１、磁盤權限

　　系統盤只給 Administrators 組和 SYSTEM 的完全控制權限
其他磁盤只給 Administrators 組完全控制權限
　　系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤\windows\system32\config\ 禁止guests組
　　系統盤\Documents and Settings\All Users\「開始」菜單\程序\ 禁止guests組
　　系統盤\windowns\system32\inetsrv\data\ 禁止guests組
　　系統盤\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤\Windows\System32\ cmd.exe、format.com 僅 Administrators 組完全控制權限
把所有（Windows\system32和Windows\ServicePackFiles\i386） format.com 更名為 format_nowayh.com

　　２、本地安全策略設置

　　開始菜單->管理工具->本地安全策略
　　A、本地策略-->審核策略
　　審核策略更改　　　成功　失敗　　
　　審核登錄事件　　　成功　失敗
　　審核對象訪問　　　　　　失敗
　　審核過程跟蹤　　　無審核
　　審核目錄服務訪問　　　　失敗
　　審核特權使用　　　　　　失敗
　　審核系統事件　　　成功　失敗
　　審核賬戶登錄事件　成功　失敗
　　審核賬戶管理　　　成功　失敗

　　B、本地策略-->用戶權限分配
　　關閉系統：只有Administrators組、其它全部刪除。
　　通過終端服務拒絕登陸：加入Guests組
　　通過終端服務允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除

　　C、本地策略-->安全選項
　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用
　　網絡訪問：不允許SAM帳戶和共享的匿名枚舉　　 啟用
　　網絡訪問：不允許為網絡身份驗證儲存憑證　　　啟用
　　網絡訪問：可匿名訪問的共享　　　　　　　　　全部刪除
　　網絡訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網絡訪問：可遠程訪問的注冊表路徑　　　　　　全部刪除
　　網絡訪問：可遠程訪問的注冊表路徑和子路徑　　全部刪除
　　帳戶：重命名來賓帳戶　　　　　　　　　　　　重命名一個帳戶
　　帳戶：重命名系統管理員帳戶　　　　　　　　　重命名一個帳戶

　　D、賬戶策略-->賬戶鎖定策略
將賬戶設為“5次登陸無效”，“鎖定時間為30分鐘”，“復位鎖定計數設為30分鐘”

　　其他配置

√·把Administrator賬戶更改
管理工具→本地安全策略→本地策略→安全選項

√·新建一無任何權限的假Administrator賬戶
管理工具→計算機管理→系統工具→本地用戶和組→用戶
更改描述：管理計算機(域)的內置帳戶


×·重命名IIS來賓賬戶
1、管理工具→計算機管理→系統工具→本地用戶和組→用戶→重命名IUSR_ComputerName
2、打開 IIS 管理器→本地計算機→屬性→允許直接編輯配置數據庫
3、進入Windows\system32\inetsrv文件夾→MetaBase.xml→右鍵編輯→找到"AnonymousUserName"→寫入"IUSR_"新名稱→保存
4、關閉"允許直接編輯配置數據庫"

√·禁止文件共享
本地連接屬性→去掉"Microsoft網絡的文件和打印共享"和"Microsoft 網絡客戶端"前面的"√"


√·禁止NetBIOS（關閉139端口）
本地連接屬性→TCP/IP屬性→高級→WINS→禁用TCP/IP上的NetBIOS
管理工具→計算機管理→設備管理器→查看→顯示隱藏的設備→非即插即用驅動程序→禁用 NetBios over tcpip→重啟

√·防火墻的設置
本地連接屬性→高級→Windows防火墻設置→高級→第一個"設置"，勾選FTP、HTTP、遠程桌面服務


√·禁止ADMIN$缺省共享、磁盤默認共享、限制IPC$缺省共享（匿名用戶無法列舉本機用戶列表、禁止空連接）
新建REG文件，導入注冊表
----------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoshareWks"=dword:00000000
"AutoShareServer"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
----------------------------------

√·刪除以下注冊表主鍵
----------------------------------
　　WScript.Network
　　WScript.Network.1
{093FF999-1EA0-4079-9525-9614C3504B74}
　　WScript.Shell
　　WScript.Shell.1
{72C24DD5-D70A-438B-8A42-98424B88AFB8}
　　Shell.Application
　　Shell.Application.1
{13709620-C279-11CE-A49E-444553540000}
----------------------------------


√·更改3389端口為12344
這里只介紹如何更改，既然本端口公布出來了，那大家就別用這個了，端口可用windows自帶的計算器將10進制轉為16進制，16進制數替換下面兩個的dword:后面的值（7位數，不夠的在前面補0），登陸的時候用10進制，端口更改在服務器重啟后生效
新建REG文件，導入注冊表
----------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0003038

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00003038
----------------------------------
最后別忘了Windows防火墻允許12344端口，關閉3389端口


√·禁止非管理員使用at命令
新建REG文件，導入注冊表
----------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"SubmitControl"=dword:00000001
----------------------------------


√·卸載最不安全的組件
運行"卸載最不安全的組件.bat"，重啟后更名或刪掉Windows\System32\里的wshom.ocx和shell32.dll
----------------卸載最不安全的組件.bat-----------------
regsvr32/u %SystemRoot%\System32\wshom.ocx
regsvr32/u %SystemRoot%\System32\shell32.dll
regsvr32/u %SystemRoot%\System32\wshext.dll
-------------------------------------------------------


√·Windows日志的移動
打開"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\"
Application 子項：應用程序日志
Security 子項：安全日志
System 子項：系統日志
分別更改子項的File鍵值，再把System32\config目錄下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt復制到目標文件夾，重啟。


√·Windows日志的保護
1、移動日志后的文件夾→屬性→安全→高級→去掉"允許父系的繼承權限……"→復制→確定
2、保留System賬戶和User組，System賬戶保留除完全控制和修改之外的權限，User組僅保留只讀權限
3、AppEvent.Evt、SysEvent.Evt保留Administrator、System賬戶和User組，Administrator、System賬戶保留除完全控制和修改之外的權 限，User組僅保留只讀權限；
DnsEvent.Evt、SecEvent.Evt保留System賬戶和User組，System賬戶保留除完全控制和修改之外的權限，User組僅保留只讀權限


√·要手動停止/禁用的服務：Computer Browser、Error reporting service、Microsoft Serch、Print Spooler、Remote Registry、Server 、TCP/IP NetBIOS Helper、Workstation


√·解決在 IIS 6.0 中，無法下載超過4M的附件（現改為10M）
停止IIS服務→打開WINDOWS\system32\inetsrv\→記事本打開MetaBase.xml→找到 AspBufferingLimit 項→值改為 10485760


√·設置Web上傳單個文件最大值為10 MB
停止IIS服務→打開WINDOWS\system32\inetsrv\→記事本打開MetaBase.xml→找到 AspMaxRequestEntityAllowed 項→值改為 10485760


×·重新定位和設置 IIS 日志文件的權限
1、將 IIS 日志文件的位置移動到非系統分區：在非系統的NTFS分區新建一文件夾→打開 IIS 管理器→右鍵網站→屬性→單擊"啟用日志 記錄"框架中的"屬性"→更改到剛才創建的文件夾
2、設置 IIS 日志文件的權限：瀏覽至日志文件所在的文件夾→屬性→安全→確保Administrators和System的權限設置為"完全控制"


×·配置 IIS 元數據庫權限
打開 Windows\System32\Inetsrv\MetaBase.xml 文件→屬性→安全→確認只有 Administrators 組的成員和 LocalSystem 帳戶擁有對元 數據庫的完全控制訪問權，刪除所有其他文件權限→確定
解釋 Web 內容的權限
打開IIS管理器→右鍵想要配置的網站的文件夾、網站、目錄、虛擬目錄或文件
? 腳本源文件訪問。用戶可以訪問源文件。如果選擇"讀"，則可以讀源文件；如果選擇"寫"，則可以寫源文件。腳本源訪問包括腳本的源代碼 。如果"讀"或"寫"均未選擇，則此選項不可用。
? 讀（默認情況下選擇）。用戶可以查看目錄或文件的內容和屬性。
? 寫。用戶可以更改目錄或文件的內容和屬性。
? 目錄瀏覽。用戶可以查看文件列表和集合。
? 日志訪問。對網站的每次訪問創建日志項。
? 檢索資源。允許檢索服務檢索此資源。這允許用戶搜索資源。


√·關閉自動播放
運行組策略編輯器（gpedit.msc）→計算機配置→管理模板→系統→關閉自動播放→屬性→已啟用→所有驅動器

√·禁用DCOM
運行Dcomcnfg.exe。控制臺根節點→組件服務→計算機→右鍵單擊“我的電腦”→屬性”→默認屬性”選項卡→清除“在這臺計算機上啟用分布式 COM”復選框。


√·啟用父路徑
IIS管理器→右鍵網站→屬性→主目錄→配置→選項→啟用父路徑


√·IIS 6.0 系統無任何動作超時時間和腳本超時時間
IIS管理器→右鍵網站→屬性→主目錄→配置→選項→分別改為40分鐘和180秒


√·刪除不必要的IIS擴展名映射
　　IIS管理器→右擊Web站點→屬性→主目錄→配置→映射，去掉不必要的應用程序映射，主要為.shtml, .shtm, .stm


√·增加IIS對MIME文件類型的支持
IIS管理器→選擇服務器→右鍵→屬性→MIME類型（或者右鍵web站點→屬性→HTTP頭→MIME類型→新建）添加如下表內容，然后重啟IIS
擴展名 MIME類型
.iso application/octet-stream
.rmvb application/vnd.rn-realmedia


√·禁止dump file的產生
　　
我的電腦→右鍵→屬性→高級→啟動和故障恢復→寫入調試信息→無。
dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給黑客提供 一些敏感信息比如一些應用程序的密碼等。



→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→
Serv-U FTP服務的設置
√·本地服務器→設置→攔截"FTP_bounce"攻擊和FXP
對于60秒內連接超過10次的用戶攔截5分鐘
√·本地服務器→域→用戶→選中需要設置的賬號→右邊的"同一IP只允許2個登錄"

√·本地服務器→域→設置→高級→取消"允許MDTM命令來更改文件的日期/時間"

設置Serv-U程序所在的文件夾的權限，Administrator組完全控制，禁止Guests組和IIS匿名用戶有讀取權限

服務器消息，自上而下分別改為：
服務器工作正常，現已準備就緒...
錯誤！請與管理員聯系！
FTP服務器正在離線維護中，請稍后再試！
FTP服務器故障，請稍后再試！
當前賬戶達到最大用戶訪問數，請稍后再試！
很抱歉，服務器不允許匿名訪問！
您上傳的東西太少，請上傳更多東西后再嘗試下載！


→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→
SQL安全設置

審核指向SQL Server的連接
企業管理器→展開服務器組→右鍵→屬性→安全性→失敗

修改sa賬戶密碼
企業管理器→展開服務器組→安全性→登錄→雙擊sa賬戶

SQL查詢分析器
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask