一、系統的安裝 正常情況下Internet 信息服務(IIS)只需要選擇三項： Internet服務管理器 + Word Wide Web服務器 + 公用文件 附件和工具可以全部勾除(平常是用不到的)，再加上終端服務即可，其它統統勾除! 關于磁盤分區: 正常情況下，C盤分10G已經非常足夠使用，其它的應用軟件均安裝到D盤，如提供FTP服務的SERV-U，以免系統崩潰后要全新安裝系統 的時間需要備份C盤數據。 二、安裝硬件的驅動程序 經常安裝驅程后重啟會自動加載一些程序，可用超級兔子之類軟件清理一下啟動項。其它的如聲卡的驅動找不到，可以不用安裝，因為平常用不到聲卡，不需要把時間浪費在這里。有碰到系統能默認認出來的顯卡也無需再另裝驅動程序。 二、補丁安裝 裝完系統后，如果安裝的系統是沒有打過SP4的，請先安裝Windows 2000 sp4，然后進入Windows Update在線更新所有補丁。也可以下載補丁集(chinaz.com提供 的下載)直接安時間排序打上，以免浪費時間，微軟的網站有時候非常慢的。 復制一些必要的軟件到D盤 如，WIN2K安裝目錄I386，可放置一份到D盤，以方便以后使用(如重裝IIS的時候)。 D盤新建一個SOFT目錄，用于存放常用軟件，如PHP，MYSQL，DUM，SERV-U，SQL SERVER等的安裝文件 三、系統安全設置 1，用戶管理 刪除TsInternetUser用戶，并且將Guest用戶改名禁用并且更改一個復雜的密碼！ 更改Administrator的用戶名以及密碼！ 2，不讓系統顯示上次登錄的用戶名，具體操作如下： 修改注冊表“HKLMSoftwareMicrosoftWindowsNTCurrent VersionWinlogonDont Display Last User Name”的鍵值，把REG_SZ 的鍵值改成1。 3，禁止建立空連接　 默認情況下，任何用戶可通過空連接連上服務器，枚舉賬號并猜測密碼。可以通過以下兩種方法禁止 建立空連接。 （1）修改注冊表  Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成1。  （2）修改Win 2000的本地安全策略  設置“本地安全策略→本地策略→選項”中的RestrictAnonymous（匿名連接的額外限制）為“不容 許枚舉SAM賬號和共享”。 4，打開安全審核 管理工具--本地安全策略--本地策略--審核策略，正常情況下一共是9項 推薦設置為： 審核策略更改：成功 失敗 審核登錄事件：成功 失敗 審核對象訪問：失敗 審核特權使用：失敗 審核系統事件：成功 失敗 審核目錄服務訪問：失敗 審核賬戶登錄事件：成功 失敗 審核賬戶管理：成功 失敗 審核策略不需要全部打開，如對象訪問的成功項。否則將會占用過多的系統資源。 5，IP安全策略的配置。 可下載現成的策略直接導入(詳細配置方法可見網上文章)，如http://afei.blog.chinaz.com/UploadFiles/2006-1/128918890.rar ，下載后在管理工具--本地安全策略--IP安全策略 點右鍵選擇-所有任務--導入策略，導入后，指派為新IP安全策略，然后在管理工具--本地安全策略--安全設置 點右鍵選擇重新加載 6，關閉不必要和危險的系統服務 一個新安裝好的Windows 2000 server系統，默認應該是存在以下服務，設置為以下狀態： Alerter - 禁用 Application Management - 禁用 Automatic Updates - 可禁用 Background Intelligent Transfer Service - 禁用 ClipBook - 禁用 COM+ Event System - 手動 Computer Browser - 禁用 DHCP ClIEnt - 禁用 Distributed File System - 禁用 Distributed Link Tracking Client - 自動 Distributed Link Tracking Server - 禁用 Distributed Transaction Coordinator - 自動 DNS Client - 自動 Event Log - 自動 Fax Service - 禁用 File Replication - 禁用 IIS Admin Service - 自動 Indexing Service - 手動 Internet Connection Sharing - 手動 Intersite Messaging 禁用 IPSEC Policy Agent - 自動 Kerberos Key Distribution Center - 禁用 License Logging Service - 禁用 Logical Disk Manager - 自動 Logical Disk Manager Administrative Service - 手動 Messenger - 禁用 Microsoft Search - 禁用 (本服務在裝了SQLSERVER2000 SP3后出現) Net Logon - 手動 NetMeeting Remote Desktop Sharing - 手動 Network Connections - 自動 Network DDE - 手動 Network DDE DSDM - 手動 NT LM Security Support Provider - 手動 Performance Logs and Alerts - 手動 Plug and Play 自動 Print Spooler 禁用 Protected Storage 自動 QoS RSVP - 手動 Remote Access Auto Connection Manager - 手動 Remote Access Connection Manager - 手動 Remote Procedure Call (RPC) - 自動 Remote Procedure Call (RPC) Locator - 手動 Remote Registry Service 必須禁用 Removable Storage - 自動 Routing and Remote Access - 禁用 RunAs Service - 禁用 Security Accounts Manager 自動 Smart Card - 手動 Smart Card Helper - 手動 System Event Notification 自動 Task Scheduler 必須禁用 TCP/IP NetBIOS Helper Service 必須禁用 Telephony - 手動 Telnet 禁用 Terminal Services - 自動 Uninterruptible Power Supply - 手動 Utility Manager - 手動 Windows Installer - 手動 Windows Management Instrumentation 自動 Windows Management Instrumentation Driver Extensions 自動 Windows Time - 手動 Wireless Configuration - 手動 Workstation 自動 World Wide Web Publishing Service 自動 做為一個管理員，應該知道各種服務都是做什么用的，例如有人入侵后須及時發現是否運行了一些入侵者留下的服務。 7,修改注冊表 刪除如下目錄的任何鍵： HKEY_LOCAL_MacHINESOFTWARE MicrosoftOS/2 Subsystem for NT 刪除以下鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironmentOs2LibPath 刪除以下鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptional HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosix HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2 8，修改終端服務的默認端口(如有必要才需要此操作，默認為3389，可隨意修改為1-65535的端口) 打開注冊表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations”處 找到類似RDP-TCP的子鍵，修改PortNumber值。 9，網卡的端口篩選(看具體情況配置，正常情況不需要做此配置，此項配置需重啟才能生效) 網卡屬性里的tcp/ip協議屬性--->高級-->選項-->tcp/ip篩選屬性--> 第一項:TCP端口： 只允許： ---(看具體這臺服務器提供什么服務添加) 80 （www服務） 21 (一般的ftp默認) 53 (DNS服務) 110 (MAIL的SMTP服務) 25 (MAIL的POP3服務) 還有例如你的遠程終端的端口(默認為3389，也有可能你改為別的端口，如6666，則加上6666) 第二項UDP端口： 此項可不添加，因為限制了以后，服務器則不能打開網頁等操作(當然，也安全多了) 第三項IP協議： ip協議：只允許6 10，IIS安全配置 開始-->程序-->管理工具-->Internet 服務管理器 默認的設置是有一個叫“默認站點”的站點，刪除。 在IIS管理器中右擊主機，進入屬性，會出來一個叫 '*機器名屬性'的窗口，在主屬性下選擇'WWW服務'，進入編輯 到主目錄選項卡，進入應用程序設置下的配置，在應用程序映射里，你可以看到有htw, htr, idq, ida等擴展名的映射， 除了asp,asa,sHTML,sthm,stm外，其它的統統刪除，因為其余的映射幾乎每個都有安全方面的漏洞。(這是在未裝cgi之類服務的情況下，像cgi,安裝后也會在這里自動添加映射,沒有映射可就運行不了cgi程序了，同理，php或asp.net也一樣) 默認的iis發布目錄為c:Inetpub，將這個目錄刪除。在d盤或e盤新建一個目錄(目錄名隨意,如WWW)，然后新建一個站點，將主目錄指向你新建的目錄。 這樣做的目的是為了將站點和系統分開。不至于站點的安全設置出問題時危及到系統安全。 11，其它 網卡屬性里的tcp/ip協議屬性--->高級-->WINS-->選擇 '禁用TCP/IP 上的NetBIOS' 刪除C:WINNTWeb下的兩個子目錄(一個是桌面圖片目錄，一個是打印目錄，打印目錄存在的話好像IIS的默認站點一直會多一個Printer的目錄出來) 四、系統相關目錄及文件的權限設置 C、D、E等盤全部設置為僅Administrator組有完全控制權限(必須) C:Program Files 這個目錄，像連接數據庫這些都是要讀取的，是C盤下比較重要的權限設置。 設置為： administrators組 -- 完全控制 SYSTEM - 完全控制 CREATOR GROUP - 全空的權限。（你可以先默認的加上，然后應用。再重新設置權限，會發現權限變成空的，而另外多出來一個none的用戶，把那個none刪了，測試過運行ASP+ACCESS的程序這樣才會比較安全） 。。除了以上這三個以外，其它的統統刪掉。 C:Documents and Settings 這個目錄設置為Administrator,SYSTEM擁有所有控制權限。 C:WINNT 這個目錄設置為Administrator,SYSTEM擁有所有控制權限。IIS來賓帳戶設置為僅讀取權限(如有建立了專門的IIS用戶組，則這里設置為IIS的用戶組)。 C:WINNT目錄內 除 TEMP,system32目錄以外，所有目錄均設置為Administrator,SYSTEM擁有所有控制權限 C:Winntsystem32目錄下的 xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe 這些常用的程序也要設置為僅Administrator,SYSTEM有所有控制權限。 五、防止虛擬主機用戶利用FSO及其它權限 ----------------------- 我們以建立一個 123.com站點的為例吧。設置目錄權限。 1，新建一個用戶組。例如 WebUser 2，新建一個站點用戶，如 web_123.com (密碼自定)，并設置為屬于WebUser組（不要再屬于其它的組了） 3，新建一個該站點的目錄，設置該目錄權限為 administrator 組為所有權限，以及Web_123.com用戶為所有權限(即完全控制) 4，設置IIS站點。正常建立新站點后，站點屬性的站點安全性里面也相應做設置...(站點屬性--目錄安全性--身份驗證和訪問控制--編輯)