Windows服务器安全配置经验分享

10.解除NetBios与TCP/IP协议的绑定
说明：NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：NT：控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

11.删除所有的网络共享资源，在网络连接的设置中删除文件和打印共享，只留下TCP/IP协议
说明：NT与2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载“Microsoft 网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时，将显示该选项。单击“卸载”按钮删除该组件；清除“Microsoft 网络的文件和打印
机共享”复选框将不起作用。）
方法：
(1)NT:管理工具——服务器管理器——共享目录——停止共享;
2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享
但上述两种方法太麻烦，服务器每重启一次，管理员就必须停止一次
（2）修改注册表：
运行Regedit，然后修改注册表在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一个键
Name: AutoShareServer
Type: REG_DWORD
value: 0
然后重新启动您的服务器，磁盘分区共享去掉，但IPC共享仍存在，需每次重启后手工删除。

12.改NTFS的安全权限；
说明：NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作. 注意某些ASP编辑器会自动备份asp文件，会被下载的漏洞
在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个..bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个 bak文件，攻击有可以直接下载some.asp.bak文件，这样some.asp的源程序就会给下载
。

在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、javascript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。
说明：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏； 如果该输入框涉及到数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过，因此必须在服务器端再做一次检查。

防止ACCESS mdb 数据库有可能被下载的漏洞
在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据
库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。
解决方法：
(1) 为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓 "非常规"， 打个比方
： 比如有个数据库要保存的是有关书籍的信息， 可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如
d34ksfslf.mdb， 再把他放在如./kdslf/i44/studi/ 的几层目录下，这样黑客要想通过猜的方式得到你的
ACCESS数据库文件就难上加难了。
(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：
DBPath = Server.MapPath("cmddb.mdb"
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如万一给人拿到了源程序，你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源，再
在程序中这样写：
conn.open "shujiyuan"
(3)使用ACCESS来为数据库文件编码及加密。首先在选取 "工具->安全->加密/解密数据库，选取数据库（
如：employer.mdb），然后接确定，接着会出现 "数据库加密后另存为"的窗口，存为：employer1.mdb。 接着
employer.mdb就会被编码，然后存为employer1.mdb..
要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人
使用别的工具来查看数据库文件的内容。
接下来我们为数据库加密，首先以打开经过编码了的 employer1.mdb， 在打开时，选择"独占"方式。然后
选取功能表的"工具->安全->设置数据库密码"， 接着 输入密码即可。这样即使他人得到了employer1.mdb文件
，没有密码他是无法看到 employer1.mdb的。
23.SQL SERVER的安全

SQL SERVER是NT平台上用的最多的数据库系统，但是它的安全问题也必须引起重视。数据库中往往存在着
最有价值的信息，一旦数据被窃后果不堪设想。

及时更新补丁程序。
说明：与NT一样，SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上
做测试，同时提前做好目标服务器的数据备份。

给SA一个复杂的口令。
说明：SA具有对SQL SERVER数据库操作的全部权限。遗憾的是，一部分网管对数据库并不熟悉，建立数据
库的工作由编程人员完成，而这部分人员往往只注重编写SQL 语句本身，对SQL SERVER数据库的管理不熟悉，
这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。

严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，可以通过给
用户以访问视图的权限，以及只具有执行存储过程的权限。
说明：用户如果对表有直接的操作权限，就会存在数据被破坏的危险。

制订完整的数据库备份与恢复策略。
24. PCANYWHERE的安全：

目前，PCANYWHERE是最流行的基于NT与2000的远程控制工具，同样也需要注意安全问题。

建议采用单独的用户名与口令，最好采用加密手段。千万不要采用与NT管理员一样的用户名与口令，也不
要使用与NT集成的口令。同时在服务器端的设置时务必采用security options中的强加密方式，拒绝低加密水
平的连接，同时采用口令加密与传输过程中的用户名与口令加密，以防止被嗅探到，还要限制连接次数，另外
很重要的一点就是一定在protect item中设置高强度的口令，同时一定限制不能够让别人看到你的host端的任何设置，即便是要察看主机端的相关设置也必须要输入口令！
说明：PCANYWHERE 口令是远程控制的第一个关口，如果与NT的一样， 就失去了安全屏障。被攻破后就毫 无安全可言。 简单介绍如下。 　
1、启用HTTP的持续作用 　
启用HTTP的持续作用（Keep-Alive）时，IIS与浏览器的连线不会断线，可以改善执行效率，直到浏览器关闭时
连线才会断线。因为维持「Keep-Alive」状态时，於每次用户端请求时都不须重新建立一个新的连接，所以将
改善伺服器的效率。此功能为HTTP1.1预设的功能，HTTP 1.0加上Keep-Alive header也可以提供HTTP的持续作
用功能。
　
2、启用HTTP的持续作用可以改善15~20%的执行效率。 　
如何启用HTTP的持续作用呢？步骤如下：在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [
内容] 之 [主目录] 页，勾选 [HTTP的持续作用] 选项。
　
3、不启用记录 　
不启用记录可以改善5~8%的执行效率。如何设定不启用记录呢？步骤如下： 　
在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，不勾选 [启用记
录] 选项。设定非独立的处理程序使用 [独立] 的处理程序会损失20%的执行效率，此处所谓 独立」系指将 [
主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高（独立的）] 时。因此 [应用程式保护] 设定为 [低
(IIS处理程序)] 时执行效率较高如何设定非「独立」的处理程序呢？步骤如下： 在 [Internet服务管理员]
中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，设定应
用程式保护选项为 [低 (IIS处理程序)] 。 　
4、调整快取（Cache）记忆体 　
IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0则将静态的网页资料暂存於档案当中。调
整快取（Cache）记忆体的保存档案数量可以改善执行效率。ASP指令档案执行过後，会在暂存於快取（Cache）
记忆体中以提高执行效能。增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。可以设定所
有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。如何设
定快取（Cache）功能呢？步骤如下：在 [Internet服务管理员] 中选取整个IIS电脑、「独立」Web站台、或「
独立」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，按下 [设定] 按钮时，即可由 [处理
程序选项] 页设定[指令档快取记忆体] 。如何设定快取（Cache）记忆体档案数量呢？步骤如下：在[Internet
服务管理员] 中，选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之[伺服器扩充程式] 页，按下 [设定 ] 按钮。即可设定快取（Cache）记忆体档案数量。
5、勿使用CGI程式 　
使用CGI程式时，因为处理程序（Process）须不断地产生与摧毁，造成执行效率不佳。一般而言，执行效率比
较如下： 静态网页（Static）：100 ISAPI：50 ASP：10 CGI：1 　换句话说，ASP比CGI可能快10倍，因此勿
使用CGI程式可以改善IIS的执行效率。以弹性（Flexibility）而言：ASP > CGI > ISAPI > 静态网页（Static
）。以安全（Security）而言：ASP（独立） = ISAPI（独立）= CGI > ASP（非独立） = ISAPI（非独立）=
静态网页（Static）
6、增加IIS 5.0电脑CPU数量 　
根据微软的测试报告，增加IIS 4.0电脑CPU数量，执行效率并不会改善多少；但是增加IIS 5.0电脑CPU数量，
执行效率会几乎成正比地提供，换句话说，两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU
的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中
；IIS 4.0 则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率
。 　
7、启用ASP侦错功能 　
勿启用ASP侦错功能可以改善执行效率。如何勿启用ASP侦错功能呢？步骤如下：於[Internet服务管理员] 中，
选取Web站台、或应用程式的起始目录，按右键选择[内容]，按 [主目录]、[虚拟目录] 或 [目录] 页，按下 [
设定] 按钮，选择 [应用程式侦错] 页，不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选
项。
8、静态网页采用HTTP 压缩 　
静态网页采用HTTP 压缩，大约可以减少20%的传输量。HTTP压缩功能启用或关闭，系针对整台IIS伺服器来设定
。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web伺服器，才有HTTP压缩功能。如何启用HTTP压
缩功能呢？步骤如下：若要启用HTTP 压缩功能，方法为在 [Internet服务管理员] 中，选取电脑之 [内容]，
於 [主要内容] 之下选取 [WWW服务]。然後按一下 [编辑] 按钮，於 [服务] 页上，选取 [压缩静态档案] 可
以压缩静态档案，不选取 [压缩应用程式档案] 。 　动态产生的内容档案（压缩应用程式档案）也可以压缩，
但是须耗费额外CPU处理时间，若%Processor Time已经百分之八十或更多时，建议不要压缩
以上是对采用IIS作为WEB服务器的一些安全相关的设置与其性能调整的参数设置，可以最大化的优化你的IIS
，不过个人认为如果不存在障碍，还是采用apache比较好一些，漏洞少，建议采用apache 1.3.24版本， 附：IIS安全工具及其使用说明
一、IIS Lock Tool，快速设置IIS安全属性
　　IIS Lock Tool的推出，还要感谢红色代码，因为正是红色代码的大面积传播，致使微软设计发布这款帮助
管理员们设置IIS安全性的工具。
（一）、IIS Lock Tool具有以下功能和特点
　　１、最基本功能，帮助管理员设置IIS安全性；
　　２、此工具可以在IIS4和IIS5上使用；
　　３、即使系统没有及时安装所有补丁，也能有效防止IIS4和IIS5的已知漏洞；
　　４、帮助管理员去掉对本网站不必要的一些服务，使IIS在满足本网站需求的情况下运行最少的服务；
　　５、具有两种使用模式：快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性，这种模式只适
合于只有HTML和HTM静态网页的网站使用，因为设置完成以后，ASP不能运行；高级模式允许管理员自己设置各
种属性，设置得当，对IIS系统任何功能均没有影响。
（二）、IIS Lock Tool的使用
　　１、软件下载和安装
　　IIS Lock Tool在微软网站下载，下载地址：
www.microsoft.com/Downloads/Release.asp?ReleaseID=32362
　　安装很简单，需要注意的是，安装以后，程序不会在系统的【程序】菜单出现，也不会在【管理工具】出现，需要安装者在安装目录寻找运行该程序。
　　
二、URLScan Tool――过滤非法URL访问
　　仔细观察IIS的漏洞，我们几乎可以得出这样一个结论，所有利用这些漏洞实现对网站攻击的手段均是构造
特殊的URL来访问网站，一般有以下几种类型的URL可以利用漏洞：
　　１、特别长的URL，比如红色代码攻击网站的URL就是这样：
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200；
　 ２、特殊字符或者字符串的URL，比如在URL后面加::$DATA可以看到网页（ASP）源代码；
　　３、URL中含有可执行文件名，最常见的就是有cmd.exe；
　　既然这些攻击利用特殊的URL来实现，所以，微软提供了这款专门过滤非法URL的安全工具，可以达到御敌
于国门之外的效果，这款工具有以下特点和功能：
　　１、基本功能：过滤非法URL请求；
　　２、设定规则，辨别那些URL请求是合法的；这样，就可以针对本网站来制定专门的URL请求规则；同时，
当有新的漏洞出现时，可以更改这个规则，达到防御新漏洞的效果；
　　３、程序提供一套URL请求规则，这个规则包含已经发现的漏洞利用特征，帮助管理员设置规则；
（一）、软件的下载与安装
　　URLScan可以在微软的网站上下载，地址如下：
download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe
　和一般软件一样安装，但是，此软件不能选择安装路径，安装完成以后，我们可以在
System32/InetSvr/URLScan目录下找到以下文件：
　　urlscan.dll：动态连接库文件；
　　urlscan.inf：安装信息文件；
　　urlscan.txt：软件说明文件；
　　urlscan.ini：软件配置文件，这个文件很只要，因为对URLScan的所有配置，均有这个文件来完成。
（二）、软件的配置
　　软件的配置由urlscan.ini文件来完成，在配置此文件以前，我们需要了解一些基本知识。
　１、urlscan配置文件的构造形式
　　urlscan配置文件必须遵从以下规则：
　　（1）此文件名必须为urlscan.ini；
　　（2）配置文件必须和urlscan.dll在同一目录；
　　（3）配置文件必须是标准ini文件结构，也就是由节，串和值组成；
　　（4）配置文件修改以后，必须重新启动IIS，使配置生效；
　　（5）配置文件由以下各节组成：
　　[Option]节，主要设置节；
　　[AllowVerbs]节，配置认定为合法URL规则设定，此设定与Option节有关；
　　[DenyVerbs]节，配置认定为非法URL规则设定，此设定与Option节有关；
　　[DenyHeaders]节，配置认定为非法的header在设立设置；
　　[AllowExtensions]节，配置认定为合法的文件扩展名在这里设置，此设定与Option节有关；
　　[DenyExtensions]节，配置认定为非法的文件扩展名在这里设置，此设定与Option节有关；
　　２、具体配置
　　（1）Option节的配置，因为Option节的设置直接影响到以后的配置，因此，这一节的设置特别重要。此节
主要进行以下属性的设置：
　　UseAllowVerbs：使用允许模式检查URL请求，如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒
绝；如果设置为0，所有没有在[DenyVerbs]设置的URL请求都认为合法；默认为1;
　　UseAllowExtensions：使用允许模式检测文件扩展名；如果设置为 1,所有 三、总结
　　以上两个工具功能强大，可以真正实现对IIS的保护。IIS Lock Tool简单，相对而言，只是被动的防卫；
UrlScan设置比较难，建议对IIS非常熟悉的管理员使用，只要设置得当，UrlScan的功能更加强大。在使用
UrlScan的时候，切记不要设置一次万事大吉，需要不停跟踪新出现的漏洞，随时修改URLScan的配置文件。 3。高级篇：NT/2000的高级安全设置
1.禁用空连接，禁止匿名获得用户名列表
Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用
户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以
通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空
连接，实际上win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项
RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： 0：None. Rely on default permissions
（无，取决于默认的权限 1 ：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号
和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0这
个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为1比较好。 好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了
2。禁止显示上次登陆的用户名
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon项中的Don’t Display Last
User Name串数据改成1，这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_
MACHINESOFTWAREMicrosoft
WindowsNTCurrentVersionWinlogon项中的Don't Display Last User Name串数据修改为1，隐藏上次登陆控
制台的用户名。其实，在2000的本地安全策略中也存在该选项
Winnt4.0修改注册表：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon 中增加
DontDisplayLastUserName，将其值设为1。 2.预防DoS：
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度
的DoS攻击 SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0
在Win2000中如何关闭ICMP(Ping)
　　3.针对ICMP攻击
ICMP的全名是Internet Control and Message Protocal即因特网控制消息/错误报文协议，这个协议主要
是用来进行错误信息和控制信息的传递，例如著名的Ping和Tracert工具都是利用ICMP协议中的ECHO request报
文进行的（请求报文ICMP ECHO类型8代码0，应答报文ICMP ECHOREPLY类型0代码0）。
　　ICMP协议有一个特点---它是无连结的，也就是说只要发送端完成ICMP报文的封装并传递给路由器，这个报
文将会象邮包一样自己去寻找目的地址，这个特点使得ICMP协议非常灵活快捷，但是同时也带来一个致命的缺
陷---易伪造（邮包上的寄信人地址是可以随便写的），任何人都可以伪造一个ICMP报文并发送出去，伪造者可
以利用SOCK_RAW编程直接改写报文的ICMP首部和IP首部，这样的报文携带的源地址是伪造的，在目的端根本无 法追查，（攻击者不怕被抓那还不有恃无恐？）根据这个原理，外面出现了不少基于ICMP的攻击软件，有通过
网络架构缺陷制造ICMP风暴的，有使用非常大的报文堵塞网络的，有利用ICMP碎片攻击消耗服务器CPU的，甚至
如果将ICMP协议用来进行通讯，可以制作出不需要任何TCP/UDP端口的木马（参见揭开木马的神秘面纱三）
......既然ICMP协议这么危险，我们为什么不关掉它呢？
　　我们都知道，Win2000在网络属性中自带了一个TCP/IP过滤器，我们来看看能不能通过这里关掉ICMP协议，
桌面上右击网上邻居->属性->右击你要配置的网卡->属性->TCP/IP->高级->选项->TCP/IP过滤，这里有三个过
滤器，分别为：TCP端口、UDP端口和IP协议，我们先允许TCP/IP过滤，然后一个一个来配置，先是TCP端口，点
击"只允许"，然后在下面加上你需要开的端口，一般来说WEB服务器只需要开80(www)，FTP服务器需要开20(FTP
Data)，21(FTP Control)，邮件服务器可能需要打开25(SMTP),110(POP3)，以此类推......接着是UDP，UDP协
议和ICMP协议一样是基于无连结的，一样容易伪造，所以如果不是必要（例如要从UDP提供DNS服务之类）应该
选择全部不允许，避免受到洪水（Flood 6.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果
.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此建议关闭响应ICMP路由通告报文.Win2000中默
认值为2,表示当DHCP发送路由器发现选项时启用
7.防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0)
说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时
间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,
则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施.
8.禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareServer、REG_DWORD、0x0
9.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareWks、REG_DWORD、0x0
10.限制IPC$缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server
11.不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个
bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用
route print将看不到那个讨厌的224.0.0.0项了.
12.设置arp缓存老化时间设置
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在ArpCacheLife
秒后到期.如果ArpCacheLife小于阿ARPCacheMinReferencedLife,未引用项在ArpCacheLife秒后到期,而引用项
在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
13.禁止死网关监测技术
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关.有时候这并不是
一项好主意,建议禁止死网关监测.
14.不支持路由功能
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题.
15.做NAT时放大转换的对外端口最大值
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)
说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常情况下,短期端口的分
配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534).使用NAT时建
议把值放大点.
16.修改MAC地址
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass
找到右窗口的说明为"网卡"的目录,
比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}
展开之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明,比如说"DriverDesc"的
值为"Intel(R) 82559 Fast Ethernet LAN on Motherboard"然后在右窗口新建一字符串值,名字为
"Networkaddress",内容为你想要的MAC值，比如说是"004040404040"然后重起计算机，ipconfig /all看看.
17. 系统默认banner的修改
IIS BANNER 的 DLL 文件放在C:WINNTSYSTEM32INETSRV 目录下面的，其中对应关系是：
WEB是：C:WINNTSYSTEM32INETSRVW3SVC.DLL
FTP是： C:WINNTSYSTEM32INETSRVFTPSVC2.DLL
SMTP是：C:WINNTSYSTEM32INETSRVSMTPSVC.DLL
注意：
在修改的时候请停止 IIS的服务，可以用 iisreset /stop 。
由于 2000系统后台的文件保护机制的作用，当系统一旦发现重要的 DLL文件被修改后就会尝试用
%SYSTEMROOT%system32dllcache 目录下的备份文件来进行恢复，所以在修改前我们还需要事先删除
%SYSTEMROOT%system32dllcache目录下的同名文件。