安全配置NT/2000 SERVER

安全配置NT/2000 SERVER
即便正确的安装了WIN2000 SERVER，系统仍是有不少的漏洞，还须要进一步进行细致地配置。

1．端口：
端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，通常来讲，仅打开你须要使用的端口会比较安全，配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选，不过对于win2000的端口过滤来讲，有一个很差的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于须要开大量端口的用户就比较痛苦。

2．IIS：
IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，因此IIS的配置是咱们的重点，如今你们跟着我一块儿来：首先，把C盘那个什么Inetpub目录完全删掉，在D盘建一个Inetpub（要是你不放心用默认目录名也能够改一个名字，可是本身要记得）在IIS管理器中将主目录指向D:\Inetpub；其次，那个IIS安装时默认的什么scripts等虚拟目录一律删除，若是你须要什么权限的目录能够本身慢慢建，须要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）第三，应用程序配置：在IIS管理器中删除必须以外的任何无用映射，必须指的是ASP,ASA和其余你确实须要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其他的映射几乎每一个都有一个凄惨的故事：htw, htr, idq, ida……想知道这些故事？去查之前的漏洞列表吧。在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射，而后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改成发送文本（除非你想ASP出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，本身看着办。点击肯定退出时别忘了让虚拟站点继承你设定的属性。安装新的Service Pack后，IIS的应用程序映射应从新设置。（说明：安装新的Service Pack后，某些应用程序映射又会出现，致使出现安全漏洞。这是管理员较易忽视的一点。）

为了对付日益增多的cgi漏洞扫描器，还有一个小技巧能够参考，在IIS中将HTTP404 Object Not Found出错页面经过URL重定向到一个定制HTM文件，可让目前绝大多数CGI漏洞扫描器失灵。其实缘由很简单，大多数CGI扫描器在编写时为了方便，都是经过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞通常都是经过取1.idq来检验，若是返回HTTP200，就认为是有这个漏洞，反之若是返回HTTP404就认为没有，若是你经过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么全部的扫描不管存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让***者茫然无处下手,不过从我的角度来讲，我仍是认为扎扎实实作好安全设置比这样的小技巧重要的多。

最后，为了保险起见，你能够使用IIS的备份功能，将刚刚的设定所有备份下来，这样就能够随时恢复IIS的安全配置。还有，若是你怕IIS负荷太高致使服务器满负荷死机，也能够在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。
3.账号策略：
（1）账号尽量少，且尽量少用来登陆；
说明：网站账号通常只用来作系统维护，多余的账号一个也不要，由于多一个账号就会多一份被攻破的危险。
（2）除过Administrator外，有必要再增长一个属于管理员组的账号；
说明：两个管理员组的账号，一方面防止管理员一旦忘记一个账号的口令还
有一个备用账号；另方面，一旦***攻破一个账号并更改口令，咱们还有
有机会从新在短时间内取得控制权。
（3）全部账号权限需严格控制，轻易不要给账号以特殊权限；
（4）将Administrator重命名，改成一个不易猜的名字。其余通常账号也应尊循这一原则。
说明：这样能够为******增长一层障碍。
（5）将Guest账号禁用，同时重命名为一个复杂的名字，增长口令，并将它从
Guest组删掉；
说明：有的***工具正是利用了guest 的弱点，能够将账号从通常用户提
升到管理员组。
（6）给全部用户账号一个复杂的口令（系统账号出外），长度最少在8位以上， 且必须同时包含字母、数字、特殊字符。同时不要使用你们熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等。
说明：口令是******的重点，口令一旦被突破也就无任何系统安全可言了，而这每每是很多网管所忽视的地方，据咱们的测试，仅字母加数字的5位口令在几分钟内就会被攻破，而所推荐的方案则要安全的多。
（7）口令必须按期更改（建议至少两周该一次），且最好记在内心，除此之外不要在任何地方作记录；另外，若是在日志审核中发现某个账号被连续尝试，则必须马上更改此账号（包括用户名和口令）；
（8）在账号属性中设立锁定次数，好比改账号失败登陆次数超过5次即锁定改账号。这样能够防止某些大规模的登陆尝试，同时也使管理员对该账号提升警戒。

4．安全日志：

Win2000的默认安装是不开任何安全审核的！
那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：
帐户管理 成功 失败
登陆事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
帐户登陆事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不只会占用系统资源并且会致使你根本没空去看，这样就失去了审核的意义。 与之相关的是：
在帐户策略->密码策略中设定：
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在帐户策略->帐户锁定策略中设定：
帐户锁定 3次错误登陆
锁定时间 20分钟
复位锁定计数 20分钟
一样，Terminal Service的安全日志默认也是不开的，咱们能够在Terminal Service Configration（远程服务配置）-权限-高级中配置安全审核，通常来讲只要记录登陆、注销事件就能够了。

5.目录和文件权限：

为了控制好服务器上用户的权限，同时也为了预防之后可能的***和溢出，咱们还必须很是当心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、彻底控制。在默认的状况下，大多数的文件夹对全部用户（Everyone这个组）是彻底敞开的（Full Control），你须要根据应用的须要进行权限重设。
在进行权限控制时，请记住如下几个原则：
1>限是累计的：若是一个用户同时属于两个组，那么他就有了这两个组所容许的全部权限；
2>拒绝的权限要比容许的权限高（拒绝策略会先执行）若是一个用户属于一个被拒绝访问某个资源的组，那么无论其余的权限设置给他开放了多少权限，他也必定不能访问这个资源。因此请很是当心地使用拒绝，任何一个不当的拒绝都有可能形成系统没法正常运行；
3>文件权限比文件夹权限高
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具备的优良习惯之一；
5>仅给用户真正须要的权限，权限的最小化原则是安全的重要保障；
6.只安装一种操做系统；
说明：安装两种以上操做系统，会给***以可乘之机，利用***使系统重启到另一个没有安全设置的操做系统（或者他熟悉的操做系统），进而进行破坏。
7.安装成独立的域控制器（Stand Alone）,选择工做组成员，不选择域；
说明：主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使***有可能利用域方式的漏洞***站点服务器。

8.将操做系统文件所在分区与WEB数据包括其余应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将\WINNT改成其余目录；
说明：***有可能经过WEB站点的漏洞获得操做系统对操做系统某些程序的执行权限，从而形成更大的破坏。同时若是采用IIS的话你应该在其设置中删除掉全部的无用的映射，同时不要安装索引服务，远程站点管理与服务器扩展最好也不要要，而后删掉默认路径下的www，整个删，不要手软，而后再硬盘的另外一个硬盘创建存放你网站的文件夹，同时必定记得打开w3c日志纪录，切记（不过本人建议采用apache 1.3.24）

系统安装过程当中必定本着最小服务原则，无用的服务一律不选择，达到系统的最小安装，多一个服务，多一份风险，呵呵，因此无用组件千万不要安装！
9.关于补丁：在NT下，若是安装了补丁程序，之后若是要从NT光盘上安装新的Windows程序,都要从新安装一次补丁程序， 2000下不须要这样作。
说明：

（1） 最新的补丁程序，表示系统之前有重大漏洞，非补不可了，对于局域网内服务器能够不是最新的，但站点必须安装最新补丁，不然***可能会利用低版本补丁的漏洞对系统形成威胁。这是一部分管理员较易忽视的一点；
（2） 安装NT的SP五、SP6有一个潜在威胁，就是一旦系统崩溃重装NT时，系统将不会认NTFS分区，缘由是微软在这两个补丁中对NTFS作了改进。只能经过Windows 2000安装过程当中认NTFS，这样会形成不少麻烦，建议同时作好数据备份工做。
（3） 安装Service Pack前应先在测试机器上安装一次，以防由于例外缘由致使机器死机，同时作好数据备份。

尽可能不安装与WEB站点服务无关的软件；
说明：其余应用软件有可能存在***熟知的安全漏洞。



10.解除NetBios与TCP/IP协议的绑定

说明：NetBois在局域网内是不可缺乏的功能，在网站服务器上却成了***扫描工具的首选目标。方法：NT：控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号链接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

11.删除全部的网络共享资源，在网络链接的设置中删除文件和打印共享，只留下TCP/IP协议

说明：NT与2000在默认状况下有很多网络共享资源，在局域网内对网络管理和网络通信有用，在网站服务器上一样是一个特大的安全隐患。（卸载“Microsoft 网络的文件和打印机共享”。当查看“网络和拨号链接”中的任何链接属性时，将显示该选项。单击“卸载”按钮删除该组件；清除“Microsoft 网络的文件和打印机共享”复选框将不起做用。）
方法：
(1)NT:管理工具——服务器管理器——共享目录——中止共享;
2000:控制面版——管理工具——计算及管理——共享文件夹———中止共享
但上述两种方法太麻烦，服务器每重启一次，管理员就必须中止一次
（2）修改注册表：
运行Regedit，而后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增长一个键
Name: AutoShareServer
Type: REG_DWORD
value: 0
而后从新启动您的服务器，磁盘分区共享去掉，但IPC共享仍存在，需每次重启后手工删除。

12.改NTFS的安全权限；
说明：NTFS下全部文件默认状况下对全部人（EveryOne）为彻底控制权限，这使***有可能使用通常用户身份对文件作增长、删除、执行等操做，建议对通常用户只给予读取权限，而只给管理员和System以彻底控制权限，但这样作有可能使某些正常的脚本程序不能执行，或者某些须要写的操做不能完成，这时须要对这些文件所在的文件夹权限进行更改，建议在作更改前先在测试机器上做测试，而后慎重更改。

13.增强数据备份；
说明：这一点很是重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，而这每每是***们真正关心的东西；遗憾的是，很多网管在这一点上做的并很差，不是备份不彻底，就是备份不及时。数据备份须要仔细计划，制定出一个策略并做了测试之后才实施，并且随着网站的更新，备份计划也须要不断地调整。


14.只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议；
说明：网站须要的通信协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些***工具利用。

15.不要起用IP转发功能，控制面板->网络->协议->TCP/IP协议->属性，使这个选框为空。（NT）
说明：缺省状况下，NT的IP转发功能是禁止的，但注意不要启用，不然它会具备路由做用，被***利用来对其余服务器进行***。

16.安装最新的MDAC（ [url]http://www.microsoft.com/data/download.htm[/url] ）
说明：MDAC为数据访问部件，一般程序对数据库的访问都经过它，但它也是******的目标，为防止之前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先作一下测试，由于有的数据访问方式或许在新版本中再也不被支持，这种状况下能够经过修改注册表来档漏洞，祥见漏洞测试文档。

17.设置IP拒绝访问列表
说明：对于WWW服务，能够拒绝一些对站点有***嫌疑的地址；尤为对于FTP服务，若是只是本身公司上传文件，就能够只容许本公司的IP访问改FTP服务，这样，安全性大为提升。

18.禁止对FTP服务的匿名访问
说明：若是容许对FTP服务作匿名访问，该匿名账户就有可能被利用来获取更多的信息，以至对系统形成危害。

19.建议使用W3C扩充日志文件格式，天天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，并且天天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只容许管理员和system为Full Control）
说明：做为一个重要措施，既能够发现***的迹象，采起预防措施，也能够做为受***的一个证据。

20.慎重设置WEB站点目录的访问权限，通常状况下，不要给予目录以写入和容许目录浏览权限。只给予.ASP文件目录以脚本的权限，而不要给与执行权限。
说明：目录访问权限必须慎重设置，不然会被***利用。

21.ASP编程安全：

安全不只是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，不然，会给***形成可乘之机。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但若是写程序的时候注意的话，仍是能够避免的。

涉及用户名与口令的程序最好封装在服务器端，尽可能少的在ASP文件里出现，涉及到与数据库链接地用户名与口令应给予最小的权限。
说明：用户名与口令，每每是***们最感兴趣的东西，若是被经过某种方式看到源代码，后果是严重的。所以要尽可能减小它们在ASP文件中的出现次数。出现次数多得用户名与口令能够写在一个位置比较隐蔽的包含文件中。若是涉及到与数据库链接，理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户以修改、插入、删除记录的权限。

须要通过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。
说明：如今的须要通过验证的ASP程序可能是在页面头部加一个判断语句，但这还不够，有可能被***绕过验证直接进入，所以有必要跟踪上一个页面。具体漏洞见所附漏洞文档。

防止ASP主页.inc文件泄露问题
当存在asp 的主页正在制做并无进行最后调试完成之前，能够被某些搜索引擎机动追加为搜索对象，若是这时候有人利用搜索引擎对这些网页进行查找，会获得有关文件的定位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。
解决方案：程序员应该在网页发布前对其进行完全的调试；安全专家须要固定asp 包含文件以便外部的用户不能看他们。 首先对 .inc 文件内容进行加密，其次也能够使用 .asp 文件代替 .inc 文件使用户没法从浏览器直接观看文件的源代码。.inc 文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜想到的，尽可能使用无规则的英文字母。


注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞
在有些编辑asp程序的工具，当建立或者修改一个asp文件时，编辑器自动建立一个备份文件，好比：UltraEdit就会备份一个..bak文件，如你建立或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，若是你没有删除这个 bak文件，***有能够直接下载some.asp.bak文件，这样some.asp的源程序就会给下载。

在处理相似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、javascript、VBScript语句，如无特殊要求，能够限定只容许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。并且不但在客户端进行输入合法性检查，同时要在服务器端程序中进行相似检查。
说明：输入框是***利用的一个目标，他们能够经过输入脚本语言等对用户客户端形成损坏； 若是该输入框涉及到数据查询，他们会利用特殊查询输入获得更多的数据库数据，甚至是表的所有。所以必须对输入框进行过滤。但若是为了提升效率仅在客户端进行输入合法性检查，仍有可能被绕过，所以必须在服务器端再作一次检查。


防止ACCESS mdb 数据库有可能被下载的漏洞
在用ACCESS作后台数据库时，若是有人经过各类方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他可以下载这个ACCESS数据库文件，这是很是危险的。
解决方法：
(1) 为你的数据库文件名称起个复杂的很是规的名字，并把他放在几目录下。所谓 "很是规"， 打个比方： 好比有个数据库要保存的是有关书籍的信息， 可不要把他起个"book.mdb"的名字，起个怪怪的名称，好比d34ksfslf.mdb， 再把他放在如./kdslf/i44/studi/ 的几层目录下，这样***要想经过猜的方式获得你的ACCESS数据库文件就难上加难了。
(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，好比：
DBPath = Server.MapPath("cmddb.mdb"
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如万一给人拿到了源程序，你的ACCESS数据库的名字就尽收眼底。所以建议你在ODBC里设置数据源，再在程序中这样写：
conn.open "shujiyuan"
(3)使用ACCESS来为数据库文件编码及加密。首先在选取 "工具->安全->加密/解密数据库，选取数据库（如：employer.mdb），而后接肯定，接着会出现 "数据库加密后另存为"的窗口，存为：employer1.mdb。 接着employer.mdb就会被编码，而后存为employer1.mdb..
要注意的是，以上的动做并非对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。
接下来咱们为数据库加密，首先以打开通过编码了的 employer1.mdb， 在打开时，选择"独占"方式。而后选取功能表的"工具->安全->设置数据库密码"， 接着 输入密码便可。这样即便他人获得了employer1.mdb文件，没有密码他是没法看到 employer1.mdb的。

23.SQL SERVER的安全

SQL SERVER是NT平台上用的最多的数据库系统，可是它的安全问题也必须引发重视。数据库中每每存在着最有价值的信息，一旦数据被窃后果不堪设想。

及时更新补丁程序。
说明：与NT同样，SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序以前先在测试机器上作测试，同时提早作好目标服务器的数据备份。

给SA一个复杂的口令。
说明：SA具备对SQL SERVER数据库操做的所有权限。遗憾的是，一部分网管对数据库并不熟悉，创建数据库的工做由编程人员完成，而这部分人员每每只注重编写SQL 语句自己，对SQL SERVER数据库的管理不熟悉，这样颇有可能形成SA口令为空。这对数据库安全是一个严重威胁。目前具备这种隐患的站点不在少数。

严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，能够经过给用户以访问视图的权限，以及只具备执行存储过程的权限。
说明：用户若是对表有直接的操做权限，就会存在数据被破坏的危险。

制订完整的数据库备份与恢复策略。

 24. PCANYWHERE的安全：

目前，PCANYWHERE是最流行的基于NT与2000的远程控制工具，一样也须要注意安全问题。

建议采用单独的用户名与口令，最好采用加密手段。千万不要采用与NT管理员同样的用户名与口令，也不要使用与NT集成的口令。同时在服务器端的设置时务必采用security options中的强加密方式，拒绝低加密水平的链接，同时采用口令加密与传输过程当中的用户名与口令加密，以防止被嗅探到，还要限制链接次数，另外很重要的一点就是必定在protect item中设置高强度的口令，同时必定限制不可以让别人看到你的host端的任何设置，即使是要察看主机端的相关设置也必需要输入口令！
说明：PCANYWHERE 口令是远程控制的第一个关口，若是与NT的同样， 就失去了安全屏障。被攻破后就毫无安全可言。而若是采用单独的口令，即便攻破了PCANYWHERE，NT还有一个口令屏障。
及时安装较新的版本。

2.中级篇: IIS的安全与性能调整

实际上，安全和应用在不少时候是矛盾的，所以，你须要在其中找到平衡点，毕竟服务器是给用户用而不是作OPEN HACK的，若是安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。 网络安全是一项系统工程，它不只有空间的跨度，还有时间的跨度。不少朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区：咱们只能说一台主机在必定的状况必定的时间上是安全的随着网络结构的变化、新的漏洞的发现，管理员/用户的操做，主机的安全情况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能作到真正的安全。

提升IIS 5.0网站伺服器的执行效率的八种方法 　
如下是提升IIS 5.0网站伺服器的执行效率的八种方法：
1. 启用HTTP的持续做用能够改善15~20%的执行效率。 　
2. 不启用记录能够改善5~8%的执行效率。 　
3. 使用 [独立] 的处理程序会损失20%的执行效率。 　
4. 增长快取记忆体的保存档案数量，可提升Active Server Pages之效能。 　
5. 勿使用CGI程式。 　
6. 增长IIS 5.0电脑CPU数量。 　
7. 勿启用ASP侦错功能。 　
8. 静态网页采用HTTP 压缩，大约能够减小20%的传输量。 　

简单介绍以下。 　
一、启用HTTP的持续做用 　
启用HTTP的持续做用（Keep-Alive）时，IIS与浏览器的连线不会断线，能够改善执行效率，直到浏览器关闭时连线才会断线。由于维持「Keep-Alive」状态时，於每次用户端请求时都不须从新创建一个新的链接，因此将改善伺服器的效率。此功能为HTTP1.1预设的功能，HTTP 1.0加上Keep-Alive header也能够提供HTTP的持续做用功能。
　

二、启用HTTP的持续做用能够改善15~20%的执行效率。 　
如何启用HTTP的持续做用呢？步骤以下：在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，勾选 [HTTP的持续做用] 选项。
　

三、不启用记录 　
不启用记录能够改善5~8%的执行效率。如何设定不启用记录呢？步骤以下： 　
在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，不勾选 [启用记录] 选项。设定非独立的处理程序使用 [独立] 的处理程序会损失20%的执行效率，此处所谓 独立」系指将 [主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高（独立的）] 时。所以 [应用程式保护] 设定为 [低 (IIS处理程序)] 时执行效率较高如何设定非「独立」的处理程序呢？步骤以下： 在 [Internet服务管理员] 中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，设定应用程式保护选项为 [低 (IIS处理程序)] 。 　

四、调整快取（Cache）记忆体 　
IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量能够改善执行效率。ASP指令档案执行过後，会在暂存於快取（Cache）记忆体中以提升执行效能。增长快取记忆体的保存档案数量，可提升Active Server Pages之效能。能够设定全部在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。如何设定快取（Cache）功能呢？步骤以下：在 [Internet服务管理员] 中选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，按下 [设定] 按钮时，便可由 [处理程序选项] 页设定[指令档快取记忆体] 。如何设定快取（Cache）记忆体档案数量呢？步骤以下：在[Internet服务管理员] 中，选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之[伺服器扩充程式] 页，按下 [设定] 按钮。便可设定快取（Cache）记忆体档案数量。

五、勿使用CGI程式 　
使用CGI程式时，由于处理程序（Process）须不断地产生与摧毁，形成执行效率不佳。通常而言，执行效率比较以下： 静态网页（Static）：100 ISAPI：50 ASP：10 CGI：1 　换句话说，ASP比CGI可能快10倍，所以勿使用CGI程式能够改善IIS的执行效率。以弹性（Flexibility）而言：ASP > CGI > ISAPI > 静态网页（Static）。以安全（Security）而言：ASP（独立） = ISAPI（独立）= CGI > ASP（非独立） = ISAPI（非独立）= 静态网页（Static）

六、增长IIS 5.0电脑CPU数量 　
根据微软的测试报告，增长IIS 4.0电脑CPU数量，执行效率并不会改善多少；可是增长IIS 5.0电脑CPU数量，执行效率会几乎成正比地提供，换句话说，两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0 则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量能够改善执行效率。 　

七、启用ASP侦错功能 　
勿启用ASP侦错功能能够改善执行效率。如何勿启用ASP侦错功能呢？步骤以下：於[Internet服务管理员] 中，选取Web站台、或应用程式的起始目录，按右键选择[内容]，按 [主目录]、[虚拟目录] 或 [目录] 页，按下 [设定] 按钮，选择 [应用程式侦错] 页，不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。

八、静态网页采用HTTP 压缩 　
静态网页采用HTTP 压缩，大约能够减小20%的传输量。HTTP压缩功能启用或关闭，系针对整台IIS伺服器来设定。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web伺服器，才有HTTP压缩功能。如何启用HTTP压缩功能呢？步骤以下：若要启用HTTP 压缩功能，方法为在 [Internet服务管理员] 中，选取电脑之 [内容]，於 [主要内容] 之下选取 [WWW服务]。然後按一下 [编辑] 按钮，於 [服务] 页上，选取 [压缩静态档案] 能够压缩静态档案，不选取 [压缩应用程式档案] 。 　动态产生的内容档案（压缩应用程式档案）也能够压缩，可是须耗费额外CPU处理时间，若%Processor Time已经百分之八十或更多时，建议不要压缩

以上是对采用IIS做为WEB服务器的一些安全相关的设置与其性能调整的参数设置，能够最大化的优化你的IIS，不过我的认为若是不存在障碍，仍是采用apache比较好一些，漏洞少，建议采用apache 1.3.24版本，由于最近经测试，apache 1.3.23以前的版本都存在溢出漏洞，不要怕，这种漏洞不多的，呵呵。另外，我的建议不要采用ASP安全性总不叫人放心，我的认为仍是采用JSP好一些，安全性好，功能强大，绝对超值，呵呵，由于PHP也存在很多的洞洞

附：IIS安全工具及其使用说明

1、IIS Lock Tool，快速设置IIS安全属性

　　IIS Lock Tool的推出，还要感谢红色代码，由于正是红色代码的大面积传播，导致微软设计发布这款帮助管理员们设置IIS安全性的工具。

（一）、IIS Lock Tool具备如下功能和特色

　　１、最基本功能，帮助管理员设置IIS安全性；

　　２、此工具能够在IIS4和IIS5上使用；

　　３、即便系统没有及时安装全部补丁，也能有效防止IIS4和IIS5的已知漏洞；

　　４、帮助管理员去掉对本网站没必要要的一些服务，使IIS在知足本网站需求的状况下运行最少的服务；

　　５、具备两种使用模式：快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性，这种模式只适合于只有HTML和HTM静态网页的网站使用，由于设置完成之后，ASP不能运行；高级模式容许管理员本身设置各类属性，设置得当，对IIS系统任何功能均没有影响。

（二）、IIS Lock Tool的使用

　　１、软件下载和安装

　　IIS Lock Tool在微软网站下载，下载地址：
[url]http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362[/url]

　　安装很简单，须要注意的是，安装之后，程序不会在系统的【程序】菜单出现，也不会在【管理工具】出现，须要安装者在安装目录寻找运行该程序。

　　２、软件的使用

　　在如下的介绍中，咱们将详细介绍每一步设置的意义和推荐设置，之因此详细介绍，是为了咱们明白这些设置到底意味着什么，同时，和咱们原来的安全设置相对照，避免出现设置完成之后，系统出现障碍。

　运行该软件，首先出现如下界面（图一）：

图一

　　以上界面介绍了IIS Lock Tool的一些基本状况和使用时须要注意的地方：1）使用时应该选择针对本网站最少的服务，去掉没必要要的服务；2）设置完成之后，建议对网站进行完全检查，以肯定设置对本网站是否合适；

　　在以上界面，点击【下一步】按钮，出现如下界面（图二）：

图二

　　以上界面选择快捷模式仍是高级模式来运行软件，在这里，软件介绍了二者模式的区别：

　快捷模式：此设置模式关闭了IIS的一些高级服务属性，其中包括动态网页属性（ASP）；因此，咱们须要再重复一遍，选择快捷模式只适合提供静态页面的网站，固然，这种模式是相对最安全的。

　　高级模式：此模式运行安装者自定义各类属性，同时容许高级属性的运行。

　　快捷模式设置咱们没必要介绍，点击【下一步】按钮就能够设置完成。咱们选择【Advanced Lockdown】（高级设置），点击【下一步】按钮，出现如下界面（图三）：

图三

　　以上界面帮助管理员设置各类脚本映射，咱们来看每一种影射应该怎样设置：

　　1）Disable support Active Server Pages(ASP)，选择这种设置将使IIS不支持ASP功能；能够根据网站具体状况选择，通常不选择此项，由于网站通常要求运行ASP程序；

　　2）Disable support Index Server Web Interface(.idq,.htw,.ida)，选择这一项将不支持索引服务，具体就是不支持.idq,.htw,.ida这些文件。咱们先来看看到底什么是索引服务，而后来决定取舍。索引服务是IIS4中包含的内容索引引擎。你能够对它进行ADO调用并搜索你的站点，它为你提供了一个很好的web 搜索引擎。若是你的网站没有利用索引服务对网站进行全文检索，也就能够取消网站的这个功能，取消的好处是：1）减轻系统负担；2）有效防止利用索引服务漏洞的病毒和***，由于索引服务器漏洞可能使***者控制网站服务器，同时，暴露网页文件在服务器上的物理位置（利用.ida、.idq）。所以，咱们通常建议在这一项前面打勾，也就是取消索引服务；

　3）Disable support for Server Side Includes（.shtml,.shtm,.stm），取消服务器端包含；先来看看什么叫服务器端包含，SSI就是HTML文件中，能够经过注释行调用的命令或指针。SSI 具备强大的功能，只要使用一条简单的SSI 命令就能够实现整个网站的内容更新，动态显示时间和日期，以及执行shell和CGI脚本程序等复杂的功能。通常而言，咱们没有用到这个功能，因此，建议取消；取消能够防止一些IIS潜在地漏洞；

　　4）Disable for Internet Data Connector(.idc)，取消Internet数据库链接；先看Internet数据库链接的做用，它容许HTML页面和后台数据库创建链接，实现动态页面。须要注意的是，IIS4和IIS5中基本已经不使用idc，因此，建议在此项打勾，取消idc；

　　5）Disable support for Internet Printing (.printer)，取消Internet打印；这一功能咱们通常没有使用，建议取消；取消的好处是能够避免.printer远程缓存溢出漏洞，这个漏洞使***者能够利用这个漏洞远程***IIS 服务器，并以系统管理员(system)身份执行任意命令；

　　6）Disable support for .HTR Scripting（.htr），取消htr映射；***者经过htr构造特殊的URL请求，可能致使网站部分文件源代码暴露（包括ASP），建议在此项前面打勾，取消映射；

　　理解以上各项设置之后，咱们能够根据本网站状况来决定取舍，通常网站除了ASP要求保留之外，其余都可以取消，也就是全消第一项前面的勾，其余所有打勾，按【下一步】按钮，出现如下界面（图四）

图四

　　以上界面设置可让管理员选择一些IIS默认安装文件的保留与否，咱们来看怎样选择：

　　1）Remove sample web files，删除web例子文件；建议删除，由于通常咱们不须要在服务器上阅读这些文件，并且，这些文件可能让***者利用来阅读部分网页源程序代码（包括ASP）；

　　2）Remove the Scripts vitual directory，删除脚本虚拟目录；建议删除；

　　3）Remove the MSDAC virtual directory，删除MSDAC虚拟目录，建议删除；

　　4）Disable Distribauted Authoring and Versioning(WebDAV)，删除WEBDAV，WebDav主要容许管理者远程编写和修改页面，通常咱们不会用到，建议删除，删除的好处是能够避免IIS5的一个WebDav漏洞，该漏洞可能致使服务器中止。

　　5）Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe)，防止匿名用户运行可执行文件，好比cmd.exe和tftp.exe；建议选择此项，由于红色代码和尼姆达均利用了以上所说的匿名执行可执行文件的功能；

　　6）Set file permissions to prevent the IIS anouymous user from writing to content directories，防止匿名用户对目录具备写权限，这个不要解释，建议选择；

　　设置以上选项之后，按【下一步】按钮，出现如下界面（图五）：

图五

　　要求确认是否接受以上设置，选择【是】，出现如下界面（图六）开始对系统执行设置：

图六

　　在以上界面中，咱们能够看到对IIS的详细设置状况。设置完成之后，建议从新启动IIS。

2、URLScan Tool――过滤非法URL访问

　　仔细观察IIS的漏洞，咱们几乎能够得出这样一个结论，全部利用这些漏洞实现对网站***的手段均是构造特殊的URL来访问网站，通常有如下几种类型的URL能够利用漏洞：

　　１、特别长的URL，好比红色代码***网站的URL就是这样：

GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200；

　２、特殊字符或者字符串的URL，好比在URL后面加::$DATA能够看到网页（ASP）源代码；

　　３、URL中含有可执行文件名，最多见的就是有cmd.exe；

　　既然这些***利用特殊的URL来实现，因此，微软提供了这款专门过滤非法URL的安全工具，能够达到御敌于国门以外的效果，这款工具备如下特色和功能：

　　１、基本功能：过滤非法URL请求；

　　２、设定规则，辨别那些URL请求是合法的；这样，就能够针对本网站来制定专门的URL请求规则；同时，当有新的漏洞出现时，能够更改这个规则，达到防护新漏洞的效果；

　　３、程序提供一套URL请求规则，这个规则包含已经发现的漏洞利用特征，帮助管理员设置规则；

（一）、软件的下载与安装

　　URLScan能够在微软的网站上下载，地址以下：

[url]http://download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe[/url]

　　和通常软件同样安装，可是，此软件不能选择安装路径，安装完成之后，咱们能够在System32/InetSvr/URLScan目录下找到如下文件：

　　urlscan.dll：动态链接库文件；
　　urlscan.inf：安装信息文件；
　　urlscan.txt：软件说明文件；
　　urlscan.ini：软件配置文件，这个文件很只要，由于对URLScan的全部配置，均有这个文件来完成。

（二）、软件的配置

　　软件的配置由urlscan.ini文件来完成，在配置此文件之前，咱们须要了解一些基本知识。

　１、urlscan配置文件的构造形式

　　urlscan配置文件必须听从如下规则：

　　（1）此文件名必须为urlscan.ini；

　　（2）配置文件必须和urlscan.dll在同一目录；

　　（3）配置文件必须是标准ini文件结构，也就是由节，串和值组成；

　　（4）配置文件修改之后，必须从新启动IIS，使配置生效；

　　（5）配置文件由如下各节组成：

　　[Option]节，主要设置节；
　　[AllowVerbs]节，配置认定为合法URL规则设定，此设定与Option节有关；
　　[DenyVerbs]节，配置认定为非法URL规则设定，此设定与Option节有关；
　　[DenyHeaders]节，配置认定为非法的header在设立设置；
　　[AllowExtensions]节，配置认定为合法的文件扩展名在这里设置，此设定与Option节有关；
　　[DenyExtensions]节，配置认定为非法的文件扩展名在这里设置，此设定与Option节有关；

　　２、具体配置

　　（1）Option节的配置，由于Option节的设置直接影响到之后的配置，所以，这一节的设置特别重要。此节主要进行如下属性的设置：

　　UseAllowVerbs：使用容许模式检查URL请求，若是设置为1,全部没有在[AllowVerbs]节设置的请求都被拒绝；若是设置为0，全部没有在[DenyVerbs]设置的URL请求都认为合法；默认为1;

　　UseAllowExtensions：使用容许模式检测文件扩展名；若是设置为 1,全部没在[AllowExtensions]节设置的文件扩展名均认为是非法请求；若是设置为0,全部没在[DenyExtensions]节设置的扩展名均被认为是合法请求；默认为0;

　　EnableLogging：是否容许使用Log文件，若是为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录全部过滤；

　　AllowLateScanning：容许其余URL过滤在URLScan过滤以前进行，系统默认为不容许0;

　　AlternateServerName：使用服务名代替；若是此节存在并且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”；

　　NormalizeUrlBeforeScan：在检测URL以前规格化URL；若是为1，URLScan将在IIS编码URL以前URL进行检测；须要提醒的是，只有管理员对URL解析很是熟悉的状况下才能够将其设置为0；默认为1；

　　VerifyNormalization：若是设置为1，UrlScan将校验URL规则，默认为1；此节设定与NormalizeUrlBeforeScan有关；

　　AllowHighBitCharacters：若是设置为1,将容许URL中存在全部字节，若是为0，含有非ASCII字符的URL将拒绝；默认为1；

　　AllowDotInPath：若是设置为1，将拒绝全部含有多个“.”的URL请求，因为URL检测在IIS解析URL以前，因此，对这一检测的准确性不能保证，默认为0；

　　RemoveServerHeader：若是设置为1，将把全部应答的服务头清除，默认为0;

　　（2）[AllowVerbs]节配置

　　若是UseAllowVerbs设置为1,此节设置的全部请求将被容许，通常设置如下请求：

　　GET、HEAD、POST

　　（3）[DenyVerbs]节配置

　　若是UseAllowVerbs设置为0，此节设置的全部请求将拒绝，通常设置如下请求：

　　PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK

　　（4）[AllowExtensions]节设置

　　在这一节设置的全部扩展名文件将被容许请求，通常设置如下请求：

　　.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，若是须要提供文件下载服务，须要增长.rar、.zip

　　（5）[DenyExtensions]节设置

　　在这一节设置的全部扩展名文件请求将被拒绝，根据已经发现的漏洞，咱们能够在这一节增长内容，通常为如下设置：
.asa、可执行文件、批处理文件、日志文件、罕见扩展如：shtml、.printer等。

3、总结

　　以上两个工具功能强大，能够真正实现对IIS的保护。IIS Lock Tool简单，相对而言，只是被动的防卫；UrlScan设置比较难，建议对IIS很是熟悉的管理员使用，只要设置得当，UrlScan的功能更增强大。在使用UrlScan的时候，切记不要设置一次万事大吉，须要不停跟踪新出现的漏洞，随时修改URLScan的配置文件。

3。高级篇：NT/2000的高级安全设置

1.禁用空链接，禁止匿名得到用户名列表

Win2000的默认安装容许任何用户经过空用户获得系统全部帐号/共享列表，这个原本是为了方便局域网用户共享文件的，可是一个远程用户也能够获得你的用户列表并使用暴力法破解用户密码。不少朋友都知道能够经过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空链接，实际上win2000的本地安全策略（若是是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名链接的额外限制），这个选项有三个值： 0：None. Rely on default permissions（无，取决于默认的权限 1 ：Do not allow enumeration of SAM accounts and shares（不容许枚举SAM账号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不容许访问） 0这个值是系统默认的，什么限制都没有，远程用户能够知道你机器上全部的帐号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来讲这样的设置很是危险。 1这个值是只容许非NULL用户存取SAM帐号信息和共享信息。 2这个值是在win2000中才支持的，须要注意的是，若是你一旦使用了这个值，你的共享估计就所有完蛋了，因此我推荐你仍是设为1比较好。 好了，***者如今没有办法拿到咱们的用户列表，咱们的帐户安全了
2。禁止显示上次登录的用户名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’t Display Last User Name串数据改为1，这样系统不会自动显示上次的登陆用户名。将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\
WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改成1，隐藏上次登录控制台的用户名。其实，在2000的本地安全策略中也存在该选项
Winnt4.0修改注册表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增长DontDisplayLastUserName，将其值设为1。

2.预防DoS：

在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改如下值能够帮助你防护必定强度的DoS*** SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0

在Win2000中如何关闭ICMP(Ping)

　　3.针对ICMP***
ICMP的全名是Internet Control and Message Protocal即因特网控制消息/错误报文协议，这个协议主要是用来进行错误信息和控制信息的传递，例如著名的Ping和Tracert工具都是利用ICMP协议中的ECHO request报文进行的（请求报文ICMP ECHO类型8代码0，应答报文ICMP ECHOREPLY类型0代码0）。
　　ICMP协议有一个特色---它是无连结的，也就是说只要发送端完成ICMP报文的封装并传递给路由器，这个报文将会象邮包同样本身去寻找目的地址，这个特色使得ICMP协议很是灵活快捷，可是同时也带来一个致命的缺陷---易伪造（邮包上的寄信人地址是能够随便写的），任何人均可以伪造一个ICMP报文并发送出去，伪造者能够利用SOCK_RAW编程直接改写报文的ICMP首部和IP首部，这样的报文携带的源地址是伪造的，在目的端根本没法追查，（***者不怕被抓那还不有恃无恐？）根据这个原理，外面出现了很多基于ICMP的***软件，有经过网络架构缺陷制造ICMP风暴的，有使用很是大的报文堵塞网络的，有利用ICMP碎片***消耗服务器CPU的，甚至若是将ICMP协议用来进行通信，能够制做出不须要任何TCP/UDP端口的***（参见揭开***的神秘面纱三）......既然ICMP协议这么危险，咱们为何不关掉它呢？

　　咱们都知道，Win2000在网络属性中自带了一个TCP/IP过滤器，咱们来看看能不能经过这里关掉ICMP协议，桌面上右击网上邻居->属性->右击你要配置的网卡->属性->TCP/IP->高级->选项->TCP/IP过滤，这里有三个过滤器，分别为：TCP端口、UDP端口和IP协议，咱们先容许TCP/IP过滤，而后一个一个来配置，先是TCP端口，点击"只容许"，而后在下面加上你须要开的端口，通常来讲WEB服务器只须要开80(www)，FTP服务器须要开20(FTP Data)，21(FTP Control)，邮件服务器可能须要打开25(SMTP),110(POP3)，以此类推......接着是UDP，UDP协议和ICMP协议同样是基于无连结的，同样容易伪造，因此若是不是必要（例如要从UDP提供DNS服务之类）应该选择所有不容许，避免受到洪水（Flood）或碎片（Fragment）***。最右边的一个编辑框是定义IP协议过滤的，咱们选择只容许TCP协议经过，添加一个6（6是TCP在IP协议中的代码，IPPROTO_TCP=6）,从道理上来讲，只容许TCP协议经过时不管UDP仍是ICMP都不该该能经过，惋惜的是这里的IP协议过滤指的是狭义的IP协议，从架构上来讲虽然ICMP协议和IGMP协议都是IP协议的附属协议，可是从网络7层结构上ICMP/IGMP协议与IP协议同属一层，因此微软在这里的IP协议过滤是不包括ICMP协议的，也就是说即便你设置了“只容许TCP协议经过”，ICMP报文仍然能够正常经过，因此若是咱们要过滤ICMP协议还须要另想办法。

　　刚刚在咱们进行TCP/IP过滤时，还有另一个选项：IP安全机制（IP Security)，咱们过滤ICMP的想法就要着落在它身上。

打开本地安全策略，选择IP安全策略，在这里咱们能够定义本身的IP安全策略。一个IP安全过滤器由两个部分组成：过滤策略和过滤操做，过滤策略决定哪些报文应当引发过滤器的关注，过滤操做决定过滤器是“容许”仍是“拒绝”报文的经过。要新建IP安全过滤器，必须新建本身的过滤策略和过滤操做：右击本机的IP安全策略，选择管理IP过滤器，在IP过滤器管理列表中创建一个新的过滤规则：ICMP_ANY_IN，源地址选任意IP，目标地址选本机，协议类型是ICMP，切换到管理过滤器操做，增长一个名为Deny的操做，操做类型为"阻止"（Block）。这样咱们就有了一个关注全部进入ICMP报文的过滤策略和丢弃全部报文的过滤操做了。须要注意的是，在地址选项中有一个镜像选择，若是选中镜像，那么将会创建一个对称的过滤策略，也就是说当你关注any IP->my IP的时候，因为镜像的做用，实际上你也同时关注了my IP->any IP，你能够根据本身的须要选择或者放弃镜像。再次右击本机的IP安全策略，选择新建IP过滤策略，创建一个名称为ICMP Filter的过滤器，经过增长过滤规则向导，咱们把刚刚定义的ICMP_ANY_IN过滤策略指定给ICMP Filter，而后在操做选框中选择咱们刚刚定义的Deny操做，退出向导窗口，右击ICMP Filter并启用它，如今任何地址进入的ICMP报文都会被丢弃了。
　　虽然用IP sec可以对ICMP报文进行过滤，不过操做起来太麻烦，并且若是你只须要过滤特定的ICMP报文，还要保留一些经常使用报文（如主机不可达、网络不可达等），IP sec策略就力不从心了，咱们能够利用Win2000的另外一个强大工具路由与远程访问控制（Routing & Remote Access）来完成这些复杂的过滤操做。

　　路由与远程访问控制是Win2000用来管理路由表、配置×××、控制远程访问、进行IP报文过滤的工具，默认状况下并无安装，因此首先你须要启用它，打开"管理工具"->"路由与远程访问"，右击服务器（若是没有则须要添加本机）选择"配置并启用路由及远程访问"，这时配置向导会让你选择是什么样的服务器，通常来讲，若是你不须要配置×××服务器，那么选择"手动配置"就能够了，配置完成后，主机下将出现一个IP路由的选项，在"常规"中选择你想配置的网卡（若是你有多块网卡，你能够选择关闭某一块的ICMP），在网卡属性中点击"输入筛选器"，添加一条过滤策略"from:ANY　to:ANY　协议:ICMP　类型:8 :编码:0　丢弃"就能够了（类型8编码0就是Ping使用的ICMP_ECHO报文，若是要过滤全部的ICMP报文只须要将类型和编码都设置为255）

　　细心的朋友刚才可能已经发现，在输入、输出过滤器的下面，还有一个"碎片检查"功能，这个功能使用来应付IP碎片***的，这已经超出了本文所讨论的范围，我会在之后的拒绝服务***的文章中继续和你们一块儿探讨的。Win2000的路由及远程访问是一个功能很是强大的工具集

4.改变windows系统的一些默认值（例如：数据包的生存时间(TTL)值，不一样系统有不一样的值，有经验的人能够根据TTL的不一样的值判断对方使用的是何种操做系统（例如windows 2000默认值128），我改改改，看你怎么看)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达
目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前容许经过的路由
器数量.有时利用此数值来探测远程主机操做系统.

5.防止ICMP重定向报文的***
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)

说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.

6.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerFORMRouterDiscovery REG_DWORD 0x0(默认值为0x2)

说明:“ICMP路由公告”功能可形成他人计算机的网络链接异常,数据被窃听,计算机被用于流量***等严重后果.此问题曾致使校园网某些局域网大面积,长时间的网络异常.所以建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用

7.防止SYN洪水***
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

SynAttackProtect REG_DWORD 0x2(默认值为0x0)

说明:SYN***保护包括减小SYN-ACK从新传输次数,以减小分配资源所保留的时
间.路由缓存项资源分配延迟,直到创建链接为止.若是synattackprotect=2,
则AFD的链接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采起措施.

8.禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0

9.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
10.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户没法列举本机用户列表
0x2 匿名用户没法链接本机IPC$共享
说明:不建议使用2，不然可能会形成你的一些服务没法启动，如SQL Server

11.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

IGMPLevel REG_DWORD 0x0(默认值为0x2)

说明:记得Win9x下有个bug,就是用能够用IGMP使别人蓝屏,修改注册表能够修正这个
bug.Win2000虽然没这个bug了,但IGMP并非必要的,所以照样能够去掉.改为0后用
route print将看不到那个讨厌的224.0.0.0项了.

12.设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)

说明:若是ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在ArpCacheLife秒后到期.若是ArpCacheLife小于阿ARPCacheMinReferencedLife,未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。

13.禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)

说明:若是你设置了多个网关,那么你的机器在处理多个链接有困难时,就会自动改用备份网关.有时候这并非一项好主意,建议禁止死网关监测.

14.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

IPEnableRouter REG_DWORD 0x0(默认值为0x0)

说明:把值设置为0x1能够使Win2000具有路由功能,由此带来没必要要的问题.

15.作NAT时放大转换的对外端口最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)

说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常状况下,短时间端口的分配数量为1024-5000.将该参数设置到有效范围之外时,就会使用最接近的有效数值(5000或65534).使用NAT时建议把值放大点.
16.修改MAC地址
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\

找到右窗口的说明为"网卡"的目录,
好比说是{4D36E972-E325-11CE-BFC1-08002BE10318}

展开之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明,好比说"DriverDesc"的值为"Intel(R) 82559 Fast Ethernet LAN on Motherboard"而后在右窗口新建一字符串值,名字为"Networkaddress",内容为你想要的MAC值，好比说是"004040404040"而后重起计算机，ipconfig /all看看.

17.防止密码被DUMP，你只需在服务里面关掉Remote regisitery services