WEB 伺服器軟體配置和安全配置方案

WEB 伺服器軟體配置和安全配置方案

轉自：http://blog.dic123.com/article.asp?id=190
一、系統的安裝　　
１、按照Windows2003安裝光碟片的提示安裝，預設情況下2003沒有把IIS6.0安裝在系統裡面。
２、IIS6.0的安裝
　　開始菜單—>控制台—>添加或刪除程式—>添加/刪除Windows組件
　　應用程式 ———ASP.NET（可選）
　　　　　　　|——啟用網路 COM+ 訪問（必選）
　　　　　　　|——Internet 資訊服務(IIS)———Internet 資訊服務管理器（必選）　
　　　　　　　　　　　　　　　　　　　　　 |——公用檔案（必選）
　　　　　　　　　　　　　　　　　　　　　 |——全球資訊網服務———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　|——Internet 資料連線器（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——全球資訊網服務（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在伺服器端的包含檔案（可選）
然後點擊確定—>下一步安裝。
３、系統補丁的更新
　　點擊開始菜單—>所有程式—>Windows Update
　　按照提示進行補丁的安裝。
４、備份系統
　　用GHOST備份系統。
５、安裝常用的軟體
　　例如：殺毒軟體、解壓縮軟體等；安裝之後用GHOST再次備份系統。
二、系統許可權的設定
１、磁碟許可權
　　系統硬碟及所有磁碟只給 Administrators 組和 SYSTEM 的完全控制許可權
　　系統硬碟/Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
　　系統硬碟/Documents and Settings/All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
　　系統硬碟/Inetpub 目錄及下面所有目錄、檔案只給 Administrators 組和 SYSTEM 的完全控制許可權
　　系統硬碟/Windows/System32/cacls.exe、cmd.exe、net.exe、net1.exe 檔只給 Administrators 組和 SYSTEM 的完全控制許可權
２、本地安全性原則設定
　　開始菜單—>管理工具—>本地安全性原則
　　A、本地策略——>稽核原則
　　稽核原則更改　　　成功　失敗　　
　　審核登入事件　　　成功　失敗
　　審核對象訪問　　　　　　失敗
　　審核過程跟蹤　　　無審核
　　審核目錄服務訪問　　　　失敗
　　審核特權使用　　　　　　失敗
　　審核系統事件　　　成功　失敗
　　審核賬戶登入事件　成功　失敗
　　審核賬戶管理　　　成功　失敗
　　B、本地策略——>使用者權限分配
　　關閉系統：只有Administrators組、其它全部刪除。
　　通過終端服務拒絕登陸：加入Guests、User組
　　通過終端服務允許登陸：只加入Administrators組，其他全部刪除
　　C、本地策略——>安全選項
　　互動式登陸：不顯示上次的使用者名稱　　　　　　　啟用
　　網路訪問：不允許SAM帳戶和共用的匿名枚舉　　 啟用
　　網路訪問：不允許為網路身分識別驗證儲存憑證　　　啟用
　　網路訪問：可匿名訪問的共用　　　　　　　　　全部刪除
　　網路訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網路訪問：可遠端存取的註冊表路徑　　　　　　全部刪除
　　網路訪問：可遠端存取的註冊表路徑和子路徑　　全部刪除
　　帳戶：重新命名來賓帳戶　　　　　　　　　　　　重新命名一個帳戶
　　帳戶：重新命名系統管理員帳戶　　　　　　　　　重新命名一個帳戶
３、禁用不必要的服務
　　開始菜單—>管理工具—>服務
　　Print Spooler
　　Remote Registry
　　TCP/IP NetBIOS Helper
　　Server 　　
　　以上是在Windows Server 2003 系統上面預設啟動的服務中禁用的，預設禁用的服務如沒特別需要的話不要啟動。
４、啟用防火牆
　　案頭—>網路位置—>（右鍵）屬性—>本地串連—>（右鍵）屬性—>進階—>（選中）網際網路連線防火牆—>設定
　　把伺服器上面要用到的服務連接埠選中
　　例如：一台WEB伺服器，要提供WEB（80）、FTP（21）服務及遠端桌面管理（3389）
　　在“FTP 伺服器”、“WEB伺服器（HTTP）”、“遠端桌面”前面打上對號
　　如果你要提供服務的連接埠不在裡面，你也可以點擊“添加”銨鈕來添加，具體參數可以參照系統裡面原有的參數。
　　然後點擊確定。注意：如果是遠端管理這台伺服器，請先確定遠端管理的連接埠是否選中或添加。
三、 Windows 2003安全配置

　　■． 確保所有磁碟分割為NTFS分區
　　■． 作業系統、Web主目錄、日誌分別安裝在不同的分區
　　■． 不要安裝不需要的協議，比如IPX/SPX, NetBIOS?
　　■． 不要安裝其它任何作業系統
    ■． 安裝所有補丁（用瑞星安全性漏洞掃描下載）
　　■． 關閉所有不需要的服務
　　* Alerter (disable)
　　* ClipBook Server (disable)
　　* Computer Browser (disable)
　　* DHCP Client (disable)
　　* Directory Replicator (disable)
　　* FTP publishing service (disable)
　　* License Logging Service (disable)
　　* Messenger (disable)
　　* Netlogon (disable)
　　* Network DDE (disable)
　　* Network DDE DSDM (disable)
　　* Network Monitor (disable)
　　* Plug and Play (disable after all hardware configuration)
　　* Remote Access Server (disable)
　　* Remote Procedure Call (RPC) locater (disable)
　　* Schedule (disable)
　　* Server (disable)
　　* Simple Services (disable)
　　* Spooler (disable)
　　* TCP/IP Netbios Helper (disable)
　　* Telephone Service (disable)
   ■. 帳號和密碼原則
　　1） 保證禁止guest帳號
　　2） 將administrator改名為比較難猜的帳號
　　3） 密碼唯一性：記錄上次的 6 個密碼
　　4） 最短密碼期限：2
　　5） 密碼最長期限：42
　　6） 最短密碼長度：8
　　7） 密碼複雜化(passfilt.dll)：啟用
　　8） 使用者必須登入方能更改密碼：啟用
　　9） 帳號失敗登入鎖定的時限：6
　　10）鎖定後重新啟用的時間間隔：720分鐘
　　■．保護檔案和目錄
　　將C:/winnt, C:/winnt/config, C:/winnt/system32, C:/winnt/system等目錄的存取權限做限制，限制everyone的寫入權限，限制users組的讀寫權限
　　■．註冊表一些條目的修改
　　1） 去除logon對話方塊中的shutdown按鈕
　　將HKEY_LOCAL_MACHINE/SOFTWARE
　　/Microsoft/Windows NT/Current Version/Winlogon/中
　　ShutdownWithoutLogon REG_SZ 值設為0
　　2） 去除logon資訊的cashing功能
　　將HKEY_LOCAL_MACHINE/SOFTWARE
　　/Microsoft/Windows NT/Current Version/Winlogon/中
　　CachedLogonsCount REG_SZ 值設為0
4）限制LSA匿名訪問
　　將HKEY_LOCAL_MACHINE/SYSTEM
　　/CurrentControlSet/Control/LSA中
　　RestriCanonymous REG_DWORD 值設為1
　　5） 去除所有網際網路共用
　　將HKEY_LOCAL_MACHINE/SYSTEM
　　/CurrentControlSet/Services/LanManServer/Parameters/中
AutoShareServer REG_DWORD 值設為0

四、IIS的安全配置

　　■． 關閉並刪除預設網站：
　　預設FTP網站
　　預設Web網站
　　管理Web網站
　　■． 建立自己的網站，與系統不在一個分區，如
　　D:/wwwroot3． 建立 E:/Logfiles 目錄，以後建立網站時的記錄檔均位於此目錄，確保此目錄上的存取控制許可權是： Administrators（完全控制）System（完全控制）
　　■． 刪除IIS的部分目錄：
　　IISHelp C:/winnt/help/iishelp
　　IISAdmin C:/system32/inetsrv/iisadmin
　　MSADC C:/Program Files/Common Files/System/msadc/
　　刪除 C://inetpub
   ■. 刪除不必要的IIS映射和擴充：
　　IIS 被預先配置為支援常用的檔案名稱擴充如 .asp 和 .shtm 檔案。IIS 接收到這些類型的檔案請求時，該調用由 DLL 處理。如果您不使用其中的某些擴充或功能，則應刪除該
　　映射，步驟如下：
選擇電腦名稱，點滑鼠右鍵，選擇屬性：
　　然後選擇編輯
　　然後選擇主目錄， 點擊配置
　　選擇副檔名 /.htw/,/.htr/,/.idc/,/.ida/,/.idq/和/.printer/，點擊刪除
　　如果不使用server side include，則刪除/.shtm/ /.stm/ 和 /.shtml/
　　■. 禁用父路徑 :
　　“父路徑”選項允許您在對諸如 MapPath 函數調用中使用“..”。在預設情況下，該選項
　　處於啟用狀態，應該禁用它。
　　禁用該選項的步驟如下：
　　按右鍵該 Web 網站的根，然後從操作功能表中選擇“屬性”。
　　單擊“主目錄”選項卡。
　　單擊“配置”。
　　單擊“應用程式選項”選項卡。
　　取消選擇“啟用父路徑”複選框。
　　■. 在虛擬目錄上設定存取控制許可權
　　首頁使用的檔案按照檔案類型應使用不同的存取控制清單：
　　CGI (.exe, .dll, .cmd, .pl)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　指令檔 (.asp)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　include 檔案 (.inc, .shtm, .shtml)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　靜態內容 (.txt, .gif, .jpg, .html)
　　Everyone (R)
　　Administrators（完全控制）
　　System（完全控制）
　　在建立Web網站時，沒有必要在每個檔案上設定存取控制許可權，應該為每個檔案類型建立一個新目錄，然後在每個目錄上設定存取控制許可權、允許存取控制許可權傳給各個檔案。
　　例如，目錄結構可為以下形式：
　　D:/wwwroot/myserver/static (.html)
　　D:/wwwroot/myserver/include (.inc)
　　D:/wwwroot/myserver /script (.asp)
　　D:/wwwroot/myserver /executable (.dll)
　　D:/wwwroot/myserver/images (.gif, .jpeg)
　　■. 啟用日誌記錄
　　確定伺服器是否被攻擊時，日誌記錄是極其重要的。
　　應使用 W3C 擴充日誌記錄格式，步驟如下：
　　開啟 網際網路服務管理員：
　　按右鍵網站，然後從操作功能表中選擇“屬性”。
　　單擊“Web 網站”選項卡。
　　選中“啟用日誌記錄”複選框。
　　從“活動紀錄格式”下拉式清單中選擇“W3C 擴充記錄檔格式”。
　　單擊“屬性”。
　　單擊“擴充屬性”選項卡，然後設定以下屬性：
　　* 客戶 IP 位址
　　* 使用者名稱
　　* 方法
　　* URI 資源
　　* HTTP 狀態
　　* Win32 狀態
　　* 使用者代理程式
　　* 伺服器 IP 位址
* 伺服器連接埠

五、刪除Windows Server 2003預設共用 和禁用IPC串連

　　IPC$(Internet Process Connection)是共用“具名管道”的資源，它是為了讓處理序間通訊而開放的具名管道，通過提供可信任的使用者名稱和口令，串連雙方電腦即可以建立安全的通道並以此通道進行加密資料的交換，從而實現對遠端電腦的訪問。它是Windows NT/2000/XP/2003特有的功能，但它有一個特點，即在同一時間內，兩個IP之間只允許建立一個串連。NT/2000/XP/2003在提供了ipc$功能的同時，在初次安裝系統時還開啟了預設共用，即所有的邏輯共用(c$,d$,e$……)和系統目錄winnt或windows(admin$)共用。所有的這些，微軟的初衷都是為了方便管理員的管理，但也為簡稱為IPC入侵者有意或無意的提供了方便條件，導致了系統安全效能的降低。在建立IPC的串連中不需要任何駭客工具，在命令列裡鍵入相應的命令就可以了，不過有個前提條件，那就是你需要知道遠程主機的使用者名稱和密碼。開啟CMD後輸入如下命令即可進行串連：net use/ipipc$ password /user:usernqme。我們可以通過修改註冊表來禁用IPC串連。開啟登錄編輯程式。找到如下組建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC串連

六、清空遠程可訪問的註冊表路徑

　　大家都知道，Windows 2003作業系統提供了註冊表的遠端存取功能，只有將遠程可訪問的註冊表路徑設定為空白，這樣才能有效防止駭客利用掃描器通過遠端登錄讀取電腦的系統資訊及其它資訊.
開啟組策略編輯器，依次展開“電腦配置→Windows 設定→安全設定→本地策略→安全選項”，在右側視窗中找到“網路訪問：可遠端存取的註冊表路徑”，然後在開啟的視窗中，將可遠端存取的註冊表路徑和子路徑內容全部設定為空白即可（7）。

七、關閉不必要的連接埠

　 對於個人使用者來說安裝中預設的有些連接埠確實是沒有什麼必要的，關掉連接埠也就是關閉無用的服務。139連接埠是NetBIOS協議所使用的連接埠，在安裝了TCP/IP 協議的同時，NetBIOS 也會被作為預設設定安裝到系統中。139連接埠的開放意味著硬碟可能會在網路中共用；網上駭客也可通過NetBIOS知道你的電腦中的一切！在以前的Windows版本中，只要不安裝Microsoft網路的檔案和列印共用協議，就可關閉139連接埠。但在Windows Server 2003中，只這樣做是不行的。如果想徹底關閉139連接埠，具體步驟如下：

　　 滑鼠右鍵單擊“近端分享”，選擇“屬性”，進入“網路和撥號連線”，再用滑鼠右鍵單擊“本地串連”，選擇“屬性”，開啟“本地串連 屬性”頁（8），
然後去掉“Microsoft網路的檔案和列印共用”前面的“√”（9），
接下來選中“Internet協議(TCP/IP)”，單擊“屬性”→“進階”→“WINS”，把“禁用TCP/IP上的NetBIOS”選中，即任務完成(10)！
對於個人使用者來說，可以在各項服務屬性設定中設為“禁用”，以免下次重啟服務也重新啟動，連接埠也開放了。

　　假如你的電腦中還裝了IIS，你最好重新設定一下連接埠過濾。步驟如下：選擇網卡屬性，然後雙擊“Internet協議(TCP/IP)”，在出現的視窗中單擊“進階”按鈕，會進入“進階TCP/IP設定”視窗，接下來選擇“選項”標籤下的“TCP/IP 篩選”項，點“屬性”按鈕，會來到“TCP/IP 篩選”的視窗，在該視窗的“啟用TCP/IP篩選(所有適配器)”前面打上“√”，然後根據需要配置就可以了。如果你只打算瀏覽網頁，則只開放TCP連接埠80即可，所以可以在“TCP連接埠”上方選擇“只允許”，然後單擊“添加”按鈕，輸入80再單擊“確定”即可

八、杜絕非法訪問應用程式

　　Windows Server 2003是一種伺服器作業系統，為了防止登陸到其中的使用者，隨意啟動伺服器中的應用程式，給伺服器的正常運行帶來不必要的麻煩，我們很有必要根據不同使用者的存取權限，來限制。

　　他們去調用應用程式。實際上我們只要使用組策略編輯器作進一步的設定，即可實現這一目的，具體步驟如下：

　　開啟“組策略編輯器”的方法為：依次點擊“開始→運行”，在“運行”對話方塊中鍵入“gpedit.msc”命令並斷行符號，即可開啟“組策略編輯器”視窗。然後依次開啟“組策略控制台→使用者配置→系統管理範本→系統”中的“只運行許可的Ｗｉｎｄｏｗｓ應用程式”並啟用此策略.

然後點擊下面的“允許的應用程式列表”邊的“顯示”按鈕，彈出一個“顯示內容”對話方塊，在此單擊“添加”按鈕來添加允許啟動並執行應用程式即可

九、設定和管理賬戶

　　1、系統管理員賬戶最好少建，更改預設的系統管理員帳戶名(Administrator)和描述，密碼最好採用數字加大小寫字母加數位上檔鍵組合，長度最好不少於14位。
　　2、建立一個名為Administrator的陷阱帳號，為其設定最小的許可權，然後隨便輸入組合的最好不低於20位的密碼
　　3、將Guest賬戶禁用並更改名稱和描述，然後輸入一個複雜的密碼，當然現在也有一個DelGuest的工具，也許你也可以利用它來刪除Guest賬戶，但我沒有試過。
　　4、在運行中輸入gpedit.msc斷行符號，開啟組策略編輯器，選擇電腦配置-Windows設定-安全設定-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效”，“鎖定時時間間隔60分鐘”，“複位鎖定計數設為30分鐘”。
　　5、在安全設定-本地策略-安全選項中將“不顯示上次的使用者名稱”設為啟用
　　6、在安全設定-本地策略-使用者權利分配中將“從網路訪問此電腦”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。
7、建立一個User賬戶，運行系統，如果要運行特權命令使用Runas命令。

十、網路服務安全管理

　　1、禁止C$、D$、ADMIN$一類的預設共用
　　2、 解除NetBios與TCP/IP協議的綁定
　　3、關閉不需要的服務，以下為建議選項
　　Computer Browser:維護網路電腦更新，禁用
　　Distributed File System: 區域網路管理共用檔案，不需要禁用
　　Distributed linktracking client：用於區域網路更新串連資訊，不需要禁用
　　Error reporting service：禁止發送錯誤報表
　　Microsoft Serch：提供快速的單詞搜尋，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用
　　PrintSpooler：如果沒有印表機可禁用
　　Remote Registry：禁止遠程修改註冊表
Remote Desktop Help Session Manager：禁止遠程協助

十一、開啟相應的稽核原則

　　在運行中輸入gpedit.msc斷行符號，開啟組策略編輯器，選擇電腦配置-Windows設定-安全設定-稽核原則在建立審核項目時需要注意的是如果審核的項目太多，產生的事件也就越多，那麼要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件，你需要根據情況在這二者之間做出選擇。
　　推薦的要審核的項目是：
　　登入事件 成功失敗
　　賬戶登入事件成功 失敗
　　系統事件 成功失敗
　　策略更改 成功失敗
　　對象訪問 失敗
　　目錄服務訪問失敗
特權使用 失敗

十二、其它安全相關設定

　　1、隱藏重要檔案/目錄
　　2、啟動系統內建的Internet串連防火牆，在設定服務選項中勾選Web伺服器。
　　3、防止SYN洪水攻擊
　　4. 禁止響應ICMP路由通告報文

　  5. 防止ICMP重新導向報文的攻擊
　　6. 不支援IGMP協議
7、禁用DCOM：

十三、配置 IIS 服務：

　　1、不使用預設的Web網站，如果使用也要將 將IIS目錄與系統磁碟分開。
　　2、刪除IIS預設建立的Inetpub目錄（在安裝系統的盤上）。
　　3、刪除系統硬碟下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
　　4、刪除不必要的IIS副檔名映射。
　　按右鍵“預設Web網站→屬性→主目錄→配置”，開啟應用程式視窗，去掉不必要的應用程式對應。主要為.shtml, .shtm, .stm
　　5、更改IIS日誌的路徑
　　按右鍵“預設Web網站→屬性-網站-在啟用日誌記錄下點擊屬性
　　6、如果使用的是2000可以使用iislockdown來保護IIS，在2003啟動並執行IE6.0的版本不需要。
　　7、使用UrlScan
　　但如果你在伺服器運行ASP.NET程式，並要進行調試你需開啟要%WINDIR%/System32/Inetsrv/URLscan
　　檔案夾中的URLScan.ini 檔案，然後在UserAllowVerbs節添加debug謂詞，注意此節是區分大小寫。
　　如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。
　　如果你的網頁使用了非ASCII代碼，你需要在Option節中將AllowHighBitCharacters的值設為1
　　在對URLScan.ini 檔案做了更改後，你需要重啟IIS服務才會生效，快速方法運行中輸入iisreset
　　如果你在配置後出現什麼問題，你可以通過添加/刪除程式刪除UrlScan。
8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.

十四、配置Sql伺服器

　　1、System Administrators 角色最好不要超過兩個
　　2、如果是在本機最好將身分識別驗證配置為Win登陸
　　3、不要使用Sa賬戶，為其配置一個超級複雜的密碼
　　4、刪除以下的擴充預存程序格式為：
　　use master
　　sp_dropextendedproc '擴充預存程序名'
　　xp_cmdshell：是進入作業系統的最佳捷徑，刪除
　　訪問註冊表的預存程序，刪除
　　Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues
　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring
　　OLE自動預存程序，不需要刪除
　　Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty
　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop
　　5、隱藏 SQL Server、更改預設的1433連接埠
　　右擊執行個體選屬性-常規-網路設定中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 執行個體，並改原預設的1433連接埠。

十五、如果只做伺服器，不進行其它操作，使用IPSec

　　1、管理工具—本地安全性原則—右擊IP安全性原則—管理IP篩選器表和篩選器操作—在管理IP篩選器表選項下點擊
　　添加—名稱設為Web篩選器—點擊添加—在描述中輸入Web伺服器—將源地址設為任何IP地址——將目標地址設為我的IP地址——協議類型設為Tcp——IP協議連接埠第一項設為從任意連接埠，第二項到此連接埠80——點擊完成——點擊確定。
　　2、再在管理IP篩選器表選項下點擊
　　添加—名稱設為所有入站篩選器—點擊添加—在描述中輸入所有入站篩選—將源地址設為任何IP地址——將目標地址設為我的IP地址——協議類型設為任意——點擊下一步——完成——點擊確定。
　　3、在管理篩選器操作選項下點擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關閉管理IP篩選器表和篩選器操作視窗
　　4、右擊IP安全性原則——建立IP安全性原則——下一步——名稱輸入資料包篩選器——下一步——取消預設啟用響應原則——下一步——完成
　　5、在開啟的新IP安全性原則屬性視窗選擇添加——下一步——不指定隧道——下一步——所有網路連接——下一步——在IP篩選器列表中選擇建立的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器列表中選擇建立的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定
6、在IP安全性原則的右邊視窗中右擊建立的資料包篩選器，點擊指派，不需要重啟，IPSec就可生效.

十七、如何配置一台堅固安全的win2003伺服器

1)確定你要用它來幹什麼，需要開什麼服務，什麼是不必要的，沒用地就別裝(像Index什麼的)，不必要的服務全都可以關掉。
在控制面版=>管理=>工具中，自己看著辦，如下服務是一定要禁止的：
Remote Registry Service
RunAs Service
Task Scheduler
Telnet
Windows Time
其他不必要的服務可以設為手動方式。
SNMP Service和SNMP Trap Service最好也關掉，要用的話，把管理公用字改掉。

2)打補丁。
確定你打上了Win2k SP2;
3)IIS配置。
1，在IIS管理器中，去處所有不必要的擴充關聯(基本上除了ASP/ASA等幾個必要的和CGI之類的外，其他都可以去掉) 有可能的話，可以安裝一個SecureIIS，還是有一定效果的。
2，校正ftp許可權，差不多就自己看著辦吧，不要被人家tag就可以了~_*
4)MSSQL。
首先，記得一定要加一個難記得密碼，不然就什麼都完了。
然後記得升級SQL 7.0 SP2和SQL 2k SP1.
5)Terminal Server。
打了SP2基本就沒太大問題，只要你的系統不是沒密碼..........
進階部分：
1)類防火牆限制。
這需要我們開啟MS的IPSEC服務，然後選擇 網路設定=>網路介面 屬性=> TCP/IP =>進階 =>選項
簡單一點的話，就用TCP/IP篩選，確定指開放那些連接埠，比如80，1433等等(可惜開放ftp服務的話，經常會亂開連接埠的，難以確定)；
要求進階的話，自己定義一個IPSEC策略，可以精確的過濾例如某種ICMP類型等等...可以做到水泄不通哦，不要到時候你自己也進不去了就好~_*
2)NetBIOS設定。
曆史以來，netbios是僅次於IIS的winnt安全問題最多的服務，簡直就是後門開啟。
至少做這樣一條設定：註冊表編輯
Local_Machine＼System＼CurrentControlSet＼Control＼LSA-RestrictAnonymous = 1
可以禁止IPC$空使用者串連，防止資訊洩漏和其他更嚴重的安全問題。
3)Terminal Server加強。
註冊表編輯：HKEY_LOCAL_ MACHINESOFTWAREMicrosoft＼ WindowsNT＼CurrentVersion＼Winlogon＼Don‘t Display Last User Name=1
可以讓別人在ts中看不到你上次登入的使用者名稱，有安全了一點點(記住，別人擷取你的資訊越少，你就越安全)

4)系統檔案目錄許可權檢查。
基本的策略，可以在檔案屬性中修改，避免有everyone完全控制的目錄，大部分檔案最好禁止everyone寫，甚至讀。
對於系統的重要檔案和目錄，例如system32等等，可以用Win2k Resouece Kit中的一個工具xacls詳細的加強存取控制。

5)預防資訊監測和DOS 攻擊
必要的話，開啟RSAS或者自己添加一個IPSEC安全性原則，過濾掉ICMP Echo和Redrict類型，這樣別人ping你就不會有反映，而如果ping不通的話，可能別人就此罷手了~_* 而且預設配置下，很多的漏洞掃描器ping不通就不掃了，西西。(當然啦，如果你有更強的防火牆，哪就更好)
一定程度的DoS預防：
在註冊表HKLM＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters中更改以下值可以協助你防禦一定強度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0

十八、Win 2003中提高FSO的安全性

ASP提供了強大的檔案系統訪問能力，可以對伺服器硬碟上的任何檔案進行操作，這給學校網站的安全帶來巨大的威脅
　　ASP提供了強大的檔案系統訪問能力，可以對伺服器硬碟上的任何檔案進行讀、寫、複製、刪除、改名等操作，這給學校網站的安全帶來巨大的威脅。現在很多校園主機都遭受過FSO木馬的侵擾。但是禁用FSO組件後，引起的後果就是所有利用這個組件的ASP程式將無法運行，無法滿足客戶的需求。如何既允許FileSystemObject組件，又不影響伺服器的安全性呢（即：不同虛擬機器主機使用者之間不能使用該組件讀寫別人的檔案）？以下是筆者多年來摸索出來的經驗：
　　第一步是有別於Windows 2000設定的關鍵：右擊C盤，點擊“共用與安全”，在出現在對話方塊中選擇“安全”選項卡，將Everyone、Users組刪除，刪除後如果你的網站連ASP程式都不能運行，請添加IIS_WPG組（圖1），並重啟電腦。
　　經過這樣設計後，FSO木馬就已經不能運行了。如果你要進行更安全層級的設定，請分別對各個磁碟分割進行如上設定，並為各個網站設定不同匿名訪問使用者。下面以執行個體來介紹（假設你的主機上E盤Abc檔案夾下設Abc.com網站）：
　　1. 開啟“電腦管理→本機使用者和組→使用者”，建立Abc使用者，並設定密碼，並將“使用者下次登入時須更改密碼”前的對號去掉，選中“使用者不能更改密碼”和“密碼永不到期”，並把使用者佈建為隸屬於Guests組。
　　2. 右擊E:/Abc，選擇“屬性→安全”選項卡，此時可以看到該檔案夾的預設安全設定是“Everyone”完全控制（視不同情況顯示的內容不完全一樣），刪除Everyone的完全控制（如果不能刪除，請點擊[進階]按鈕，將“允許父項的繼承許可權傳播”前面的對號去掉，並刪除所有），添加Administrators及Abc使用者對本網站目錄的所有安全許可權。
3. 開啟IIS管理器，右擊Abc.com主機名稱，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點擊身分識別驗證和存取控制的[編輯]，彈出圖2所示對話方塊，匿名訪問使用者預設的就是“IUSR_機器名”，點擊[瀏覽]，在“選擇使用者”對話方塊中找到前面建立的Abc賬戶，確定後重複輸入密碼。

十九、建議

如果你按本方案去操作，建議每做一項更改就測試一下伺服器，如果有問題可以馬上撤消更改。而如果更改的項數多，才發現出問題，那就很難判斷問題是出在哪一步上了。

二十、運行伺服器記錄當前的程式和開放的連接埠

1、將當前伺服器的進程抓圖或記錄下來，將其儲存，方便以後對照查看是否有不明的程式。
2、將當前開放的連接埠抓圖或記錄下來，儲存，方便以後對照查看是否開放了不明的連接埠。當然如果你能分辨每一個進程，和連接埠這一步可以省略。