Win2000+IIS 5.0安全配置规范(3)

3） 隐藏上次登陆的用户名
　　将HKEY_LOCAL_MACHINE\SOFTWARE
　　\Microsoft\Windows NT\Current Version\Winlogon\中
　　DontDisplayLastUserName REG_SZ 值设为1
　　4）限制LSA匿名访问
　　将HKEY_LOCAL_MACHINE\SYSTEM
　　\CurrentControlSet\Control\LSA中
　　RestricAnonymous REG_DWORD 值设为1
　　5） 去除所有网络共享
　　将HKEY_LOCAL_MACHINE\SYSTEM
　　\CurrentControlSet\Services\LanManServer\Parameters\中
　　AutoShareServer REG_DWORD 值设为0
　　■. 启用TCP/IP过滤
　　只允许TCP端口80和443（如果使用SSL）
　　不允许UDP端口
　　只允许IP Protocol 6 (TCP)
　　■. 移动部分重要文件并加访问控制：
　　创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录：
　　xcopy.exe, wscript.exe, cscript.exe,.net.exe, ftp.exe, telnet.exe,arp.exe,
　　edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
　　qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe,
　　secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,
　　edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe
　　■．安装防病毒软件Norton 2000
　　■. 可以下载Hisecweb.inf安全模板来配置
　　Http://download.microsoft.com/downl...US/hisecweb.exe
　　该模板配置基本的 Windows 2000 系统安全策略。
　　将该模板复制到 %windir%\security\templates 目录。
　　打开“安全模板”工具，查看这些设置。
　　打开“安全配置和分析”工具，然后装载该模板。
　　右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。
　　等候操作完成。
　　查看结果，如有必要就更新该模板。
　　右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。

　　二、IIS的安全配置

　　■． 关闭并删除默认站点：
　　默认FTP站点
　　默认Web站点
　　管理Web站点
　　■． 建立自己的站点，与系统不在一个分区，如
　　D:\wwwroot3． 建立 E:\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）
　　■． 删除IIS的部分目录：
　　IISHelp C:\winnt\help\iishelp
　　IISAdmin C:\system32\inetsrv\iisadmin
　　MSADC C:\Program Files\Common Files\System\msadc\
　　删除 C:\\inetpub

原文转自：http://www.ltesting.net