1)、系统安全基本设置

 1.安装【ān zhuāng】🧗说明🔵：系统【xì tǒng】全部NTFS格式化【gé shì huà】，重新安装【ān zhuāng】🧗系统【xì tǒng】（采用原【cǎi yòng yuán】🍱版【bǎn】✴win2003）,安装【ān zhuāng】🧗杀毒软件【dú ruǎn jiàn】(Mcafee)，并将杀毒软件【dú ruǎn jiàn】更新，安装【ān zhuāng】🧗sp2补钉【bǔ dìng】，安装【ān zhuāng】🧗IIS（只安装【ān zhuāng】🧗必须的🚭组件）,安装【ān zhuāng】🧗SQL2000，安装【ān zhuāng】🧗.net2.0,开启防火墙【huǒ qiáng】。并将服🍔务器打🏥上最新🤬的补钉【bǔ dìng】。

2)、关闭不需要的服务

Computer Browser:维护网【wéi hù wǎng】📰络计算机更新🦃，禁用【jìn yòng】　　

Distributed File System: 局域网管理共♿享文件【xiǎng wén jiàn】，不需要🕉禁用【jìn yòng】　　

Distributed linktracking client：用于局【yòng yú jú】🐩域网更新连接【xīn lián jiē】信息，不需要⏮禁用　　

Error reporting service：禁止发【jìn zhǐ fā】送错误🌯报告　　

Microsoft Serch：提供快速的单词搜索【cí sōu suǒ】🐶，不需要【bú xū yào】可禁用🕺　　

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的【yòng de】，不需要【bú xū yào】🍘禁用🍿　　

PrintSpooler：如果没🎩有打印🐂机可禁【jī kě jìn】用【yòng】　　

Remote Registry：禁止远【jìn zhǐ yuǎn】🍠程修改注册表　　

Remote Desktop Help Session Manager：禁止远📋程协助【chéng xié zhù】 其他服务有待核查【hé chá】😇

3)、设置和管理账户

1、将Guest账户禁📅用并更改名称【gǎi míng chēng】🙄和描述，然后输【rán hòu shū】🧚入一个复杂的密码【mì mǎ】

2、系统管理员账户最好🍋少建【shǎo jiàn】，更改默🏠认的管理员帐【lǐ yuán zhàng】户名(Administrator)和描述【hé miáo shù】，密码最好采用数字加🎀大小写【dà xiǎo xiě】💆字母加【zì mǔ jiā】💳数字的🌈上档键🦕组合【zǔ hé】，长度最好不少于10位【wèi】

3、新建一个名为Administrator的陷阱🏆帐号，为其设【wéi qí shè】置最小的权限【de quán xiàn】🐛，然后随【rán hòu suí】便输入组合的【zǔ hé de】🚭最好不低于💙20位的密✈码【mǎ】

4、计算机配置【pèi zhì】-Windows设置【shè zhì】-安全设置【shè zhì】-账户策略【luè】-账户锁🚠定策略【luè】，将账户🚫设为【shè wéi】“三次登陆无效🦌 时间为【shí jiān wéi】🐥30分钟🧣

5、在安全设置【shè zhì】⛓-本地策略【luè】-安全选【ān quán xuǎn】🏯项中将“不显示上次的【shàng cì de】🤵用⏮户名”设为启用⏮

6、 在安全🚘设置-本地策略【luè】⬆-用户【hù】权利分配中将“从网络访问此计算机⛔”中只保【zhōng zhī bǎo】留【liú】Internet来宾账【lái bīn zhàng】🕢户【hù】、启动⏮IIS进程账🙄户【hù】,Aspnet账户【zhàng hù】

7、创建一【chuàng jiàn yī】🥥个User账户【zhàng hù】，运行系【yùn háng xì】统，如果要运行特权命令🍿使用Runas命令🦒。

4）、打开相应的审核策略

审核策略更改:成功

审核登录事件:成功,失败

审核对象访问:失败

审核对象追踪:成功,失败

审核目录服务访问:失败

审核特权使用:失败

审核系统事件:成功,失败

审核账户登录事件:成功,失败

 审核账户管理:成功,失败

5）、 其它安全相关设置

1、禁止C$、D$、ADMIN$一类的【yī lèi de】缺省共【quē shěng gòng】🍖享💭　　

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边【zài yòu biān】的🏫 窗口中新建💎Dword值【zhí】🎈，名称设为【shè wéi】AutoShareServer值【zhí】🎈设为【shè wéi】0

2、解除😲NetBios与【yǔ】TCP/IP协议的【xié yì de】绑定🤛　

右击网🖲上邻居-属性【shǔ xìng】👥-右击本地连接-属性【shǔ xìng】👥-双击🚫Internet协议【xié yì】🍃-高级-Wins-禁用TCP/IP上的【shàng de】 NETBIOS

3、隐藏重要文件/目录　　

可以修改注册表实现📎完全隐藏🍦： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠标右🆑击“CheckedValue”，选择修【xuǎn zé xiū】改，把数值【bǎ shù zhí】由【yóu】🍌1改为【gǎi wéi】0

4、防止SYN洪水攻击 　　

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值【zhí】📳，名为【míng wéi】🐚SynAttackProtect，值【zhí】📳为2

5、 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值🚨，名为【míng wéi】🛡PerformRouterDiscovery 值🚨为【wéi】0

6. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为【zhí shè wéi】🆙0

7、 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值🕴，名为【míng wéi】🏮IGMPLevel 值🕴为【wéi】0

8、禁用【jìn yòng】DCOM：运行中【yùn háng zhōng】输入【shū rù】 Dcomcnfg.exe。 回车， 单击“控制台根节点【gēn jiē diǎn】”下的【xià de】💃“组件服🚈务🦗”。 打开🍳“计算机🕔”子 文件夹。　　

对于本地计算机【jì suàn jī】🕎，请以右【qǐng yǐ yòu】键单击“我的电【wǒ de diàn】脑✌”，然后选【rán hòu xuǎn】择🎓“属 性”。选择【xuǎn zé】🎓“默认属【mò rèn shǔ】🥔性”选项卡🧚。清除“在这台计算机【jì suàn jī】🕎上启用分布式【fèn bù shì】📏 COM”复选框🚥。

9、终端服【zhōng duān fú】👐务的默认端口【rèn duān kǒu】🎄为【wéi】3389，可考虑🕐修改为【wéi】别的端口🎄。

修改【xiū gǎi】方♿法为🥙： 服务器【fú wù qì】端：打开注【dǎ kāi zhù】🏦册表【cè biǎo】，在🎪“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 处找到类似🤚RDP-TCP的子键，修改【xiū gǎi】🔺PortNumber值👜。 客户端⏰：按正常步骤建一个客户端⏰连接，选中这【xuǎn zhōng zhè】㊙个连接，在🎪“文件【wén jiàn】”菜单中【cài dān zhōng】🚿选择导出👿，在🎪指定位【zhǐ dìng wèi】置会💶 生成一个后缀【gè hòu zhuì】为.cns的文件【de wén jiàn】。打开该🐤文件【wén jiàn】，修改【xiū gǎi】🔺“Server Port”值👜为与服【wéi yǔ fú】务器端的PortNumber对应的 值👜。然后再【rán hòu zài】导入该【dǎo rù gāi】文件【wén jiàn】（方法：菜单【cài dān】🍔→文件【wén jiàn】→导入），这样客户端⏰就修改【xiū gǎi】🔺了端口。

 6）、配置【pèi zhì】🥄 IIS 服务　　

1、不使用默认的【mò rèn de】😿Web站点，如果使💺用也要【yòng yě yào】将【jiāng】⛄ 将【jiāng】⛄IIS目录与系统磁盘分开。　　

2、删除IIS默认创【mò rèn chuàng】🚸建的【jiàn de】Inetpub目录（在安装🥤系统的盘上【pán shàng】❤）。　　

3、删除系【shān chú xì】统盘下🌅的虚拟【de xū nǐ】目录🕰，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。　　

4、删除不👮必要的📧IIS扩展名🔕映射【shè】。　　右键单击【jī】“默认Web站点→属性→主目录【zhǔ mù lù】🌯→配置”，打开应【dǎ kāi yīng】用程🏍序窗口，去掉不必要的📧应用程🏍序映【xù yìng】 射【shè】。主要为【zhǔ yào wéi】.shtml, .shtm, .stm 　　

5、更改IIS日志的路径　右键单击“默认Web站点【zhàn diǎn】🛵→属性-网站-在启用日志记【rì zhì jì】📣录下点【lù xià diǎn】🛤击属性【jī shǔ xìng】🏴　　

6、如果使用【yòng】💇的是2000可以使🐧用【yòng】💇iislockdown来保护【lái bǎo hù】IIS，在【zài】2003运行的IE6.0的版本🚵不需要。

7、使用UrlScan 　　

UrlScan是🐶一个【yī gè】ISAPI筛选器⛑，它对传【tā duì chuán】入的⏪HTTP数据包♿进行分🧡析并可【xī bìng kě】以拒绝任何可疑的通信量【xìn liàng】。 目前最【mù qián zuì】新的版本【běn】🎑是🐶2.5，如果是【rú guǒ shì】🐶2000Server需要先【xū yào xiān】安装1.0或2.0的版本【běn】🎑。　　如果没【rú guǒ méi】🕺有特殊✝的要求🤡采用UrlScan默认配【mò rèn pèi】置就可以了。　　但如果🎆你在服【nǐ zài fú】🏳务器运行ASP.NET程序🌲，并要进【bìng yào jìn】行调试🧣你需打【nǐ xū dǎ】开要🏖 %WINDIR%System32InetsrvURLscan，文件【wén jiàn】🕵夹中的URLScan.ini 文件【wén jiàn】🕵，然后👅在【zài】UserAllowVerbs节添 加【jiā】🔺debug谓词⛩，注意此【zhù yì cǐ】节是🐶区分大【qū fèn dà】小🤴写的。　　如果你的网页【de wǎng yè】是🐶.asp网页你需要【xū yào】🙎在【zài】DenyExtensions删除.asp相关的内容。　　如果你的网页【de wǎng yè】使用了非ASCII代码，你需要【xū yào】🙎在【zài】Option节中将AllowHighBitCharacters的值设📵为1 　　在对【zài duì】🛰URLScan.ini 文件【wén jiàn】🕵做了更改【gǎi】🏘后👅，你需要【xū yào】🙎重启IIS服务才【fú wù cái】能生效，快速方法运行【fǎ yùn háng】🍢中输入iisreset 　　如果你在【zài】配置🌬后👅出现什么问题，你可以🗣通过添【tōng guò tiān】加【jiā】🔺/删除程【shān chú chéng】序🌲删除UrlScan。　　

8、利用WIS (Web Injection Scanner)工具对整个网【zhěng gè wǎng】🦓站进行🛠SQL Injection 脆弱性扫描【sǎo miáo】.

7）、配置Sql服务器　　

1、System Administrators 角色最👩好不要♒超过两【chāo guò liǎng】个【gè】　　

3、不要使用【yòng】🥧Sa账户，为其配置一个🕙超级复【chāo jí fù】🖍杂的密【zá de mì】码　　

4、删除以下的扩展存储过程格式为：　　

use master 　　sp_dropextendedproc '扩展存【kuò zhǎn cún】🌓储过程名' 　　

xp_cmdshell：是进入🌱操作系【cāo zuò xì】统的最【tǒng de zuì】佳捷径🕺，删除　　访问注册表的【cè biǎo de】存储过程🐮，

删除　　

Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues 　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring 　　

OLE自动存储过程，不需要删除　　

Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty 　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

5、隐藏【yǐn cáng】 SQL Server、更改默🈴认的1433端口【duān kǒu】🕺　　

右击实例选属【lì xuǎn shǔ】🌂性🖍-常规【cháng guī】-网络配【wǎng luò pèi】💖置中选择【zé】TCP/IP协议的属性🖍，选择【zé】隐藏 SQL Server 实例，并改原🍊默🔑 认的1433端口【duān kǒu】。

8）、修改系统日【xì tǒng rì】📱志【zhì】保存地址 默认【mò rèn】位🕦置为 应用程序日志【zhì】、安全日志【zhì】、系统日【xì tǒng rì】📱志【zhì】、DNS日志默【rì zhì mò】认位🕦置：%systemroot%\system32\config，默认【mò rèn】 文件大小【xiǎo】🛺512KB，管理员【guǎn lǐ yuán】🦄都会改➗变这个【biàn zhè gè】默认【mò rèn】大小【xiǎo】🛺。

安全日【rì】🍣志文件【zhì wén jiàn】💹：%systemroot%\system32\config\SecEvent.EVT 系统日【xì tǒng rì】🎤志文件【zhì wén jiàn】💹：%systemroot%\system32\config\SysEvent.EVT 应用程📉序日【xù rì】🍣志文件【zhì wén jiàn】💹：%systemroot%\system32\config\AppEvent.EVT Internet信息服务【wù】FTP日【rì】🍣志默认【zhì mò rèn】🦍位置【wèi zhì】：%systemroot%\system32\logfiles\msftpsvc1\，默认每🕷天一个【tiān yī gè】🧐日【rì】🍣 志【zhì】📞 Internet信息服务【wù】WWW日【rì】🍣志默认【zhì mò rèn】🦍位置【wèi zhì】：%systemroot%\system32\logfiles\w3svc1\，默认每🕷天一个【tiān yī gè】🧐日【rì】🍣 志【zhì】📞 Scheduler(任务【wù】计🤾划)服务【wù】日【rì】📋志默认【zhì mò rèn】🦍位置【wèi zhì】：%systemroot%\schedlgu.txt 应用程📉序日【xù rì】🍣志【zhì】📞，安全日【rì】🍣志【zhì】📞，系统日【xì tǒng rì】🎤志【zhì】📞，DNS服务【wù】器日【rì】🍣志【zhì】📞，它们这些【xiē】LOG文件在注册【zài zhù cè】表【biǎo】🆖中【zhōng】的💱： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任务【wù】计🤾划)服务【wù】日【rì】📋志【zhì】📞在注册【zài zhù cè】表【biǎo】🆖中【zhōng】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 删掉或【shān diào huò】改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本【bǎn běn】 // AutoShareServer 对server版本【bǎn běn】 // 0

禁止管⚽理共享【lǐ gòng xiǎng】admin$,c$,d$之类默【zhī lèi mò】认共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用【nì míng yòng】户无法【hù wú fǎ】列举本🏯机用户【jī yòng hù】列表🗜 //0x2 匿名用【nì míng yòng】户无法【hù wú fǎ】连接本【lián jiē běn】机IPC$共享(可能📩sql server不能够♒启动🐬

9）、本地安全策略

1．只开放【zhī kāi fàng】服务【fú wù】👱需要的端🍏口【kǒu】🛰与协议【yǔ xié yì】🤳。 具体方法为：按顺序【àn shùn xù】打开✨“网上邻居→属性【shǔ xìng】😩→本地连接【jiē】→属性【shǔ xìng】😩→Internet 协议【xié yì】🤳→属性【shǔ xìng】😩→高级【gāo jí】🐿→选项→ TCP/IP筛选→属性【shǔ xìng】😩”，添加需要的💆TCP、UDP端口【kǒu】以🍐及【jí】IP协议【xié yì】🤳即可。根据服务【fú wù】👱开设口【kāi shè kǒu】🛰，常用的TCP 口【kǒu】🛰有：80口【kǒu】用于👸Web服务【fú wù】👱；21