IIS Web服务器安全加固步骤： 步骤 注意： 安装和配置 Windows
Server
2003。 \System32\cmd.exe转移到其他目录或更名； 文件类型 建议的 NTFS 权限 脚本文件 (.a)
包含文件（.inc、.shtm、.shtml）
静态内容（.txt、.gif、.jpg、.htm、.html） Administrators（完全控制）
System（完全控制） HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmaerver\parameters
AutoShareServer、REG_DWORD、0x0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmaerver\parameters
AutoShareWks、REG_DWORD、0x0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server 账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。 与之相关的是：
在账户策略->密码策略中设定：
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定：
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟 控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WI——禁用TCP/IP上的NETBIOS 14. 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0) 安装和配置 IIS 服务：

UI 中的组件名称 设置 设置逻辑 FrontPage 2002 Server Exteio UI 中的组件名称 安装选项 设置逻辑 Active Server Page Internet 数据连接器 Web 站点权限： 授予的权限： 1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在A文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的A页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。
3) 防止A主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.a.bak文件泄露问题。 安全更新。 安装和配置防病毒保护。 安装和配置防火墙保护。 监视解决方案。 加强数据备份。 考虑实施 Iec 筛选器。 用 Iec 过滤器阻断端口 服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像 SQL服务器安全加固 步骤 说明 MDAC 升级 http://www.microsoft.com/data/download.htm） 密码策略 Use master
Select name,Paword from syslogi where paword is null 数据库日志的记录 管理扩展存储过程 use master
_dropextendedproc 'xp_cmdshell'
如果你需要这个存储过程，请用这个语句也可以恢复过来。
_addextendedproc 'xp_cmdshell', 'xql70.dll' _OACreate _OADestroy _OAGetErrorInfo _OAGetProperty
_OAMethod _OASetProperty _OAStop 去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 防TCP/IP端口探测 请在上一步配置的基础上，更改原默认的1433端口。
在Iec过滤拒绝掉1434端口的UDP通讯，可以尽可能地隐藏你的SQL Server。 对网络连接进行IP限制

附：Win2003系统建议禁用服务列表

名 称 服务名 建议设置

DHCP Client

NTLM Security Suort Provider

Performance Logs and Alerts

Remote Administration Service

Remote Registry Service

Server

TCP/IP NetBIOS Helper Service

DHCP Client

NTLM Security Suort Provider

Windows Italler

Windows Management Itrumentation Driver Exteio

WMI Performance Adapter