就“最小的權限+最少的服務=最大的安全”呢？其實不然，任何事物都是相對的依我個人而見，以上設置也只是最基本的一些東西而已 NTFS系統(tǒng)權限設置 在使用之前將每個硬盤根加上 Administrators 用戶為全部權限(可選加入SYSTEM用戶)

刪除其它用戶，進入系統(tǒng)盤:權限如下

C:\WINDOWS Administrators SYSTEM用戶全部權限 Users 用戶默認權限不作修改

其它目錄刪除Everyone用戶，切記C:\Documents and Settings下All Users\Default User目錄及其子目錄

如C:\Documents and Settings\All Users\Application Data 目錄默認配置保留了Everyone用戶權限

C:\WINDOWS 目錄下面的權限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone權限.

刪除C:\WINDOWS\Web\printers目錄，此目錄的存在會造成IIS里加入一個.printers的擴展名，可溢出攻擊

默認IIS錯誤頁面已基本上沒多少人使用了。建議刪除C:\WINDOWS\Help\iisHelp目錄

刪除C:\WINDOWS\system32\inetsrv\iisadmpwd，嬰兒起名http://www.bbqmw.net/qm_yeqm此目錄為管理IIS密碼之用，如一些因密碼不同步造成500

錯誤的時候使用 OWA 或 Iisadmpwd 修改同步密碼，但在這里可以刪掉，下面講到的設置將會杜絕因系統(tǒng)

設置造成的密碼不同步問題。

打開C:\Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;

regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;

ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

修改權限，刪除所有的用戶只保存Administrators 和SYSTEM為所有權限

關閉445端口

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

新建 “DWORD值”值名為 “SMBDeviceEnabled” 數(shù)據(jù)為默認值“0”

禁止建立空連接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建 “DWORD值”值名為 “RestrictAnonymous” 數(shù)據(jù)值為“1” [2003默認為1]

禁止系統(tǒng)自動啟動服務器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名為 “AutoShareServer” 數(shù)據(jù)值為“0”

禁止系統(tǒng)自動啟動管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名為 “AutoShareWks” 數(shù)據(jù)值為“0”

通過修改注冊表防止小規(guī)模DDOS攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建 “DWORD值”值名為 “SynAttackProtect” 數(shù)據(jù)值為“1”

禁止dump file的產生

dump文件在系統(tǒng)崩潰和藍屏的時候是一份很有用的查找問題的資料。然而，它也能夠給黑客提供一些敏感

信息比如一些應用程序的密碼等?？刂泼姘?gt;系統(tǒng)屬性>高級>啟動和故障恢復把 寫入調試信息 改成無。

關閉華醫(yī)生Dr.Watson

在開始-運行中輸入“drwtsn32”，或者開始-程序-附件-系統(tǒng)工具-系統(tǒng)信息-工具-Dr Watson，調出系統(tǒng)

里的華醫(yī)生Dr.Watson ，只保留“轉儲全部線程上下文”選項，否則一旦程序出錯，硬盤會讀很久，并占

用大量空間。如果以前有此情況，請查找user.dmp文件，刪除后可節(jié)省幾十MB空間。

本地安全策略配置

開始 > 程序 > 管理工具 > 本地安全策略

賬戶策略 > 密碼策略 > 密碼最短使用期限 改成0天[即密碼不過期，上面我講到不會造成IIS密碼不同步]

賬戶策略 > 賬戶鎖定策略 > 賬戶鎖定閾值 5 次 賬戶鎖定時間 10分鐘 [個人推薦配置]