WEB服务器硬件配置方案

1、WEB 服务器硬件配置方案、入门级常规服务器硬配置方案:硬件名称基本参数数量参考价CPU奔腾E2160系歹U,LPGA封装， 双核， 工作功率65W,核心电压1.25V,主频1800MHZ，总线频率800MHZ,倍频9,外频200MHZ,128M一级缓存，1M二级缓存，指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T1460内存KingstonDDRII6671G,采用 PBGA 封，频率 667MHZ1135主板采用IntelP965/ICH8芯片组，集成RealtekALC662声卡芯片，适用Core2Extreme/Core2Quad/Core2Duo/奔腾4/赛扬

2、D/PentiumD系列处理器。前端总线频率FSB1066MHz1599硬盘台式机硬盘容量：160GB转速/分:7200转/分缓存（KB）:8000KB接口类型：SerialATA接口速率：SerialATA3001380机箱机箱类型：金河田飓风II机箱样式：立式机箱结构：MicroATX/ATX3.5英寸仓位:1个软驱仓位+6个硬盘仓位光驱仓位：4个产品电源：金河田355WB3C1230光驱选配，普通DVD光驱1-散热器热器类型：CPU散热器散热方式：风冷风扇转数（RPM）:2200轴承类型:合金轴承适用范围：IntelLGA775Conroe、PentiumD、Pentium4Celero

3、nD全系歹U最大风量（CFM）:43CFM160UPSUPS电源类型后备式UPS额定输出容量：0.5kva1200稳压器选配1-显示器普通显示器1-限标键盘普通PS键盘和鼠标1100备注：作为 WEB 服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置白 UUPS 不间断电源和稳压器，此服务器配置能胜基本的 WEB 请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。、顶级服务器配置方案第壹页硬件名称基本参数采用 DELLPowerEdge2900(XeonE5310/2GB/146GB)配置CPUPowerEdge2900CPU频率1600MHZ,标配2个Xeon

4、E5310处理器，8M缓存。内存FB-DIMM,2GB,最大可配置48GB主板Inter5000X系列，FSB总线频率4066MHZ,6个扩展槽;集成ATIES1000控制器，含16MBSDRAM硬盘SAS结构，146GB容量；标配内置硬盘托架支持多达8块3.5SAS或SATA热插拔硬盘；支持两个半高（HH）驱动器托架提供磁带或光驱设备（可选CD-ROM、可选DVD-ROM或一体化CD-RW/DVD-ROM）网卡双嵌入式BroadcomNetXtremeII5708千兆以太网卡机箱478.9226.6674.3mm标准接口2个RJ-45（支持内置1GBNIC）后置、1个串口后置、6个通用串行总

5、线（USB）2.0端口（两个前置、4个后置卜2个视频（1个前置、1个后置）散热器6个+2个热插拔冗余风扇（6个标配，外加每个电源1个风扇）管理工具OpenManage、标配主板管理控制器，含IMPI2.0支持、可选DRAC5/i的先进功能备注:1,系统支持WindowsServer2003R2EnterpriseEdition、WindowsServer2003R2WebEdition、WindowsServer2003R2x64EnterpriseEdition、WindowsServer2003R2x64StandardEdition、WindowsStorageServer2003R2W

6、orkgroupEdition2,工作环境：相对工作温度10C-35C,相对工作湿度20%-80%无冷凝，相对存储温度-40C-65C,相对湿度5%-95%无冷凝3,以上配置为统一硬件配置，为 DELL 系列服务器标准配置，参考价位13000WEB 服务器软件配置和安全配置方案一、系统的安装1、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。2、IIS6.0的安装开始菜单一控制面板一添加或删除程序一添加/删除Windows组件应用程序ASP.NET（可选）|启用网络COM+访问（必选）|Internet信息服务（IIS）Internet信息服务

7、管理器（必选）|公用文件（必选）|万维网服务ActiveServerpages（必选）|Internet数据连接器（可选）|WebDAV发布（可选）|万维网服务（必选）|在服务器端的包含文件（可选）然后点击确定一下一步安装。3、系统补丁的更新点击开始菜单一所有程序一WindowsUpdate按照提示进行补丁的安装。4、备份系统用GHOST备份系统。5、安装常用的软件例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。二、系统权限的设置1、磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘DocumentsandSettings目录只给Adm

8、inistrators组和SYSTEM的完全控制权限系统盘DocumentsandSettingsAllUsers目录只给Administrators组和SYSTEM的完全控制权限系统盘Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限2、本地安全策略设置开始菜单一管理工具一本地安全策略A、本地策略审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审

9、核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒名登陆：加入GuestsUser组通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除第叁页网络访问：可匿名访问的命网络访问：可远程访问的注册表路径网络访问：可远程访问的注册表路径和子路径帐户：重命名来宾

10、帐户帐户：重命名系统管理员帐户3、禁用不必要的服务开始菜单一管理工具一服务PrintSpoolerRemoteRegistryTCP/IPNetBIOSHelperServer以上是在WindowsServer2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。4、启用防火墙桌面一网上邻居一（右键）属性一本地连接一（右键）属性一高级一（选中）Internet连接防火墙一设置把服务器上面要用到的服务端口选中例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）在“FTP服务器”、“WEB服务器（HTTP）远程桌面”前面打上对号如果你

11、要提供服务的端口不在里面，你也可以点击添加”镂钮来添加，具体参数可以参照系统里面原有的参数。然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。WindowsWindows20032003 安全配置 ,确保所有磁盘分区为 NTFS 分区 .操作系统、Web 主目录、日志分别安装在不同的分区 .不要安装不需要白协议，比如 IPX/SPX,NetBIOS? .不要安装其它任何操作系统*.安装所有补丁(用瑞星安全漏洞扫描下载)*.关闭所有不需要的服务* Alerter(disable)* ClipBookServer(disable)* ComputerBrowser

12、(disable)* DHCPClient(disable)* DirectoryReplicator(disable)* FTPpublishingservice(disable)* LicenseLoggingService(disable)* Messenger(disable)* Netlogon(disable)* NetworkDDE(disable)* NetworkDDEDSDM(disable)* NetworkMonitor(disable)* PlugandPlay(disableafterallhardwareconfiguration)* RemoteAccessSe

13、rver(disable)第肆页全部删除全部删除全部删除重命名一个帐户重命名一个帐户* RemoteProcedureCall(RPC)locater(disable)* Schedule(disable)* Server(disable)* SimpleServices(disable)* Spooler(disable)* TCP/IPNetbiosHelper(disable)* TelephoneService(disable)*.帐号和密码策略1)保证禁止 guest 帐号2)将 administrator 改名为比较难猜的帐号3)密码唯一性：记录上次的 6 个密码4)最短密码期限：

14、25)密码最长期限：426)最短密码长度：87)密码复杂化(passfilt.dll):启用8)用户必须登录方能更改密码：启用9)帐号失败登录锁定的时限：610)锁定后重新启用的时间间隔：720 分钟 .保护文件和目录将C:winnt,C:winntconfig,C:winntsystem32,C:winntsystemeveryone 的写权限，限制 users 组的读写权限 .注册表一些条目的修改1)去除 logon 对话框中的 shutdown 按钮将 HKEY_LOCAL_MACHINESOFTWARE中ShutdownWithoutLogonREG_SZ 值设为 02)去除 logo

15、n 信息的 cashing 功能将 HKEY_LOCAL_MACHINESOFTWARE中CachedLogonsCountREG_SZ 值设为 04)限制 LSA 匿名访问将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA 中RestriCanonymousREG_DWORD 值设为 15)去除所有网络共享将 HKEY_LOCAL_MACHINESYSTEM中AutoShareServerREG_DWORD 值设为 0四、IISIIS 的安全配置等目录的访问权限做限制，限制 .关闭并删除默认站点：默认 FTP 站点默认 Web 站点管理

16、 Web 站点 .建立自己的站点，与系统不在一个分区，如D:wwwroot3.建立 E:Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是：Administrators（完全控制）System（完全控制） .删除 IIS 的部分目录：IISHelpC:winnthelpiishelpIISAdminC:system32inetsrviisadminMSADCC:ProgramFilesCommonFilesSystemmsadc删除 C:inetpub .删除不必要的 IIS 映射和扩展：IIS 被预先配置为支持常用的文件名扩展如.asp 和.shtm

17、文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：选择计算机名，点鼠标右键，选择属性：然后选择编辑然后选择主目录，点击配置选择扩展名和，点击删除如果不使用 serversideinclude,则删除.shtm.stm和.shtml .禁用父路径：“父路径”选项允许您在对诸如 MapPath 函数调用中使用“.”。在默认情况下，该选项处于启用状态，应该禁用它。禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父

18、路径”复选框。 .在虚拟目录上设置访问控制权限主页使用的文件按照文件类型应使用不同的访问控制列表：CGI（.exe,.dll,.cmd,.pl）Everyone（X）Administrators（完全控制）System（完全控制）脚本文件（.asp）Everyone（X）Administrators（完全控制）System（完全控制）include 文件（.inc,.shtm,.shtml）Everyone（X）第伍页Administrators（完全控制）System（完全控制）静态内容（.txt,.gif,.jpg,.html）Everyone（R）Administrators（完全控制）

19、第陆页System(完全控制)在创建 Web 站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。例如，目录结构可为以下形式：D:wwwrootmyserverstatic(.html)D:wwwrootmyserverinclude(.inc)D:wwwrootmyserverscript(.asp)D:wwwrootmyserverexecutable(.dll)D:wwwrootmyserverimages(.gif,.jpeg).启用日志记录确定服务器是否被攻击时，日志记录是极其重要的。应使用

20、W3C 扩展日志记录格式，步骤如下：打开 Internet 服务管理器：右键单击站点，然后从上下文菜单中选择“属性”。单击“Web 站点”选项卡。选中“启用日志记录”复选框。从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性”。单击“扩展属性”选项卡，然后设置以下属性：* 客户 IP 地址* 用户名* 方法* URI 资源* HTTP 状态* Win32 状态* 用户代理* 服务器 IP 地址*服务器端口五、删除 WindowsServerWindowsServer20032003 默认共享和禁用 IPCIPC 连接IPC$(InternetProcessConnecti

21、on)是共享命名管道”的资源， 它是为了让进程间通信而开放的命名管道， 通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。它是 WindowsNT/2000/XP/2003 特有的功能，但它有一个特点，即在同一时间内，两个IP 之间只允许建立一个连接。NT/2000/XP/2003 在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$,)和系统目录 winnt 或 windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但也为简称为 IPC 入侵者有意

22、或无意的提供了方便条件，导致了系统安全性能的降低。在建立 IPC 的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开 CMD 后输入如下命令即可进行连接：netuseipipc$password/user:usernqme。我们可以通过修改注册表来禁用 IPC 连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 中的 restrictanonymous 子键， 将其值改为 1 即可禁用 IPC 连接六、清空远程可访问的注册表路径大家都

23、知道，Windows2003 操作系统提供了注册表的远程访问功能，只有将远程可访问的注册表路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息.打开组策略编辑器，依次展开“计算机配置 fWindows 设置-安全设置-本地策略-安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可（如图 7）。七、关闭不必要的端口对于个人用户来说安装中默认的有些端口确实是没有什么必要的，关掉端口也就是关闭无用的服务。139 端口是 NetBIOS 协议所使用的端口，在安装了 TCP/IP

24、协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139 端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS 知道你的电脑中的一切！在以前的 Windows 版本中，只要不安装 Microsoft 网络的文件和打印共享协议，就可关闭 139 端口。但在 WindowsServer2003 中，只这样做是不行的。如果想彻底关闭 139 端口，具体步骤如下：鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页（如图 8）,然后去掉“Microsoft 网络的文件和打印共享”前面的（如图9）

25、,接下来选中“Internet 协议 （TCP/IP） ”，单击“属性”-“高级”-“WINS”，把“禁用 TCP/IP 上的 NetBIOS选中，即任务完成（如图 10）!对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。假如你的电脑中还装了 IIS,你最好重新设置一下端口过滤。步骤如下：选择网卡属性，然后双击“Internet 协议（TCP/IP）”，在出现的窗口中单击“高级”按钮，会进入“高级 TCP/IP 设置”窗口，接下来选择“选项”标签下的“TCP/IP 筛选”项，点“属性”按钮，会来到“TCP/IP 筛选”的窗口，在该窗口的“启用

26、TCP/IP 筛选（所有适配器）”前面打上，然后根据需要配置就可以了。如果你只打算浏览网页，则只开放 TCP 端口 80 即可，所以可以在“TCP 端口”上方选择“只允许”，然后单击“添加”按钮，输入 80 再单击“确定”即可八、杜绝非法访问应用程序WindowsServer2003 是一种服务器操作系统，为了防止登陆到其中的用户，随意启动服务器中的应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要根据不同用户的访问权限，来限制。他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置，即可实现这一目的，具体步骤如下：打开“组策略编辑器”的方法为：依次点击“开始-运行”，在“运

27、行”对话框中键入“gpedit.msc”命令并回车，即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台-用户配置-管理模板-系统”中的“只运行许可的 W1ndows 应用程序”并启用此策略然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可九、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于 14 位。2、新建一个名为 Administrator 的陷阱帐号，为其设置最小的权限，然后随便输入组合的

28、最好不低于 20 位的密码3、将 Guest 账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个 DelGuest的工具，也许你也可以利用它来删除 Guest 账户，但我没有试过。4、在运行中输入 gpedit.msc 回车，打开组策略编辑器，选择计算机配置-Windows 设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时时间间隔 60 分钟”，“复位锁定计数设为 30 分钟”。5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留 Internet 来宾账户、启动

29、 IIS进程账户。如果你使用了 A 还要保留 Aspnet 账户。7、创建一个 User 账户，运行系统，如果要运行特权命令使用 Runas 命令。十、网络服务安全管理1、禁止 C$、D$、ADMIN$一类的缺省共享2 、解除 NetBios 与 TCP/IP 协议的绑定3 、关闭不需要的服务，以下为建议选项ComputerBrowser:维护网络计算机更新，禁用DistributedFileSystem:局域网管理共享文件，不需要禁用Distributedlinktrackingclient:用于局域网更新连接信息，不需要禁用Errorreportingservice:禁止发送错误报告Mic

30、rosoftSerch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide:telnet 服务和 MicrosoftSerch 用的,不需要禁用PrintSpooler：如果没有打印机可禁用RemoteRegistry:禁止远程修改注册表RemoteDesktopHelpSessionManager:禁止远程协助十一、打开相应的审核策略在运行中输入 gpedit.msc 回车，打开组策略编辑器，选择计算机配置-Windows 设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太

31、少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。推荐的要审核的项目是：第玖页登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败十二、其它安全相关设置4 、隐藏重要文件/目录5 、启动系统自带的 Internet 连接防火墙，在设置服务选项中勾选 Web 服务器。6 、防止 SYN 洪水攻击7 .禁止响应 ICMP 路由通告报文8 .防止 ICMP 重定向报文的攻击9 .不支持 IGMP 协议7、禁用 DCOM:十三、配置 IISIIS 服务：1、不使用默认的 Web 站点，如果使用也要将将 IIS 目录与系统磁盘分开。2

32、、删除 IIS 默认创建的 Inetpub 目录(在安装系统的盘上)。3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。4、删除不必要的 IIS 扩展名映射。右键单击“默认 Web 站点-属性-主目录-配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml,.shtm,.stm5、更改 IIS 日志的路径右键单击“默认 Web 站点-属性-网站-在启用日志记录下点击属性6、如果使用的是 2000 可以使用 iislockdown 来保护 IIS,在 2003 运行的 IE6.0

33、的版本不需要。7、使用 UrlScan但如果你在服务器运行 ASP.NET 程序，并要进行调试你需打开要WINDIR%System32InetsrvURLscan文件夹中的 URLScan.ini 文件，然后在 UserAllowVerbs 节添加 debug 谓词，注意此节是区分大小写的。如果你的网页是.asp 网页你需要在 DenyExtensions 删除.asp 相关的内容。如果你的网页使用了非 ASCII 代码，你需要在 Option 节中将 AllowHighBitCharacters 的值设为 1 在又URLScan.ini 文件做了更改后，你需要重启 IIS 服务才能生效，快速

34、方法运彳 T 中输入 iisreset 如果你在配置后出现什么问题，你可以通过添加/删除程序删除 UrlScan。8、利用 WIS(WebInjectionScanner)工具对整个网站进行 SQLInjection 脆弱性扫描.十四、配置 SqlSql 服务器1、SystemAdministrators 角色最好不要超过两个2、如果是在本机最好将身份验证配置为 Win 登陆3、不要使用 Sa 账户，为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为：usemastersp_dropextendedproc扩展存储过程名,xp_cmdshell:是进入操作系统的最佳捷径， 删除访问注册

35、表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues5、隐藏 SQLServer、更改默认的 1433 端口右击实例选属性-常规-网络配置中选择 TCP/IP 协议的属性，选择隐藏 SQLServer 实例，并改原默认的 1433 端口。十五、如果只做服务器，不进行其它操作，使用 IPSecIPSec1-管理工具一本地安全策略一右击 IP 安全策略一管理 IP 筛选器表和筛选器操作一在管理 IP筛选器表选项下点击添加一名称设为 Web 筛选器一点击添加一在描述中输入 Web 服务器一将源地址设

36、为任何 IP 地址一一将目标地址设为我的 IP 地址一一协议类型设为 Tcp 一一 IP 协议端口第一项设为从任意端口，第二项到此端口 80点击完成一一点击确定。2、再在管理 IP 筛选器表选项下点击添加一名称设为所有入站筛选器一点击添加一在描述中输入所有入站筛选一将源地址设为任何 IP 地址一一将目标地址设为我的 IP 地址一一协议类型设为任意一一点击下一步一一完成一一点击确定。3、在管理筛选器操作选项下点击添加一一下一步一一名称中输入阻止一一下一步一一选择阻止一一下一步一一完成一一关闭管理 IP 筛选器表和筛选器操作窗口4、 右击 IP 安全策略一一创建 IP 安全策略一一下一步一一名称输

37、入数据包筛选器一一下一步一一取消默认激活响应原则一一下一步一一完成5、在打开的新 IP 安全策略属性窗口选择添加一一下一步一一不指定隧道一一下一步一一所有网络连接一一下一步一一在 IP 筛选器列表中选择新建的 Web 筛选器一一下一步一一在筛选器操作中选择许可一一下一步一一完成一一在 IP 筛选器列表中选择新建的阻止筛选器一一下一步一一在筛选器操作中选择阻止一一下一步一一完成一一确定6、在 IP 安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec 就可生效.十七、如何配置一台坚固安全的 win2003win2003 服务器1）确定你要用它来干什么，需要开什么服务，什么

38、是不必要的，没用地就别装（像 Index 什么的），不必要的服务全都可以关掉。在控制面版=管理=工具中，自己看着办，如下服务是一定要禁止的：RemoteRegistryServiceXp_regreadXp_regwriteOLE 自动存储过程，不需要删除Sp_OACreateSp_OADestroySp_OAMethodSp_OASetPropertyXp_regremovemultistringSp_OAGetErrorInfoSp_OAGetPropertySp_OAStopRunAsServiceTaskSchedulerTelnetWindowsTime其他不必要的服务可以设为手动方

39、式。SNMPService 和 SNMPTrapService 最好也关掉，要用的话，把管理公共字改掉。2）打补丁。确定你打上了 Win2kSP2;3）IIS 配置。1,在 IIS 管理器中，去处所有不必要的扩展关联（基本上除了 ASP/ASA 等几个必要的和 CGI 之类的外，其他都可以去掉）有可能的话，可以安装一个 SecureIIS,还是有一定效果的。2,校验 ftp 权限，差不多就自己看着办吧，不要被人家 tag 就可以了_*4）MSSQL。首先，记得一定要加一个难记得密码，不然就什么都完了。然后记得升级 SQL7.0SP2 和 SQL2kSP1.5）TerminalServer。打了

40、 SP2 基本就没太大问题，只要彳的系统不是没密码高级部分：1）类防火墙限制。这需要我们打开 MS 的 IPSEC 服务，然后选择网络设置=网络界面属性=TCP/IP=高级=选项简单一点的话，就用 TCP/IP 筛选，确定指开放那些端口，比如 80,1433 等等（可惜开放 ftp 服务的话，经常会乱开端口的，难以确定）；要求高级的话，自己定义一个 IPSEC 策略，可以精确的过滤例如某种 ICMP 类型等等可以做到水泄不通哦，不要到时候你自己也进不去了就好_*2）NetBIOS 设置。历史以来，netbios 是仅次于 IIS 的 winnt 安全问题最多的服务，简直就是后门打开。至少做这样

41、一条设置：注册表编辑Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous=1可以禁止 IPC$空用户连接，防止信息泄漏和其他更严重的安全问题。3）TerminalServer 加强。注册表编辑：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName=1可以让别人在 ts 中看不到你上次登录的用户名，有安全了一点点（记住，别人获取你的信息越少，你就越安全）4）系统文件目录权限检查。基本的策略，可以在

42、文件属性中修改，避免有 everyone 完全控制的目录，大部分文件最好禁止everyone 写，甚至读。对于系统的重要文件和目录，例如 system32 等等，可以用 Win2kResoueceKit 中的一个工具 xacls详细的加强访问控制。5）预防信息监测和 DOS 攻击必要的话，打开 RSAS 或者自己添加一个 IPSEC 安全策略，过滤掉 ICMPEcho 和 Redrict 类型，这样别人 ping你就不会有反映，而如果 ping 不通的话，可能别人就此罢手了_*而且缺省配置下，很多的漏洞扫描器 ping 不通就不扫了，西西。（当然啦，如果你有更强的防火墙，哪就更好）一定程度的 DoS 预防：在注册表 HKLMSYSTEMCurrentControlSetServicesTcpipParamete