Windows Server2003安全設定策略

標籤：des   c   ext   http   a   int   

Windows Server2003安全設定策略
一、Windows Server2003的安裝
　　1、安裝系統最少兩需要個分區，分區格式都採用NTFS格式
　　2、在斷開網路的情況安裝好2003系統
 　 3、安裝IIS，僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP 服務)。預設情況下，IIS服務沒有安裝，在添加/刪除Win組件中選擇“應用程式伺服器”，然後點擊“詳細資料”，雙擊Internet資訊服務(iis)，勾選以下選項：
　　Internet 資訊服務管理器；
　　公用檔案；
　　背景智慧型傳送服務 (BITS) 伺服器擴充；
　　全球資訊網服務。
 　 如果你使用 FrontPage 擴充的 Web 網站再勾選：FrontPage 2002 Server Extensions
　　4、安裝MSSQL及其它所需要的軟體然後進行Update。
　　5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析電腦的安全配置，並標識缺少的Hotfix和更新。：見頁末的連結
　　二、設定和管理賬戶
　　1、系統賬戶最好少建，更改預設的帳戶名稱(Administrator)和描述，密碼最好採用數字加大小寫字母加數位上檔鍵組合，長度最好不少於14位。
　　2、建立一個名為Administrator的陷阱帳號，為其設定最小的許可權，然後隨便輸入組合的最好不低於20位的密碼
　　3、將Guest賬戶禁用並更改名稱和描述，然後輸入一個複雜的密碼，當然現在也有一個DelGuest的工具，也許你也可以利用它來刪除Guest賬戶，但我沒有試過。
　　4、在運行中輸入gpedit.msc斷行符號，開啟組策略編輯器，選擇電腦配置-Windows設定-安全設定-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效”，“鎖定時瀋櫛?0分鐘”，“複位鎖定計數設為30分鐘”。
　　5、在安全設定-本地策略-安全選項中將“不顯示上次的使用者名稱”設為啟用
  　6、在安全設定-本地策略-使用者權利分配中將“從網路訪問此電腦”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。
　　7、建立一個User賬戶，運行系統，如果要運行特權命令使用Runas命令。
三、網路服務安全管理
　　1、禁止C$、D$、ADMIN$一類的預設共用
　　開啟註冊表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的視窗中建立Dword值，名稱設為AutoShareServer值設為0
　　2、 解除NetBios與TCP/IP協議的綁定
　　右擊網路位置-屬性-右擊本地串連-屬性-雙擊Internet協議-進階-Wins-禁用TCP/IP上的NETBIOS
　　3、關閉不需要的服務，以下為建議選項
　　Computer Browser:維護網路電腦更新，禁用
　　Distributed File System: 區域網路管理共用檔案，不需要禁用
　　Distributed linktracking client：用於區域網路更新串連資訊，不需要禁用
　　Error reporting service：禁止發送錯誤報表
　　Microsoft Serch：提供快速的單詞搜尋，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用
　　PrintSpooler：如果沒有印表機可禁用
　　Remote Registry：禁止遠程修改註冊表
　　Remote Desktop Help Session Manager：禁止遠程協助
　　四、開啟相應的稽核原則
　　在運行中輸入gpedit.msc斷行符號，開啟組策略編輯器，選擇電腦配置-Windows設定-安全設定-稽核原則在建立審核項目時需要注意的是如果審核的項目太多，產生的事件也就越多，那麼要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件，你需要根據情況在這二者之間做出選擇。
　　推薦的要審核的項目是：
　　登入事件 成功 失敗
　　賬戶登入事件 成功 失敗
　　系統事件 成功 失敗
　　策略更改 成功 失敗
　　對象訪問 失敗
　　目錄服務訪問 失敗
　　特權使用 失敗
五、其它安全相關設定
　　1、隱藏重要檔案/目錄
　　可以修改註冊表實現完全隱藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，滑鼠右擊“CheckedValue”，選擇修改，把數值由1改為0
　　2、啟動系統內建的Internet串連防火牆，在設定服務選項中勾選Web伺服器。
　　3、防止SYN洪水攻擊
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
　　建立DWORD值，名為SynAttackProtect，值為2
　　4. 禁止響應ICMP路由通告報文
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
　　建立DWORD值，名為PerformRouterDiscovery 值為0
　　5. 防止ICMP重新導向報文的攻擊
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
　　將EnableICMPRedirects 值設為0
　　6. 不支援IGMP協議
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
　　建立DWORD值，名為IGMPLevel 值為0
　　7、禁用DCOM：
　　運行中輸入 Dcomcnfg.exe。 斷行符號， 單擊“主控台根目錄”下的“元件服務”。 開啟“電腦”子檔案夾。
　　對於本機電腦，請以按右鍵“我的電腦”，然後選擇“屬性”。選擇“預設屬性”選項卡。
　　清除“在這台電腦上啟用分散式 COM”複選框。
　　註：3-6項內容我採用的是Server2000設定，沒有測試過對2003是否起作用。但有一點可以肯定我用了一段的時間沒有發現其它副面的影響。
　　六、配置 IIS 服務：
　　1、不使用預設的Web網站，如果使用也要將 將IIS目錄與系統磁碟分開。
　　2、刪除IIS預設建立的Inetpub目錄（在安裝系統的盤上）。
　　3、刪除系統硬碟下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
　　4、刪除不必要的IIS副檔名映射。
　　按右鍵“預設Web網站→屬性→主目錄→配置”，開啟應用程式視窗，去掉不必要的應用程式對應。主要為.shtml, .shtm, .stm
　　5、更改IIS日誌的路徑
　　按右鍵“預設Web網站→屬性-網站-在啟用日誌記錄下點擊屬性
　　6、如果使用的是2000可以使用iislockdown來保護IIS，在2003啟動並執行IE6.0的版本不需要。
　　7、使用UrlScan
　　UrlScan是一個ISAPI篩選器，它對傳入的HTTP資料包進行分析並可以拒絕任何可疑的通訊量。目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。見頁未的連結
　　如果沒有特殊的要求採用UrlScan預設配置就可以了。
　　但如果你在伺服器運行ASP.NET程式，並要進行調試你需開啟要%WINDIR%System32InetsrvURLscan
　　檔案夾中的URLScan.ini 檔案，然後在UserAllowVerbs節添加debug謂詞，注意此節是區分大小寫。
　　如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。
　　如果你的網頁使用了非ASCII代碼，你需要在Option節中將AllowHighBitCharacters的值設為1
　　在對URLScan.ini 檔案做了更改後，你需要重啟IIS服務才會生效，快速方法運行中輸入iisreset
　　如果你在配置後出現什麼問題，你可以通過添加/刪除程式刪除UrlScan。
　　8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.
　　：VB.NET愛好者
七、配置Sql伺服器
　　1、System Administrators 角色最好不要超過兩個
　　2、如果是在本機最好將身分識別驗證配置為Win登陸
　　3、不要使用Sa賬戶，為其配置一個超級複雜的密碼
　　4、刪除以下的擴充預存程序格式為：
  　 use master
　　 sp_dropextendedproc ‘擴充預存程序名‘
　　xp_cmdshell：是進入*作系統的最佳捷徑，刪除
　　訪問註冊表的預存程序，刪除
　　 Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues
　　 Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring
　　OLE自動預存程序，不需要刪除
　　 Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty
　　 Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop
　　5、隱藏 SQL Server、更改預設的1433連接埠
　　右擊執行個體選屬性-常規-網路設定中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 執行個體，並改原預設的1433連接埠。
　　八、如果只做伺服器，不進行其它*作，使用IPSec
　　1、管理工具—本地安全性原則—右擊IP安全性原則—管理IP篩選器表和篩選器*作—在管理IP篩選器表選項下點擊
　　添加—名稱設為Web篩選器—點擊添加—在描述中輸入Web伺服器—將源地址設為任何IP地址——將目標地址設為我的IP地址——協議類型設為Tcp——IP協議連接埠第一項設為從任意連接埠，第二項到此連接埠80——點擊完成——點擊確定。
　　2、再在管理IP篩選器表選項下點擊
　　添加—名稱設為所有入站篩選器—點擊添加—在描述中輸入所有入站篩選—將源地址設為任何IP地址——將目標地址設為我的IP地址——協議類型設為任意——點擊下一步——完成——點擊確定。
　　3、在管理篩選器*作選項下點擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關閉管理IP篩選器表和篩選器*作視窗
　　4、右擊IP安全性原則——建立IP安全性原則——下一步——名稱輸入資料包篩選器——下一步——取消預設啟用響應原則——下一步——完成
　　5、在開啟的新IP安全性原則屬性視窗選擇添加——下一步——不指定隧道——下一步——所有網路連接——下一步——在IP篩選器列表中選擇建立的Web篩選器——下一步——在篩選器*作中選擇許可——下一步——完成——在IP篩選器列表中選擇建立的阻止篩選器——下一步——在篩選器*作中選擇阻止——下一步——完成——確定
　　6、在IP安全性原則的右邊視窗中右擊建立的資料包篩選器，點擊指派，不需要重啟，IPSec就可生效.
　　九、建議
　　如果你按本文去*作，建議每做一項更改就測試一下伺服器，如果有問題可以馬上撤消更改。而如果更改的項數多，才發現出問題，那就很難判斷問題是出在哪一步上了。
　　十、運行伺服器記錄當前的程式和開放的連接埠
　　1、將當前伺服器的進程抓圖或記錄下來，將其儲存，方便以後對照查看是否有不明的程式。
　　2、將當前開放的連接埠抓圖或記錄下來，儲存，方便以後對照查看是否開放了不明的連接埠。當然如果你能分辨每一個進程，和連接埠這一步可以省略。
Windows Server 2003 防木馬、使用權限設定、IIS伺服器安全配置整理
參考了網路上很多關於WIN2003的安全設定以及自己動手做了一些實踐，綜合了這些安全設定文章整理而成，希望對大家有所協助，另外裡面有不足之處還請大家多多指點，然後給補上，謝謝！
一、系統的安裝　　
１、按照Windows2003安裝光碟片的提示安裝，預設情況下2003沒有把IIS6.0安裝在系統裡面。
２、IIS6.0的安裝
　　開始菜單—>控制台—>添加或刪除程式—>添加/刪除Windows組件
　　應用程式 ———ASP.NET（可選）
　　　　　　　|——啟用網路 COM+ 訪問（必選）
　　　　　　　|——Internet 資訊服務(IIS)———Internet 資訊服務管理器（必選）　
　　　　　　　　　　　　　　　　　　　　　 |——公用檔案（必選）
　　　　　　　　　　　　　　　　　　　　　 |——全球資訊網服務———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　|——Internet 資料連線器（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——全球資訊網服務（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在伺服器端的包含檔案（可選）
　　然後點擊確定—>下一步安裝。（具體見本文附件1）
３、系統補丁的更新
　　點擊開始菜單—>所有程式—>Windows Update
　　按照提示進行補丁的安裝。
４、備份系統
　　用GHOST備份系統。
５、安裝常用的軟體
　　例如：殺毒軟體、解壓縮軟體等；安裝完畢後,配置殺毒軟體,掃描系統漏洞,安裝之後用GHOST再次備份系統。
6、先關閉不需要的連接埠 開啟防火牆 匯入IPSEC策略
在”網路連接”裡，把不需要的協議和服務都刪掉，這裡只安裝了基本的Internet協議（TCP/IP），由於要控制頻寬Cellular Data Package，額外安裝了Qos資料包排程器。在進階tcp/ip設定裡--"NetBIOS"設定"禁用tcp/IP上的NetBIOS（S）"。在進階選項裡，使用"Internet串連防火牆"，這是windows 2003 內建的防火牆，在2000系統裡沒有的功能，雖然沒什麼功能，但可以屏蔽連接埠，這樣已經基本達到了一個IPSec的功能。
修改3389遠端連線連接埠
修改註冊表.
開始--運行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊索引值中 PortNumber 改為你想用的連接埠號碼.注意使用十進位(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊索引值中 PortNumber 改為你想用的連接埠號碼.注意使用十進位(例 10000 )
注意：別忘了在WINDOWS2003內建的防火牆給+上10000連接埠
修改完畢.重新啟動伺服器.設定生效.
二、使用者安全設定
1、禁用Guest帳號
在電腦管理的使用者裡面把Guest帳號禁用。為了保險起見，最好給Guest加一個複雜的密碼。你可以開啟記事本，在裡面輸入一串包含特殊字元、數字、字母的長字串，然後把它作為Guest使用者的密碼拷進去。
2、限制不必要的使用者
去掉所有的Duplicate User使用者、測試使用者、共用使用者等等。使用者組原則設定相應許可權，並且經常檢查系統的使用者，刪除已經不再使用的使用者。這些使用者很多時候都是駭客們入侵系統的突破口。
3、把系統Administrator帳號改名
大家都知道，Windows 2003 的Administrator使用者是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個使用者的密碼。盡量把它偽裝成普通使用者，比如改成Guesycludx。
4、建立一個陷阱使用者
什麼是陷阱使用者?即建立一個名為“Administrator”的本機使用者，把它的使用權限設定成最低，什麼事也幹不了的那種，並且加上一個超過10位的超級複雜密碼。這樣可以讓那些 Hacker們忙上一段時間，藉此發現它們的入侵企圖。
5、把共用檔案的許可權從Everyone組改成授權使用者
任何時候都不要把共用檔案的使用者佈建成“Everyone”組，包括列印共用，預設的屬性就是“Everyone”組的，一定不要忘了改。
6、開啟使用者策略
使用使用者策略，分別設定複位使用者鎖定計數器時間為20分鐘，使用者鎖定時間為20分鐘，使用者鎖定閾值為3次。 （該項為可選）
7、不讓系統顯示上次登入的使用者名稱
預設情況下，登入對話方塊中會顯示上次登入的使用者名稱。這使得別人可以很容易地得到系統的一些使用者名稱，進而做密碼猜測。修改註冊表可以不讓對話方塊裡顯示上次登入的使用者名稱。方法為：開啟登錄編輯程式並找到註冊表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的索引值改成1。
密碼安全設定
1、使用安全密碼
一些公司的管理員建立帳號的時候往往用公司名、電腦名稱做使用者名稱，然後又把這些使用者的密碼設定得太簡單，比如“welcome”等等。因此，要注意密碼的複雜性，還要記住經常改密碼。
2、設定螢幕保護裝置密碼
這是一個很簡單也很有必要的操作。設定螢幕保護裝置密碼也是防止內部人員破壞伺服器的一個屏障。
3、開啟密碼原則
注意應用密碼原則，如啟用密碼複雜性要求，設定密碼長度最小值為6位 ，設定強制密碼曆史為5次，時間為42天。
4、考慮使用智慧卡來代替密碼
對於密碼，總是使安全性系統管理員進退兩難，密碼設定簡單容易受到駭客的攻擊，密碼設定複雜又容易忘記。如果條件允許，用智慧卡來代替複雜的密碼是一個很好的解決方案。
三、系統許可權的設定
１、磁碟許可權
　　系統硬碟及所有磁碟只給 Administrators 組和 SYSTEM 的完全控制許可權
　　系統硬碟\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
　　系統硬碟\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
　　系統硬碟\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、        netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del檔案只給 Administrators 組和SYSTEM 的完全   控制許可權 
另將<systemroot>\System32\cmd.exe、format.com、ftp.exe轉移到其他目錄或更名
　　Documents and Settings下所有些目錄都設定只給adinistrators許可權。並且要一個一個目錄查看，包括下面的所有子目錄。
刪除c:\inetpub目錄
２、本地安全性原則設定
　　開始菜單—>管理工具—>本地安全性原則
　　A、本地策略——>稽核原則
　　稽核原則更改　　　成功　失敗　　
　　審核登入事件　　　成功　失敗
　　審核對象訪問　　　　　　失敗
　　審核過程跟蹤　　　無審核
　　審核目錄服務訪問　　　　失敗
　　審核特權使用　　　　　　失敗
　　審核系統事件　　　成功　失敗
　　審核賬戶登入事件　成功　失敗
　　審核賬戶管理　　　成功　失敗
　　B、本地策略——>使用者權限分配
　　關閉系統：只有Administrators組、其它全部刪除。
　　通過終端服務允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除
　　C、本地策略——>安全選項
　　互動式登陸：不顯示上次的使用者名稱　　　　　　　啟用
　　網路訪問：不允許SAM帳戶和共用的匿名枚舉　 啟用
　　網路訪問：不允許為網路身分識別驗證儲存憑證　　　啟用
　　網路訪問：可匿名訪問的共用　　　　　　　　　全部刪除
　　網路訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網路訪問：可遠端存取的註冊表路徑　　　　　　全部刪除
　　網路訪問：可遠端存取的註冊表路徑和子路徑　　全部刪除
　　帳戶：重新命名來賓帳戶　　　　　　　　　　　　重新命名一個帳戶
　　帳戶：重新命名系統管理員帳戶　　　　　　　　　重新命名一個帳戶
３、禁用不必要的服務   開始-運行-services.msc
       TCP/IPNetBIOS Helper提供 TCP/IP 服務上的 NetBIOS 和網路上用戶端的 NetBIOS 名稱解析的支援而使使用者能夠共用
       檔案、列印和登入到網路
       Server支援此電腦通過網路的檔案、列印、和具名管道共用
　　Computer Browser 維護網路上電腦的最新列表以及提供這個列表
       Task scheduler 允許程式在指定時間運行
       Messenger 傳輸用戶端和伺服器之間的 NET SEND 和 警報器服務訊息
　　Distributed File System: 區域網路管理共用檔案，不需要可禁用
　　Distributed linktracking client：用於區域網路更新串連資訊，不需要可禁用
　　Error reporting service：禁止發送錯誤報表
　　Microsoft Serch：提供快速的單詞搜尋，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要可禁用
　　PrintSpooler：如果沒有印表機可禁用
　　Remote Registry：禁止遠程修改註冊表
　　Remote Desktop Help Session Manager：禁止遠程協助
       Workstation    關閉的話遠程NET命令列不出使用者組
　　以上是在Windows Server 2003 系統上面預設啟動的服務中禁用的，預設禁用的服務如沒特別需要的話不要啟動。
４、修改註冊表
修改註冊表，讓系統更強壯
1、隱藏重要檔案/目錄可以修改註冊表實現完全隱藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，滑鼠右擊 “CheckedValue”，選擇修改，把數值由1改為0
2、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
建立DWORD值，名為SynAttackProtect，值為2
建立EnablePMTUDiscovery REG_DWORD 0
建立NoNameReleaseOnDemand REG_DWORD 1
建立EnableDeadGWDetect REG_DWORD 0
建立KeepAliveTime REG_DWORD 300,000
建立PerformRouterDiscovery REG_DWORD 0
建立EnableICMPRedirects REG_DWORD 0
3. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
建立DWORD值，名為PerformRouterDiscovery 值為0
4. 防止ICMP重新導向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
5. 不支援IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
建立DWORD值，名為IGMPLevel 值為0
6、禁止IPC空串連：
cracker可以利用net use命令建立空串連，進而入侵，還有net view，nbtstat這些都是基於空串連的，禁止空串連就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。
7、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的作業系統，如：
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進位,預設值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦
8. 刪除預設共用
     有人問過我一開機就共用所有盤，改回來以後，重啟又變成了共用是怎麼回事，這是2K為管理而設定的預設共用，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可
9. 禁止建立空串連
預設情況下，任何使用者通過通過空串連連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改註冊表來禁止建立空串連：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10、建立一個記事本，填上以下代碼。儲存為*.bat並加到啟動項目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
5、IIS網站設定：
1、將IIS目錄＆資料與系統磁碟分開，儲存在專用磁碟空間內。
2、啟用父級路徑
3、在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）
4、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重新導向到一個定製HTM檔案
5、Web網站許可權設定（建議）
讀                  允許
寫                  不允許
指令碼源訪問         不允許
瀏覽目錄         建議關閉
日誌訪問         建議關閉
索引資源         建議關閉
執行              推薦選擇 “僅限於指令碼”
6、建議使用W3C擴充記錄檔格式，每天記錄客戶IP地址，使用者名稱，伺服器連接埠，方法，URI字根，HTTP狀態，使用者代理程式，而且每天均要審查日誌。（最好不要使用預設的目錄，建議更換一個記日誌的路徑，同時設定日誌的存取權限，只允許管理員和system為Full Control）。
7、程式安全:
1) 涉及使用者名稱與口令的程式最好封裝在伺服器端，盡量少的在ASP檔案裡出現，涉及到與資料庫連接地使用者名稱與口令應給予最小的許可權;
2) 需要經過驗證的ASP頁面，可跟蹤上一個頁面的檔案名稱，只有從上一頁面轉進來的會話才能讀取這個頁面。
3) 防止ASP首頁.inc檔案泄露問題;
4) 防止UE等編輯器產生some.asp.bak檔案泄露問題。
6、IIS使用權限設定的思路
?要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）建立一個系統使用者，讓這個網站在系統中具有惟一的可以設定許可權的身份。
?在IIS的【網站屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛建立的那個使用者名稱。
?設定所有的分區禁止這個使用者訪問，而剛才這個網站的主目錄對應的那個檔案夾設定允許這個使用者訪問（要去掉繼承父許可權，並且要加上超管組和SYSTEM組）。
7、卸載最不安全的組件
最簡單的辦法是直接卸載後刪除相應的程式檔案。將下面的代碼儲存為一個.BAT檔案，( 以下均以 WIN2000 為例，如果使用2003，則系統檔案夾應該是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除檔案，不用管它，重啟一下伺服器，你會發現這三個都提示“×安全”了。