欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

一、 Windows 2003安全配置

　　■． 確保所有磁盤(pán)分區為NTFS分區
　　■． 操作系統、Web主目錄、日志分別安裝在不同的分區
　　■． 不要安裝不需要的協(xié)議，比如IPX/SPX, NetBIOS?
　　■． 不要安裝其它任何操作系統
■． 安裝所有補?。ㄓ萌鹦前踩┒磼呙柘螺d）
　　■． 關(guān)閉所有不需要的服務(wù)
　　* Alerter (disable)
　　* ClipBook Server (disable)
　　* Computer Browser (disable)
　　* DHCP Client (disable)
　　* Directory Replicator (disable)
　　* FTP publishing service (disable)
　　* License Logging Service (disable)
　　* Messenger (disable)
　　* Netlogon (disable)
　　* Network DDE (disable)
　　* Network DDE DSDM (disable)
　　* Network Monitor (disable)
　　* Plug and Play (disable after all hardware configuration)
　　* Remote Access Server (disable)
　　* Remote Procedure Call (RPC) locater (disable)
　　* Schedule (disable)
　　* Server (disable)
　　* Simple Services (disable)
　　* Spooler (disable)
　　* TCP/IP Netbios Helper (disable)
　　* Telephone Service (disable)
■. 賬號和密碼策略
　　1） 保證禁止guest賬號
　　2） 將administrator改名為比較難猜的賬號
　　3） 密碼唯一性：記錄上次的 6 個(gè)密碼
　　4） 最短密碼期限：2
　　5） 密碼最長(cháng)期限：42
　　6） 最短密碼長(cháng)度：8
　　7） 密碼復雜化(passfilt.dll)：?jiǎn)⒂?br>　　8） 用戶(hù)必須登錄方能更改密碼：?jiǎn)⒂?br>　　9） 賬號失敗登錄鎖定的門(mén)限：6
　　10）鎖定后重新啟用的時(shí)間間隔：720分鐘
　　■．保護文件和目錄
　　將C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目錄的訪(fǎng)問(wèn)權限做限制，限制everyone的寫(xiě)權限，限制users組的讀寫(xiě)權限
　　■．注冊表一些條目的修改
　　1） 去除logon對話(huà)框中的shutdown按鈕
　　將HKEY_LOCAL_MACHINE\SOFTWARE
　　\Microsoft\Windows NT\Current Version\Winlogon\中
　　ShutdownWithoutLogon REG_SZ 值設為0
　　2） 去除logon信息的cashing功能
　　將HKEY_LOCAL_MACHINE\SOFTWARE
　　\Microsoft\Windows NT\Current Version\Winlogon\中
　　CachedLogonsCount REG_SZ 值設為0
4）限制LSA匿名訪(fǎng)問(wèn)
　　將HKEY_LOCAL_MACHINE\SYSTEM
　　\CurrentControlSet\Control\LSA中
　　RestricAnonymous REG_DWORD 值設為1
　　5） 去除所有網(wǎng)絡(luò )共享
　　將HKEY_LOCAL_MACHINE\SYSTEM
　　\CurrentControlSet\Services\LanManServer\Parameters\中
　　AutoShareServer REG_DWORD 值設為0
二、IIS的安全配置

　　■． 關(guān)閉并刪除默認站點(diǎn)：
　　默認FTP站點(diǎn)
　　默認Web站點(diǎn)
　　管理Web站點(diǎn)
　　■． 建立自己的站點(diǎn)，與系統不在一個(gè)分區，如
　　D:\wwwroot3． 建立 E:\Logfiles 目錄，以后建立站點(diǎn)時(shí)的日志文件均位于此目錄，確保此目錄上的訪(fǎng)問(wèn)控制權限是： Administrators（完全控制）System（完全控制）
　　■． 刪除IIS的部分目錄：
　　IISHelp C:\winnt\help\iishelp
　　IISAdmin C:\system32\inetsrv\iisadmin
　　MSADC C:\Program Files\Common Files\System\msadc\
　　刪除 C:\\inetpub
■. 刪除不必要的IIS映射和擴展：
　　IIS 被預先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類(lèi)型的文件請求時(shí)，該調用由 DLL 處理。如果您不使用其中的某些擴展或功能，則應刪除該
　　映射，步驟如下：
選擇計算機名，點(diǎn)鼠標右鍵，選擇屬性：
　　然后選擇編輯
　　然后選擇主目錄， 點(diǎn)擊配置
　　選擇擴展名 \.htw\,\.htr\,\.idc\,\.ida\,\.idq\和\.printer\，點(diǎn)擊刪除
　　如果不使用server side include，則刪除\.shtm\ \.stm\ 和 \.shtml\
　　■. 禁用父路徑 :
　　“父路徑”選項允許您在對諸如 MapPath 函數調用中使用“..”。在默認情況下，該選項
　　處于啟用狀態(tài)，應該禁用它。
　　禁用該選項的步驟如下：
　　右鍵單擊該 Web 站點(diǎn)的根，然后從上下文菜單中選擇“屬性”。
　　單擊“主目錄”選項卡。
　　單擊“配置”。
　　單擊“應用程序選項”選項卡。
　　取消選擇“啟用父路徑”復選框。
　　■. 在虛擬目錄上設置訪(fǎng)問(wèn)控制權限
　　主頁(yè)使用的文件按照文件類(lèi)型應使用不同的訪(fǎng)問(wèn)控制列表：
　　CGI (.exe, .dll, .cmd, .pl)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　腳本文件 (.asp)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　include 文件 (.inc, .shtm, .shtml)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　靜態(tài)內容 (.txt, .gif, .jpg, .html)
　　Everyone (R)
　　Administrators（完全控制）
　　System（完全控制）
　　在創(chuàng )建Web站點(diǎn)時(shí)，沒(méi)有必要在每個(gè)文件上設置訪(fǎng)問(wèn)控制權限，應該為每個(gè)文件類(lèi)型創(chuàng )建一個(gè)新目錄，然后在每個(gè)目錄上設置訪(fǎng)問(wèn)控制權限、允許訪(fǎng)問(wèn)控制權限傳給各個(gè)文件。
　　例如，目錄結構可為以下形式：
　　D:\wwwroot\myserver\static (.html)
　　D:\wwwroot\myserver\include (.inc)
　　D:\wwwroot\myserver \script (.asp)
　　D:\wwwroot\myserver \executable (.dll)
　　D:\wwwroot\myserver\images (.gif, .jpeg)
　　■. 啟用日志記錄
　　確定服務(wù)器是否被攻擊時(shí)，日志記錄是極其重要的。
　　應使用 W3C 擴展日志記錄格式，步驟如下：
　　打開(kāi) Internet 服務(wù)管理器：
　　右鍵單擊站點(diǎn)，然后從上下文菜單中選擇“屬性”。
　　單擊“Web 站點(diǎn)”選項卡。
　　選中“啟用日志記錄”復選框。
　　從“活動(dòng)日志格式”下拉列表中選擇“W3C 擴展日志文件格式”。
　　單擊“屬性”。
　　單擊“擴展屬性”選項卡，然后設置以下屬性：
　　* 客戶(hù) IP 地址
　　* 用戶(hù)名
　　* 方法
　　* URI 資源
　　* HTTP 狀態(tài)
　　* Win32 狀態(tài)
　　* 用戶(hù)代理
　　* 服務(wù)器 IP 地址
　　* 服務(wù)器端口

刪除Windows Server 2003默認共享

　　首先編寫(xiě)如下內容的批處理文件：

　　@echo off

　　net share C$ /del

　　net share D$ /del

　　net share E$ /del

　　net share F$ /del

　　net share admin$ /del

　　以上文件的內容用戶(hù)可以根據自己需要進(jìn)行修改。保存為delshare.bat，存放到系統所在文件夾下的system32GroupPolicyUserScriptsLogon目錄下。然后在開(kāi)始菜單→運行中輸入gpedit.msc，

　　回車(chē)即可打開(kāi)組策略編輯器。點(diǎn)擊用戶(hù)配置→Windows設置→腳本(登錄/注銷(xiāo))→登錄（如圖3）。

本帖包含圖片附件:

在出現的“登錄 屬性”窗口中單擊“添加”，會(huì )出現“添加腳本”對話(huà)框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可（如圖4）。

本帖包含圖片附件:

重新啟動(dòng)計算機系統，就可以自動(dòng)將系統所有的隱藏共享文件夾全部取消了，這樣就能將系統安全隱患降低到最低限度。

　　2、禁用IPC連接

　　IPC$(Internet Process Connection)是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開(kāi)放的命名管道，通過(guò)提供可信任的用戶(hù)名和口令，連接雙方計算機即可以建立安全的通道并以此通道進(jìn)行加密數據的交換，從而實(shí)現對遠程計算機的訪(fǎng)問(wèn)。它是Windows NT/2000/XP/2003特有的功能，但它有一個(gè)特點(diǎn)，即在同一時(shí)間內，兩個(gè)IP之間只允許建立一個(gè)連接。NT/2000/XP/2003在提供了ipc$功能的同時(shí)，在初次安裝系統時(shí)還打開(kāi)了默認共享，即所有的邏輯共享(c$,d$,e$……)和系統目錄winnt或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但也為簡(jiǎn)稱(chēng)為IPC入侵者有意或無(wú)意的提供了方便條件，導致了系統安全性能的降低。在建立IPC的連接中不需要任何黑客工具，在命令行里鍵入相應的命令就可以了，不過(guò)有個(gè)前提條件，那就是你需要知道遠程主機的用戶(hù)名和密碼。打開(kāi)CMD后輸入如下命令即可進(jìn)行連接：net use\ipipc$ password /user:usernqme。我們可以通過(guò)修改注冊表來(lái)禁用IPC連接。打開(kāi)注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接（如圖5）。

本帖包含圖片附件:

四、清空遠程可訪(fǎng)問(wèn)的注冊表路徑

　　大家都知道，Windows 2003操作系統提供了注冊表的遠程訪(fǎng)問(wèn)功能，只有將遠程可訪(fǎng)問(wèn)的注冊表路徑設置為空，這樣才能有效的防止黑客利用掃描器通過(guò)遠程注冊表讀取計算機的系統信息及其它信息（如圖6）。

本帖包含圖片附件:

打開(kāi)組策略編輯器，依次展開(kāi)“計算機配置→Windows 設置→安全設置→本地策略→安全選項”，在右側窗口中找到“網(wǎng)絡(luò )訪(fǎng)問(wèn)：可遠程訪(fǎng)問(wèn)的注冊表路徑”，然后在打開(kāi)的窗口中，將可遠程訪(fǎng)問(wèn)的注冊表路徑和子路徑內容全部設置為空即可（如圖7）。

本帖包含圖片附件:

五、關(guān)閉不必要的端口

　 對于個(gè)人用戶(hù)來(lái)說(shuō)安裝中默認的有些端口確實(shí)是沒(méi)有什么必要的，關(guān)掉端口也就是關(guān)閉無(wú)用的服務(wù)。139端口是NetBIOS協(xié)議所使用的端口，在安裝了TCP/IP 協(xié)議的同時(shí)，NetBIOS 也會(huì )被作為默認設置安裝到系統中。139端口的開(kāi)放意味著(zhù)硬盤(pán)可能會(huì )在網(wǎng)絡(luò )中共享；網(wǎng)上黑客也可通過(guò)NetBIOS知道你的電腦中的一切！在以前的Windows版本中，只要不安裝Microsoft網(wǎng)絡(luò )的文件和打印共享協(xié)議，就可關(guān)閉139端口。但在Windows Server 2003中，只這樣做是不行的。如果想徹底關(guān)閉139端口，具體步驟如下：

　　 鼠標右鍵單擊“網(wǎng)絡(luò )鄰居”，選擇“屬性”，進(jìn)入“網(wǎng)絡(luò )和撥號連接”，再用鼠標右鍵單擊“本地連接”，選擇“屬性”，打開(kāi)“本地連接 屬性”頁(yè)（如圖8），

本帖包含圖片附件:

然后去掉“Microsoft網(wǎng)絡(luò )的文件和打印共享”前面的“√”（如圖9），

本帖包含圖片附件:

接下來(lái)選中“Internet協(xié)議(TCP/IP)”，單擊“屬性”→“高級”→“WINS”，把“禁用TCP/IP上的NetBIOS”選中，即任務(wù)完成(如圖10)！

本帖包含圖片附件:

對于個(gè)人用戶(hù)來(lái)說(shuō)，可以在各項服務(wù)屬性設置中設為“禁用”，以免下次重啟服務(wù)也重新啟動(dòng)，端口也開(kāi)放了。

　　假如你的電腦中還裝了IIS，你最好重新設置一下端口過(guò)濾。步驟如下：選擇網(wǎng)卡屬性，然后雙擊“Internet協(xié)議(TCP/IP)”，在出現的窗口中單擊“高級”按鈕，會(huì )進(jìn)入“高級TCP/IP設置”窗口，接下來(lái)選擇“選項”標簽下的“TCP/IP 篩選”項，點(diǎn)“屬性”按鈕，會(huì )來(lái)到“TCP/IP 篩選”的窗口，在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“√”，然后根據需要配置就可以了。如果你只打算瀏覽網(wǎng)頁(yè)，則只開(kāi)放TCP端口80即可，所以可以在“TCP端口”上方選擇“只允許”，然后單擊“添加”按鈕，輸入80再單擊“確定”即可（如圖11）

本帖包含圖片附件:

六、杜絕非法訪(fǎng)問(wèn)應用程序

　　Windows Server 2003是一種服務(wù)器操作系統，為了防止登陸到其中的用戶(hù)，隨意啟動(dòng)服務(wù)器中的應用程序，給服務(wù)器的正常運行帶來(lái)不必要的麻煩，我們很有必要根據不同用戶(hù)的訪(fǎng)問(wèn)權限，來(lái)限制。

　　他們去調用應用程序。實(shí)際上我們只要使用組策略編輯器作進(jìn)一步的設置，即可實(shí)現這一目的，具體步驟如下：

　　打開(kāi)“組策略編輯器”的方法為：依次點(diǎn)擊“開(kāi)始→運行”，在“運行”對話(huà)框中鍵入“gpedit.msc”命令并回車(chē)，即可打開(kāi)“組策略編輯器”窗口。然后依次打開(kāi)“組策略控制臺→用戶(hù)配置→管理模

　　板→系統”中的“只運行許可的Ｗｉｎｄｏｗｓ應用程序”并啟用此策略（如圖12）。

本帖包含圖片附件:

然后點(diǎn)擊下面的“允許的應用程序列表”邊的“顯示”按鈕，彈出一個(gè)“顯示內容”對話(huà)框，在此單擊“添加”按鈕來(lái)添加允許運行的應用程序即可（如圖13）。 　　

本帖包含圖片附件:

--------------------------------------------------------------------------------

二、設置和管理賬戶(hù)

　　1、系統管理員賬戶(hù)最好少建，更改默認的管理員帳戶(hù)名(Administrator)和描述，密碼最好采用數字加大小寫(xiě)字母加數字的上檔鍵組合，長(cháng)度最好不少于14位。

　　2、新建一個(gè)名為Administrator的陷阱賬號，為其設置最小的權限，然后隨便輸入組合的最好不低于20位的密碼

　　3、將Guest賬戶(hù)禁用并更改名稱(chēng)和描述，然后輸入一個(gè)復雜的密碼，當然現在也有一個(gè)DelGuest的工具，也許你也可以利用它來(lái)刪除Guest賬戶(hù)，但我沒(méi)有試過(guò)。

　　4、在運行中輸入gpedit.msc回車(chē)，打開(kāi)組策略編輯器，選擇計算機配置-Windows設置-安全設置-賬戶(hù)策略-賬戶(hù)鎖定策略，將賬戶(hù)設為“三次登陸無(wú)效”，“鎖定時(shí)瀋櫛?0分鐘”，“復位鎖定計數設為30分鐘”。

　　5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶(hù)名”設為啟用

　　6、在安全設置-本地策略-用戶(hù)權利分配中將“從網(wǎng)絡(luò )訪(fǎng)問(wèn)此計算機”中只保留Internet來(lái)賓賬戶(hù)、啟動(dòng)IIS進(jìn)程賬戶(hù)。如果你使用了Asp.net還要保留Aspnet賬戶(hù)。

　　7、創(chuàng )建一個(gè)User賬戶(hù)，運行系統，如果要運行特權命令使用Runas命令。

三、網(wǎng)絡(luò )服務(wù)安全管理

　　1、禁止C$、D$、ADMIN$一類(lèi)的缺省共享

　　打開(kāi)注冊表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右邊的窗口中新建Dword值，名稱(chēng)設為AutoShareServer值設為0

　　2、 解除NetBios與TCP/IP協(xié)議的綁定

　　右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS

　　3、關(guān)閉不需要的服務(wù)，以下為建議選項

　　Computer Browser:維護網(wǎng)絡(luò )計算機更新，禁用

　　Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用

　　Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用

　　Error reporting service：禁止發(fā)送錯誤報告

　　Microsoft Serch：提供快速的單詞搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果沒(méi)有打印機可禁用

　　Remote Registry：禁止遠程修改注冊表

　　Remote Desktop Help Session Manager：禁止遠程協(xié)助

　　四、打開(kāi)相應的審核策略

　　在運行中輸入gpedit.msc回車(chē)，打開(kāi)組策略編輯器，選擇計算機配置-Windows設置-安全設置-審核策略在創(chuàng )建審核項目時(shí)需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發(fā)現嚴重的事件也越難當然如果審核的太少也會(huì )影響你發(fā)現嚴重的事件，你需要根據情況在這二者之間做出選擇。

　　推薦的要審核的項目是：

　　登錄事件 成功失敗

　　賬戶(hù)登錄事件成功 失敗

　　系統事件 成功失敗

　　策略更改 成功失敗

　　對象訪(fǎng)問(wèn) 失敗

　　目錄服務(wù)訪(fǎng)問(wèn)失敗

　　特權使用 失敗

五、其它安全相關(guān)設置

　　1、隱藏重要文件/目錄

　　可以修改注冊表實(shí)現完全隱藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊“CheckedValue”，選擇修改，把數值由1改為0

　　2、啟動(dòng)系統自帶的Internet連接防火墻，在設置服務(wù)選項中勾選Web服務(wù)器。

　　3、防止SYN洪水攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為SynAttackProtect，值為2

　　4. 禁止響應ICMP路由通告報文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface

　　新建DWORD值，名為PerformRouterDiscovery 值為0

　　5. 防止ICMP重定向報文的攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　將EnableICMPRedirects 值設為0

　　6. 不支持IGMP協(xié)議

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為IGMPLevel 值為0

　　7、禁用DCOM：

　　運行中輸入 Dcomcnfg.exe。 回車(chē)， 單擊“控制臺根節點(diǎn)”下的“組件服務(wù)”。 打開(kāi)“計算機”子文件夾。

　　對于本地計算機，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認屬性”選項卡。

　　清除“在這臺計算機上啟用分布式 COM”復選框。

　　注：3-6項內容我采用的是Server2000設置，沒(méi)有測試過(guò)對2003是否起作用。但有一點(diǎn)可以肯定我用了一段的時(shí)間沒(méi)有發(fā)現其它副面的影響。

六、配置 IIS 服務(wù)：

　　1、不使用默認的Web站點(diǎn)，如果使用也要將 將IIS目錄與系統磁盤(pán)分開(kāi)。

　　2、刪除IIS默認創(chuàng )建的Inetpub目錄（在安裝系統的盤(pán)上）。

　　3、刪除系統盤(pán)下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、刪除不必要的IIS擴展名映射。

　　右鍵單擊“默認Web站點(diǎn)→屬性→主目錄→配置”，打開(kāi)應用程序窗口，去掉不必要的應用程序映射。主要為.shtml, .shtm, .stm

　　5、更改IIS日志的路徑

　　右鍵單擊“默認Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性

　　6、如果使用的是2000可以使用iislockdown來(lái)保護IIS，在2003運行的IE6.0的版本不需要。

　　7、使用UrlScan

　　UrlScan是一個(gè)ISAPI篩選器，它對傳入的HTTP數據包進(jìn)行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。下載地址見(jiàn)頁(yè)未的鏈接

　　如果沒(méi)有特殊的要求采用UrlScan默認配置就可以了。

　　但如果你在服務(wù)器運行ASP.NET程序，并要進(jìn)行調試你需打開(kāi)要%WINDIR%\System32\Inetsrv\URLscan

　　文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節添加debug謂詞，注意此節是區分大小寫(xiě)的。

　　如果你的網(wǎng)頁(yè)是.asp網(wǎng)頁(yè)你需要在DenyExtensions刪除.asp相關(guān)的內容。

　　如果你的網(wǎng)頁(yè)使用了非ASCII代碼，你需要在Option節中將AllowHighBitCharacters的值設為1

　　在對URLScan.ini 文件做了更改后，你需要重啟IIS服務(wù)才能生效，快速方法運行中輸入iisreset

　　如果你在配置后出現什么問(wèn)題，你可以通過(guò)添加/刪除程序刪除UrlScan。

　　8、利用WIS (Web Injection Scanner)工具對整個(gè)網(wǎng)站進(jìn)行SQL Injection 脆弱性?huà)呙?

　　下載地址：VB.NET愛(ài)好者

七、配置Sql服務(wù)器

　　1、System Administrators 角色最好不要超過(guò)兩個(gè)

　　2、如果是在本機最好將身份驗證配置為Win登陸

　　3、不要使用Sa賬戶(hù)，為其配置一個(gè)超級復雜的密碼

　　4、刪除以下的擴展存儲過(guò)程格式為：

　　use master

　　sp_dropextendedproc ‘擴展存儲過(guò)程名‘

　　xp_cmdshell：是進(jìn)入操作系統的最佳捷徑，刪除

　　訪(fǎng)問(wèn)注冊表的存儲過(guò)程，刪除
　　
Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues

　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

　　OLE自動(dòng)存儲過(guò)程，不需要刪除

　　Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty

　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

　　5、隱藏 SQL Server、更改默認的1433端口

　　右擊實(shí)例選屬性-常規-網(wǎng)絡(luò )配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實(shí)例，并改原默認的1433端口。

八、如果只做服務(wù)器，不進(jìn)行其它操作，使用IPSec

　　1、管理工具—本地安全策略—右擊IP安全策略—管理IP篩選器表和篩選器操作—在管理IP篩選器表選項下點(diǎn)擊

　　添加—名稱(chēng)設為Web篩選器—點(diǎn)擊添加—在描述中輸入Web服務(wù)器—將源地址設為任何IP地址——將目標地址設為我的IP地址——協(xié)議類(lèi)型設為T(mén)cp——IP協(xié)議端口第一項設為從任意端口，第二項到此端口80——點(diǎn)擊完成——點(diǎn)擊確定。

　　2、再在管理IP篩選器表選項下點(diǎn)擊

　　添加—名稱(chēng)設為所有入站篩選器—點(diǎn)擊添加—在描述中輸入所有入站篩選—將源地址設為任何IP地址——將目標地址設為我的IP地址——協(xié)議類(lèi)型設為任意——點(diǎn)擊下一步——完成——點(diǎn)擊確定。

　　3、在管理篩選器操作選項下點(diǎn)擊添加——下一步——名稱(chēng)中輸入阻止——下一步——選擇阻止——下一步——完成——關(guān)閉管理IP篩選器表和篩選器操作窗口

　　4、右擊IP安全策略——創(chuàng )建IP安全策略——下一步——名稱(chēng)輸入數據包篩選器——下一步——取消默認激活響應原則——下一步——完成

　　5、在打開(kāi)的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網(wǎng)絡(luò )連接——下一步——在IP篩選器列表中選擇新建的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定

　　6、在IP安全策略的右邊窗口中右擊新建的數據包篩選器，點(diǎn)擊指派，不需要重啟，IPSec就可生效.

九、建議

　　如果你按本文去操作，建議每做一項更改就測試一下服務(wù)器，如果有問(wèn)題可以馬上撤消更改。而如果更改的項數多，才發(fā)現出問(wèn)題，那就很難判斷問(wèn)題是出在哪一步上了。

　　十、運行服務(wù)器記錄當前的程序和開(kāi)放的端口

　　1、將當前服務(wù)器的進(jìn)程抓圖或記錄下來(lái)，將其保存，方便以后對照查看是否有不明的程序。

2、將當前開(kāi)放的端口抓圖或記錄下來(lái)，保存，方便以后對照查看是否開(kāi)放了不明的端口。當然如果你能分辨每一個(gè)進(jìn)程，和端口這一步可以省略。

如何配置一臺堅固安全的win2000

1)確定你要用它來(lái)干什么，需要開(kāi)什么服務(wù)，什么是不必要的，沒(méi)用地就別裝(像Index什么的)，不必要的服務(wù)全都可以關(guān)掉。
在控制面版=>管理=>工具中，自己看著(zhù)辦，如下服務(wù)是一定要禁止的：
Remote Registry Service
RunAs Service
Task Scheduler
Telnet
Windows Time
其他不必要的服務(wù)可以設為手動(dòng)方式。
SNMP Service和SNMP Trap Service最好也關(guān)掉，要用的話(huà)，把管理公共字改掉。

2)打補丁。
確定你打上了Win2k SP2;

3)IIS配置。
1，在IIS管理器中，去處所有不必要的擴展關(guān)聯(lián)(基本上除了ASP/ASA等幾個(gè)必要的和CGI之類(lèi)的外，其他都可以去掉) 有可能的話(huà)，可以安裝一個(gè)SecureIIS，還是有一定效果的。
2，校驗ftp權限，差不多就自己看著(zhù)辦吧，不要被人家tag就可以了~_*

4)MSSQL。
首先，記得一定要加一個(gè)難記得密碼，不然就什么都完了。
然后記得升級SQL 7.0 SP2和SQL 2k SP1.

5)Terminal Server。
打了SP2基本就沒(méi)太大問(wèn)題，只要你的系統不是沒(méi)密碼..........

高級部分：
1)類(lèi)防火墻限制。
這需要我們打開(kāi)MS的IPSEC服務(wù)，然后選擇 網(wǎng)絡(luò )設置=>網(wǎng)絡(luò )界面 屬性=> TCP/IP =>高級 =>選項
簡(jiǎn)單一點(diǎn)的話(huà)，就用TCP/IP篩選，確定指開(kāi)放那些端口，比如80，1433等等(可惜開(kāi)放ftp服務(wù)的話(huà)，經(jīng)常會(huì )亂開(kāi)端口的，難以確定)；
要求高級的話(huà)，自己定義一個(gè)IPSEC策略，可以精確的過(guò)濾例如某種ICMP類(lèi)型等等...可以做到水泄不通哦，不要到時(shí)候你自己也進(jìn)不去了就好~_*

2)NetBIOS設置。
歷史以來(lái)，netbios是僅次于IIS的winnt安全問(wèn)題最多的服務(wù)，簡(jiǎn)直就是后門(mén)打開(kāi)。
至少做這樣一條設置：注冊表編輯
Local_Machine＼System＼CurrentControlSet＼Control＼LSA-RestrictAnonymous = 1
可以禁止IPC$空用戶(hù)連接，防止信息泄漏和其他更嚴重的安全問(wèn)題。

3)Terminal Server加強。
注冊表編輯：HKEY_LOCAL_ MACHINESOFTWAREMicrosoft＼ WindowsNT＼CurrentVersion＼Winlogon＼Don‘t Display Last User Name=1
可以讓別人在ts中看不到你上次登錄的用戶(hù)名，有安全了一點(diǎn)點(diǎn)(記住，別人獲取你的信息越少，你就越安全)

4)系統文件目錄權限檢查。
基本的策略，可以在文件屬性中修改，避免有everyone完全控制的目錄，大部分文件最好禁止everyone寫(xiě)，甚至讀。
對于系統的重要文件和目錄，例如system32等等，可以用Win2k Resouece Kit中的一個(gè)工具xacls詳細的加強訪(fǎng)問(wèn)控制。

5)預防信息監測和DOS
必要的話(huà)，打開(kāi)RSAS或者自己添加一個(gè)IPSEC安全策略，過(guò)濾掉ICMP Echo和Redrict類(lèi)型，這樣別人ping你就不會(huì )有反映，而如果ping不通的話(huà)，可能別人就此罷手了~_* 而且缺省配置下，很多的漏洞掃描器ping不通就不掃了，西西。(當然啦，如果你有更強的防火墻，哪就更好)
一定程度的DoS預防：
在注冊表HKLM＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters中更改以下值可以幫助你防御一定強度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0

Win 2003中提高FSO的安全性

ASP提供了強大的文件系統訪(fǎng)問(wèn)能力，可以對服務(wù)器硬盤(pán)上的任何文件進(jìn)行操作，這給學(xué)校網(wǎng)站的安全帶來(lái)巨大的威脅

　　ASP提供了強大的文件系統訪(fǎng)問(wèn)能力，可以對服務(wù)器硬盤(pán)上的任何文件進(jìn)行讀、寫(xiě)、復制、刪除、改名等操作，這給學(xué)校網(wǎng)站的安全帶來(lái)巨大的威脅?，F在很多校園主機都遭受過(guò)FSO木馬的侵擾。但是禁用FSO組件后，引起的后果就是所有利用這個(gè)組件的ASP程序將無(wú)法運行，無(wú)法滿(mǎn)足客戶(hù)的需求。如何既允許FileSystemObject組件，又不影響服務(wù)器的安全性呢（即：不同虛擬主機用戶(hù)之間不能使用該組件讀寫(xiě)別人的文件）？以下是筆者多年來(lái)摸索出來(lái)的經(jīng)驗：

　　第一步是有別于Windows 2000設置的關(guān)鍵：右擊C盤(pán)，點(diǎn)擊“共享與安全”，在出現在對話(huà)框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網(wǎng)站連ASP程序都不能運行，請添加IIS_WPG組（圖1），并重啟計算機。

　　經(jīng)過(guò)這樣設計后，FSO木馬就已經(jīng)不能運行了。如果你要進(jìn)行更安全級別的設置，請分別對各個(gè)磁盤(pán)分區進(jìn)行如上設置，并為各個(gè)站點(diǎn)設置不同匿名訪(fǎng)問(wèn)用戶(hù)。下面以實(shí)例來(lái)介紹（假設你的主機上E盤(pán)Abc文件夾下設Abc.com站點(diǎn)）：

　　1. 打開(kāi)“計算機管理→本地用戶(hù)和組→用戶(hù)”，創(chuàng )建Abc用戶(hù)，并設置密碼，并將“用戶(hù)下次登錄時(shí)須更改密碼”前的對號去掉，選中“用戶(hù)不能更改密碼”和“密碼永不過(guò)期”，并把用戶(hù)設置為隸屬于Guests組。

　　2. 右擊E:\Abc，選擇“屬性→安全”選項卡，此時(shí)可以看到該文件夾的默認安全設置是“Everyone”完全控制（視不同情況顯示的內容不完全一樣），刪除Everyone的完全控制（如果不能刪除，請點(diǎn)擊[高級]按鈕，將“允許父項的繼承權限傳播”前面的對號去掉，并刪除所有），添加Administrators及Abc用戶(hù)對本網(wǎng)站目錄的所有安全權限。

　　3. 打開(kāi)IIS管理器，右擊Abc.com主機名，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點(diǎn)擊身份驗證和訪(fǎng)問(wèn)控制的[編輯]，彈出圖2所示對話(huà)框，匿名訪(fǎng)問(wèn)用戶(hù)默認的就是“IUSR_機器名”，點(diǎn)擊[瀏覽]，在“選擇用戶(hù)”對話(huà)框中找到前面創(chuàng )建的Abc賬戶(hù)，確定后重復輸入密碼。

　　經(jīng)過(guò)這樣設置，訪(fǎng)問(wèn)網(wǎng)站的用戶(hù)就以Abc賬戶(hù)匿名身份訪(fǎng)問(wèn)E:\Abc文件夾的站點(diǎn)，因為Abc賬戶(hù)只對此文件夾有安全權限，所以他只能在本文件夾下使用FSO。
常見(jiàn)問(wèn)題：

　　如何解除FSO上傳程序小于200k限制？

　　先在服務(wù)里關(guān)閉IIS admin service服務(wù)，找到Windows＼System32＼Inesrv目錄下的Metabase．xml并打開(kāi)，找到ASPMaxRequestEntityAllowed，將其修改為需要的值。默認為204800，即200K，把它修改為51200000（50M），然后重啟IIS admin service服務(wù)。

　　ASP提供了強大的文件系統訪(fǎng)問(wèn)能力，可以對服務(wù)器硬盤(pán)上的任何文件進(jìn)行讀、寫(xiě)、復制、刪除、改名等操作，這給學(xué)校網(wǎng)站的安全帶來(lái)巨大的威脅?，F在很多校園主機都遭受過(guò)FSO木馬的侵擾。但是禁用FSO組件后，引起的后果就是所有利用這個(gè)組件的ASP程序將無(wú)法運行，無(wú)法滿(mǎn)足客戶(hù)的需求。如何既允許FileSystemObject組件，又不影響服務(wù)器的安全性呢（即：不同虛擬主機用戶(hù)之間不能使用該組件讀寫(xiě)別人的文件）？以下是筆者多年來(lái)摸索出來(lái)的經(jīng)驗：

　　第一步是有別于Windows 2000設置的關(guān)鍵：右擊C盤(pán)，點(diǎn)擊“共享與安全”，在出現在對話(huà)框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網(wǎng)站連ASP程序都不能運行，請添加IIS_WPG組（圖1），并重啟計算機。

　　經(jīng)過(guò)這樣設計后，FSO木馬就已經(jīng)不能運行了。如果你要進(jìn)行更安全級別的設置，請分別對各個(gè)磁盤(pán)分區進(jìn)行如上設置，并為各個(gè)站點(diǎn)設置不同匿名訪(fǎng)問(wèn)用戶(hù)。下面以實(shí)例來(lái)介紹（假設你的主機上E盤(pán)Abc文件夾下設Abc.com站點(diǎn)）：

　　1. 打開(kāi)“計算機管理→本地用戶(hù)和組→用戶(hù)”，創(chuàng )建Abc用戶(hù)，并設置密碼，并將“用戶(hù)下次登錄時(shí)須更改密碼”前的對號去掉，選中“用戶(hù)不能更改密碼”和“密碼永不過(guò)期”，并把用戶(hù)設置為隸屬于Guests組。

　　2. 右擊E:\Abc，選擇“屬性→安全”選項卡，此時(shí)可以看到該文件夾的默認安全設置是“Everyone”完全控制（視不同情況顯示的內容不完全一樣），刪除Everyone的完全控制（如果不能刪除，請點(diǎn)擊[高級]按鈕，將“允許父項的繼承權限傳播”前面的對號去掉，并刪除所有），添加Administrators及Abc用戶(hù)對本網(wǎng)站目錄的所有安全權限。

　　3. 打開(kāi)IIS管理器，右擊Abc.com主機名，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點(diǎn)擊身份驗證和訪(fǎng)問(wèn)控制的[編輯]，彈出圖2所示對話(huà)框，匿名訪(fǎng)問(wèn)用戶(hù)默認的就是“IUSR_機器名”，點(diǎn)擊[瀏覽]，在“選擇用戶(hù)”對話(huà)框中找到前面創(chuàng )建的Abc賬戶(hù)，確定后重復輸入密碼。

　　經(jīng)過(guò)這樣設置，訪(fǎng)問(wèn)網(wǎng)站的用戶(hù)就以Abc賬戶(hù)匿名身份訪(fǎng)問(wèn)E:\Abc文件夾的站點(diǎn)，因為Abc賬戶(hù)只對此文件夾有安全權限，所以他只能在本文件夾下使用FSO。

　　常見(jiàn)問(wèn)題：

　　如何解除FSO上傳程序小于200k限制？

　　先在服務(wù)里關(guān)閉IIS admin service服務(wù)，找到Windows＼System32＼Inesrv目錄下的Metabase．xml并打開(kāi)，找到ASPMaxRequestEntityAllowed，將其修改為需要的值。默認為204800，即200K，把它修改為51200000（50M），然后重啟IIS admin service服務(wù)。