一、系統(tǒng)的安裝 正常情況下Internet 信息服務(wù)(IIS)只需要選擇三項(xiàng)： Internet服務(wù)管理器 + Word Wide Web服務(wù)器 + 公用文件 附件和工具可以全部勾除(平常是用不到的)，再加上終端服務(wù)即可，其它統(tǒng)統(tǒng)勾除! 關(guān)于磁盤分區(qū): 正常情況下，C盤分10G已經(jīng)非常足夠使用，其它的應(yīng)用軟件均安裝到D盤，如提供FTP服務(wù)的SERV-U，以免系統(tǒng)崩潰后要全新安裝系統(tǒng) 的時(shí)間需要備份C盤數(shù)據(jù)。 二、安裝硬件的驅(qū)動(dòng)程序 經(jīng)常安裝驅(qū)程后重啟會(huì)自動(dòng)加載一些程序，可用超級(jí)兔子之類軟件清理一下啟動(dòng)項(xiàng)。其它的如聲卡的驅(qū)動(dòng)找不到，可以不用安裝，因?yàn)槠匠Ｓ貌坏铰暱ǎ恍枰褧r(shí)間浪費(fèi)在這里。有碰到系統(tǒng)能默認(rèn)認(rèn)出來的顯卡也無需再另裝驅(qū)動(dòng)程序。 二、補(bǔ)丁安裝 裝完系統(tǒng)后，如果安裝的系統(tǒng)是沒有打過SP4的，請(qǐng)先安裝Windows 2000 sp4，然后進(jìn)入Windows Update在線更新所有補(bǔ)丁。也可以下載補(bǔ)丁集(chinaz.com提供 的下載)直接安時(shí)間排序打上，以免浪費(fèi)時(shí)間，微軟的網(wǎng)站有時(shí)候非常慢的。 復(fù)制一些必要的軟件到D盤 如，WIN2K安裝目錄I386，可放置一份到D盤，以方便以后使用(如重裝IIS的時(shí)候)。 D盤新建一個(gè)SOFT目錄，用于存放常用軟件，如PHP，MYSQL，DUM，SERV-U，SQL SERVER等的安裝文件 三、系統(tǒng)安全設(shè)置 1，用戶管理 刪除TsInternetUser用戶，并且將Guest用戶改名禁用并且更改一個(gè)復(fù)雜的密碼！ 更改Administrator的用戶名以及密碼！ 2，不讓系統(tǒng)顯示上次登錄的用戶名，具體操作如下： 修改注冊(cè)表“HKLMSoftwareMicrosoftWindowsNTCurrent VersionWinlogonDont Display Last User Name”的鍵值，把REG_SZ 的鍵值改成1。 3，禁止建立空連接　 默認(rèn)情況下，任何用戶可通過空連接連上服務(wù)器，枚舉賬號(hào)并猜測(cè)密碼。可以通過以下兩種方法禁止 建立空連接。 （1）修改注冊(cè)表  Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成1。  （2）修改Win 2000的本地安全策略  設(shè)置“本地安全策略→本地策略→選項(xiàng)”中的RestrictAnonymous（匿名連接的額外限制）為“不容 許枚舉SAM賬號(hào)和共享”。 4，打開安全審核 管理工具--本地安全策略--本地策略--審核策略，正常情況下一共是9項(xiàng) 推薦設(shè)置為： 審核策略更改：成功 失敗 審核登錄事件：成功 失敗 審核對(duì)象訪問：失敗 審核特權(quán)使用：失敗 審核系統(tǒng)事件：成功 失敗 審核目錄服務(wù)訪問：失敗 審核賬戶登錄事件：成功 失敗 審核賬戶管理：成功 失敗 審核策略不需要全部打開，如對(duì)象訪問的成功項(xiàng)。否則將會(huì)占用過多的系統(tǒng)資源。 5，IP安全策略的配置。 可下載現(xiàn)成的策略直接導(dǎo)入(詳細(xì)配置方法可見網(wǎng)上文章)，如http://afei.blog.chinaz.com/UploadFiles/2006-1/128918890.rar ，下載后在管理工具--本地安全策略--IP安全策略 點(diǎn)右鍵選擇-所有任務(wù)--導(dǎo)入策略，導(dǎo)入后，指派為新IP安全策略，然后在管理工具--本地安全策略--安全設(shè)置 點(diǎn)右鍵選擇重新加載 6，關(guān)閉不必要和危險(xiǎn)的系統(tǒng)服務(wù) 一個(gè)新安裝好的Windows 2000 server系統(tǒng)，默認(rèn)應(yīng)該是存在以下服務(wù)，設(shè)置為以下狀態(tài)： Alerter - 禁用 Application Management - 禁用 Automatic Updates - 可禁用 Background Intelligent Transfer Service - 禁用 ClipBook - 禁用 COM+ Event System - 手動(dòng) Computer Browser - 禁用 DHCP ClIEnt - 禁用 Distributed File System - 禁用 Distributed Link Tracking Client - 自動(dòng) Distributed Link Tracking Server - 禁用 Distributed Transaction Coordinator - 自動(dòng) DNS Client - 自動(dòng) Event Log - 自動(dòng) Fax Service - 禁用 File Replication - 禁用 IIS Admin Service - 自動(dòng) Indexing Service - 手動(dòng) Internet Connection Sharing - 手動(dòng) Intersite Messaging 禁用 IPSEC Policy Agent - 自動(dòng) Kerberos Key Distribution Center - 禁用 License Logging Service - 禁用 Logical Disk Manager - 自動(dòng) Logical Disk Manager Administrative Service - 手動(dòng) Messenger - 禁用 Microsoft Search - 禁用 (本服務(wù)在裝了SQLSERVER2000 SP3后出現(xiàn)) Net Logon - 手動(dòng) NetMeeting Remote Desktop Sharing - 手動(dòng) Network Connections - 自動(dòng) Network DDE - 手動(dòng) Network DDE DSDM - 手動(dòng) NT LM Security Support Provider - 手動(dòng) Performance Logs and Alerts - 手動(dòng) Plug and Play 自動(dòng) Print Spooler 禁用 Protected Storage 自動(dòng) QoS RSVP - 手動(dòng) Remote Access Auto Connection Manager - 手動(dòng) Remote Access Connection Manager - 手動(dòng) Remote Procedure Call (RPC) - 自動(dòng) Remote Procedure Call (RPC) Locator - 手動(dòng) Remote Registry Service 必須禁用 Removable Storage - 自動(dòng) Routing and Remote Access - 禁用 RunAs Service - 禁用 Security Accounts Manager 自動(dòng) Smart Card - 手動(dòng) Smart Card Helper - 手動(dòng) System Event Notification 自動(dòng) Task Scheduler 必須禁用 TCP/IP NetBIOS Helper Service 必須禁用 Telephony - 手動(dòng) Telnet 禁用 Terminal Services - 自動(dòng) Uninterruptible Power Supply - 手動(dòng) Utility Manager - 手動(dòng) Windows Installer - 手動(dòng) Windows Management Instrumentation 自動(dòng) Windows Management Instrumentation Driver Extensions 自動(dòng) Windows Time - 手動(dòng) Wireless Configuration - 手動(dòng) Workstation 自動(dòng) World Wide Web Publishing Service 自動(dòng) 做為一個(gè)管理員，應(yīng)該知道各種服務(wù)都是做什么用的，例如有人入侵后須及時(shí)發(fā)現(xiàn)是否運(yùn)行了一些入侵者留下的服務(wù)。 7,修改注冊(cè)表 刪除如下目錄的任何鍵： HKEY_LOCAL_MacHINESOFTWARE MicrosoftOS/2 Subsystem for NT 刪除以下鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironmentOs2LibPath 刪除以下鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptional HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosix HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2 8，修改終端服務(wù)的默認(rèn)端口(如有必要才需要此操作，默認(rèn)為3389，可隨意修改為1-65535的端口) 打開注冊(cè)表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations”處 找到類似RDP-TCP的子鍵，修改PortNumber值。 9，網(wǎng)卡的端口篩選(看具體情況配置，正常情況不需要做此配置，此項(xiàng)配置需重啟才能生效) 網(wǎng)卡屬性里的tcp/ip協(xié)議屬性--->高級(jí)-->選項(xiàng)-->tcp/ip篩選屬性--> 第一項(xiàng):TCP端口： 只允許： ---(看具體這臺(tái)服務(wù)器提供什么服務(wù)添加) 80 （www服務(wù)） 21 (一般的ftp默認(rèn)) 53 (DNS服務(wù)) 110 (MAIL的SMTP服務(wù)) 25 (MAIL的POP3服務(wù)) 還有例如你的遠(yuǎn)程終端的端口(默認(rèn)為3389，也有可能你改為別的端口，如6666，則加上6666) 第二項(xiàng)UDP端口： 此項(xiàng)可不添加，因?yàn)橄拗屏艘院螅?wù)器則不能打開網(wǎng)頁(yè)等操作(當(dāng)然，也安全多了) 第三項(xiàng)IP協(xié)議： ip協(xié)議：只允許6 10，IIS安全配置 開始-->程序-->管理工具-->Internet 服務(wù)管理器 默認(rèn)的設(shè)置是有一個(gè)叫“默認(rèn)站點(diǎn)”的站點(diǎn)，刪除。 在IIS管理器中右擊主機(jī)，進(jìn)入屬性，會(huì)出來一個(gè)叫 '*機(jī)器名屬性'的窗口，在主屬性下選擇'WWW服務(wù)'，進(jìn)入編輯 到主目錄選項(xiàng)卡，進(jìn)入應(yīng)用程序設(shè)置下的配置，在應(yīng)用程序映射里，你可以看到有htw, htr, idq, ida等擴(kuò)展名的映射， 除了asp,asa,sHTML,sthm,stm外，其它的統(tǒng)統(tǒng)刪除，因?yàn)槠溆嗟挠成鋷缀趺總€(gè)都有安全方面的漏洞。(這是在未裝cgi之類服務(wù)的情況下，像cgi,安裝后也會(huì)在這里自動(dòng)添加映射,沒有映射可就運(yùn)行不了cgi程序了，同理，php或asp.net也一樣) 默認(rèn)的iis發(fā)布目錄為c:Inetpub，將這個(gè)目錄刪除。在d盤或e盤新建一個(gè)目錄(目錄名隨意,如WWW)，然后新建一個(gè)站點(diǎn)，將主目錄指向你新建的目錄。 這樣做的目的是為了將站點(diǎn)和系統(tǒng)分開。不至于站點(diǎn)的安全設(shè)置出問題時(shí)危及到系統(tǒng)安全。 11，其它 網(wǎng)卡屬性里的tcp/ip協(xié)議屬性--->高級(jí)-->WINS-->選擇 '禁用TCP/IP 上的NetBIOS' 刪除C:WINNTWeb下的兩個(gè)子目錄(一個(gè)是桌面圖片目錄，一個(gè)是打印目錄，打印目錄存在的話好像IIS的默認(rèn)站點(diǎn)一直會(huì)多一個(gè)Printer的目錄出來) 四、系統(tǒng)相關(guān)目錄及文件的權(quán)限設(shè)置 C、D、E等盤全部設(shè)置為僅Administrator組有完全控制權(quán)限(必須) C:Program Files 這個(gè)目錄，像連接數(shù)據(jù)庫(kù)這些都是要讀取的，是C盤下比較重要的權(quán)限設(shè)置。 設(shè)置為： administrators組 -- 完全控制 SYSTEM - 完全控制 CREATOR GROUP - 全空的權(quán)限。（你可以先默認(rèn)的加上，然后應(yīng)用。再重新設(shè)置權(quán)限，會(huì)發(fā)現(xiàn)權(quán)限變成空的，而另外多出來一個(gè)none的用戶，把那個(gè)none刪了，測(cè)試過運(yùn)行ASP+ACCESS的程序這樣才會(huì)比較安全） 。。除了以上這三個(gè)以外，其它的統(tǒng)統(tǒng)刪掉。 C:Documents and Settings 這個(gè)目錄設(shè)置為Administrator,SYSTEM擁有所有控制權(quán)限。 C:WINNT 這個(gè)目錄設(shè)置為Administrator,SYSTEM擁有所有控制權(quán)限。IIS來賓帳戶設(shè)置為僅讀取權(quán)限(如有建立了專門的IIS用戶組，則這里設(shè)置為IIS的用戶組)。 C:WINNT目錄內(nèi) 除 TEMP,system32目錄以外，所有目錄均設(shè)置為Administrator,SYSTEM擁有所有控制權(quán)限 C:Winntsystem32目錄下的 xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe 這些常用的程序也要設(shè)置為僅Administrator,SYSTEM有所有控制權(quán)限。 五、防止虛擬主機(jī)用戶利用FSO及其它權(quán)限 ----------------------- 我們以建立一個(gè) 123.com站點(diǎn)的為例吧。設(shè)置目錄權(quán)限。 1，新建一個(gè)用戶組。例如 WebUser 2，新建一個(gè)站點(diǎn)用戶，如 web_123.com (密碼自定)，并設(shè)置為屬于WebUser組（不要再屬于其它的組了） 3，新建一個(gè)該站點(diǎn)的目錄，設(shè)置該目錄權(quán)限為 administrator 組為所有權(quán)限，以及Web_123.com用戶為所有權(quán)限(即完全控制) 4，設(shè)置IIS站點(diǎn)。正常建立新站點(diǎn)后，站點(diǎn)屬性的站點(diǎn)安全性里面也相應(yīng)做設(shè)置...(站點(diǎn)屬性--目錄安全性--身份驗(yàn)證和訪問控制--編輯)