WINDOWS 2003 安全設定（偽裝篇）_win伺服器

首先更改TTL值
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進位,預設值128)改成一個莫名其妙的數字如258
刪除預設共用
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可

禁止建立空串連
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可
建立一個記事本，填上以下代碼。儲存為*.bat並加到啟動項目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
IIS網站設定：
1、將IIS目錄＆資料與系統磁碟分開，儲存在專用磁碟空間內。
2、啟用父級路徑
3、在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）
4、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重新導向到一個定製HTM檔案
5、Web網站許可權設定（建議）
讀       允許
寫       不允許
指令碼源訪問   不允許
瀏覽目錄   建議關閉
日誌訪問   建議關閉
索引資源   建議關閉
執行       推薦選擇 “僅限於指令碼”
6、建議使用W3C擴充記錄檔格式，每天記錄客戶IP地址，使用者名稱，伺服器連接埠，方法，URI字根，HTTP狀態，使用者代理程式，而且每天均要審查日誌。（最好不要使用預設的目錄，建議更換一個記日誌的路徑，同時設定日誌的存取權限，只允許管理員和system為Full Control）。
7、程式安全:
1) 涉及使用者名稱與口令的程式最好封裝在伺服器端，盡量少的在ASP檔案裡出現，涉及到與資料庫連接地使用者名稱與口令應給予最小的許可權;
2) 需要經過驗證的ASP頁面，可跟蹤上一個頁面的檔案名稱，只有從上一頁面轉進來的會話才能讀取這個頁面。3) 防止ASP首頁.inc檔案泄露問題;
4) 防止UE等編輯器產生some.asp.bak檔案泄露問題。
6、IIS使用權限設定的思路
?要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）建立一個系統使用者，讓這個網站在系統中具有惟一的可以設定許可權的身份。
?在IIS的【網站屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛建立的那個使用者名稱。
?設定所有的分區禁止這個使用者訪問，而剛才這個網站的主目錄對應的那個檔案夾設定允許這個使用者訪問（要去掉繼承父許可權，並且要加上超管組和SYSTEM組）。
7、卸載最不安全的組件
最簡單的辦法是直接卸載後刪除相應的程式檔案。將下面的代碼儲存為一個.BAT檔案，( 以下均以 WIN2000 為例，如果使用2003，則系統檔案夾應該是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除檔案，不用管它，重啟一下伺服器，你會發現這三個都提示“×安全”了。