Windows 2000 Server 系统安装后的简单安全配置（2）

7,修改注册表
　

删除如下目录的任何键：
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT

删除以下键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath

删除以下键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2

8，修改终端服务的默认端口(如有必要才需要此操作，默认为3389，可随意修改为1-65535的端口)
打开注册表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处
找到类似RDP-TCP的子键，修改PortNumber值。

　

9，网卡的端口筛选(看具体情况配置，正常情况不需要做此配置，此项配置需重启才能生效)

网卡属性里的tcp/ip协议属性--->高级-->选项-->tcp/ip筛选属性-->

第一项:TCP端口：
只允许： ---(看具体这台服务器提供什么服务添加)
80   （www服务）
21   (一般的ftp默认)
53   (DNS服务)
110   (MAIL的SMTP服务)
25   (MAIL的POP3服务)
还有例如你的远程终端的端口(默认为3389，也有可能你改为别的端口，如6666，则加上6666)
　

第二项UDP端口：
此项可不添加，因为限制了以后，服务器则不能打开网页等操作(当然，也安全多了)


第三项IP协议：
ip协议：只允许6
　

10，IIS安全配置    开始-->程序-->管理工具-->Internet 服务管理器
   默认的设置是有一个叫“默认站点”的站点，删除。
   在IIS管理器中右击主机，进入属性，会出来一个叫 "*机器名属性"的窗口，在主属性下选择"WWW服务"，进入编辑
   到主目录选项卡，进入应用程序设置下的配置，在应用程序映射里，你可以看到有htw, htr, idq, ida等扩展名的映射，
   除了asp,asa,shtml,sthm,stm外，其它的统统删除，因为其余的映射几乎每个都有安全方面的漏洞。(这是在未装cgi之类服务的情况下，像cgi,安装后也会在这里自动添加映射,没有映射可就运行不了cgi程序了，同理，php或asp.net也一样)
   默认的iis发布目录为c:\Inetpub，将这个目录删除。在d盘或e盘新建一个目录(目录名随意)，然后新建一个站点，将主目录指向你新建的目录。
   这样做的目的是为了将站点和系统分开。不至于站点的安全设置出问题时危及到系统安全。

11，其它

网卡属性里的tcp/ip协议属性--->高级-->WINS-->选择 "禁用TCP/IP 上的NetBIOS"

删除C:\WINNT\Web下的两个子目录(一个是桌面图片目录，一个是打印目录，打印目录存在的话好像IIS的默认站点一直会多一个Printer的目录出来)