經(jīng)測(cè)試，本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的單服務(wù)器多網(wǎng)站中一切正常。以下配置中打勾的為推薦進(jìn)行配置，打叉的為可選配置。//by http://CiDu.Net/

　　一、系統(tǒng)權(quán)限的設(shè)置

　　1、磁盤權(quán)限

　　系統(tǒng)盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限

　　其他磁盤只給 Administrators 組完全控制權(quán)限

　　系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限

　　系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限

　　系統(tǒng)盤\windows\system32\config\ 禁止guests組

　　系統(tǒng)盤\Documents and Settings\All Users\「開始」菜單\程序\ 禁止guests組

　　系統(tǒng)盤\windowns\system32\inetsrv\data\ 禁止guests組

　　系統(tǒng)盤\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限

　　系統(tǒng)盤\Windows\System32\ cmd.exe、format.com 僅 Administrators 組完全控制權(quán)限

　　把所有(Windows\system32和Windows\ServicePackFiles\i386) format.com 更名為 format_nowayh.com

　　2、本地安全策略設(shè)置

　　開始菜單->管理工具->本地安全策略

　　A、本地策略-->審核策略

　　審核策略更改　成功　失敗

　　審核登錄事件　成功　失敗

　　審核對(duì)象訪問(wèn)失敗

　　審核過(guò)程跟蹤　無(wú)審核

　　審核目錄服務(wù)訪問(wèn)失敗

　　審核特權(quán)使用失敗

　　審核系統(tǒng)事件　成功　失敗

　　審核賬戶登錄事件　成功　失敗

　　審核賬戶管理　成功　失敗

　　B、本地策略-->用戶權(quán)限分配

　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。//by http://CiDu.Net/

　　通過(guò)終端服務(wù)拒絕登陸：加入Guests組

　　通過(guò)終端服務(wù)允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除

　　C、本地策略-->安全選項(xiàng)

　　交互式登陸：不顯示上次的用戶名　啟用

　　網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶和共享的匿名枚舉 啟用

　　網(wǎng)絡(luò)訪問(wèn)：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證　啟用

　　網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享　全部刪除

　　網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命全部刪除

　　網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑全部刪除

　　網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑全部刪除

　　帳戶：重命名來(lái)賓帳戶重命名一個(gè)帳戶

　　帳戶：重命名系統(tǒng)管理員帳戶　重命名一個(gè)帳戶

　　D、賬戶策略-->賬戶鎖定策略

　　將賬戶設(shè)為“5次登陸無(wú)效”，“鎖定時(shí)間為30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”

　　二、其他配置

　　·把Administrator賬戶更改

　　管理工具→本地安全策略→本地策略→安全選項(xiàng)

　　·新建一無(wú)任何權(quán)限的假Administrator賬戶

　　管理工具→計(jì)算機(jī)管理→系統(tǒng)工具→本地用戶和組→用戶

　　更改描述：管理計(jì)算機(jī)(域)的內(nèi)置帳戶

　　·重命名IIS來(lái)賓賬戶

　　1、管理工具→計(jì)算機(jī)管理→系統(tǒng)工具→本地用戶和組→用戶→重命名IUSR_ComputerName

　　2、打開 IIS 管理器→本地計(jì)算機(jī)→屬性→允許直接編輯配置數(shù)據(jù)庫(kù)

　　3、進(jìn)入Windows\system32\inetsrv文件夾→MetaBase.xml→右鍵編輯→找到"AnonymousUserName"→寫入"IUSR_"新名稱→保存

　　4、關(guān)閉"允許直接編輯配置數(shù)據(jù)庫(kù)"

　　·禁止文件共享

　　本地連接屬性→去掉"Microsoft網(wǎng)絡(luò)的文件和打印共享"和"Microsoft 網(wǎng)絡(luò)客戶端"前面的"√"

　　·禁止NetBIOS(關(guān)閉139端口)

　　本地連接屬性→TCP/IP屬性→高級(jí)→WINS→禁用TCP/IP上的NetBIOS

　　管理工具→計(jì)算機(jī)管理→設(shè)備管理器→查看→顯示隱藏的設(shè)備→非即插即用驅(qū)動(dòng)程序→禁用 NetBios over tcpip→重啟

　　·防火墻的設(shè)置

　　本地連接屬性→高級(jí)→Windows防火墻設(shè)置→高級(jí)→第一個(gè)"設(shè)置"，勾選FTP、HTTP、遠(yuǎn)程桌面服務(wù)

　　·禁止ADMIN$缺省共享、磁盤默認(rèn)共享、限制IPC$缺省共享(匿名用戶無(wú)法列舉本機(jī)用戶列表、禁止空連接)

　　新建REG文件，導(dǎo)入注冊(cè)表

　　·刪除以下注冊(cè)表主鍵

　　·更改3389端口為12344

　　這里只介紹如何更改，既然本端口公布出來(lái)了，那大家就別用這個(gè)了，端口可用windows自帶的計(jì)算器將10進(jìn)制轉(zhuǎn)為16進(jìn)制，16進(jìn)制數(shù)替換下面兩個(gè)的dword:后面的值(7位數(shù)，不夠的在前面補(bǔ)0)，登陸的時(shí)候用10進(jìn)制，端口更改在服務(wù)器重啟后生效。新建REG文件，導(dǎo)入注冊(cè)表

　　·禁止非管理員使用at命令，新建REG文件，導(dǎo)入注冊(cè)表

　　·卸載最不安全的組件

　　運(yùn)行"卸載最不安全的組件.bat"，重啟后更名或刪掉Windows\System32\里的wshom.ocx和shell32.dll

　　----------------卸載最不安全的組件.bat-----------------

　　·Windows日志的移動(dòng)

　　打開"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\"

　　Application 子項(xiàng)：應(yīng)用程序日志

　　Security 子項(xiàng)：安全日志

　　System 子項(xiàng)：系統(tǒng)日志

　　分別更改子項(xiàng)的File鍵值，再把System32\config目錄下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt復(fù)制到目標(biāo)文件夾，重啟。//by http://CiDu.Net/