一、操作系統(tǒng)配置

1.安裝操作系統(tǒng)(NTFS分區(qū))后，裝殺毒軟件，我選用的是卡巴。

2.安裝系統(tǒng)補(bǔ)丁。掃描漏洞全面殺毒

3.刪除Windows Server 2003默認(rèn)共享

首先編寫如下內(nèi)容的批處理文件：

@echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del

文件名為delshare.bat，放到啟動項中，每次開機(jī)時會自動刪除共享。

4.禁用IPC連接

打開CMD后輸入如下命令即可進(jìn)行連接：net use\\ip\ipc$ "password" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接。

5.刪除"網(wǎng)絡(luò)連接"里的協(xié)議和服務(wù)

在"網(wǎng)絡(luò)連接"里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），同時在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS（S）"。

6.啟用windows連接防火墻，只開放web服務(wù)(80端口)。

注：在2003系統(tǒng)里，不推薦用TCP/IP篩選里的端口過濾功能，譬如在使用FTP服務(wù)器的時候，如果僅僅只開放21端口，由于FTP協(xié)議的特殊性，在進(jìn)行FTP傳輸?shù)臅r候，由于FTP 特有的Port模式和Passive模式，在進(jìn)行數(shù)據(jù)傳輸?shù)臅r候，需要動態(tài)的打開高端口，所以在使用TCP/IP過濾的情況下，經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題，所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能。

7.磁盤權(quán)限

8.本地安全策略設(shè)置

開始菜單—>管理工具—>本地安全策略

A、本地策略——>審核策略 (可選用)

審核策略更改 成功 失敗 審核登錄事件 成功 失敗 審核對象訪問 失敗 審核過程跟蹤 無審核 審核目錄服務(wù)訪問 失敗 審核特權(quán)使用 失敗 審核系統(tǒng)事件 成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理 成功 失敗

B、本地策略——>用戶權(quán)限分配

關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。 通過終端服務(wù)拒絕登陸：加入Guests、Users組 通過終端服務(wù)允許登陸：只加入Administrators組，其他全部刪除

C、本地策略——>安全選項

交互式登陸：不顯示上次的用戶名 啟用 網(wǎng)絡(luò)訪問：可匿名訪問的共享 全部刪除 網(wǎng)絡(luò)訪問：可匿名訪問的命名管道 全部刪除 **網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑 全部刪除 **網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑 全部刪除 帳戶：重命名來賓帳戶 重命名一個帳戶 (下面一項更改可能導(dǎo)致sqlserver不能使用) 帳戶：重命名系統(tǒng)管理員帳戶 重命名一個帳戶

?

二、iis配置(包括網(wǎng)站所在目錄)

1.新建自己的網(wǎng)站(*注意：在應(yīng)用程序設(shè)置中執(zhí)行權(quán)限設(shè)為無，在需要的目錄里再更改)，目錄不在系統(tǒng)盤
注：為支持asp.net,將系統(tǒng)盤\Inetpub\wwwroot中的aspnet_client文件夾復(fù)制到web根目錄下，并給web根目錄加上users權(quán)限。

2.刪掉系統(tǒng)盤\inetpub目錄

3.刪除不用的映射

在"應(yīng)用程序配置"里，只給必要的腳本執(zhí)行權(quán)限：ASP、ASPX。

4.為網(wǎng)站創(chuàng)建系統(tǒng)用戶

A.例如：網(wǎng)站為yushan43436.net，新建用戶yushan43436.net權(quán)限為guests。然后在web站點(diǎn)屬性里"目錄安全性"---"身份驗證和訪問控制"里設(shè)置匿名訪問使用下列Windows 用戶帳戶"的用戶名和密碼都使用yushan43436.net這個用戶的信息。(用戶名：主機(jī)名\yushan43436.net)
B.給網(wǎng)站所在的磁盤目錄添加用戶yushan43436.net，只給讀取和寫入的權(quán)限。

5.設(shè)置應(yīng)用程及子目錄的執(zhí)行權(quán)限

A.主應(yīng)用程序目錄中的"屬性--應(yīng)用程序設(shè)置--執(zhí)行權(quán)限"設(shè)為純腳本
B.在不需要執(zhí)行asp、asp.net的子目錄中，例如上傳文件目錄，執(zhí)行權(quán)限設(shè)為無

6.應(yīng)用程序池設(shè)置

我的網(wǎng)站使用的是默認(rèn)應(yīng)用程序池。設(shè)置"內(nèi)存回收"：這里的最大虛擬內(nèi)存為：1000M，最大使用的物理內(nèi)存為256M，這樣的設(shè)置幾乎是沒限制這個站點(diǎn)的性能的。
回收工作進(jìn)程(分鐘)：1440
在下列時間回收工作進(jìn)程：06:00

?

?

三、sql server 2000 配置

1.密碼設(shè)置

我編的程序用了sa用戶，密碼設(shè)置超復(fù)雜(自己記不住，保存在手機(jī)里，嘿嘿)。

2.刪除危險的擴(kuò)展存儲過程和相關(guān).dll。

Xp_cmdshell(這個肯定首當(dāng)其沖，不用說了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring

四、其它設(shè)置(選用)

1.任何用戶密碼都要復(fù)雜，不需要的用戶---刪。

2.防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名為SynAttackProtect，值為2

3.禁止響應(yīng)ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值，名為PerformRouterDiscovery 值為0

4.防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設(shè)為0

5.不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名為IGMPLevel 值為0

6.禁用DCOM：

運(yùn)行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開“計算機(jī)”子文件夾。
對于本地計算機(jī)，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項卡。
清除“在這臺計算機(jī)上啟用分布式 COM”復(fù)選框。

刪了它，比如我刪了cmd.exe，command.exe，嘿嘿。)；
其它盤，有安裝程序運(yùn)行的(我的sql server 2000 在D盤)給 Administrators 和 SYSTEM 權(quán)限，無只給 Administrators 權(quán)限。

?

系統(tǒng)盤只給 Administrators 和 SYSTEM 權(quán)限 系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 和 SYSTEM 權(quán)限； 系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 和 SYSTEM 權(quán)限； 系統(tǒng)盤\Documents and Settings\All Users\Application Data目錄只給 Administrators 和 SYSTEM 權(quán)限； 系統(tǒng)盤\Windows 目錄只給 Administrators 、 SYSTEM 和 users 權(quán)限； 系統(tǒng)盤\Windows\System32\net.exe，net1.exe，cmd.exe，command.exe，ftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe 文件只給 Administrators 權(quán)限(如果覺得沒用就

轉(zhuǎn)載于:https://www.cnblogs.com/JemBai/archive/2008/10/08/1306128.html

總結(jié)

以上是生活随笔為你收集整理的一份详细的服务器安全解决方案的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。