本配置僅適合Win2003，部分內(nèi)容也適合于Win2000。很多人覺得3389不安全，其實(shí)只要設(shè)置好，密碼夠長，攻破3389也不是件容易的事情，我覺得別的遠(yuǎn)程軟件都很慢，還是使用了3389連接。
經(jīng)測試，本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的單服務(wù)器多網(wǎng)站中一切正常。以下配置中打勾的為推薦進(jìn)行配置，打叉的為可選配置。
一、系統(tǒng)權(quán)限的設(shè)置
1、磁盤權(quán)限
系統(tǒng)盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
其他磁盤只給 Administrators 組完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\windows\system32\config\ 禁止guests組
系統(tǒng)盤\Documents and Settings\All Users\「開始」菜單\程序\ 禁止guests組
系統(tǒng)盤\windowns\system32\inetsrv\data\ 禁止guests組
系統(tǒng)盤\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Windows\System32\ cmd.exe、format.com 僅 Administrators 組完全控制權(quán)限
把所有（Windows\system32和Windows\ServicePackFiles\i386） format.com 更名為 format_nowayh.com
2、本地安全策略設(shè)置
開始菜單->管理工具->本地安全策略
A、本地策略-->審核策略
審核策略更改　成功　失敗
審核登錄事件　成功　失敗
審核對象訪問失敗
審核過程跟蹤　無審核
審核目錄服務(wù)訪問失敗
審核特權(quán)使用失敗
審核系統(tǒng)事件　成功　失敗
審核賬戶登錄事件　成功　失敗
審核賬戶管理　成功　失敗
B、本地策略-->用戶權(quán)限分配
關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。
通過終端服務(wù)拒絕登陸：加入Guests組
通過終端服務(wù)允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除
C、本地策略-->安全選項(xiàng)
交互式登陸：不顯示上次的用戶名　啟用
網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲存憑證　啟用
網(wǎng)絡(luò)訪問：可匿名訪問的共享　全部刪除
網(wǎng)絡(luò)訪問：可匿名訪問的命全部刪除
網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑全部刪除
網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑全部刪除
帳戶：重命名來賓帳戶重命名一個帳戶
帳戶：重命名系統(tǒng)管理員帳戶　重命名一個帳戶
D、賬戶策略-->賬戶鎖定策略
將賬戶設(shè)為“5次登陸無效”，“鎖定時間為30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”
二、其他配置
√·把Administrator賬戶更改
管理工具→本地安全策略→本地策略→安全選項(xiàng)
√·新建一無任何權(quán)限的假Administrator賬戶
管理工具→計(jì)算機(jī)管理→系統(tǒng)工具→本地用戶和組→用戶
更改描述：管理計(jì)算機(jī)(域)的內(nèi)置帳戶
×·重命名IIS來賓賬戶
1、管理工具→計(jì)算機(jī)管理→系統(tǒng)工具→本地用戶和組→用戶→重命名IUSR_ComputerName
2、打開 IIS 管理器→本地計(jì)算機(jī)→屬性→允許直接編輯配置數(shù)據(jù)庫
3、進(jìn)入Windows\system32\inetsrv文件夾→MetaBase.xml→右鍵編輯→找到"AnonymousUserName"→寫入"IUSR_"新名稱→保存
4、關(guān)閉"允許直接編輯配置數(shù)據(jù)庫"
√·禁止文件共享
本地連接屬性→去掉"Microsoft網(wǎng)絡(luò)的文件和打印共享"和"Microsoft 網(wǎng)絡(luò)客戶端"前面的"√"
√·禁止NetBIOS（關(guān)閉139端口）
本地連接屬性→TCP/IP屬性→高級→WINS→禁用TCP/IP上的NetBIOS
管理工具→計(jì)算機(jī)管理→設(shè)備管理器→查看→顯示隱藏的設(shè)備→非即插即用驅(qū)動程序→禁用 NetBios over tcpip→重啟
√·防火墻的設(shè)置
本地連接屬性→高級→Windows防火墻設(shè)置→高級→第一個"設(shè)置"，勾選FTP、HTTP、遠(yuǎn)程桌面服務(wù)
√·禁止ADMIN$缺省共享、磁盤默認(rèn)共享、限制IPC$缺省共享（匿名用戶無法列舉本機(jī)用戶列表、禁止空連接）
新建REG文件，導(dǎo)入注冊表

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoshareWks"=dword:00000000
"AutoShareServer"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

WScript.Network
WScript.Network.1
{093FF999-1EA0-4079-9525-9614C3504B74}
WScript.Shell
WScript.Shell.1
{72C24DD5-D70A-438B-8A42-98424B88AFB8}
Shell.Application
Shell.Application.1
{13709620-C279-11CE-A49E-444553540000}

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0003038
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00003038

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"SubmitControl"=dword:00000001

----------------卸載最不安全的組件.bat-----------------
regsvr32/u %SystemRoot%\System32\wshom.ocx
regsvr32/u %SystemRoot%\System32\shell32.dll
regsvr32/u %SystemRoot%\System32\wshext.dll
-------------------------------------------------------

打開"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\"