策略一：關(guān)閉windows2003不必要的服務(wù)

　　•computer browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表

　　•task scheduler 允許程序在指定時(shí)間運(yùn)行

　　•routing and remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

　　•removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)

　　•remote registry service 允許遠(yuǎn)程注冊(cè)表操作

　　•PRint spooler 將文件加載到內(nèi)存中以便以后打印。

　　•ipsec policy agent 管理ip安全策略及啟動(dòng)isakmp/oakleyike)和ip安全驅(qū)動(dòng)程序

　　•distributed link tracking client 當(dāng)文件在網(wǎng)絡(luò)域的ntfs卷中移動(dòng)時(shí)發(fā)送通知

　　•com+ event system 提供事件的自動(dòng)發(fā)布到訂閱com組件

　　•alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)

　　•error reporting service 收集、存儲(chǔ)和向 microsoft 報(bào)告異常應(yīng)用程序

　　•messenger 傳輸客戶端和服務(wù)器之間的 net send 和 警報(bào)器服務(wù)消息

　　•telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序

　　策略二：磁盤權(quán)限設(shè)置

　　c盤只給administrators和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置，這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的，需要加上這個(gè)用戶，否則造成啟動(dòng)不了。

　　windows目錄要加上給users的默認(rèn)權(quán)限，否則asp和aspx等應(yīng)用程序就無法運(yùn)行。

　　策略三：禁止 windows 系統(tǒng)進(jìn)行空連接

　　在注冊(cè)表中找到相應(yīng)的鍵值hkey_local_machine/system/currentcontrolset/control/lsa，將dword值restrictanonymous的鍵值改為1

　　策略四：關(guān)閉不需要的端口

　　本地連接--屬性--internet協(xié)議(tcp/ip)--高級(jí)--選項(xiàng)--tcp/ip篩選--屬性--把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)

　　更改遠(yuǎn)程連接端口方法

　　開始-->運(yùn)行-->輸入regedit

　　查找3389：

　　請(qǐng)按以下步驟查找:

　　1、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwds dpwd ds cp下的portnumber=3389改為自寶義的端口號(hào)

　　2、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwinstations dp-tcp下的portnumber=3389改為自寶義的端口號(hào)

　　修改3389為你想要的數(shù)字(在十進(jìn)制下)----再點(diǎn)16進(jìn)制(系統(tǒng)會(huì)自動(dòng)轉(zhuǎn)換)----最后確定!這樣就ok了。

　　這樣3389端口已經(jīng)修改了，但還要重新啟動(dòng)主機(jī)，這樣3389端口才算修改成功!如果不重新啟動(dòng)3389還

　　是修改不了的!重起后下次就可以用新端口進(jìn)入了!

　　禁用tcp/ip上的netbiOS

　　本地連接--屬性--internet協(xié)議(tcp/ip)--高級(jí)—wins--禁用tcp/ip上的netbios

　　策略五：關(guān)閉默認(rèn)共享的空連接

　　首先編寫如下內(nèi)容的批處理文件：

　　@echo off

　　net share c$ /delete

　　net share d$ /delete

　　net share e$ /delete

　　net share f$ /delete

　　net share admin$ /delete

　　以上文件的內(nèi)容用戶可以根據(jù)自己需要進(jìn)行修改。保存為delshare.bat，存放到系統(tǒng)所在文件夾下的system32grouppolicyuserscriptslogon目錄下。然后在開始菜單→運(yùn)行中輸入gpedit.msc，

　　回車即可打開組策略編輯器。點(diǎn)擊用戶配置→windows設(shè)置→腳本(登錄/注銷)→登錄.

　　在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”，會(huì)出現(xiàn)“添加腳本”對(duì)話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可。

　　重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，就可以自動(dòng)將系統(tǒng)所有的隱藏共享文件夾全部取消了，這樣就能將系統(tǒng)安全隱患降低到最低限度。

　　策略六：iis安全設(shè)置

　　1、不使用默認(rèn)的web站點(diǎn)，如果使用也要將iis目錄與系統(tǒng)磁盤分開。

　　2、刪除iis默認(rèn)創(chuàng)建的inetpub目錄(在安裝系統(tǒng)的盤上)。

　　3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。

　　4、刪除不必要的iis擴(kuò)展名映射。

　　右鍵單擊“默認(rèn)web站點(diǎn)→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml、shtm、stm。

　　5、更改iis日志的路徑

　　右鍵單擊“默認(rèn)web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性

　　策略七：注冊(cè)表相關(guān)安全設(shè)置

　　1、隱藏重要文件/目錄

　　hkey_local_machinesoftwaremicrosoftwindowscurrent-versionexploreradvancedfolderhiddenshowall”

　　鼠標(biāo)右擊 “checkedvalue”，選擇修改，把數(shù)值由1改為0。

　　2、防止syn洪水攻擊

　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

　　新建dword值，名為synattackprotect，值為2

　　3、禁止響應(yīng)icmp路由通告報(bào)文

　　hkey_local_machinesystem currentcontrolset services cpipparametersinterfacesinterface

　　新建dword值，名為performrouterdiscovery 值為0。

　　4、防止icmp重定向報(bào)文的攻擊

　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

　　將enableicmpredirects 值設(shè)為0

　　5、不支持igmp協(xié)議

　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

　　新建dword值，名為igmplevel 值為0。