WEB服务器硬件配置方案

WEB服务器硬件配置方案-、入门级常规服务器硬配置方案:硬名称基本参数数量参考价CPU奔腾E2I60系列，LPGA封装，双核,工作功率65W,核心电压I.25V,主频I800MHZ,总线频率800MHZ,倍频9,外频200MHZ,128M级缓存，IM:级缓存，指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T1¥460内存KingstonDDRII6672,采用PBGA封，频率667MHZ1¥135主板采用IntelP965/ICH8芯片组，集成RealtekALC662声k芯片，适用Core2Extreme/Core2Quad/Core2Duo/奔腾4/赛扬D/PentiumD系列处理器。前端总线频率FSB1066MHz1¥599硬盘台式机硬盘容量:160GB转速/分:7200转/分缓存(KB):8000KB接11类型:SerialATA接口速率:SerialATA30()1Y38O机箱机箱类型:金河田飓风n机箱样式:，―式机箱结构:MicroATX//XTX3.5英寸仓位:1个软驱仓位+6个硬盘仓位光驱仓位:4个产品电源:金河山355WB3C1¥230光驱选配，普通DVD光驱1-散热器热器类型:CPU散热器散热方式:风冷风扇转数(RPM):2200轴承类型:合金轴承适用范围LGA775Conroe、PentiumD>Pentium4CeleronD全系列最大风量(CFM):43CFM1¥60UPSUPS电源类型:后备式UPS额定输出容量:0.5kva1Y200稳压器选配1显示器普通显示器1-鼠标•键盘普通PS键盘和就标1¥100备注：作为WEB服务器，首先耍保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和穗乐器,此服务器配置能胜基木的WEB请求服务，如大量的数据交换，文件读写,可能会存在带宽瓶颈。二、顶级服务器配置方案

硬件名称基本参数米用DELLPowerEdge2900(XeonE53I0/2GB/146GB)B2置CPUPowcrEdgc2900CPU频率I600MHZ,标配2个XeonE53I0处理器，8M缓存。内存FB-DIMM.2GB,最大可配置48GB主板Inter5000X系列,FSB总线频率4066MHZ,6个扩展槽:集成ATIES1（X）0控制器，含16MBSDRAM硬盘SAS结构,146GB容昂:；标配内置硬盘托架支持多达8块35sAs或SATA热插拔硬盘：支持两个半岛（HH）驳动器托架提供磁带或光驱设备（可选CD-ROM、可选DVD-ROM或体化CD-RW/DVD-ROM）网卡双嵌入式BroadcomNetXtremeII5708千兆以太网F机箱478.9x226.6x674.3mm标准接口2个RJ-45（支持内置1GBNIC）后置、1个串「1后置、6个通用串行总线（USB）2.0端11（两个前置、4个后置）、2个视频（1个前置、1个后置）散热器6个+2个热插拔冗余风扇（6个标配，外加每个电源1个风扇）管理工具OpcnManagc,标配主板管理控制器，含IMPI2.0支持、可选DRAC5/i的先进功能备注:I，系统支持WindowsServer2003R2EnterpriseEditionWindowsServer2003R2WebEdilion、WindowsServer2003R2x64EnlcrpriscEdition^WindowsServer2003R2x64StandardEdition、WindowsStorageServer2(X)3R2WorkgroupEdition2,T作环境：相对T作温度I。。35c.相对工作湿度20%-80%无冷凝，相对存储温度-40C65C相对湿度5%-95%无冷凝3,以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位¥13000WEB服务器软件配置和安全配置方案•、系统的安装1、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IISS0安装在系统里面。2、IIS6.0的安装JI：始菜单一〉控制面板一〉添加或删除程序一＞添加/删除Windows组件应用程序 ASP.NET（可选）I——启用网络C0M+访问（必选）第忒页I Internet信息服务（HS） Internet信息服务管理滞（必选）I—公用文件（必选）I 万维网服务 AcliveServerpages（必选）I—Internet数据连接器（可选）I——WebDAV发布（可选）I—万维网服务（必选）I—在服务器端的包含文件（可.选）然后点击确定一＞下一步安装。3、系统补丁的更新点击JF始菜单—＞所有程序—＞WindowsUpdate按照提示进行补丁的安装。4、备份系统用GHOST备份系统。5、安装常用的软件例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。二、系统权限的设置1、磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘'DocumentsandSellings目录只给Adminislralors组和SYSTEM的完余控制权限系统盘\DocumenlsandSellings\AllUsersII〉衣只给Administrators组和SYSTEM的完全控制权限系统盘\InetpubII求及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exenetl.exe文件只给Administrators组和SYSTEM的完全控制权限2、本地安全策略设置开始菜单一〉管理工具一＞本地安全策略A、本地策略一—＞审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问 失败审核特权使用失败审核系统事件成功失败审核账户登诋事件成功失败审核账户管理成功失败B、本地策略一—＞用户权限分配关闭系统:只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆:只加入Administrators组，其他全部删除C、本地策略——＞安全选项交互式登陆：不显示上次的用户名 启用网络访问：不允许SAM帐户和共享的国名枚举 启用网络访问：不允许为网络身份验证储存凭证 启用网络访问：可匿名访问的共享 全部删除第叁页

可匿名访问的命可远程访问的注册表路径可远程访问的注册表路径和子路径可匿名访问的命可远程访问的注册表路径可远程访问的注册表路径和子路径全部删除氽部删除全部删除电命名•个帐户®命名•个帐户帐户：重命名来宾帐户帐户：币:命名系统管理员帐户3、禁用不必要的服务开始菜单一＞管理工具一〉服务PrintSpoolerRemoteRegistryTCP/IPNetBIOSHelperServer以上是在WindowsServer2003系统上面默认启动的服务中禁用的,默认以用的服务如没特别需要的话不要启动。4、启用防火墙桌面一＞网上邻居一＞（右键）属性一＞本地连接一＞（右键）属性一＞高级一＞（选中）Intcrnei连接防火墙一＞设置把服务服上面要用到的服务端口选中例如：•分WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）在“FTP股务器”、“WEB服务器（HTTP）”、“远程臬面”前面打上对号如果你要提供服务的端II不在里面,你也可以点添加"铁钮来添加.具体参数可以参照系统里面原有的参数。然后点击确定。注意：如果是远程管理这介服务器,请先确定远程管理的端II是否选中或添加。三、Windows2003安全配置.确保所有磁盘分区为NTFS分区.操作系统、Web上目录、日志分别安装在不同的分区.不要安装不需要的协议，比如IPX/SPX,NetBIOS?.不要安装其它任何操作系统.安装所有补丁(用瑞星安全漏洞扫描下载).关闭所有不需要的服务Alerter(disable)ClipBookServer(disable)ComputerBrowser(disable)DHCPClient(disable)DirectoryReplicator(disable)FTPpublishingservice(disable)LicenseLoggingService(disable)Messenger(disable)Nellogon(disable)NetworkDDE(disable)NetworkDDEDSDM(disable)NetworkMonitor(disable)PlugandPlay(disableafterallhardwareconfiguration)RemoteAccessServer(disable)第蚌页RemoteProcedureCall(RPC)locater(disable)Schedule(disable)Server(disable)SimpleServices(disable)Spooler(disable)TCP/IPNetbiosHelper(disable)TelephoneService(disable)■.帐号和密码策略1)保证禁止guest帐号2)将administrator改名为比较难猜的帐号3)密码唯一性：记录上次的6个密码4)最短密码期限：25)密码最长期限：426)最短密码长度：87)密码复杂化(passfiIt.dlI)：启用8)用户必须登录方能更改密码：后用9)帐号失败登录锁定的时限：610)锁定后重新启用的时间间隔：720分钟,保护文件和目录将C:\winnt,C:\winnt\config,C:\winnt\system32,C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限.注册表一些条目的修改I)去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindovvsNT\CurrentVersion\Winlogon\uPShutdovvnWithoulLogonREG_SZ值设为02)去除logon信息的cashing功能将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindovvsNT\CurrentVersion\WinIogon\CachedLogonsCountREG_SZ值设为04)限制LSA匿名访问将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA.RestriCanonymousREG.DWORD值设为I5)去除所有网络共享将HKEY_LOCAL_MACHINE\SYSTEM\CurrentConlrolSet\Services\LanManServer\Parameters\中AutoShareServerREG.DWORD值设为0四、ns的安全配置.关闭并册J除默认站点：默认FTP站点默认Web站点= 第仇页管理Web站点.建立自己的站点，与系统不在一个分区，如D:\wwwroot3.建立E:\Logfiles目录，以后建立站点时的II志文件均位于此目录，确保此目录上的访问控制权限是：Administrators（完全控制）System（完全控制）.删除ns的部分目录：IISHelpC:\winnt\help\iishelpIISAdminC:\systeni32\inetsrv\iisadminMSADCC:\ProgramFiles\CommonFiles\System\msadc\删除C:\\inetpub■.删除不必要的ns映射和扩展：IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理，如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：选择计算机名，点鼠标右键，选择属性：然后选择编辑然后选择主目录，点击配置选择扩展名\.htw\,\.htr\,\.idc\,\.ida\,\.idq\和'.printer',点击删除如果不使用serversideinclude,则删除\.shtm\\.stm\和\.shlml\.禁用父路径：“父路径”选项允许您在对诸如MapPath函数调用中使用“..二在默认情况下，该选项处于启用状态，应该禁用它。禁用该选项的步骤如下：右键单击该Web站点的根,然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置单击“应用程序选项”选项卡。取消选择“启用父路径”复选框C.在虚拟目录上设置访问控制权限主页使用的文件按照文件类型应使用不同的访问控制列表：CGI（.exe,.dll,.cmd,.pl）Everyone（X）Administrators（完全控制）System（完全控制）脚本文件（.asp）Everyone（X）Administrators（完全控制）System（完全控制）include文件（.inc,.shtm,.shtml）Everyone（X）Administrators（完全控制）System（完全控制）静态内容（.txt,.gif,.jpg,.html）Everyone（R）Administrators（完全控制）第陆页System(完全控制)在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。例如，目录结构可为以下形式：D:\wwwroot\myserver\static(.htnil)D:\wwwroot\myserver\include(.inc)D:\wwwrool\myserver\script(.asp)D:\wwwroot\myserver\executable(.dll)D:\wvvwroot\myserver\images(.gif.Jpeg)■.启用日志记录确定服务器是否被攻击时，II志记录是极其重要的。应使用W3C扩展U志记录格式，步骤如下：打开Internet服务管理器：右键单击站点，然后从上下文菜单中选择“属性”。单击“Web站点”选项卡。选中“启用U志记录”复选框。从“活动LI志格式”下拉列表中选择“W3C扩展I」志文件格式”。单击“属性、单击“扩展属性”选项除然后设置以卜属性：客户IP地址用户名方法URI资源HTTP状态Win32状态用户代理服务器IP地址服务器端口五、删除WindowsServer21)03默认共享和禁用TPC连接IPC$(InternetProcessConnection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可.以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它是WindowsNT/2000/XP/2003特有的功能,但它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2OOO/XP/2OO3在提供了ipc$功能的同时，在初次安装系统时还打开「默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为「方便管理员的管理，但也为简称为IPC入侵者行意或无意的提供了方便条件，导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过行个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接:netuse\ipipc$password/user:usernqmeo我们"J以通过修改注册表来禁用IPC连接。打井注朋表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControISetControlLsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接六、清空远租可访问的注册表路径大家都知道，Windows2003操作系统提供了注册表的远程访问功能，只有将远程可访问的注册表路径设置为空，这样才能有效的防止.黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息.打开组策略编辑器，依次展开“计算机配置一WEdows设置一安全设置一木地策略一安全选项”，在右侧窗II中找到“网络访问：可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可（如图7）0七、关闭不必要的端口对于个人用户来说安装中默认的有些端口确实是没有什么必要的，关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口，在安装了TCP/IP协议的同时，NetBIOS也会被作为默认设置安装到系统中。139端II的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的•切!在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。但在WindowsServer2003中，只这样做是不行的。如果想彻底关闭139端口，具体步骤如下：鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页（如图8）,然后去掉"Microsoft网络的文件和打印共享”前面的“J”（如图9）,接下来选中“Internet协议（TCP/IP）”，单击“属性”一“高级”一“WINS”，把“禁用TCP/IP上的NetBIOS”选中，即任务完成（如图10）!对于个人用户来说，可以在各项服务屈性设置中设为“禁用”，以免下次重启服务也重新启动，端I」也开放了。假如你的电脑中还装了IIS,你最好重新设置一卜端口过滤。步骤如下：选择网卡属性，然后双击“Internet协,议（TCP/IP）”，在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP筛选”项，点“属性”按钮,会来到“TCP/IP筛选”的窗II，在该窗II的“后用TCP/IP筛选（所为适配盐）”前面打上“J”，然后根据需要配置就可以了。如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端II”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可八、杜绝非法访问应用程序WindowsServer2003是一种服务器操作系统，为了防止登陆到其中的用方，随意启动服务器中的应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要根据不同用户的访问权限，来限制。他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下：打开“组策略编辑器”的方法为：依次点击“开始一运行”，在“运行”对话框中键入“gpedit.msc”命令并问车，即可打开“组策略编辑器“窗1」=然后依次打开“组策略控制台一用户配置一管理模第捌页板一系统”中的“只运行许可的windows应用程序”并启用此策略.然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可九、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名(Adrnmistrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。2、新建一个名为Administratoi•的陷阱帐目，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码3、将Guest账方禁用并更改名称和描述，然后输入一个复杂的密码，曾然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。4^在运行中输入gpedit.mscI可车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时时间间隔6()分钟”，“复位锁定计数设为30分钟”。5、在安全设置•本地策略•安全选项中将“不显示上次的用户名”设为启用6、在安全设置-木地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动HS进程账户。如果你使用了Asp.ne1还要保留Aspnet账户。7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令°十、网络服务安全管理I、禁止C$、D$、ADMIN$一类的缺省共享2、解除NetBios与TCP/IP协议的绑定3、关闭不需要的服务，以下为建议选项ComputerBrowser:维护网络计算机更新,禁用DistributedFileSystem:局域网管理共享文件，不需要禁用Distributedlinktrackingclient：用于局域网更新连接信息,不需要禁用Errorreportingservice：禁止发送错误报告MicrosoftSerch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide：telnet服务和MicrosoftSerch用的,不需要禁用PrintSpooler：如果没有打印机可禁用RemoteRegistry：禁止远程修改注册表RemoteDesktopHelpSessionManager：禁止远程协助十一、打开相应的审核策略在运行中输入gpedit.msc|可车，打开组策略编辑器，选择计算机配置-Windows设置•安全设置・审核策略在创建审核项目忖需耍注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二件之间做出选择。推荐的要审核的项目是：第玖页登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败U录服务访问失败特权使用失败十二、其它安全相关设置1、隐藏重要文件/目录2、启动系统自带的Intemel连接防火堵，在设置服务选项中勾选Web服务器。3、防止SYN洪水攻击.禁止响应ICMP路由通告报文.防止ICMP重定向报文的攻击.不支持IGMP协议7、禁用DCOM：十三、配置ns服务：I、不使用默认的Web站点，如果使用也要将将ns目录与系统磁盘分开。2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。3、删除系统盘下的虚拟”录，如：_vti_bin、IISSamples>Scripts、HShelp、IISAdmin、HShelp>MSADCo4、删除不必要的IIS扩展名映射。右键单击“默认Web站点一属性一主LI录一配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shlml,.shtm,.stm5、更改ns志的路径右键单击“默认Web站点一属性-网站.在启用U志记录下点击属性6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。7、使用UrlScan但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要％\¥2口区%\5丫，比17132\111匕出「丫\151^1^211文件夹中的URLScan.ini文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容°如果你的网页使用了非ASCII代码，你需要在Option节」||将A11owHighBitCharacters的值设为1在对URLScan.ini文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScano8、利用WIS(WebInjectionScanner)工具对整个网站进行SQLInjection脆弱性扫描.十四、配置Sql服务器1、SystemAdministrators角色最好不要超过两个2、如果是在本机最好将身份验证配置为Win登陆3、不要使用Sa账户，为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为：usemastersp_dropextendedproc'扩展存储过程名’xp_cmdshell：是进入操作系统的最佳捷径,删除访问注册表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regread Xp_regwriteXp__regremovemultistringOLE自动存储过程，不需要删除Sp_OACreate Sp_OADestroy Sp__OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隐藏SQLServer^更改默认的1433端口右击实例选屈性•常规-网络配置中选择TCP/IP协议的属性，选择隐藏SQLServer实例，并改原默认的1433端口。十五、如果只做服务器，不进行其它操作，使用IPSecI、管理工具一本地安全策略一右击IP安全策略一管理IP筛选器表和筛选器操作一在管理IP筛选器表选项下点击添加一名称设为Web筛选器一点击添加一在描述中输入Web服务器一将源地址设为任何IP地址——将11标地址设为我的IP地址——协议类型设为Tcp——IP协议端口笫一项设为从任意端口，第二项到此端口80——点击完成——点击确定。2、再在管理IP筛选器表选项下点击添加一名称设为所有入站筛选器一点击添加一在描述中输入所有入站筛选一将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选都操作窗口4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步一一取消默认激活响应原则——下一步——完成5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——「一步——在IP筛选器列表中选择新建的Web筛选器——卜一步——在筛选器操作中选择许可一一下一步——完成——在TP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，【PSec就可生效.卜七、如何配置一台坚固安全的win2003服务器1）确定你要用它来干什么，需要开什么服务，什么是不必要的，没用地就别装（像Index什么的），不必要的服务全都可以关掉C弟弟拾壹页在控制面版=＞管理=＞T具中，自己看看办，如下服务是一定要禁」上的：RemoteRegistryServiceRunAsServiceTaskSchedulerTelnetWindowsTime其他不必要的服务可以设为手动方式OSNMPService和SNMPTmpService最好也关掉，要用的话，把管理公共字改掉。2）打补丁。确定你打上了Win2kSP2;3）IIS配置。I,在US管理器中，去处所有不必要的扩展关联（基木上除」’ASP/ASA等儿个必要的和CGI之类的外，其他都可以去掉）有可能的话，可以安装一个SecureRS,还是有一定效果的。2,校验ftp权限，差不多就自己看着办吧，不要被人家tag就可以了〜/4）MSSQL0泞先，记得一定要加一个难记得密码，不然就什么都完了。然后记得升级SQL7.0SP2和SQL2kSP1.5/TerminalServer=打了SP2基本就没太大问题，只要你的系统不是没密码 高级部分：1）类防火墙限制。这需要我们打开MS的IPSEC服务，然后选择网络设置=＞网络界面属性=＞TCP/IP。高级=＞选项简单一•点的话,就用TCP/IP筛选,确定指开放那些端口，比如80,1433等等（可惜开放即服务的话，经常会乱开端口的，难以确定）；要求高级的话，自己定义一个IPSEC策略，可以精确的过滤例如某种ICMP类型等等…可以做到水泄不通哦，不要到时候你自己也进不去了就好〜一*2）NetBI0S设置。历史以来，netbios是仅次于IIS的winnt安全问题最多的服务，简直.就是后门打开。至少做这样一条设置：注册表编辑Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=IM以禁止IPC$空用户连接，防止信息泄漏和其他更严重的安全问题。3）TerminalServer加强。注朋表编辑：HKEY_LOCAL_MACHINESOFTWAREMicrosoft\WindowsNT\CurrentVersion\Winlogon\Don'IDisplayLastUserName=1可以让别人在ts中看不到你上次登录的用户名，有安全了一点点（记住，别人获取你的信息越少，你就越安全）4）系统文件目录权限检查。基本的策略，可以在文件屈性U」修改，避免有everyone完全控制的目录，大部分文件最好禁止everyone写，甚至读。对于系统的重要文件和LI录，例如system32等等，可以用Win2kResoueceKit中的一个「.具xacls详细的加强访问控制U第壹拾贰页5）预防信息监测和DOS攻击必要的话，打开RSAS或者「I己添加一个己SEC安全策略,过滤掉ICMPEcho和Redrict类型,这样别人ping你就不会有反映，而如果ping不通的话，可能别人就此罢手了〜丁而且缺省配置卜一，很多的漏洞扫描器ping不通就不扫了，西西。（当然啦,如果你有更强的防火墙,哪就更好）一定程度的DoS预防：在注册表HKLM\SYSTEM\C