安全配置NT/2000 SERVER

安全配置NT/2000 SERVER
即便正確的安裝了WIN2000 SERVER，系統仍是有不少的漏洞，還須要進一步進行細緻地配置。

1．端口：
端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全，通常來講，僅打開你須要使用的端口會比較安全，配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啓用TCP/IP篩選，不過對於win2000的端口過濾來講，有一個很差的特性：只能規定開哪些端口，不能規定關閉哪些端口，這樣對於須要開大量端口的用戶就比較痛苦。

2．IIS：
IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，因此IIS的配置是咱們的重點，如今你們跟着我一塊兒來：首先，把C盤那個什麼Inetpub目錄完全刪掉，在D盤建一個Inetpub（要是你不放心用默認目錄名也能夠改一個名字，可是本身要記得）在IIS管理器中將主目錄指向D:\Inetpub；其次，那個IIS安裝時默認的什麼scripts等虛擬目錄一律刪除，若是你須要什麼權限的目錄能夠本身慢慢建，須要什麼權限開什麼。（特別注意寫權限和執行程序的權限，沒有絕對的必要千萬不要給）第三，應用程序配置：在IIS管理器中刪除必須以外的任何無用映射，必須指的是ASP,ASA和其餘你確實須要用到的文件類型，例如你用到stml等（使用server side include），實際上90%的主機有了上面兩個映射就夠了，其他的映射幾乎每一個都有一個悽慘的故事：htw, htr, idq, ida……想知道這些故事？去查之前的漏洞列表吧。在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄配置->應用程序映射，而後就開始一個個刪吧（裏面沒有全選的，嘿嘿）。接着在剛剛那個窗口的應用程序調試書籤內將腳本錯誤消息改成發送文本（除非你想ASP出錯的時候用戶知道你的程序/網絡/數據庫結構）錯誤文本寫什麼？隨便你喜歡，本身看着辦。點擊肯定退出時別忘了讓虛擬站點繼承你設定的屬性。安裝新的Service Pack後，IIS的應用程序映射應從新設置。（說明：安裝新的Service Pack後，某些應用程序映射又會出現，致使出現安全漏洞。這是管理員較易忽視的一點。）

爲了對付日益增多的cgi漏洞掃描器，還有一個小技巧能夠參考，在IIS中將HTTP404 Object Not Found出錯頁面經過URL重定向到一個定製HTM文件，可讓目前絕大多數CGI漏洞掃描器失靈。其實緣由很簡單，大多數CGI掃描器在編寫時爲了方便，都是經過查看返回頁面的HTTP代碼來判斷漏洞是否存在的，例如，著名的IDQ漏洞通常都是經過取1.idq來檢驗，若是返回HTTP200，就認爲是有這個漏洞，反之若是返回HTTP404就認爲沒有，若是你經過URL將HTTP404出錯信息重定向到HTTP404.htm文件，那麼全部的掃描不管存不存在漏洞都會返回HTTP200，90%的CGI掃描器會認爲你什麼漏洞都有，結果反而掩蓋了你真正的漏洞，讓***者茫然無處下手,不過從我的角度來講，我仍是認爲紮紮實實作好安全設置比這樣的小技巧重要的多。

最後，爲了保險起見，你能夠使用IIS的備份功能，將剛剛的設定所有備份下來，這樣就能夠隨時恢復IIS的安全配置。還有，若是你怕IIS負荷太高致使服務器滿負荷死機，也能夠在性能中打開CPU限制，例如將IIS的最大CPU使用率限制在70%。
3.賬號策略：
（1）賬號儘量少，且儘量少用來登陸；
說明：網站賬號通常只用來作系統維護，多餘的賬號一個也不要，由於多一個賬號就會多一份被攻破的危險。
（2）除過Administrator外，有必要再增長一個屬於管理員組的賬號；
說明：兩個管理員組的賬號，一方面防止管理員一旦忘記一個賬號的口令還
有一個備用賬號；另方面，一旦***攻破一個賬號並更改口令，咱們還有
有機會從新在短時間內取得控制權。
（3）全部賬號權限需嚴格控制，輕易不要給賬號以特殊權限；
（4）將Administrator重命名，改成一個不易猜的名字。其餘通常賬號也應尊循這一原則。
說明：這樣能夠爲******增長一層障礙。
（5）將Guest賬號禁用，同時重命名爲一個複雜的名字，增長口令，並將它從
Guest組刪掉；
說明：有的***工具正是利用了guest 的弱點，能夠將賬號從通常用戶提
升到管理員組。
（6）給全部用戶賬號一個複雜的口令（系統賬號出外），長度最少在8位以上， 且必須同時包含字母、數字、特殊字符。同時不要使用你們熟悉的單詞（如microsoft）、熟悉的鍵盤順序（如qwert）、熟悉的數字（如2000）等。
說明：口令是******的重點，口令一旦被突破也就無任何系統安全可言了，而這每每是很多網管所忽視的地方，據咱們的測試，僅字母加數字的5位口令在幾分鐘內就會被攻破，而所推薦的方案則要安全的多。
（7）口令必須按期更改（建議至少兩週該一次），且最好記在內心，除此之外不要在任何地方作記錄；另外，若是在日誌審覈中發現某個賬號被連續嘗試，則必須馬上更改此賬號（包括用戶名和口令）；
（8）在賬號屬性中設立鎖定次數，好比改賬號失敗登陸次數超過5次即鎖定改賬號。這樣能夠防止某些大規模的登陸嘗試，同時也使管理員對該賬號提升警戒。

4．安全日誌：

Win2000的默認安裝是不開任何安全審覈的！
那麼請你到本地安全策略->審覈策略中打開相應的審覈，推薦的審覈是：
帳戶管理 成功 失敗
登陸事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
帳戶登陸事件 成功 失敗
審覈項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審覈項目太多不只會佔用系統資源並且會致使你根本沒空去看，這樣就失去了審覈的意義。 與之相關的是：
在帳戶策略->密碼策略中設定：
密碼複雜性要求 啓用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在帳戶策略->帳戶鎖定策略中設定：
帳戶鎖定 3次錯誤登陸
鎖定時間 20分鐘
復位鎖定計數 20分鐘
一樣，Terminal Service的安全日誌默認也是不開的，咱們能夠在Terminal Service Configration（遠程服務配置）-權限-高級中配置安全審覈，通常來講只要記錄登陸、註銷事件就能夠了。

5.目錄和文件權限：

爲了控制好服務器上用戶的權限，同時也爲了預防之後可能的***和溢出，咱們還必須很是當心地設置目錄和文件的訪問權限，NT的訪問權限分爲：讀取、寫入、讀取及執行、修改、列目錄、徹底控制。在默認的狀況下，大多數的文件夾對全部用戶（Everyone這個組）是徹底敞開的（Full Control），你須要根據應用的須要進行權限重設。
在進行權限控制時，請記住如下幾個原則：
1>限是累計的：若是一個用戶同時屬於兩個組，那麼他就有了這兩個組所容許的全部權限；
2>拒絕的權限要比容許的權限高（拒絕策略會先執行）若是一個用戶屬於一個被拒絕訪問某個資源的組，那麼無論其餘的權限設置給他開放了多少權限，他也必定不能訪問這個資源。因此請很是當心地使用拒絕，任何一個不當的拒絕都有可能形成系統沒法正常運行；
3>文件權限比文件夾權限高
4>利用用戶組來進行權限控制是一個成熟的系統管理員必須具備的優良習慣之一；
5>僅給用戶真正須要的權限，權限的最小化原則是安全的重要保障；
6.只安裝一種操做系統；
說明：安裝兩種以上操做系統，會給***以可乘之機，利用***使系統重啓到另一個沒有安全設置的操做系統（或者他熟悉的操做系統），進而進行破壞。
7.安裝成獨立的域控制器（Stand Alone）,選擇工做組成員，不選擇域；
說明：主域控制器（PDC）是局域網中隊多臺聯網機器管理的一種方式，用於網站服務器包含着安全隱患，使***有可能利用域方式的漏洞***站點服務器。

8.將操做系統文件所在分區與WEB數據包括其餘應用程序所在的分區分開，並在安裝時最好不要使用系統默認的目錄，如將\WINNT改成其餘目錄；
說明：***有可能經過WEB站點的漏洞獲得操做系統對操做系統某些程序的執行權限，從而形成更大的破壞。同時若是採用IIS的話你應該在其設置中刪除掉全部的無用的映射，同時不要安裝索引服務，遠程站點管理與服務器擴展最好也不要要，而後刪掉默認路徑下的www，整個刪，不要手軟，而後再硬盤的另外一個硬盤創建存放你網站的文件夾，同時必定記得打開w3c日誌紀錄，切記（不過本人建議採用apache 1.3.24）

系統安裝過程當中必定本着最小服務原則，無用的服務一律不選擇，達到系統的最小安裝，多一個服務，多一份風險，呵呵，因此無用組件千萬不要安裝！
9.關於補丁：在NT下，若是安裝了補丁程序，之後若是要從NT光盤上安裝新的Windows程序,都要從新安裝一次補丁程序， 2000下不須要這樣作。
說明：

（1） 最新的補丁程序，表示系統之前有重大漏洞，非補不可了，對於局域網內服務器能夠不是最新的，但站點必須安裝最新補丁，不然***可能會利用低版本補丁的漏洞對系統形成威脅。這是一部分管理員較易忽視的一點；
（2） 安裝NT的SP五、SP6有一個潛在威脅，就是一旦系統崩潰重裝NT時，系統將不會認NTFS分區，緣由是微軟在這兩個補丁中對NTFS作了改進。只能經過Windows 2000安裝過程當中認NTFS，這樣會形成不少麻煩，建議同時作好數據備份工做。
（3） 安裝Service Pack前應先在測試機器上安裝一次，以防由於例外緣由致使機器死機，同時作好數據備份。

儘可能不安裝與WEB站點服務無關的軟件；
說明：其餘應用軟件有可能存在***熟知的安全漏洞。



10.解除NetBios與TCP/IP協議的綁定

說明：NetBois在局域網內是不可缺乏的功能，在網站服務器上卻成了***掃描工具的首選目標。方法：NT：控制面版——網絡——綁定——NetBios接口——禁用 2000：控制面版——網絡和撥號鏈接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS

11.刪除全部的網絡共享資源，在網絡鏈接的設置中刪除文件和打印共享，只留下TCP/IP協議

說明：NT與2000在默認狀況下有很多網絡共享資源，在局域網內對網絡管理和網絡通信有用，在網站服務器上一樣是一個特大的安全隱患。（卸載「Microsoft 網絡的文件和打印機共享」。當查看「網絡和撥號鏈接」中的任何鏈接屬性時，將顯示該選項。單擊「卸載」按鈕刪除該組件；清除「Microsoft 網絡的文件和打印機共享」複選框將不起做用。）
方法：
(1)NT:管理工具——服務器管理器——共享目錄——中止共享;
2000:控制面版——管理工具——計算及管理——共享文件夾———中止共享
但上述兩種方法太麻煩，服務器每重啓一次，管理員就必須中止一次
（2）修改註冊表：
運行Regedit，而後修改註冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增長一個鍵
Name: AutoShareServer
Type: REG_DWORD
value: 0
而後從新啓動您的服務器，磁盤分區共享去掉，但IPC共享仍存在，需每次重啓後手工刪除。

12.改NTFS的安全權限；
說明：NTFS下全部文件默認狀況下對全部人（EveryOne）爲徹底控制權限，這使***有可能使用通常用戶身份對文件作增長、刪除、執行等操做，建議對通常用戶只給予讀取權限，而只給管理員和System以徹底控制權限，但這樣作有可能使某些正常的腳本程序不能執行，或者某些須要寫的操做不能完成，這時須要對這些文件所在的文件夾權限進行更改，建議在作更改前先在測試機器上做測試，而後慎重更改。

13.增強數據備份；
說明：這一點很是重要，站點的核心是數據，數據一旦遭到破壞後果不堪設想，而這每每是***們真正關心的東西；遺憾的是，很多網管在這一點上做的並很差，不是備份不徹底，就是備份不及時。數據備份須要仔細計劃，制定出一個策略並做了測試之後才實施，並且隨着網站的更新，備份計劃也須要不斷地調整。


14.只保留TCP/IP協議，刪除NETBEUI、IPX/SPX協議；
說明：網站須要的通信協議只有TCP/IP，而NETBEUI是一個只能用於局域網的協議，IPX/SPX是面臨淘汰的協議，放在網站上沒有任何用處，反而會被某些***工具利用。

15.不要起用IP轉發功能，控制面板->網絡->協議->TCP/IP協議->屬性，使這個選框爲空。（NT）
說明：缺省狀況下，NT的IP轉發功能是禁止的，但注意不要啓用，不然它會具備路由做用，被***利用來對其餘服務器進行***。

16.安裝最新的MDAC（ [url]http://www.microsoft.com/data/download.htm[/url] ）
說明：MDAC爲數據訪問部件，一般程序對數據庫的訪問都經過它，但它也是******的目標，爲防止之前版本的漏洞可能會被帶入升級後的版本，建議卸載後安裝最新的版本。注意：在安裝最新版本前最好先作一下測試，由於有的數據訪問方式或許在新版本中再也不被支持，這種狀況下能夠經過修改註冊表來檔漏洞，祥見漏洞測試文檔。

17.設置IP拒絕訪問列表
說明：對於WWW服務，能夠拒絕一些對站點有***嫌疑的地址；尤爲對於FTP服務，若是隻是本身公司上傳文件，就能夠只容許本公司的IP訪問改FTP服務，這樣，安全性大爲提升。

18.禁止對FTP服務的匿名訪問
說明：若是容許對FTP服務作匿名訪問，該匿名賬戶就有可能被利用來獲取更多的信息，以至對系統形成危害。

19.建議使用W3C擴充日誌文件格式，天天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態，用戶代理，並且天天均要審查日誌。（最好不要使用缺省的目錄，建議更換一個記日誌的路徑，同時設置日誌的訪問權限，只容許管理員和system爲Full Control）
說明：做爲一個重要措施，既能夠發現***的跡象，採起預防措施，也能夠做爲受***的一個證據。

20.慎重設置WEB站點目錄的訪問權限，通常狀況下，不要給予目錄以寫入和容許目錄瀏覽權限。只給予.ASP文件目錄以腳本的權限，而不要給與執行權限。
說明：目錄訪問權限必須慎重設置，不然會被***利用。

21.ASP編程安全：

安全不只是網管的事，編程人員也必須在某些安全細節上注意，養成良好的安全習慣，不然，會給***形成可乘之機。目前，大多數網站上的ASP程序有這樣那樣的安全漏洞，但若是寫程序的時候注意的話，仍是能夠避免的。

涉及用戶名與口令的程序最好封裝在服務器端，儘可能少的在ASP文件裏出現，涉及到與數據庫鏈接地用戶名與口令應給予最小的權限。
說明：用戶名與口令，每每是***們最感興趣的東西，若是被經過某種方式看到源代碼，後果是嚴重的。所以要儘可能減小它們在ASP文件中的出現次數。出現次數多得用戶名與口令能夠寫在一個位置比較隱蔽的包含文件中。若是涉及到與數據庫鏈接，理想狀態下只給它以執行存儲過程的權限，千萬不要直接給予該用戶以修改、插入、刪除記錄的權限。

須要通過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面。
說明：如今的須要通過驗證的ASP程序可能是在頁面頭部加一個判斷語句，但這還不夠，有可能被***繞過驗證直接進入，所以有必要跟蹤上一個頁面。具體漏洞見所附漏洞文檔。

防止ASP主頁.inc文件泄露問題
當存在asp 的主頁正在製做並無進行最後調試完成之前，能夠被某些搜索引擎機動追加爲搜索對象，若是這時候有人利用搜索引擎對這些網頁進行查找，會獲得有關文件的定位，並能在瀏覽器中察看到數據庫地點和結構的細節揭示完整的源代碼。
解決方案：程序員應該在網頁發佈前對其進行完全的調試；安全專家須要固定asp 包含文件以便外部的用戶不能看他們。 首先對 .inc 文件內容進行加密，其次也能夠使用 .asp 文件代替 .inc 文件使用戶沒法從瀏覽器直接觀看文件的源代碼。.inc 文件的文件名不用使用系統默認的或者有特殊含義容易被用戶猜想到的，儘可能使用無規則的英文字母。


注意某些ASP編輯器會自動備份asp文件，會被下載的漏洞
在有些編輯asp程序的工具，當建立或者修改一個asp文件時，編輯器自動建立一個備份文件，好比：UltraEdit就會備份一個..bak文件，如你建立或者修改了some.asp，編輯器自動生成一個叫some.asp.bak文件，若是你沒有刪除這個 bak文件，***有能夠直接下載some.asp.bak文件，這樣some.asp的源程序就會給下載。

在處理相似留言板、BBS等輸入框的ASP程序中，最好屏蔽掉HTML、javascript、VBScript語句，如無特殊要求，能夠限定只容許輸入字母與數字，屏蔽掉特殊字符。同時對輸入字符的長度進行限制。並且不但在客戶端進行輸入合法性檢查，同時要在服務器端程序中進行相似檢查。
說明：輸入框是***利用的一個目標，他們能夠經過輸入腳本語言等對用戶客戶端形成損壞； 若是該輸入框涉及到數據查詢，他們會利用特殊查詢輸入獲得更多的數據庫數據，甚至是表的所有。所以必須對輸入框進行過濾。但若是爲了提升效率僅在客戶端進行輸入合法性檢查，仍有可能被繞過，所以必須在服務器端再作一次檢查。


防止ACCESS mdb 數據庫有可能被下載的漏洞
在用ACCESS作後臺數據庫時，若是有人經過各類方法知道或者猜到了服務器的ACCESS數據庫的路徑和數據庫名稱，那麼他可以下載這個ACCESS數據庫文件，這是很是危險的。
解決方法：
(1) 爲你的數據庫文件名稱起個複雜的很是規的名字，並把他放在幾目錄下。所謂 "很是規"， 打個比方： 好比有個數據庫要保存的是有關書籍的信息， 可不要把他起個"book.mdb"的名字，起個怪怪的名稱，好比d34ksfslf.mdb， 再把他放在如./kdslf/i44/studi/ 的幾層目錄下，這樣***要想經過猜的方式獲得你的ACCESS數據庫文件就難上加難了。
(2)不要把數據庫名寫在程序中。有些人喜歡把DSN寫在程序中，好比：
DBPath = Server.MapPath("cmddb.mdb"
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如萬一給人拿到了源程序，你的ACCESS數據庫的名字就盡收眼底。所以建議你在ODBC裏設置數據源，再在程序中這樣寫：
conn.open "shujiyuan"
(3)使用ACCESS來爲數據庫文件編碼及加密。首先在選取 "工具->安全->加密/解密數據庫，選取數據庫（如：employer.mdb），而後接肯定，接着會出現 "數據庫加密後另存爲"的窗口，存爲：employer1.mdb。 接着employer.mdb就會被編碼，而後存爲employer1.mdb..
要注意的是，以上的動做並非對數據庫設置密碼，而只是對數據庫文件加以編碼，目的是爲了防止他人使用別的工具來查看數據庫文件的內容。
接下來咱們爲數據庫加密，首先以打開通過編碼了的 employer1.mdb， 在打開時，選擇"獨佔"方式。而後選取功能表的"工具->安全->設置數據庫密碼"， 接着 輸入密碼便可。這樣即便他人獲得了employer1.mdb文件，沒有密碼他是沒法看到 employer1.mdb的。

23.SQL SERVER的安全

SQL SERVER是NT平臺上用的最多的數據庫系統，可是它的安全問題也必須引發重視。數據庫中每每存在着最有價值的信息，一旦數據被竊後果不堪設想。

及時更新補丁程序。
說明：與NT同樣，SQL SERVER的許多漏洞會由補丁程序來彌補。建議在安裝補丁程序以前先在測試機器上作測試，同時提早作好目標服務器的數據備份。

給SA一個複雜的口令。
說明：SA具備對SQL SERVER數據庫操做的所有權限。遺憾的是，一部分網管對數據庫並不熟悉，創建數據庫的工做由編程人員完成，而這部分人員每每只注重編寫SQL 語句自己，對SQL SERVER數據庫的管理不熟悉，這樣頗有可能形成SA口令爲空。這對數據庫安全是一個嚴重威脅。目前具備這種隱患的站點不在少數。

嚴格控制數據庫用戶的權限，輕易不要給讓用戶對錶有直接的查詢、更改、插入、刪除權限，能夠經過給用戶以訪問視圖的權限，以及只具備執行存儲過程的權限。
說明：用戶若是對錶有直接的操做權限，就會存在數據被破壞的危險。

制訂完整的數據庫備份與恢復策略。

 24. PCANYWHERE的安全：

目前，PCANYWHERE是最流行的基於NT與2000的遠程控制工具，一樣也須要注意安全問題。

建議採用單獨的用戶名與口令，最好採用加密手段。千萬不要採用與NT管理員同樣的用戶名與口令，也不要使用與NT集成的口令。同時在服務器端的設置時務必採用security options中的強加密方式，拒絕低加密水平的鏈接，同時採用口令加密與傳輸過程當中的用戶名與口令加密，以防止被嗅探到，還要限制鏈接次數，另外很重要的一點就是必定在protect item中設置高強度的口令，同時必定限制不可以讓別人看到你的host端的任何設置，即使是要察看主機端的相關設置也必需要輸入口令！
說明：PCANYWHERE 口令是遠程控制的第一個關口，若是與NT的同樣， 就失去了安全屏障。被攻破後就毫無安全可言。而若是採用單獨的口令，即便攻破了PCANYWHERE，NT還有一個口令屏障。
及時安裝較新的版本。

2.中級篇: IIS的安全與性能調整

實際上，安全和應用在不少時候是矛盾的，所以，你須要在其中找到平衡點，畢竟服務器是給用戶用而不是作OPEN HACK的，若是安全原則妨礙了系統應用，那麼這個安全原則也不是一個好的原則。 網絡安全是一項系統工程，它不只有空間的跨度，還有時間的跨度。不少朋友（包括部分系統管理員）認爲進行了安全配置的主機就是安全的，其實這其中有個誤區：咱們只能說一臺主機在必定的狀況必定的時間上是安全的隨着網絡結構的變化、新的漏洞的發現，管理員/用戶的操做，主機的安全情況是隨時隨地變化着的，只有讓安全意識和安全制度貫穿整個過程才能作到真正的安全。

提升IIS 5.0網站伺服器的執行效率的八種方法 　
如下是提升IIS 5.0網站伺服器的執行效率的八種方法：
1. 啓用HTTP的持續做用能夠改善15~20%的執行效率。 　
2. 不啓用記錄能夠改善5~8%的執行效率。 　
3. 使用 [獨立] 的處理程序會損失20%的執行效率。 　
4. 增長快取記憶體的保存檔案數量，可提升Active Server Pages之效能。 　
5. 勿使用CGI程式。 　
6. 增長IIS 5.0電腦CPU數量。 　
7. 勿啓用ASP偵錯功能。 　
8. 靜態網頁採用HTTP 壓縮，大約能夠減小20%的傳輸量。 　

簡單介紹以下。 　
一、啓用HTTP的持續做用 　
啓用HTTP的持續做用（Keep-Alive）時，IIS與瀏覽器的連線不會斷線，能夠改善執行效率，直到瀏覽器關閉時連線纔會斷線。由於維持「Keep-Alive」狀態時，於每次用戶端請求時都不須從新創建一個新的鏈接，因此將改善伺服器的效率。此功能爲HTTP1.1預設的功能，HTTP 1.0加上Keep-Alive header也能夠提供HTTP的持續做用功能。
　

二、啓用HTTP的持續做用能夠改善15~20%的執行效率。 　
如何啓用HTTP的持續做用呢？步驟以下：在 [Internet服務管理員] 中，選取整個IIS電腦、或Web站臺，於 [內容] 之 [主目錄] 頁，勾選 [HTTP的持續做用] 選項。
　

三、不啓用記錄 　
不啓用記錄能夠改善5~8%的執行效率。如何設定不啓用記錄呢？步驟以下： 　
在 [Internet服務管理員] 中，選取整個IIS電腦、或Web站臺，於 [內容] 之 [主目錄] 頁，不勾選 [啓用記錄] 選項。設定非獨立的處理程序使用 [獨立] 的處理程序會損失20%的執行效率，此處所謂 獨立」係指將 [主目錄]、[虛擬目錄] 頁之應用程式保護選項設定爲 [高（獨立的）] 時。所以 [應用程式保護] 設定爲 [低 (IIS處理程序)] 時執行效率較高如何設定非「獨立」的處理程序呢？步驟以下： 在 [Internet服務管理員] 中，選取整個IIS電腦、Web站臺、或應用程式的起始目錄。於 [內容] 之 [主目錄]、[虛擬目錄] 頁，設定應用程式保護選項爲 [低 (IIS處理程序)] 。 　

四、調整快取（Cache）記憶體 　
IIS 5.0將靜態的網頁資料暫存於快取（Cache）記憶體當中；IIS 4.0則將靜態的網頁資料暫存於檔案當中。調整快取（Cache）記憶體的保存檔案數量能夠改善執行效率。ASP指令檔案執行過後，會在暫存於快取（Cache）記憶體中以提升執行效能。增長快取記憶體的保存檔案數量，可提升Active Server Pages之效能。能夠設定全部在整個IIS電腦、「獨立」Web站臺、或「獨立」應用程式上執行之應用程式的快取記憶體檔案數量。如何設定快取（Cache）功能呢？步驟以下：在 [Internet服務管理員] 中選取整個IIS電腦、「獨立」Web站臺、或「獨立」應用程式的起始目錄。於 [內容] 之 [主目錄]、[虛擬目錄] 頁，按下 [設定] 按鈕時，便可由 [處理程序選項] 頁設定[指令檔快取記憶體] 。如何設定快取（Cache）記憶體檔案數量呢？步驟以下：在[Internet服務管理員] 中，選取整個IIS電腦、或Web站臺的起始目錄。於 [內容] 之[伺服器擴充程式] 頁，按下 [設定] 按鈕。便可設定快取（Cache）記憶體檔案數量。

五、勿使用CGI程式 　
使用CGI程式時，由於處理程序（Process）須不斷地產生與摧毀，形成執行效率不佳。通常而言，執行效率比較以下： 靜態網頁（Static）：100 ISAPI：50 ASP：10 CGI：1 　換句話說，ASP比CGI可能快10倍，所以勿使用CGI程式能夠改善IIS的執行效率。以彈性（Flexibility）而言：ASP > CGI > ISAPI > 靜態網頁（Static）。以安全（Security）而言：ASP（獨立） = ISAPI（獨立）= CGI > ASP（非獨立） = ISAPI（非獨立）= 靜態網頁（Static）

六、增長IIS 5.0電腦CPU數量 　
根據微軟的測試報告，增長IIS 4.0電腦CPU數量，執行效率並不會改善多少；可是增長IIS 5.0電腦CPU數量，執行效率會幾乎成正比地提供，換句話說，兩顆CPU的IIS5.0電腦執行效率幾乎是一顆CPU電腦的兩倍，四顆CPU的IIS 5.0電腦執行效率幾乎是一顆CPU電腦的四倍IIS 5.0將靜態的網頁資料暫存於快取（Cache）記憶體當中；IIS 4.0 則將靜態的網頁資料暫存於檔案當中。調整快取（Cache）記憶體的保存檔案數量能夠改善執行效率。 　

七、啓用ASP偵錯功能 　
勿啓用ASP偵錯功能能夠改善執行效率。如何勿啓用ASP偵錯功能呢？步驟以下：於[Internet服務管理員] 中，選取Web站臺、或應用程式的起始目錄，按右鍵選擇[內容]，按 [主目錄]、[虛擬目錄] 或 [目錄] 頁，按下 [設定] 按鈕，選擇 [應用程式偵錯] 頁，不勾選 [啓用ASP伺服器端指令偵錯]、[啓用ASP用戶端指令偵錯] 選項。

八、靜態網頁採用HTTP 壓縮 　
靜態網頁採用HTTP 壓縮，大約能夠減小20%的傳輸量。HTTP壓縮功能啓用或關閉，系針對整臺IIS伺服器來設定。用戶端使用IE 5.0瀏覽器連線到已經啓用HTTP壓縮IIS5.0之Web伺服器，纔有HTTP壓縮功能。如何啓用HTTP壓縮功能呢？步驟以下：若要啓用HTTP 壓縮功能，方法爲在 [Internet服務管理員] 中，選取電腦之 [內容]，於 [主要內容] 之下選取 [WWW服務]。然後按一下 [編輯] 按鈕，於 [服務] 頁上，選取 [壓縮靜態檔案] 能夠壓縮靜態檔案，不選取 [壓縮應用程式檔案] 。 　動態產生的內容檔案（壓縮應用程式檔案）也能夠壓縮，可是須耗費額外CPU處理時間，若%Processor Time已經百分之八十或更多時，建議不要壓縮

以上是對採用IIS做爲WEB服務器的一些安全相關的設置與其性能調整的參數設置，能夠最大化的優化你的IIS，不過我的認爲若是不存在障礙，仍是採用apache比較好一些，漏洞少，建議採用apache 1.3.24版本，由於最近經測試，apache 1.3.23以前的版本都存在溢出漏洞，不要怕，這種漏洞不多的，呵呵。另外，我的建議不要採用ASP安全性總不叫人放心，我的認爲仍是採用JSP好一些，安全性好，功能強大，絕對超值，呵呵，由於PHP也存在很多的洞洞

附：IIS安全工具及其使用說明

1、IIS Lock Tool，快速設置IIS安全屬性

　　IIS Lock Tool的推出，還要感謝紅色代碼，由於正是紅色代碼的大面積傳播，導致微軟設計發佈這款幫助管理員們設置IIS安全性的工具。

（一）、IIS Lock Tool具備如下功能和特色

　　１、最基本功能，幫助管理員設置IIS安全性；

　　２、此工具能夠在IIS4和IIS5上使用；

　　３、即便系統沒有及時安裝全部補丁，也能有效防止IIS4和IIS5的已知漏洞；

　　４、幫助管理員去掉對本網站沒必要要的一些服務，使IIS在知足本網站需求的狀況下運行最少的服務；

　　５、具備兩種使用模式：快捷模式和高級模式。快捷模式直接幫助管理員設置好IIS安全性，這種模式只適合於只有HTML和HTM靜態網頁的網站使用，由於設置完成之後，ASP不能運行；高級模式容許管理員本身設置各類屬性，設置得當，對IIS系統任何功能均沒有影響。

（二）、IIS Lock Tool的使用

　　１、軟件下載和安裝

　　IIS Lock Tool在微軟網站下載，下載地址：
[url]http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362[/url]

　　安裝很簡單，須要注意的是，安裝之後，程序不會在系統的【程序】菜單出現，也不會在【管理工具】出現，須要安裝者在安裝目錄尋找運行該程序。

　　２、軟件的使用

　　在如下的介紹中，咱們將詳細介紹每一步設置的意義和推薦設置，之因此詳細介紹，是爲了咱們明白這些設置到底意味着什麼，同時，和咱們原來的安全設置相對照，避免出現設置完成之後，系統出現障礙。

　運行該軟件，首先出現如下界面（圖一）：

圖一

　　以上界面介紹了IIS Lock Tool的一些基本狀況和使用時須要注意的地方：1）使用時應該選擇針對本網站最少的服務，去掉沒必要要的服務；2）設置完成之後，建議對網站進行完全檢查，以肯定設置對本網站是否合適；

　　在以上界面，點擊【下一步】按鈕，出現如下界面（圖二）：

圖二

　　以上界面選擇快捷模式仍是高級模式來運行軟件，在這裏，軟件介紹了二者模式的區別：

　快捷模式：此設置模式關閉了IIS的一些高級服務屬性，其中包括動態網頁屬性（ASP）；因此，咱們須要再重複一遍，選擇快捷模式只適合提供靜態頁面的網站，固然，這種模式是相對最安全的。

　　高級模式：此模式運行安裝者自定義各類屬性，同時容許高級屬性的運行。

　　快捷模式設置咱們沒必要介紹，點擊【下一步】按鈕就能夠設置完成。咱們選擇【Advanced Lockdown】（高級設置），點擊【下一步】按鈕，出現如下界面（圖三）：

圖三

　　以上界面幫助管理員設置各類腳本映射，咱們來看每一種影射應該怎樣設置：

　　1）Disable support Active Server Pages(ASP)，選擇這種設置將使IIS不支持ASP功能；能夠根據網站具體狀況選擇，通常不選擇此項，由於網站通常要求運行ASP程序；

　　2）Disable support Index Server Web Interface(.idq,.htw,.ida)，選擇這一項將不支持索引服務，具體就是不支持.idq,.htw,.ida這些文件。咱們先來看看到底什麼是索引服務，而後來決定取捨。索引服務是IIS4中包含的內容索引引擎。你能夠對它進行ADO調用並搜索你的站點，它爲你提供了一個很好的web 搜索引擎。若是你的網站沒有利用索引服務對網站進行全文檢索，也就能夠取消網站的這個功能，取消的好處是：1）減輕系統負擔；2）有效防止利用索引服務漏洞的病毒和***，由於索引服務器漏洞可能使***者控制網站服務器，同時，暴露網頁文件在服務器上的物理位置（利用.ida、.idq）。所以，咱們通常建議在這一項前面打勾，也就是取消索引服務；

　3）Disable support for Server Side Includes（.shtml,.shtm,.stm），取消服務器端包含；先來看看什麼叫服務器端包含，SSI就是HTML文件中，能夠經過註釋行調用的命令或指針。SSI 具備強大的功能，只要使用一條簡單的SSI 命令就能夠實現整個網站的內容更新，動態顯示時間和日期，以及執行shell和CGI腳本程序等複雜的功能。通常而言，咱們沒有用到這個功能，因此，建議取消；取消能夠防止一些IIS潛在地漏洞；

　　4）Disable for Internet Data Connector(.idc)，取消Internet數據庫鏈接；先看Internet數據庫鏈接的做用，它容許HTML頁面和後臺數據庫創建鏈接，實現動態頁面。須要注意的是，IIS4和IIS5中基本已經不使用idc，因此，建議在此項打勾，取消idc；

　　5）Disable support for Internet Printing (.printer)，取消Internet打印；這一功能咱們通常沒有使用，建議取消；取消的好處是能夠避免.printer遠程緩存溢出漏洞，這個漏洞使***者能夠利用這個漏洞遠程***IIS 服務器，並以系統管理員(system)身份執行任意命令；

　　6）Disable support for .HTR Scripting（.htr），取消htr映射；***者經過htr構造特殊的URL請求，可能致使網站部分文件源代碼暴露（包括ASP），建議在此項前面打勾，取消映射；

　　理解以上各項設置之後，咱們能夠根據本網站狀況來決定取捨，通常網站除了ASP要求保留之外，其餘都可以取消，也就是全消第一項前面的勾，其餘所有打勾，按【下一步】按鈕，出現如下界面（圖四）

圖四

　　以上界面設置可讓管理員選擇一些IIS默認安裝文件的保留與否，咱們來看怎樣選擇：

　　1）Remove sample web files，刪除web例子文件；建議刪除，由於通常咱們不須要在服務器上閱讀這些文件，並且，這些文件可能讓***者利用來閱讀部分網頁源程序代碼（包括ASP）；

　　2）Remove the Scripts vitual directory，刪除腳本虛擬目錄；建議刪除；

　　3）Remove the MSDAC virtual directory，刪除MSDAC虛擬目錄，建議刪除；

　　4）Disable Distribauted Authoring and Versioning(WebDAV)，刪除WEBDAV，WebDav主要容許管理者遠程編寫和修改頁面，通常咱們不會用到，建議刪除，刪除的好處是能夠避免IIS5的一個WebDav漏洞，該漏洞可能致使服務器中止。

　　5）Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe)，防止匿名用戶運行可執行文件，好比cmd.exe和tftp.exe；建議選擇此項，由於紅色代碼和尼姆達均利用了以上所說的匿名執行可執行文件的功能；

　　6）Set file permissions to prevent the IIS anouymous user from writing to content directories，防止匿名用戶對目錄具備寫權限，這個不要解釋，建議選擇；

　　設置以上選項之後，按【下一步】按鈕，出現如下界面（圖五）：

圖五

　　要求確認是否接受以上設置，選擇【是】，出現如下界面（圖六）開始對系統執行設置：

圖六

　　在以上界面中，咱們能夠看到對IIS的詳細設置狀況。設置完成之後，建議從新啓動IIS。

2、URLScan Tool――過濾非法URL訪問

　　仔細觀察IIS的漏洞，咱們幾乎能夠得出這樣一個結論，全部利用這些漏洞實現對網站***的手段均是構造特殊的URL來訪問網站，通常有如下幾種類型的URL能夠利用漏洞：

　　１、特別長的URL，好比紅色代碼***網站的URL就是這樣：

GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200；

　２、特殊字符或者字符串的URL，好比在URL後面加::$DATA能夠看到網頁（ASP）源代碼；

　　３、URL中含有可執行文件名，最多見的就是有cmd.exe；

　　既然這些***利用特殊的URL來實現，因此，微軟提供了這款專門過濾非法URL的安全工具，能夠達到禦敵於國門以外的效果，這款工具備如下特色和功能：

　　１、基本功能：過濾非法URL請求；

　　２、設定規則，辨別那些URL請求是合法的；這樣，就能夠針對本網站來制定專門的URL請求規則；同時，當有新的漏洞出現時，能夠更改這個規則，達到防護新漏洞的效果；

　　３、程序提供一套URL請求規則，這個規則包含已經發現的漏洞利用特徵，幫助管理員設置規則；

（一）、軟件的下載與安裝

　　URLScan能夠在微軟的網站上下載，地址以下：

[url]http://download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe[/url]

　　和通常軟件同樣安裝，可是，此軟件不能選擇安裝路徑，安裝完成之後，咱們能夠在System32/InetSvr/URLScan目錄下找到如下文件：

　　urlscan.dll：動態鏈接庫文件；
　　urlscan.inf：安裝信息文件；
　　urlscan.txt：軟件說明文件；
　　urlscan.ini：軟件配置文件，這個文件很只要，由於對URLScan的全部配置，均有這個文件來完成。

（二）、軟件的配置

　　軟件的配置由urlscan.ini文件來完成，在配置此文件之前，咱們須要瞭解一些基本知識。

　１、urlscan配置文件的構造形式

　　urlscan配置文件必須聽從如下規則：

　　（1）此文件名必須爲urlscan.ini；

　　（2）配置文件必須和urlscan.dll在同一目錄；

　　（3）配置文件必須是標準ini文件結構，也就是由節，串和值組成；

　　（4）配置文件修改之後，必須從新啓動IIS，使配置生效；

　　（5）配置文件由如下各節組成：

　　[Option]節，主要設置節；
　　[AllowVerbs]節，配置認定爲合法URL規則設定，此設定與Option節有關；
　　[DenyVerbs]節，配置認定爲非法URL規則設定，此設定與Option節有關；
　　[DenyHeaders]節，配置認定爲非法的header在設立設置；
　　[AllowExtensions]節，配置認定爲合法的文件擴展名在這裏設置，此設定與Option節有關；
　　[DenyExtensions]節，配置認定爲非法的文件擴展名在這裏設置，此設定與Option節有關；

　　２、具體配置

　　（1）Option節的配置，由於Option節的設置直接影響到之後的配置，所以，這一節的設置特別重要。此節主要進行如下屬性的設置：

　　UseAllowVerbs：使用容許模式檢查URL請求，若是設置爲1,全部沒有在[AllowVerbs]節設置的請求都被拒絕；若是設置爲0，全部沒有在[DenyVerbs]設置的URL請求都認爲合法；默認爲1;

　　UseAllowExtensions：使用容許模式檢測文件擴展名；若是設置爲 1,全部沒在[AllowExtensions]節設置的文件擴展名均認爲是非法請求；若是設置爲0,全部沒在[DenyExtensions]節設置的擴展名均被認爲是合法請求；默認爲0;

　　EnableLogging：是否容許使用Log文件，若是爲1,將在urlscan.dll的相同目錄設置名爲urlscan.log的文件記錄全部過濾；

　　AllowLateScanning：容許其餘URL過濾在URLScan過濾以前進行，系統默認爲不容許0;

　　AlternateServerName：使用服務名代替；若是此節存在並且[RemoveServerHeader]節設置爲0,IIS將在這裏設置的服務器名代替默認的「Server」；

　　NormalizeUrlBeforeScan：在檢測URL以前規格化URL；若是爲1，URLScan將在IIS編碼URL以前URL進行檢測；須要提醒的是，只有管理員對URL解析很是熟悉的狀況下才能夠將其設置爲0；默認爲1；

　　VerifyNormalization：若是設置爲1，UrlScan將校驗URL規則，默認爲1；此節設定與NormalizeUrlBeforeScan有關；

　　AllowHighBitCharacters：若是設置爲1,將容許URL中存在全部字節，若是爲0，含有非ASCII字符的URL將拒絕；默認爲1；

　　AllowDotInPath：若是設置爲1，將拒絕全部含有多個「.」的URL請求，因爲URL檢測在IIS解析URL以前，因此，對這一檢測的準確性不能保證，默認爲0；

　　RemoveServerHeader：若是設置爲1，將把全部應答的服務頭清除，默認爲0;

　　（2）[AllowVerbs]節配置

　　若是UseAllowVerbs設置爲1,此節設置的全部請求將被容許，通常設置如下請求：

　　GET、HEAD、POST

　　（3）[DenyVerbs]節配置

　　若是UseAllowVerbs設置爲0，此節設置的全部請求將拒絕，通常設置如下請求：

　　PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK

　　（4）[AllowExtensions]節設置

　　在這一節設置的全部擴展名文件將被容許請求，通常設置如下請求：

　　.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，若是須要提供文件下載服務，須要增長.rar、.zip

　　（5）[DenyExtensions]節設置

　　在這一節設置的全部擴展名文件請求將被拒絕，根據已經發現的漏洞，咱們能夠在這一節增長內容，通常爲如下設置：
.asa、可執行文件、批處理文件、日誌文件、罕見擴展如：shtml、.printer等。

3、總結

　　以上兩個工具功能強大，能夠真正實現對IIS的保護。IIS Lock Tool簡單，相對而言，只是被動的防衛；UrlScan設置比較難，建議對IIS很是熟悉的管理員使用，只要設置得當，UrlScan的功能更增強大。在使用UrlScan的時候，切記不要設置一次萬事大吉，須要不停跟蹤新出現的漏洞，隨時修改URLScan的配置文件。

3。高級篇：NT/2000的高級安全設置

1.禁用空鏈接，禁止匿名得到用戶名列表

Win2000的默認安裝容許任何用戶經過空用戶獲得系統全部帳號/共享列表，這個原本是爲了方便局域網用戶共享文件的，可是一個遠程用戶也能夠獲得你的用戶列表並使用暴力法破解用戶密碼。不少朋友都知道能夠經過更改註冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空鏈接，實際上win2000的本地安全策略（若是是域服務器就是在域服務器安全和域安全策略中）就有這樣的選項RestrictAnonymous（匿名鏈接的額外限制），這個選項有三個值： 0：None. Rely on default permissions（無，取決於默認的權限 1 ：Do not allow enumeration of SAM accounts and shares（不容許枚舉SAM賬號和共享） 2：No access without explicit anonymous permissions（沒有顯式匿名權限就不容許訪問） 0這個值是系統默認的，什麼限制都沒有，遠程用戶能夠知道你機器上全部的帳號、組信息、共享目錄、網絡傳輸列表(NetServerTransportEnum等等，對服務器來講這樣的設置很是危險。 1這個值是隻容許非NULL用戶存取SAM帳號信息和共享信息。 2這個值是在win2000中才支持的，須要注意的是，若是你一旦使用了這個值，你的共享估計就所有完蛋了，因此我推薦你仍是設爲1比較好。 好了，***者如今沒有辦法拿到咱們的用戶列表，咱們的帳戶安全了
2。禁止顯示上次登錄的用戶名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon項中的Don’t Display Last User Name串數據改爲1，這樣系統不會自動顯示上次的登陸用戶名。將服務器註冊表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\
WindowsNT\CurrentVersion\Winlogon項中的Don't Display Last User Name串數據修改成1，隱藏上次登錄控制檯的用戶名。其實，在2000的本地安全策略中也存在該選項
Winnt4.0修改註冊表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增長DontDisplayLastUserName，將其值設爲1。

2.預防DoS：

在註冊表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改如下值能夠幫助你防護必定強度的DoS*** SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0

在Win2000中如何關閉ICMP(Ping)

　　3.針對ICMP***
ICMP的全名是Internet Control and Message Protocal即因特網控制消息/錯誤報文協議，這個協議主要是用來進行錯誤信息和控制信息的傳遞，例如著名的Ping和Tracert工具都是利用ICMP協議中的ECHO request報文進行的（請求報文ICMP ECHO類型8代碼0，應答報文ICMP ECHOREPLY類型0代碼0）。
　　ICMP協議有一個特色---它是無連結的，也就是說只要發送端完成ICMP報文的封裝並傳遞給路由器，這個報文將會象郵包同樣本身去尋找目的地址，這個特色使得ICMP協議很是靈活快捷，可是同時也帶來一個致命的缺陷---易僞造（郵包上的寄信人地址是能夠隨便寫的），任何人均可以僞造一個ICMP報文併發送出去，僞造者能夠利用SOCK_RAW編程直接改寫報文的ICMP首部和IP首部，這樣的報文攜帶的源地址是僞造的，在目的端根本沒法追查，（***者不怕被抓那還不有恃無恐？）根據這個原理，外面出現了很多基於ICMP的***軟件，有經過網絡架構缺陷製造ICMP風暴的，有使用很是大的報文堵塞網絡的，有利用ICMP碎片***消耗服務器CPU的，甚至若是將ICMP協議用來進行通信，能夠製做出不須要任何TCP/UDP端口的***（參見揭開***的神祕面紗三）......既然ICMP協議這麼危險，咱們爲何不關掉它呢？

　　咱們都知道，Win2000在網絡屬性中自帶了一個TCP/IP過濾器，咱們來看看能不能經過這裏關掉ICMP協議，桌面上右擊網上鄰居->屬性->右擊你要配置的網卡->屬性->TCP/IP->高級->選項->TCP/IP過濾，這裏有三個過濾器，分別爲：TCP端口、UDP端口和IP協議，咱們先容許TCP/IP過濾，而後一個一個來配置，先是TCP端口，點擊"只容許"，而後在下面加上你須要開的端口，通常來講WEB服務器只須要開80(www)，FTP服務器須要開20(FTP Data)，21(FTP Control)，郵件服務器可能須要打開25(SMTP),110(POP3)，以此類推......接着是UDP，UDP協議和ICMP協議同樣是基於無連結的，同樣容易僞造，因此若是不是必要（例如要從UDP提供DNS服務之類）應該選擇所有不容許，避免受到洪水（Flood）或碎片（Fragment）***。最右邊的一個編輯框是定義IP協議過濾的，咱們選擇只容許TCP協議經過，添加一個6（6是TCP在IP協議中的代碼，IPPROTO_TCP=6）,從道理上來講，只容許TCP協議經過時不管UDP仍是ICMP都不該該能經過，惋惜的是這裏的IP協議過濾指的是狹義的IP協議，從架構上來講雖然ICMP協議和IGMP協議都是IP協議的附屬協議，可是從網絡7層結構上ICMP/IGMP協議與IP協議同屬一層，因此微軟在這裏的IP協議過濾是不包括ICMP協議的，也就是說即便你設置了「只容許TCP協議經過」，ICMP報文仍然能夠正常經過，因此若是咱們要過濾ICMP協議還須要另想辦法。

　　剛剛在咱們進行TCP/IP過濾時，還有另一個選項：IP安全機制（IP Security)，咱們過濾ICMP的想法就要着落在它身上。

打開本地安全策略，選擇IP安全策略，在這裏咱們能夠定義本身的IP安全策略。一個IP安全過濾器由兩個部分組成：過濾策略和過濾操做，過濾策略決定哪些報文應當引發過濾器的關注，過濾操做決定過濾器是「容許」仍是「拒絕」報文的經過。要新建IP安全過濾器，必須新建本身的過濾策略和過濾操做：右擊本機的IP安全策略，選擇管理IP過濾器，在IP過濾器管理列表中創建一個新的過濾規則：ICMP_ANY_IN，源地址選任意IP，目標地址選本機，協議類型是ICMP，切換到管理過濾器操做，增長一個名爲Deny的操做，操做類型爲"阻止"（Block）。這樣咱們就有了一個關注全部進入ICMP報文的過濾策略和丟棄全部報文的過濾操做了。須要注意的是，在地址選項中有一個鏡像選擇，若是選中鏡像，那麼將會創建一個對稱的過濾策略，也就是說當你關注any IP->my IP的時候，因爲鏡像的做用，實際上你也同時關注了my IP->any IP，你能夠根據本身的須要選擇或者放棄鏡像。再次右擊本機的IP安全策略，選擇新建IP過濾策略，創建一個名稱爲ICMP Filter的過濾器，經過增長過濾規則嚮導，咱們把剛剛定義的ICMP_ANY_IN過濾策略指定給ICMP Filter，而後在操做選框中選擇咱們剛剛定義的Deny操做，退出嚮導窗口，右擊ICMP Filter並啓用它，如今任何地址進入的ICMP報文都會被丟棄了。
　　雖然用IP sec可以對ICMP報文進行過濾，不過操做起來太麻煩，並且若是你只須要過濾特定的ICMP報文，還要保留一些經常使用報文（如主機不可達、網絡不可達等），IP sec策略就力不從心了，咱們能夠利用Win2000的另外一個強大工具路由與遠程訪問控制（Routing & Remote Access）來完成這些複雜的過濾操做。

　　路由與遠程訪問控制是Win2000用來管理路由表、配置×××、控制遠程訪問、進行IP報文過濾的工具，默認狀況下並無安裝，因此首先你須要啓用它，打開"管理工具"->"路由與遠程訪問"，右擊服務器（若是沒有則須要添加本機）選擇"配置並啓用路由及遠程訪問"，這時配置嚮導會讓你選擇是什麼樣的服務器，通常來講，若是你不須要配置×××服務器，那麼選擇"手動配置"就能夠了，配置完成後，主機下將出現一個IP路由的選項，在"常規"中選擇你想配置的網卡（若是你有多塊網卡，你能夠選擇關閉某一塊的ICMP），在網卡屬性中點擊"輸入篩選器"，添加一條過濾策略"from:ANY　to:ANY　協議:ICMP　類型:8 :編碼:0　丟棄"就能夠了（類型8編碼0就是Ping使用的ICMP_ECHO報文，若是要過濾全部的ICMP報文只須要將類型和編碼都設置爲255）

　　細心的朋友剛纔可能已經發現，在輸入、輸出過濾器的下面，還有一個"碎片檢查"功能，這個功能使用來應付IP碎片***的，這已經超出了本文所討論的範圍，我會在之後的拒絕服務***的文章中繼續和你們一塊兒探討的。Win2000的路由及遠程訪問是一個功能很是強大的工具集

4.改變windows系統的一些默認值（例如：數據包的生存時間(TTL)值，不一樣系統有不一樣的值，有經驗的人能夠根據TTL的不一樣的值判斷對方使用的是何種操做系統（例如windows 2000默認值128），我改改改，看你怎麼看)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)

說明:指定傳出IP數據包中設置的默認生存時間(TTL)值.TTL決定了IP數據包在到達
目標前在網絡中生存的最大時間.它實際上限定了IP數據包在丟棄前容許經過的路由
器數量.有時利用此數值來探測遠程主機操做系統.

5.防止ICMP重定向報文的***
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

EnableICMPRedirects REG_DWORD 0x0(默認值爲0x1)

說明:該參數控制Windows 2000是否會改變其路由表以響應網絡設備(如路由器)發送給它的ICMP重定向消息,有時會被利用來幹壞事.Win2000中默認值爲1,表示響應ICMP重定向報文.

6.禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerFORMRouterDiscovery REG_DWORD 0x0(默認值爲0x2)

說明:「ICMP路由公告」功能可形成他人計算機的網絡鏈接異常,數據被竊聽,計算機被用於流量***等嚴重後果.此問題曾致使校園網某些局域網大面積,長時間的網絡異常.所以建議關閉響應ICMP路由通告報文.Win2000中默認值爲2,表示當DHCP發送路由器發現選項時啓用

7.防止SYN洪水***
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

SynAttackProtect REG_DWORD 0x2(默認值爲0x0)

說明:SYN***保護包括減小SYN-ACK從新傳輸次數,以減小分配資源所保留的時
間.路由緩存項資源分配延遲,直到創建鏈接爲止.若是synattackprotect=2,
則AFD的鏈接指示一直延遲到三路握手完成爲止.注意,僅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried設置超出範圍時,保護機制纔會採起措施.

8.禁止C$、D$一類的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0

9.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
10.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用戶沒法列舉本機用戶列表
0x2 匿名用戶沒法鏈接本機IPC$共享
說明:不建議使用2，不然可能會形成你的一些服務沒法啓動，如SQL Server

11.不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

IGMPLevel REG_DWORD 0x0(默認值爲0x2)

說明:記得Win9x下有個bug,就是用能夠用IGMP使別人藍屏,修改註冊表能夠修正這個
bug.Win2000雖然沒這個bug了,但IGMP並非必要的,所以照樣能夠去掉.改爲0後用
route print將看不到那個討厭的224.0.0.0項了.

12.設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲600)

說明:若是ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP緩存項在ArpCacheLife秒後到期.若是ArpCacheLife小於阿ARPCacheMinReferencedLife,未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.每次將出站數據包發送到項的IP地址時,就會引用ARP緩存中的項。

13.禁止死網關監測技術
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

EnableDeadGWDetect REG_DWORD 0x0(默認值爲ox1)

說明:若是你設置了多個網關,那麼你的機器在處理多個鏈接有困難時,就會自動改用備份網關.有時候這並非一項好主意,建議禁止死網關監測.

14.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

IPEnableRouter REG_DWORD 0x0(默認值爲0x0)

說明:把值設置爲0x1能夠使Win2000具有路由功能,由此帶來沒必要要的問題.

15.作NAT時放大轉換的對外端口最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

MaxUserPort REG_DWORD 5000-65534(十進制)(默認值0x1388--十進制爲5000)

說明:當應用程序從系統請求可用的用戶端口數時,該參數控制所使用的最大端口數.正常狀況下,短時間端口的分配數量爲1024-5000.將該參數設置到有效範圍之外時,就會使用最接近的有效數值(5000或65534).使用NAT時建議把值放大點.
16.修改MAC地址
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\

找到右窗口的說明爲"網卡"的目錄,
好比說是{4D36E972-E325-11CE-BFC1-08002BE10318}

展開之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的鍵值爲你網卡的說明,好比說"DriverDesc"的值爲"Intel(R) 82559 Fast Ethernet LAN on Motherboard"而後在右窗口新建一字符串值,名字爲"Networkaddress",內容爲你想要的MAC值，好比說是"004040404040"而後重起計算機，ipconfig /all看看.

17.防止密碼被DUMP，你只需在服務裏面關掉Remote regisitery services