7,修改注册表
　　

　　删除如下目录的任何键：
　　HKEY_LOCAL_MacHINESOFTWARE MicrosoftOS/2 Subsystem for NT

　　删除以下键：
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironmentOs2LibPath

　　删除以下键：
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptional
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosix

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2

　　8，修改终端服务的默认端口(如有必要才需要此操作，默认为3389，可随意修改为1-65535的端口)
　　打开注册表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations”处
　　找到类似RDP-TCP的子键，修改PortNumber值。 　　

　　9，网卡的端口筛选(看具体情况配置，正常情况不需要做此配置，此项配置需重启才能生效)

　　网卡属性里的tcp/ip协议属性--->高级-->选项-->tcp/ip筛选属性-->

　　第一项:TCP端口：
　　只允许： ---(看具体这台服务器提供什么服务添加)
　　80 （www服务）
　　21 (一般的ftp默认)
　　53 (DNS服务)
　　110 (MAIL的SMTP服务)
　　25 (MAIL的POP3服务)
　　还有例如你的远程终端的端口(默认为3389，也有可能你改为别的端口，如6666，则加上6666) 　　

　　第二项UDP端口：
　　此项可不添加，因为限制了以后，服务器则不能打开网页等操作(当然，也安全多了)

　　第三项IP协议：
　　ip协议：只允许6

　　10，IIS安全配置 开始-->程序-->管理工具-->Internet 服务管理器
　　默认的设置是有一个叫“默认站点”的站点，删除。
　　在IIS管理器中右击主机，进入属性，会出来一个叫 "*机器名属性"的窗口，在主属性下选择"WWW服务"，进入编辑
　　到主目录选项卡，进入应用程序设置下的配置，在应用程序映射里，你可以看到有htw, htr, idq, ida等扩展名的映射，
　　除了asp,asa,sHTML,sthm,stm外，其它的统统删除，因为其余的映射几乎每个都有安全方面的漏洞。(这是在未装cgi之类服务的情况下，像cgi,安装后也会在这里自动添加映射,没有映射可就运行不了cgi程序了，同理，php或asp.net也一样)

　　默认的iis发布目录为c:Inetpub，将这个目录删除。在d盘或e盘新建一个目录(目录名随意,如WWW)，然后新建一个站点，将主目录指向你新建的目录。

　　这样做的目的是为了将站点和系统分开。不至于站点的安全设置出问题时危及到系统安全。

　　11，其它

　　网卡属性里的tcp/ip协议属性--->高级-->WINS-->选择 "禁用TCP/IP 上的NetBIOS"

　　删除C:WINNTWeb下的两个子目录(一个是桌面图片目录，一个是打印目录，打印目录存在的话好像IIS的默认站点一直会多一个Printer的目录出来)

标签：