安装操作系统
2、安装驱动
3、安装IIS
4、安装简单网络管理协议（SNMP）和网络监视工具
5、安装MS SQL SERVER ENTERPRISE 到D:\ sa密码：password
6、安装SQL SP4补丁
7、删除sqlserver的扩展存储过程
      isql -S localhost -U sa -P password
       use master
　　sp_dropextendedproc '扩展存储过程名'
       go
　　xp_cmdshell：是进氩僮飨低车淖罴呀菥叮 境?span>
　　访问注册表的存储过程，删除
　　Xp_regaddmultistring　Xp_regdeletekey　Xp_regdeletevalue　Xp_regenumvalues     Xp_regread Xp_regwrite Xp_regremovemultistring   

　　OLE自动存储过程，不需要删除
　　Sp_OACreate　Sp_OADestroy　Sp_OAGetErrorInfo　Sp_OAGetProperty Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

8、gpedit.msc
      打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事

件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

　　推荐的要审核的项目是：
　　登录事件   成功 失败
　　账户登录事件 成功 失败
　　系统事件   成功 失败
　　策略更改   成功 失败
　　对象访问   失败
　　目录服务访问 失败
　　特权使用   失败
   
    在密码策略中设置：启用“密码必须符合复杂性要求”，“密码长度最小值”为6个字符，“强制密码历史”为5次，“密码最长存留期”为30天。

　　在账户锁定策略中设置：“复位账户锁定计数器”为30分钟之后，“账户锁定时间”为30分钟，“账户锁定值”为3次。

9、关闭不需要的服务
我关闭了以下的服务
　　Computer Browser 维护网络上计算机的最新列表以及提供这个列表
　     Task scheduler 允许程序在指定时间运行
　　Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
　　Distributed File System: 局域网管理共享文件，不需要禁用
　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用
　　Error reporting service：禁止发送错误报告
　　Microsoft Serch：提供快速的单词搜索，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用
　　PrintSpooler：如果没有打印机可禁用
　　Remote Registry：禁止远程修改注册表
　　Remote Desktop Help Session Manager：禁止远程协助
       Workstation   关闭的话远程NET命令列不出用户组
10、关闭默认共享
      Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000

11、网络安全

   在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设

置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功

能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

启用Tcp/Ip筛选
只允许 tcp： 21 80 3389

12、配置internet防火墙，添加80 21 3389

13、账号安全
  停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装

14、其它安全设置
  防止SYN洪水攻击
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　新建DWORD值，名为SynAttackProtect，值为2

禁止响应ICMP路由通告报文
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
　　新建DWORD值，名为PerformRouterDiscovery 值为0

防止ICMP重定向报文的攻击
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　将EnableICMPRedirects 值设为0

不支持IGMP协议
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　新建DWORD值，名为IGMPLevel 值为0

禁用DCOM：
　　运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。
　　清除“在这台计算机上启用分布式 COM”复选框。

禁止IPC空连接
      cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

更改TTL值
       cracker可以根据ping回的TTL值来大致判断你的操作系统，如：
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫

名其妙的数字如258，起码让那些小菜鸟紊习胩欤 痛朔牌 肭帜阋膊灰欢ㄅ?span>

15、目录安全
[服务器安全内部资料]Win 2003 硬盘安全设置[针对ASP类网站]

C:分区部分：
c:administrators 全部
Everyone 无
system 全部
当然，这个到下面的目录是要改的
c:\windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
Users 读取和运行，列出文件夹目录，读取
c:\Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:\Program Files\Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改，读取和运行，列出文件夹目录，读取，写入
Users 读取和运行，列出文件夹目录，读取
如果安装了我们的软件：
c:\Program Files\LIWEIWENSOFT
Everyone 读取和运行，列出文件夹目录，读取
administrators 全部
IIS_WPG 读取和运行，列出文件夹目录，读取
c:\Program Files\Dimac(如果有这个目录)
Everyone 读取和运行，列出文件夹目录，读取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
TERMINAL SERVER Users
修改，读取和运行，列出文件夹目录，读取，写入
Users 读取和运行，列出文件夹目录，读取
Everyone 读取和运行，列出文件夹目录，读取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改，读取和运行，列出文件夹目录，读取，写入
system 全部
D:分区部分：默认情况下是一个网站一个IIS用户
d:\ (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:\Host (如果此目录用来放置用户网站内容)
administrators 全部权限
d:\Host\ZxsV(网站用户目录)
administrators 全部权限
IIS_WPG 读取和运行，列出文件夹目录，读取
d:\Host\ZxsV\Data(网站用户数据库目录)
administrators 全部权限
IIS_WPG 读取和运行，列出文件夹目录，读取，改写
d:\Host\ZxsV\Web(IIS访问目录)
administrators 全部权限
IIS_WPG 读取和运行，列出文件夹目录，读取
d:\Host\ZxsV\WebLog(日志目录)
administrators 全部权限
system 全部
d:\Host\ZxsV\Web\Upload(网站用户数据上传目录)
administrators 全部权限
IIS_WPG 读取和运行，列出文件夹目录，读取，改写
无ASP执行权限，这个很重要，这只是一个定义，具体要看网站是怎么设定的
d:\Tools\(工具目录)
administrators 全部权限
d:\Tools\Serv-U
administrators 全部权限
guest 拒绝
类推就是的了

其它地方的权限设置
请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com

16、安装serv-u
设置管理密码,在windows信息servu的账户,将servu服务的启动账户选择为新增加的账户
servu的安装目录的权限更改为administrators全部,新的账户全部,将system的权限删除.
ftp的用户目录增加相应的servu账户的权限即可

17、GHOST到E:
完成了~~!