win2000虚拟主机安全设置列表清单

　　划分为两个区： C区设大小为10G，余下全部作为D区

　　二、安装细节：

　　步骤：系统安装完成之后，首先安装其硬件驱动程序，再安装相应的补丁程序

　　环境配置：安装MSSQL、JMAIL、ZEND、ACTIVEPERL、安装创值立信公司的虚拟主机管理软件Prim@ Hosting软件

　　三、系统优化及安全细节设置

　　1．C盘权限设置：只添加Administrator 和system用户，权限均为“完全控制”

　　2．D盘权限设置：只添加Administrator 和system用户，权限均为“完全控制”

　　3．其它权限设置

　　windows\system32下的文件

　　cmd.exe administrator 完全控制

　　system 完全控制

　　user 读取及运行　　

　　下面这些文件只允许administrators访问

　　net.exe net1.exe tftp.exe netstat.exe regedit.exe

　　at.exe attrib.exe cacls.exe format.com

　　4..删除c:inetpub目录，删除iis不必要的映射

　　5. 禁用不必要的服务，提高安全性和系统效率

　　Computer Browser 维护网络上计算机的最新列表以及提供这个列表

　　Task scheduler 允许程序在指定时间运行

　　Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

　　Removable storage 管理可移动媒体、驱动程序和库

　　Remote Registry Service 允许远程注册表操作

　　Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

　　Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

　　Alerter 通知选定的用户和计算机管理警报

　　Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

　　Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

　　Telnet 允许远程用户登录到此计算机并运行程序

　　Help and Support

　　TCP/IP NetBIOS Helper允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。

　　Fax Service 帮助您发送和接收传真

　　6. 修改注册表，让系统更强壮

　　1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ Current-Version\ Explorer\ Advanced\ Folder\ Hi-dden\ SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

　　2、防止SYN洪水攻击

　　HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters

　　新建DWORD值，名为

　　SynAttackProtect， REG_DWORD 2

　　EnablePMTUDiscovery 0

　　NoNameReleaseOnDemand 1

　　EnableDeadGWDetect 0

　　KeepAliveTime 300,000

　　PerformRouterDiscovery 0

　　EnableICMPRedirects 0

　　3. 禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters\ Interfaces\

　　新建DWORD值，名为PerformRouterDiscovery 值为0

　　4.防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters

　　将EnableICMPRedirects 值设为0

　　5.不支持IGMP协议

　　HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters

　　新建DWORD值，名为IGMPLevel 值为0

　　6.修改终端服务端口

　　A: 运行regedit，找到[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

　　B: 第二处HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

　　7.禁止IPC空连接

　　cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\ System\ CurrentControlSet\ Control\ LSA -RestrictAnonymous 把这个值改成”1”即可。

　　8、更改TTL值

　　cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

　　TTL=107(WINNT);

　　TTL=108(win2000);

　　TTL=127或128(win9x);

　　TTL=240或241(linux);

　　TTL=252(solaris);

　　TTL=240(Irix);

　　实际上你可以自己更改的：HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

　　9.删除默认共享

　　有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ LanmanServerParameters：AutoShareServer类型是REG_DWORD把值改为0即可

　　七:其它安全手段

　　1.禁用TCP/IP上的NetBIOS