1)、系统安全基本设置
  1.安装说明:系统全部NTFS格式化,重新安装系统、安装杀毒软件,并将杀毒软件更新,安装sp2补钉,安装IIS(只安装必须的组件),安装SQL2000,安装.net2.0,开启防火墙。并将服务器打上新的补钉。
  2)、关闭不需要的服务
  Computer Browser:维护网络计算机更新,禁用
  Distributed File System: 局域网管理共享文件,不需要禁用
  Distributed linktracking client:用于局域网更新连接信息,不需要禁用
  Error reporting service:禁止发送错误报告
  Microsoft Serch:提供快速的单词搜索,不需要可禁用
  NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
  PrintSpooler:如果没有打印机可禁用
  Remote Registry:禁止远程修改注册表
  Remote Desktop Help Session Manager:禁止远程协助 其他服务有待核查
  3)、设置和管理账户
  1、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码
  2、系统管理员账户好少建,更改默认的管理员帐户名(Administrator)和描述,密码好采用数字加大小写字母加数字的上档键组合,长度好不少于10位
  3、新建一个名为Administrator的陷阱帐号,为其设置小的权限,然后随便输入组合的好不低于20位的密码
  4、计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效 时间为30分钟
  5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
  6、 在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户,Aspnet账户
  7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
  4)、打开相应的审核策略
  审核策略更改:成功
  审核登录事件:成功,失败
  审核对象访问:失败
  审核对象追踪:成功,失败
  审核目录服务访问:失败
  审核特权使用:失败
  审核系统事件:成功,失败
  审核账户登录事件:成功,失败
  审核账户管理:成功,失败
  5)、 其它安全相关设置
  1、禁止C、D、D、ADMIN$一类的缺省共享
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的 窗口中新建Dword值,名称设为AutoShareServer值设为0
  2、解除NetBios与TCP/IP协议的绑定
  右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS
  3、隐藏重要文件/目录
  可以修改注册表实现完全隐藏: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0
  4、防止SYN洪水攻击
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为SynAttackProtect,值为2
  5、 禁止响应ICMP路由通告报文
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0
  6. 防止ICMP重定向报文的攻击
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0
  7、 不支持IGMP协议
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为IGMPLevel 值为0
  8、禁用DCOM:运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子 文件夹。
  对于本地计算机,请以右键单击“我的电脑”,然后选择“属 性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。
  9、终端服务的默认端口为3389,可考虑修改为别的端口。
  修改方法为: 服务器端:打开注册表,在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations” 处找到类似RDP-TCP的子键,修改PortNumber值。 客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会 生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件(方法:菜单→文件→导入),这样客户端修改了端口。
  6)、配置 IIS 服务
  1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
  2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
  3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。
  4、删除不必要的IIS扩展名映射。  右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映 射。主要为.shtml, .shtm, .stm
  5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
  6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
  7、使用UrlScan
  UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。 目前新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。如果没有特殊的要求采用UrlScan默认配置可以了。但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要 %WINDIR%System32InetsrvURLscan,文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添 加debug谓词,注意此节是区分大小写的。  如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset 如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
  8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
  7)、配置Sql服务器
  1、System Administrators 角色好不要超过两个
  3、不要使用Sa账户,为其配置一个超级复杂的密码
  4、删除以下的扩展存储过程格式为:
  use master   sp_dropextendedproc '扩展存储过程名'
  xp_cmdshell:是进入操作系统的佳捷径,删除  访问注册表的存储过程,
  删除
  Xp_regaddmultistring  Xp_regdeletekey  Xp_regdeletevalue  Xp_regenumvalues   Xp_regread      Xp_regwrite    Xp_regremovemultistring
  OLE自动存储过程,不需要删除
  Sp_OACreate   Sp_OADestroy    Sp_OAGetErrorInfo  Sp_OAGetProperty   Sp_OAMethod  Sp_OASetProperty  Sp_OAStop
  5、隐藏 SQL Server、更改默认的1433端口
  右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默 认的1433端口。