3. 端口

　　端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全。一般來說，僅打開你需要使用的端口會比較安全，配置的方法:打開“本地連接屬性”對話框，依次點擊“Internet協議(TCP/IP)→高級→選項→TCP/IP篩選→屬性”，在打開的對話框中啟用TCP/IP篩選。

　　4. IIS

　　IIS是微軟的組件中漏洞最多的一個，所以IIS的配置是我們的重點:

　　(1)將\Inetpub目錄徹底刪掉，然后在D盤建一個Inetpub目錄，在IIS管理器中將主目錄指向D:\Inetpub。

　　(2)將IIS安裝時默認的Scripts等虛擬目錄一概刪除，如果你需要什么權限的目錄可以自己建(特別注意寫權限和執行程序的權限，沒有必要千萬不要給)。

　　(3)應用程序配置:在IIS管理器中刪除必須之外的任何無用映射。

　　(4)為了保險起見，你可以使用IIS的備份功能，將上面的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。如果你怕IIS負荷過高導致服務器滿負荷死機，也可以在性能中打開CPU限制，例如將IIS的最大CPU使用率限制在70%。

　　5. 賬號安全

　　Windows 2000的賬號安全是另一個重點，首先，默認安裝允許任何用戶通過空用戶得到系統所有賬號/共享列表，這個本來是為了方便局域網用戶共享文件的，但是一個遠程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。很多朋友都知道可以通過更改注冊表HKEYLOCALMACHINE\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1來禁止139空連接，實際上Windows 2000的本地安全策略就有這樣的選項RestrictAnonymous(匿名連接的額外限制)，這個選項有三個值:

　　0:None. Rely on default permissions(無，取決于默認的權限)。這個值是系統默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網絡傳輸列表等，對服務器來說這樣的設置非常危險。

　　1:Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM帳號和共享)。這個值是只允許非NULL用戶存取SAM賬號信息和共享信息。

　　2:No access without explicit anonymous permissions(沒有顯式匿名權限就不允許訪問)。這個值是在Windows 2000中才支持的，需要注意的是，如果你一旦使用了這個值，你的共享估計就全部完蛋，所以我推薦你還是設為1比較好。

　　好了，入侵者現在沒有辦法拿到我們的用戶列表，我們的賬戶安全了……慢著，至少還有一個賬戶是可以跑密碼的，這就是系統內建的Administrator。怎么辦?在“計算機管理→用戶賬號”中右擊Administrator，然后改名。然后再來把HKEYLOCALMACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon項中的“Don't Display Last User Name”串數據改成1，這樣系統不會自動顯示上次的登錄用戶名。

　　將服務器注冊表\HKEYLOCALMACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon項中的Don't Display Last User Name串數據修改為1，隱藏上次登陸控制臺的用戶名。

　　6.安全日志

　　Windows 2000的默認安裝是不開啟任何安全審核的。請你到“本地安全策略”的“審核策略”中打開相應的審核。推薦的審核是:

　　賬戶管理 成功/失敗

　　登錄事件 成功/失敗

　　對象訪問 失敗

　　策略更改 成功/失敗

　　特權使用 失敗

　　系統事件 成功/失敗

　　目錄服務訪問 失敗

　　賬戶登錄事件 成功/失敗

　　與之相關的是在“賬戶策略”的“密碼策略”中設定:

　　密碼復雜性要求 啟用

　　密碼長度最小值 6位

　　強制密碼歷史 5次

　　最長存留期 30天

　　在”賬戶策略”的“賬戶鎖定策略”中設定:

　　賬戶鎖定 3次錯誤登錄

　　鎖定時間 20分鐘

　　復位鎖定計數 20分鐘