策略一：關(guān)閉windows2003不必要的服務(wù)
　　·computer browser 維護網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表
　　·task scheduler 允許程序在指定時間運行
　　·routing and remote access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
　　·removable storage 管理可移動媒體、驅(qū)動程序和庫
　　·remote registry service 允許遠程注冊表操作
　　·print spooler 將文件加載到內(nèi)存中以便以后打印。
　　·ipsec policy agent 管理ip安全策略及啟動isakmp/oakleyike)和ip安全驅(qū)動程序
　　·distributed link tracking client 當文件在網(wǎng)絡(luò)域的ntfs卷中移動時發(fā)送通知
　　·com+ event system 提供事件的自動發(fā)布到訂閱com組件
　　·alerter 通知選定的用戶和計算機管理警報
·error reporting service 收集、存儲和向 microsoft 報告異常應(yīng)用程序
　　·messenger 傳輸客戶端和服務(wù)器之間的 net send 和 警報器服務(wù)消息
　　·telnet 允許遠程用戶登錄到此計算機并運行程序
　　策略二：磁盤權(quán)限設(shè)置
　　c盤只給administrators和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置，這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。
　　windows目錄要加上給users的默認權(quán)限，否則asp和aspx等應(yīng)用程序就無法運行。
　　策略三：禁止 windows 系統(tǒng)進行空連接
　　在注冊表中找到相應(yīng)的鍵值hkey_local_machine/system/currentcontrolset/control/lsa，將dword值restrictanonymous的鍵值改為1
　　策略四：關(guān)閉不需要的端口
　　本地連接--屬性--internet協(xié)議(tcp/ip)--高級--選項--tcp/ip篩選--屬性--把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)
　　更改遠程連接端口方法
　　開始-->運行-->輸入regedit
　　查找3389：
請按以下步驟查找:
　　1、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwds dpwd ds cp下的portnumber=3389改為自寶義的端口號
　　2、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwinstations dp-tcp下的portnumber=3389改為自寶義的端口號
　　修改3389為你想要的數(shù)字(在十進制下)----再點16進制(系統(tǒng)會自動轉(zhuǎn)換)----最后確定!這樣就ok了。
　　這樣3389端口已經(jīng)修改了，但還要重新啟動主機，這樣3389端口才算修改成功!如果不重新啟動3389還
　　是修改不了的!重起后下次就可以用新端口進入了!
　　禁用tcp/ip上的netbios
　　本地連接--屬性--internet協(xié)議(tcp/ip)--高級—wins--禁用tcp/ip上的netbios
　　策略五：關(guān)閉默認共享的空連接
　　首先編寫如下內(nèi)容的批處理文件：
　　@echo off
　　net share c$ /delete
　　net share d$ /delete
net share e$ /delete
　　net share f$ /delete
　　net share admin$ /delete
　　以上文件的內(nèi)容用戶可以根據(jù)自己需要進行修改。保存為delshare.bat，存放到系統(tǒng)所在文件夾下的system32grouppolicyuserscriptslogon目錄下。然后在開始菜單→運行中輸入gpedit.msc，
　　回車即可打開組策略編輯器。點擊用戶配置→windows設(shè)置→腳本(登錄/注銷)→登錄.
　　在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”，會出現(xiàn)“添加腳本”對話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可。
　　重新啟動計算機系統(tǒng)，就可以自動將系統(tǒng)所有的隱藏共享文件夾全部取消了，這樣就能將系統(tǒng)安全隱患降低到最低限度。
　　策略五：iis安全設(shè)置
　　1、不使用默認的web站點，如果使用也要將iis目錄與系統(tǒng)磁盤分開。
　　2、刪除iis默認創(chuàng)建的inetpub目錄(在安裝系統(tǒng)的盤上)。
　　3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。
　　4、刪除不必要的iis擴展名映射。
　　右鍵單擊“默認web站點→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml、shtm、stm。
5、更改iis日志的路徑
　　右鍵單擊“默認web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性
　　策略六：注冊表相關(guān)安全設(shè)置
　　1、隱藏重要文件/目錄
　　hkey_local_machinesoftwaremicrosoftwindowscurrent-versionexploreradvancedfolderhiddenshowall”
　　鼠標右擊 “checkedvalue”，選擇修改，把數(shù)值由1改為0。
　　2、防止syn洪水攻擊
　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
　　新建dword值，名為synattackprotect，值為2
　　3、禁止響應(yīng)icmp路由通告報文
　　hkey_local_machinesystem currentcontrolset services cpipparametersinterfacesinterface
　　新建dword值，名為performrouterdiscovery 值為0。
　　4、防止icmp重定向報文的攻擊
　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
　　將enableicmpredirects 值設(shè)為0
5、不支持igmp協(xié)議
　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
　　新建dword值，名為igmplevel 值為0。
　　策略七：組件安全設(shè)置篇
　　a、 卸載wscript.shell 和 shell.application 組件，將下面的代碼保存為一個.bat文件執(zhí)行(分2000和2003系統(tǒng))
　　windows2000.bat
　　regsvr32/u c:winntsystem32wshom.ocx
　　del c:winntsystem32wshom.ocx
　　regsvr32/u c:winntsystem32shell32.dll
　　del c:winntsystem32shell32.dll
　　windows2003.bat
　　regsvr32/u c:windowssystem32wshom.ocx
　　del c:windowssystem32wshom.ocx
　　regsvr32/u c:windowssystem32shell32.dll
　　del c:windowssystem32shell32.dll
b、改名不安全組件，需要注意的是組件的名稱和clsid都要改，并且要改徹底了，不要照抄，要自己改
【開始→運行→regedit→回車】打開注冊表編輯器
　　然后【編輯→查找→填寫shell.application→查找下一個】
　　用這個方法能找到兩個注冊表項：
　　{13709620-c279-11ce-a49e-444553540000} 和 shell.application 。
　　第一步：為了確保萬無一失，把這兩個注冊表項導出來，保存為xxxx.reg 文件。
　　第二步：比如我們想做這樣的更改
　　13709620-c279-11ce-a49e-444553540000 改名為 13709620-c279-11ce-a49e-444553540001
　　shell.application 改名為 shell.application_nohack
　　第三步：那么，就把剛才導出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉，然后把修改好的.reg文件導入到注冊表中(雙擊即可)，導入了改名后的注冊表項之后，別忘記了刪除原有的那兩個項目。這里需要注意一點，clsid中只能是十個數(shù)字和abcdef六個字母。
　　其實，只要把對應(yīng)注冊表項導出來備份，然后直接改鍵名就可以了，
　　改好的例子
　　建議自己改
應(yīng)該可一次成功
　　windows registry editor version 5.00
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}]
　　@="shell automation service"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}inprocserver32]
　　@="c:\winnt\system32\shell32.dll"
　　"threadingmodel"="apartment"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}progid]
　　@="shell.application_nohack.1"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001} ypelib]
　　@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}version]
　　@="1.1"
　　[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}versionindependentprogid]
@="shell.application_nohack"
　　[hkey_classes_rootshell.application_nohack]
　　@="shell automation service"
　　[hkey_classes_rootshell.application_nohackclsid]
　　@="{13709620-c279-11ce-a49e-444553540001}"
　　[hkey_classes_rootshell.application_nohackcurver]
　　@="shell.application_nohack.1"
　　評論：
　　wscript.shell 和 shell.application 組件是 腳本入侵過程中，提升權(quán)限的重要環(huán)節(jié)，這兩個組件的卸載和修改對應(yīng)注冊鍵名，可以很大程度的提高虛擬主機的腳本安全性能，一般來說，asp和php類腳本提升權(quán)限的功能是無法實現(xiàn)了，再加上一些系統(tǒng)服務(wù)、硬盤訪問權(quán)限、端口過濾、本地安全策略的設(shè)置，虛擬主機因該說，安全性能有非常大的提高，黑客入侵的可能性是非常低了。注銷了shell組件之后，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設(shè)置一下為好。下面是另外一種設(shè)置，大同小異。
　　c、禁止使用filesystemobject組件
　　filesystemobject可以對文件進行常規(guī)操作,可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。
　　hkey_classes_rootscripting.filesystemobject
改名為其它的名字，如：改為 filesystemobject_changename
　　自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
　　也要將clsid值也改一下
　　hkey_classes_rootscripting.filesystemobjectclsid項目的值
　　也可以將其刪除，來防止此類木馬的危害。
　　2000注銷此組件命令：regsrv32 /u c:winntsystemscrrun.dll
　　2003注銷此組件命令：regsrv32 /u c:windowssystemscrrun.dll
　　如何禁止guest用戶使用scrrun.dll來防止調(diào)用此組件?
　　使用這個命令：cacls c:winntsystem32scrrun.dll /e /d guests
　　d、禁止使用wscript.shell組件
　　wscript.shell可以調(diào)用系統(tǒng)內(nèi)核運行dos基本命令
　　可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。
　　hkey_classes_rootwscript.shell及hkey_classes_rootwscript.shell.1
　　改名為其它的名字，如：改為wscript.shell_changename 或 wscript.shell.1_changename
　　自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
　　也要將clsid值也改一下
hkey_classes_rootwscript.shellclsid項目的值
　　hkey_classes_rootwscript.shell.1clsid項目的值
　　也可以將其刪除，來防止此類木馬的危害。
　　e、禁止使用shell.application組件
　　shell.application可以調(diào)用系統(tǒng)內(nèi)核運行dos基本命令
　　可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。
　　hkey_classes_rootshell.application及
　　hkey_classes_rootshell.application.1
　　改名為其它的名字，如：改為shell.application_changename 或 shell.application.1_changename
　　自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
　　也要將clsid值也改一下
　　hkey_classes_rootshell.applicationclsid項目的值
　　hkey_classes_rootshell.applicationclsid項目的值
　　也可以將其刪除，來防止此類木馬的危害。
禁止guest用戶使用shell32.dll來防止調(diào)用此組件。
　　2000使用命令：cacls c:winntsystem32shell32.dll /e /d guests
　　2003使用命令：cacls c:windowssystem32shell32.dll /e /d guests
　　注：操作均需要重新啟動web服務(wù)后才會生效。
　　f、調(diào)用cmd.exe
　　禁用guests組用戶調(diào)用cmd.exe
　　2000使用命令：cacls c:winntsystem32cmd.exe /e /d guests
　　2003使用命令：cacls c:windowssystem32cmd.exe /e /d guests
　　通過以上四步的設(shè)置基本可以防范目前比較流行的幾種木馬，但最有效的辦法還是通過綜合安全設(shè)置，將服務(wù)器、程序安全都達到一定標準，才可能將安全等級設(shè)置較高，防范更多非法入侵。
　　希望對大家有幫助。