRMLog 删除users组的权限

C:WINDOWSsecuritytemplates 删除users组的权限及多余权限，看演示

下面开始
system32根目录的设置：

此目录中基本上是删除user组和其它不必要的组后，其余组的权限保留就行了。要改的地方没几处

C:WINDOWSsystem32GroupPolicy 删除Authenticated Users组，其下子目录保留默认不用改就行*******

C:WINDOWSsystem32inetsrv 及其下子目录均保持不改就行*******

C:WINDOWSsystem32spool*************
C:WINDOWSsystem32spooldrivers 删除EVEryone组的权限
C:WINDOWSsystem32spoolPRINTERS 删除EVEryone组的权限

C:WINDOWSsystem32wbemAutoRecover 删除EVEryone组的权限
C:WINDOWSsystem32wbemLogs 同上
C:WINDOWSsystem32wbemmof 同上
C:WINDOWSsystem32wbemRepository 同上
在这里提供给大家一段批处理 windows 2003权限设置批处理
echo.
echo ------------------------------------------------------
echo.
echo ...........
echo.
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
net stop server
net stop lanmanworkstation

本人从事IDC工作有很长的一段时间了，由于时常与Windows 2003打交道，加上多年长期管理多台Windows 2003虚拟主机，所以对windows 2003的系统安全与IIS设置方面有着自己的独到地看法，现将我的认识与看法共享出来与大家一同分享。
在实际生活中，我们有许多客户常抱怨自己的服务器老是被黑，我想在互联网上肯定也有很多管理服务器的同胞们时常在抱怨吧。为什么会这样呢？以我愚见，我认为系统的漏洞，只要你及时更新系统补丁，它的漏洞远比起您服务器的开发程序（诸如Web站点）要少得多。所以我写得这篇文章也是治标不治本的，或许只能对你的系统在被入侵过程中给黑客带来更大的考验，而在确保您的开发程序无漏洞的情况，此文档却能起到锦上添花的作用。
好了，废话还是少说，现在直入主题，我对系统安全从二个方面着手，一是权限，二是服务。开放服务仅需要的权限，以最小的权限运行服务，不用的服务坚决禁用。这就是我对安全的认识。
我这里说到的权限，包括系统权限与服务正常运行所需的权限，先讲系统权限，服务权限，我着重会在《Windows 2003系统安全+IIS下Web与FTP的完美结合（下）》中对Web服务的权限来加以阐述。
一、系统权限的设置
在网上有好多设置系统权限的文档，很多，雷同性也很大，你照着这些文档去逐个设置，花上个把小时是情理之中的事，而且效果也未必很明显。下面，我这里着重讲述我写的系统权限设置方法，在讲之前，我们学习一个命令——Cacls命令，命令用法如下：
C:Userstamenglang>cacls/?
显示或者修改文件的访问控制列表(ACL)
CACLS filename [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G user:perm]
[/R user […]] [/P user:perm […]] [/D user […]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中，指定文件的 ACL。
/L 对照目标处理符号链接本身
/M 更改装载到目录的卷的 ACL
/S 显示 DACL 的 SDDL 字符串。
/S:SDDL 使用在 SDDL 字符串中指定的 ACL 替换ACL。 /E、/G、/R、/P 或 /D 无效)。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
我们先看一个实例，针对此实例来再加以分析：
cacls C: /t /c /g administrators:F system:F
C: 表示C盘
/t表示这里的C盘的根目录及其所有子目录
/c表示在出现拒绝访问错误时继续
/g administrators:F system:F 表示赋予C盘的根目录及其所有子目录administrators与system的完全控制的权限,这里的F是完全控制，还有R表示读取，W表示写入，C表示更改
再讲几个我们下面需要的参数，OK？
/e 在原有权限的基本上增加用户的访问权限
/r 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)
或许你看了上面的这个命令，您或许会有所纳闷，为什么我要花这么长的篇幅去介绍好像与系统权限没有关系的文字呢？其实不然，我写上面命令的目的是准备写一个批处理脚本，来快速地（不到一分钟的时间）来帮您设置好您的系统权限。
现附上我新手写的系统盘加固脚本：
先不要急着复制运行，最后面有整个代码全集@echo off
echo 本程序是源自tamenglang.blog.51cto.com，tamenglang亲手创作，此程序会自动加固您的系统 …………………
cacls C: /t /c /g administrators:F system:F
Cacls "C:Program FilesCommon Files" /t /e /c /g everyone:R
Cacls "C:WINDOWSIIS Temporary Compressed Files" /t /e /c /g
everyone:C
Cacls C:WINDOWSMicrosoft.Net /t /e /c /g everyone:R
Cacls "C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files" /t /e /c /g everyone:C
Cacls "C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files" /t /e /c /g everyone:C
Cacls C:WINDOWSRegistration /t /e /c /g everyone:R
Cacls C:WINDOWSTemp /t /e /c /g everyone:C
Cacls C:WINDOWSassembly /t /e /c /g everyone:R
Cacls C:WINDOWSWinSxS /t /e /c /g everyone:R
Cacls C:WINDOWSFonts /t /e /c /g everyone:R
Cacls C:WINDOWSSystem32 /t /e /c /g everyone:R
Cacls C:windowssystem32msdtc /t /e /c /g networkservice:C
Cacls "C:WINDOWSsystem32inetsrvASP Compiled Templates"
/t /e /c /g everyone:C
Cacls C:WINDOWSSystem32*.exe /e /c /r everyone
Cacls C:WINDOWSSystem32cmd.exe /e /c /r system
Cacls C:WINDOWSSystem32net.exe /e /c /r system
Cacls C:WINDOWSSystem32net1.exe /e /c /r system
Cacls C:WINDOWSSystem32msdtc.exe /e /c /g everyone:R
Cacls C:WINDOWSSystem32dllhost.exe /e /c /g everyone:R
Cacls C:WINDOWSSystem32svchost.exe /e /c /g everyone:R

此程序实现的功能如下：
C: administrators,system完全控制
C:Program FilesCommon Files Everyone 读取
C:WINDOWSIIS Temporary Compressed Files Everyone 更改
C:WindowsMicrosoft.Net Everyone 读取
C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files Everyone 更改
C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files Everyone 更改
C:WindowsRegistration Everyone 读取
C:WindowsTemp Everyone 更改
C:Windowsassembly Everyone 读取
C:WindowsWinSxS Everyone 读取
C:WindowsFonts Everyone 读取
C:WindowsSystem32 Everyone 读取
C:windowssystem32msdtc NETWORK SERVICE 更改
C:WINDOWSsystem32inetsrvASP Compiled Templates Everyone 更改
C:WindowsSystem32*.exe 去除 Everyone 权限
C:windowssystem32msdtc.exe Everyone 读取
C:WindowsSystem32dllhost.exe Everyone 读取
C:WindowsSystem32svchost.exe Everyone 读取
系统权限的设置大致如上。
二、服务启动类型的设置
下面我们需要设置的是将一些不常用的服务停止，我们的通常做的操作是到服务中(命令提示符下用services.msc命令)中加以禁用，为了方便起见，这里我也以脚本的形式对不常用的服务加以停止。现在我们还需要学上一个用于与服务控制管理器通信的命令行程序，即sc命令，命令的用法如下：
用法:
sc [command] [service name]…
选项 的格式为 "\ServerName"
可以键入 "sc [command]"以获得命令的进一步帮助
命令:
query———–查询服务的状态，或枚举服务类型的状态。
queryex———查询服务的扩展状态，或枚举服务类型的状态。
start———–启动服务。
pause———–发送 PAUSE 控制请求到服务。
interrogate—–发送 INTERROGATE 控制请求到服务。
continue——–发送 CONTINUE 控制请求到服务。
stop————发送 STOP 请求到服务。
config———-(永久地)更改服务的配置。
description—–更改服务的描述。
failure———更改服务失败时所进行的操作。
qc————–查询服务的配置信息。
qdescription—-查询服务的描述。
qfailure——–查询失败服务所进行的操作。
delete———-(从注册表)删除服务。
create———-创建服务(将其添加到注册表)。
control———发送控制到服务。
sdshow———-显示服务的安全描述符。
sdset———–设置服务的安全描述符。
GetDisplayName–获取服务的 DisplayName。
GetKeyName——获取服务的 ServiceKeyName。
EnumDepend——枚举服务的依存关系。
因为我们要更改服务的启动类型，我们只需要了解sc config就可以了，sc config的用法如下：
sc config [service name]…
选项:
注意: 选项名称包括等号。
type=
start=
error=
binPath=
group=
因为我们这里要永久更改启动类型，只要用start选项加上disabled就可以了，好了，比方说我们要中止dhcp client这个服务，只需用如下命令：
sc config Dhcp start= disable
好了，为了系统安全，我们来对经常用不到的服务的启动类型来加以禁用设置吧
rem server
rem 微软：支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止，这些功能不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
sc config lanmanserver start= disabled

rem Help and Support
rem 启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。
rem 依存：remote Procedure Call (RPC)
sc config helpsvc start= disabled
三、组件的卸载
现在我们需要将一些不常用的组件加以卸载，在卸载它们前，我们还需要认识一个命令，一个注册或卸载动态链接库文件(DLL)和嵌入式控件(OCX)的命令，它就是regsvr32。命令的格式如下：
Regsvr32 [ /u ][ /s ][ /n ][ /i [ :cmdline ] ] dll文件名
Regsvr32命令一共有四个参数，我们只需用到二个就可以了，分别是:
/s:注册或卸载成功后不显示操作成功的提示框
/u:卸载已安装的控件或DLL文件
为了防止木马利用这些动态链接库与组件，我们需要将W.Shell 组件和Shell.application 组件加以卸载，代码如下：
rem 卸载W.Shell 组件和卸载Shell.application 组件
regsvr32 /u /s wshom.ocx
regsvr32 /u /s shell32.dll
好了，系统的安全基本上都讲完了，其他的诸如防火墙的设置，IP策略的设置等，我都不加以介绍了，因为这样的设置要根据自己的需求进行设置的，上面的这些设置是我经常对windows 2003进行系统安全常用的，从实践效果来看还是比较明显的，我想对于您来说肯定也是能用得上的。不过， 建议您在使用之前先要对自己的系统与服务进行评估再加以设置，不然到时候出现问题不知道从何着手就不好了。呵呵，到时可不要投诉我哟。
为了方便大家的总结与使用，现将上述所有的脚本综合如下，写成批处理脚本的形式，供大家借鉴与使用。
@echo off
echo 本程序是源自tamenglang.blog.51cto.com，tamenglang亲手创作，此程序会自动加固您的系统 …………………
cacls C: /t /c /g administrators:F system:F
Cacls "C:Program FilesCommon Files" /t /e /c /g everyone:R
Cacls "C:WINDOWSIIS Temporary Compressed Files" /t /e /c /g everyone:C
Cacls C:WINDOWSMicrosoft.Net /t /e /c /g everyone:R
Cacls "C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files" /t /e /c /g everyone:C
Cacls "C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files" /t /e /c /g everyone:C
Cacls C:WINDOWSRegistration /t /e /c /g everyone:R
Cacls C:WINDOWSTemp /t /e /c /g everyone:C
Cacls C:WINDOWSassembly /t /e /c /g everyone:R
Cacls C:WINDOWSWinSxS /t /e /c /g everyone:R
Cacls C:WINDOWSFonts /t /e /c /g everyone:R
Cacls C:WINDOWSSystem32 /t /e /c /g everyone:R
Cacls C:windowssystem32msdtc /t /e /c /g networkservice:C
Cacls "C:WINDOWSsystem32inetsrvASP Compiled Templates" /t /e /c /g everyone:C
Cacls C:WINDOWSSystem32*.exe /e /c /r everyone
Cacls C:WINDOWSSystem32cmd.exe /e /c /r system
Cacls C:WINDOWSSystem32net.exe /e /c /r system
Cacls C:WINDOWSSystem32net1.exe /e /c /r system
Cacls C:WINDOWSSystem32msdtc.exe /e /c /g everyone:R
Cacls C:WINDOWSSystem32dllhost.exe /e /c /g everyone:R
Cacls C:WINDOWSSystem32svchost.exe /e /c /g everyone:R

echo 现在此程序对您服务器的组件进行设置
rem 卸载W.Shell 组件和卸载Shell.application 组件
regsvr32 /u /s wshom.ocx
regsvr32 /u /s shell32.dll

系统的安全在上部分都已经讲述得差不多了，现在着手来对IIS中的Web与FTP来进行设置，使之能够完美结合在一起，此方法针对虚拟主机来说效果更佳，因为虚拟主机站点比较多，单独建那么多FTP站点不太现实。
首先看一台虚拟主机，以截图的方式展现给大家：

此虚拟主机只有一个ftp站点与80多个站点供客户使用，此ftp是如何让这么多虚拟主机客户去上传他们的站点程序的呢？这Ftp是如何与这么多Web站点完美结合在一起的呢？好了，现在我们来对IIS下的Web与Ftp来加以设置。
一、IIS下FTP站点搭建
按照常理来设置或者用Serv_U来设置的话，多少个Web站点，应该用多少个FTP站点与之相对应，如果这样的话，势必很繁烦，而且端口都不能一致（ftp默认端口为21)，因为如此，我们只建了一个FTP站点（上图中的“用户FTP”）来实现不同虚拟主机用户FTP访问的。具体做法如下：
1、建立FTP用户（即系统用户），可以到计算机管理中添加用户，我这里以命令的形式直接添加，建立二个用户test1，test2：

2、在D盘（根据个人的需要来设置，我这里直接以D盘来做说明）建立LocalUser文件夹，在其中建立二个站点文件夹test1，test2，D盘与test1，test2的权限设置为：
D: administrators,system 完全控制
D:LocalUsertest1 test1 完全控制
D:LocalUsertest2 test2 完全控制
用脚本的形式来操作，脚本代码如下：

Cacls D: /t /c /g administrators:F system:F
Cacls D:LocalUsertest1 /t /e /c /g test1:F
Cacls D:LocalUsertest2 /t /e /c /g test2:F
3、接着建立FTP站点，在建之前，先讲一下第2步的目的是什么？在第2步中使用LocalUser的目的其实就是为了FTP隔离用户（FTP用户名必须与站点目录名称要一致）而使用的，使用隔离用户，就不需要为每一个Web站点单独建上一个FTP站点了。还有，选择FTP站点主目录的时候一定要选择LocalUser上层的目录哟，在这里就是根目录D盘。好了，为了直观起见，我们看截图吧。

OK，看到上面的图片了吧，FTP关键设置就在这里，这样设置后，就可以保证LocalUser文件夹下面的站点目录对应用户都能各自访问自己的FTP了，是不是感觉很爽，呵呵。
二、IIS下Web站点的搭建
FTP的搭建基本设置完毕，现在紧接着对Web站点来加以设置，Web站点的设置只要注意一个地方即可，其他的地方与正常的设置雷同，这里就不加以阐述了，不知道你有没有注意到，我们在讲述FTP站点搭建时，提到给LocalUser下面的站点目录设置权限，而IIS下的Web默认匿名访问用户是IUSR_计算机名，此时由于站点目录下面没有此用户，所以我们需要在IIS下Web站点下面的匿名访问用户要加以更改，更改为对应网站目录的FTP用户，这里我们以test1站点来加以设置，请看截图：

这样的目的不仅是为了能够正常打开网站而设置的，更主要地是为了安全而考虑的。
这样一来，整个IIS下的FTP与Web的搭建基本上完成了，现在等待您的，就是去付诸实践了，呵呵，祝您成功哟！