WEB-服务器硬件配置方案

-.zWEB效劳器硬件配置方案入门级常规效劳器硬配置方案：硬件名称根本参数数量参考价CPU奔腾E2160系列，LPGA封装，双核，工作功率65W，核心电压1.25V,主频1800MHZ，总线频率800MHZ，倍频9，外频200MHZ，128M一级缓存，1M二级缓存，指令集MM*/SSE/SSE2/SSE3/Sup-SSE3/EM64T1￥460内存KingstonDDRII6671G,采用PBGA封，频率667MHZ1￥135主板采用IntelP965/ICH8芯片组，集成RealtekALC662声卡芯片，适用Core2E*treme/Core2Quad/Core2Duo/奔腾4/赛扬D/PentiumD系列处理器。前端总线频率FSB1066MHz1￥599硬盘台式机硬盘容量:160GB转速/分:7200转/分缓存〔KB〕:8000KB接口类型:SerialATA接口速率:SerialATA3001￥380机箱机箱类型:金河田飓风II机箱样式:立式机箱构造:MicroAT*/AT*3.5英寸仓位:1个软驱仓位+6个硬盘仓位光驱仓位:4个产品电源:金河田355WB3C1￥230光驱选配，普通DVD光驱1-散热器热器类型:CPU散热器散热方式:风冷风扇转数〔RPM〕:2200轴承类型:合金轴承适用*围:IntelLGA775Conroe、PentiumD、Pentium4CeleronD全系列最大风量(CFM):43CFM1￥60UPSUPS电源类型:后备式UPS额定输出容量:0.5kva1￥200稳压器选配1-显示器普通显示器1-鼠标键盘普通PS键盘和鼠标1￥100备注：作为WEB效劳器，首先要保证不连续电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不连续电源和稳压器，此效劳器配置能胜根本的WEB请求效劳，如大量的数据交换，文件读写，可能会存在带宽瓶颈。顶级效劳器配置方案硬件名称根本参数采用DELLPowerEdge2900(*eonE5310/2GB/146GB)配置CPUPowerEdge2900CPU频率1600MHZ，标配2个*eonE5310处理器，8M缓存。内存FB-DIMM，2GB，最大可配置48GB主板Inter5000*系列，FSB总线频率4066MHZ，6个扩展槽；集成ATIES1000控制器,含16MBSDRAM硬盘SAS构造，146GB容量；标配内置硬盘托架支持多达8块3.5"SAS或SATA热插拔硬盘；支持两个半高(HH)驱动器托架提供磁带或光驱设备(可选CD-ROM、可选DVD-ROM或一体化CD-RW/DVD-ROM〕网卡双嵌入式BroadNet*tremeII5708千兆以太网卡机箱478.9×226.6×674.3mm标准接口2个RJ-45(支持内置1GBNIC)后置、1个串口后置、6个通用串行总线(USB)2.0端口(两个前置、4个后置)、2个视频(1个前置、1个后置)散热器6个+2个热插拔冗余风扇(6个标配,外加每个电源1个风扇)管理工具OpenManage、标配主板管理控制器,含IMPI2.0支持、可选DRAC5/i的先进功能备注：系统支持WindowsServer2003R2EnterpriseEdition、WindowsServer2003R2WebEdition、WindowsServer2003R2*64EnterpriseEdition、WindowsServer2003R2*64StandardEdition、WindowsStorageServer2003R2WorkgroupEdition工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80%无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95%无冷凝以上配置为统一硬件配置，为DELL系列效劳器标准配置，参考价位￥13000WEB效劳器软件配置和平安配置方案一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。２、IIS6.0的安装

开场菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件

应用程序———ASP.NET〔可选〕

|——启用网络+〔必选〕

|——Internet信息效劳(IIS)———Internet信息效劳管理器〔必选〕

|——公用文件〔必选〕

|——万维网效劳———ActiveServerpages〔必选〕

|——Internet数据连接器〔可选〕

|——WebDAV发布〔可选〕

|——万维网效劳〔必选〕

|——在效劳器端的包含文件〔可选〕

然后点击确定—>下一步安装。３、系统补丁的更新

点击开场菜单—>所有程序—>WindowsUpdate

按照提示进展补丁的安装。４、备份系统

用GHOST备份系统。５、安装常用的软件

例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。二、系统权限的设置１、磁盘权限

系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限

系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限

系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限

系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限

系统盘\Windows\System32\cacls.e*e、cmd.e*e、net.e*e、net1.e*e文件只给Administrators组和SYSTEM的完全控制权限２、本地平安策略设置

开场菜单—>管理工具—>本地平安策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象失败

审核过程跟踪无审核

审核目录效劳失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端效劳拒绝登陆：参加Guests、User组

通过终端效劳允许登陆：只参加Administrators组，其他全部删除C、本地策略——>平安选项

交互式登陆：不显示上次的用户名启用

网络：不允许SAM**和共享的匿名枚举启用

网络：不允许为网络身份验证储存凭证启用

网络：可匿名的共享全部删除

网络：可匿名的命全部删除

网络：可远程的注册表路径全部删除

网络：可远程的注册表路径和子路径全部删除

**：重命名来宾**重命名一个**

**：重命名系统管理员**重命名一个**３、禁用不必要的效劳

开场菜单—>管理工具—>效劳

PrintSpooler

RemoteRegistry

TCP/IPNetBIOSHelper

Server

以上是在WindowsServer2003系统上面默认启动的效劳中禁用的，默认禁用的效劳如没特别需要的话不要启动。４、启用防火墙

桌面—>网上邻居—>〔右键〕属性—>本地连接—>〔右键〕属性—>高级—>〔选中〕Internet连接防火墙—>设置

把效劳器上面要用到的效劳端口选中

例如：一台WEB效劳器，要提供WEB〔80〕、FTP〔21〕效劳及远程桌面管理〔3389〕

在“FTP效劳器〞、“WEB效劳器〔HTTP〕〞、“远程桌面〞前面打上对号

如果你要提供效劳的端口不在里面，你也可以点击“添加〞铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台效劳器，请先确定远程管理的端口是否选中或添加。三、Windows2003平安配置■．确保所有磁盘分区为NTFS分区■．操作系统、Web主目录、日志分别安装在不同的分区■．不要安装不需要的协议，比方IP*/SP*,NetBIOS?■．不要安装其它任何操作系统■．安装所有补丁〔用瑞星平安漏洞扫描下载〕■．关闭所有不需要的效劳*Alerter(disable)*ClipBookServer(disable)*puterBrowser(disable)*DHCPClient(disable)*DirectoryReplicator(disable)*FTPpublishingservice(disable)*LicenseLoggingService(disable)*Messenger(disable)*Netlogon(disable)*NetworkDDE(disable)*NetworkDDEDSDM(disable)*NetworkMonitor(disable)*PlugandPlay(disableafterallhardwareconfiguration)*RemoteAccessServer(disable)*RemoteProcedureCall(RPC)locater(disable)*Schedule(disable)*Server(disable)*SimpleServices(disable)*Spooler(disable)*TCP/IPNetbiosHelper(disable)*TelephoneService(disable)■.**和密码策略1〕保证制止guest**2〕将administrator改名为比拟难猜的**3〕密码唯一性：记录上次的6个密码4〕最短密码期限：25〕密码最长期限：426〕最短密码长度：87〕密码复杂化(passfilt.dll)：启用8〕用户必须登录方能更改密码：启用9〕**失败登录锁定的时限：610〕锁定后重新启用的时间间隔：720分钟■．保护文件和目录将C:\winnt,C:\winnt\config,C:\winnt\system32,C:\winnt\system等目录的权限做限制，限制everyone的写权限，限制users组的读写权限■．注册表一些条目的修改1〕去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\中ShutdownWithoutLogonREG_SZ值设为02〕去除logon信息的cashing功能将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\中CachedLogonsCountREG_SZ值设为04〕限制LSA匿名将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestriCanonymousREG_DWORD值设为15〕去除所有网络共享将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中AutoShareServerREG_DWORD值设为0四、IIS的平安配置■．关闭并删除默认站点：默认FTP站点默认Web站点管理Web站点■．建立自己的站点，与系统不在一个分区，如D:\root3．建立E:\Logfiles目录，以后建立站点时的日志文件均位于此目录，确保此目录上的控制权限是：Administrators〔完全控制〕System〔完全控制〕■．删除IIS的局部目录：IISHelpC:\winnt\help\iishelpIISAdminC:\system32\inetsrv\iisadminMSADCC:\ProgramFiles\monFiles\System\msadc\删除C:\\inetpub■.删除不必要的IIS映射和扩展：IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您不使用其中的*些扩展或功能，则应删除该映射，步骤如下：选择计算机名，点鼠标右键，选择属性：然后选择编辑然后选择主目录，点击配置选择扩展名\.htw\,\.htr\,\.idc\,\.ida\,\.idq\和\.printer\，点击删除如果不使用serversideinclude，则删除\.shtm\\.stm\和\.shtml\■.禁用父路径:“父路径〞选项允许您在对诸如MapPath函数调用中使用“..〞。在默认情况下，该选项处于启用状态，应该禁用它。禁用该选项的步骤如下：右键单击该Web站点的根，然后从上下文菜单中选择“属性〞。单击“主目录〞选项卡。单击“配置〞。单击“应用程序选项〞选项卡。取消选择“启用父路径〞复选框。■.在虚拟目录上设置控制权限主页使用的文件按照文件类型应使用不同的控制列表：CGI(.e*e,.dll,d,.pl)Everyone(*)Administrators〔完全控制〕System〔完全控制〕脚本文件(.asp)Everyone(*)Administrators〔完全控制〕System〔完全控制〕include文件(.inc,.shtm,.shtml)Everyone(*)Administrators〔完全控制〕System〔完全控制〕静态内容(.t*t,.gif,.jpg,.html)Everyone(R)Administrators〔完全控制〕System〔完全控制〕在创立Web站点时，没有必要在每个文件上设置控制权限，应该为每个文件类型创立一个新目录，然后在每个目录上设置控制权限、允许控制权限传给各个文件。例如，目录构造可为以下形式：D:\root\myserver\static(.html)D:\root\myserver\include(.inc)D:\root\myserver\script(.asp)D:\root\myserver\e*ecutable(.dll)D:\root\myserver\images(.gif,.jpeg)■.启用日志记录确定效劳器是否被攻击时，日志记录是极其重要的。应使用W3C扩展日志记录格式，步骤如下：翻开Internet效劳管理器：右键单击站点，然后从上下文菜单中选择“属性〞。单击“Web站点〞选项卡。选中“启用日志记录〞复选框。从“活动日志格式〞下拉列表中选择“W3C扩展日志文件格式〞。单击“属性〞。单击“扩展属性〞选项卡，然后设置以下属性：*客户IP地址*用户名*方法*URI资源*HTTP状态*Win32状态*用户代理*效劳器IP地址*效劳器端口五、删除WindowsServer2003默认共享和禁用IPC连接IPC$(InternetProcessConnection)是共享“命名管道〞的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立平安的通道并以此通道进展加密数据的交换，从而实现对远程计算机的。它是WindowsNT/2000/*P/2003特有的功能，但它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000/*P/2003在提供了ipc$功能的同时，在初次安装系统时还翻开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但也为简称为IPC入侵者有意或无意的提供了方便条件，导致了系统平安性能的降低。在建立IPC的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。翻开CMD后输入如下命令即可进展连接：netuse\ipipc$password/user:usernqme。我们可以通过修改注册表来禁用IPC连接。翻开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接六、清空远程可的注册表路径大家都知道，Windows2003操作系统提供了注册表的远程功能，只有将远程可的注册表路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息.

翻开组策略编辑器，依次展开“计算机配置→Windows设置→平安设置→本地策略→平安选项〞，在右侧窗口中找到“网络：可远程的注册表路径〞，然后在翻开的窗口中，将可远程的注册表路径和子路径内容全部设置为空即可〔如图7〕。七、关闭不必要的端口对于个人用户来说安装中默认的有些端口确实是没有什么必要的，关掉端口也就是关闭无用的效劳。139端口是NetBIOS协议所使用的端口，在安装了TCP/IP协议的同时，NetBIOS也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切！在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。但在WindowsServer2003中，只这样做是不行的。如果想彻底关闭139端口，具体步骤如下：鼠标右键单击“网络邻居〞，选择“属性〞，进入“网络和拨号连接〞，再用鼠标右键单击“本地连接〞，选择“属性〞，翻开“本地连接属性〞页〔如图8〕，然后去掉“Microsoft网络的文件和打印共享〞前面的“√〞〔如图9〕，接下来选中“Internet协议(TCP/IP)〞，单击“属性〞→“高级〞→“WINS〞，把“禁用TCP/IP上的NetBIOS〞选中，即任务完成(如图10)！对于个人用户来说，可以在各项效劳属性设置中设为“禁用〞，以免下次重启效劳也重新启动，端口也开放了。假设你的电脑中还装了IIS，你最好重新设置一下端口过滤。步骤如下：选择网卡属性，然后双击“Internet协议(TCP/IP)〞，在出现的窗口中单击“高级〞按钮，会进入“高级TCP/IP设置〞窗口，接下来选择“选项〞标签下的“TCP/IP筛选〞项，点“属性〞按钮，会来到“TCP/IP筛选〞的窗口，在该窗口的“启用TCP/IP筛选(所有适配器)〞前面打上“√〞，然后根据需要配置就可以了。如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口〞上方选择“只允许〞，然后单击“添加〞按钮，输入80再单击“确定〞即可八、杜绝非法应用程序WindowsServer2003是一种效劳器操作系统，为了防止登陆到其中的用户，随意启动效劳器中的应用程序，给效劳器的正常运行带来不必要的麻烦，我们很有必要根据不同用户的权限，来限制。他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置，即可实现这一目的，具体步骤如下：翻开“组策略编辑器〞的方法为：依次点击“开场→运行〞，在“运行〞对话框中键入“gpedit.msc〞命令并回车，即可翻开“组策略编辑器〞窗口。然后依次翻开“组策略控制台→用户配置→管理模板→系统〞中的“只运行许可的Ｗｉｎｄｏｗｓ应用程序〞并启用此策略.然后点击下面的“允许的应用程序列表〞边的“显示〞按钮，弹出一个“显示内容〞对话框，在此单击“添加〞按钮来添加允许运行的应用程序即可九、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员**名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。2、新建一个名为Administrator的陷阱**，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。4、在运行中输入gpedit.msc回车，翻开组策略编辑器，选择计算机配置-Windows设置-平安设置-账户策略-账户锁定策略，将账户设为“三次登陆无效〞，“锁定时时间间隔60分钟〞，“复位锁定计数设为30分钟〞。5、在平安设置-本地策略-平安选项中将“不显示上次的用户名〞设为启用6、在平安设置-本地策略-用户权利分配中将“从网络此计算机〞中只保存Internet来宾账户、启动IIS进程账户。如果你使用了A还要保存Aspnet账户。7、创立一个User账户，运行系统，如果要运行特权命令使用Runas命令。十、网络效劳平安管理1、制止C$、D$、ADMIN$一类的缺省共享2、解除NetBios与TCP/IP协议的绑定3、关闭不需要的效劳，以下为建议选项puterBrowser:维护网络计算机更新，禁用DistributedFileSystem:局域网管理共享文件，不需要禁用Distributedlinktrackingclient：用于局域网更新连接信息，不需要禁用Errorreportingservice：制止发送错误报告MicrosoftSerch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide：telnet效劳和MicrosoftSerch用的，不需要禁用PrintSpooler：如果没有打印机可禁用RemoteRegistry：制止远程修改注册表RemoteDesktopHelpSessionManager：制止远程协助十一、翻开相应的审核策略在运行中输入gpedit.msc回车，翻开组策略编辑器，选择计算机配置-Windows设置-平安设置-审核策略在创立审核工程时需要注意的是如果审核的工程太多，生成的事件也就越多，则要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。推荐的要审核的工程是：登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象失败目录效劳失败特权使用失败十二、其它平安相关设置1、隐藏重要文件/目录2、启动系统自带的Internet连接防火墙，在设置效劳选项中勾选Web效劳器。3、防止SYN洪水攻击4.制止响应ICMP路由通告报文5.防止ICMP重定向报文的攻击6.不支持IGMP协议7、禁用D：十三、配置IIS效劳：1、不使用默认的Web站点，如果使用也要将将IIS目录与系统磁盘分开。2、删除IIS默认创立的Inetpub目录〔在安装系统的盘上〕。3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。4、删除不必要的IIS扩展名映射。右键单击“默认Web站点→属性→主目录→配置〞，翻开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml,.shtm,.stm5、更改IIS日志的路径右键单击“默认Web站点→属性--在启用日志记录下点击属性6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。7、使用UrlScan但如果你在效劳器运行ASP.NET程序，并要进展调试你需翻开要%WINDIR%\System32\Inetsrv\URLscan文件夹中的URLScan.ini文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。如果你的网页是.asp网页你需要在DenyE*tensions删除.asp相关的内容。如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1在对URLScan.ini文件做了更改后，你需要重启IIS效劳才能生效，快速方法运行中输入iisreset如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。8、利用WIS(WebInjectionScanner)工具对整个进展SQLInjection脆弱性扫描.十四、配置Sql效劳器1、SystemAdministrators角色最好不要超过两个2、如果是在本机最好将身份验证配置为Win登陆3、不要使用Sa账户，为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为：usemastersp_drope*tendedproc'扩展存储过程名'*p_cmdshell：是进入操作系统的最正确捷径，删除注册表的存储过程，删除*p_regaddmultistring*p_regdeletekey*p_regdeletevalue*p_regenumvalues*p_regread*p_regwrite*p_regremovemultistringOLE自动存储过程，不需要删除Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隐藏SQLServer、更改默认的1433端口右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏SQLServer实例，并改原默认的1433端口。十五、如果只做效劳器，不进展其它操作，使用IPSec1、管理工具—本地平安策略—右击IP平安策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击添加—名称设为Web筛选器—点击添加—在描述中输入Web效劳器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口，第二项到此端口80——点击完成——点击确定。2、再在管理IP筛选器表选项下点击添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口4、右击IP平安策略——创立IP平安策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成5、在翻开的新IP平安策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定6、在IP平安策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启，IPSec就可生效.十七、如何配置一台巩固平安的win2003效劳器1)确定你要用它来干什么，需要开什么效劳，什么是不必要的，没用地就别装(像Inde*什么的)，不必要的效劳全都可以关掉。在控制面版=>管理=>工具中，自己看着办，如下效劳是一定要制止的：RemoteRegistryServiceRunAsServiceTaskSchedulerTelnetWindowsTime其他不必要的效劳可以设为手动方式。SNMPService和SNMPTrapService最好也关掉，要用的话，把管理公共字改掉。2)打补丁。确定你打上了Win2kSP2;3)IIS配置。1，在IIS管理器中，去处所有不必要的扩展关联(根本上除了ASP/ASA等几个必要的和CGI之类的外，其他都可以去掉)有可能的话，可以安装一个SecureIIS，还是有一定效果的。2，校验ftp权限，差不多就自己看着办吧，不要被人家tag就可以了~_*4)MSSQL。首先，记得一定要加一个难记得密码，不然就什么都完了。然后记得升级SQL7.0SP2和SQL2kSP1.5)TerminalServer。打了SP2根本就没太大问题，只要你的系统不是没密码高级局部：1)类防火墙限制。这需要我们翻开MS的IPSEC效劳，然后选择网络设置=>网络界面属性=>TCP/IP=>高级=>选项简单一点的话，就用TCP/IP筛选，确定指开放那些端口，比方80，1433等等(可惜开放ftp效劳的话，经常会乱开端口的，难以确定)；要求高级的话，自己定义一个IPSEC策略，可以准确的过滤例如*种ICMP类型等等...可以做到水泄不通哦，不要到时候你自己也进不去了就好~_*2)NetBIOS设置。历史以来，netbios是仅次于IIS的winnt平安问题最多的效劳，简直就是后门翻开。至少做这样一条设置：注册表编辑Local_Machine＼System＼CurrentControlSet＼Control＼LSA-RestrictAnonymous=1可以制止IPC$空用户连接，防止信息泄漏和其他更严重的平安问题。3)TerminalServer加强。注册表编辑：HKEY_LOCAL_MACHINESOFTWAREMicrosoft＼WindowsNT＼CurrentVersion＼Winlogon＼Don‘tDisplayLastUserName=1可以让别人在ts中看不到你上次登录的用户名，有平安了一点点(记住，别人获取你的信息越少，你就越平安)4)系统文件目录权限检查。根本的策略，可以在文件属性中修改，防止有everyone完全控制的目录，大局部文件最好制止everyone写，甚至读。对于系统的重要文件和目录，例如system32等等，可以用Win2kResoueceKit中的一个工具*acls详细的加强控制。5)预防信息监测和DOS攻击必要的话，翻开RSAS或者自己添加一个IPSEC平安策略，过滤掉ICMPEcho和Redrict类型，这样别人ping你就不会有反映，而如果ping