置 一、目录权限设置 在使用之前将每个硬盘根加上 Administrators SYSTEM用户为全部权限 删除其它用户 进入系统盘 C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限 其它目录删除Everyone用户，切记C:\WINDOWS\PCHealth、C:\windows\Installer 、C:\Documents and Settings下All Users\Default User目录及其子目录 删除C:\WINDOWS\Web\printers目录 打开C:\Windows 搜索 net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,format.com 修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限 4.禁用DCOM: 运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。 清除“在这台计算机上启用分布式 COM”复选框。 二、禁用危险端口、用户及服务 通过本地安全策略关闭端口 TCP 135、139、593、1025 端口和 UDP 135、137、138、445 端口 卸载除QoS数据包计划程序和Internet协议（TCP/IP)外的所有网络协议和网络服务 本地安全策略配置 开始 > 程序 > 管理工具 > 本地安全策略 账户策略 > 账户锁定策略 >账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置] 禁用来宾账户 重命名系统管理员账号 禁用Internet协议（TCP/IP)>属性>高级>Wins下的NetBIOS 禁止建立空连接 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 新建 DWORD值值名为 RestrictAnonymous 数据值为1 [2003默认为1] 禁止系统自动启动服务器共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建 DWORD值值名为 AutoShareServer 数据值为0 禁止系统自动启动管理共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建 DWORD值值名为 AutoShareWks 数据值为0 通过修改注册表防止小规模DDOS*** HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD值值名为 SynAttackProtect 数据值为1 删除不安全组件 regsvr32 /u wshom.ocx 卸载WScript.Shell 组件 regsvr32 /u shell32.dll 卸载Shell.application 组件 停用SQLDebugger这个账号 禁用不需要的和危险的服务。 Alerter 发送管理警报和通知 Computer Browser:维护网络计算机更新 Distributed File System: 局域网管理共享文件 Distributed linktracking client 用于局域网更新连接信息 Error reporting service 发送错误报告 Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表 Removable storage 管理可移动媒体、驱动程序和库 Remote Desktop Help Session Manager 远程协助 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Messenger 消息文件传输服务 Net Logon 域控制器通道管理 NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的 PrintSpooler 打印服务 telnet telnet服务 Workstation 泄漏系统用户名列表 三、站点的建立 严格控制每个站点的权限，删除默认的Users用户组. 建立站点前 首先在用户管理中建立一个站点所需要使用的用户,如： 建立一用户Iusr_hostnew.com [对IIS用户增加统一的前缀方便将来的管理] 设置一个复杂的密码 修改该用户所属用户组为Guests 或 你准备好的IIS用户组。 给站点需要使用的目录加上这个用户为读取、写入权限。不要是默认权限，默认权限拥有运行权限