1.帐号策略：

（1）帐号尽可能少，且尽可能少用来登录；

说明：网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。

（2）除过Administrator外，有必要再增加一个属于管理员组的帐号；

说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还

有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有

有机会重新在短期内取得控制权。

（3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限；

（4）将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊

循着一原则。

说明：这样可以为黑客攻击增加一层障碍。

（5）将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从

Guest组删掉；

说明：有的黑客工具正是利用了guest 的弱点，可以将帐号从一般用户提

升到管理员组。

（6）给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位以上， 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等。

说明：口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了，而这往往是不少网管所忽视的地方，据我们的测试，仅字母加数字的5位口令在几分钟内就会被攻破，而所推荐的方案则要安全的多。

（7）口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）；

（8）在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。

2.解除NetBios与TCP/IP协议的绑定

说明：NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：NT：控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

3.删除所有的网络共享资源

说明：NT与2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载“Microsoft 网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时，将显示该选项。单击“卸载”按钮删除该组件；清除“Microsoft 网络的文件和打印机共享”复选框将不起作用。）

方法：

(1)NT:管理工具——服务器管理器——共享目录——停止共享;

2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享

但上述两种方法太麻烦，服务器每重启一次，管理员就必须停止一次

（2）修改注册表：

运行Regedit，然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键

Name: AutoShareServer

Type: REG_DWORD

Value: 0

然后重新启动您的服务器，磁盘分区共享去掉，但IPC共享仍存在，需每次重启后手工删除。

4.改NTFS的安全权限；

说明：NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。

5.系统启动的等待时间设置为0秒，控制面板->系统->启动/关闭，然后将列表显示的默认值“30”改为“0”。（或者在boot.ini里将TimeOut 的值改为0）

6.只开放必要的端口，关闭其余端口。

说明：缺省情况下，所有的端口对外开放，黑客就会利用扫描工具扫描那些端口可以利用，这对安全是一个严重威胁。

现将一些常用端口列表如下：

端口 协议 应用程序

21 TCP FTP

25 TCP SMTP

53 TCP DNS

80 TCP HTTP SERVER

1433 TCP SQL SERVER

5631 TCP PCANYWHERE

5632 UDP PCANYWHERE

6（非端口） IP协议

8（非端口） IP协议

7.加强日志审核；

说明：日志任何包括事件查看器中的应用、系统、安全日志，IIS中的WWW、SMTP、FTP日志、SQL SERVER日志等，从中可以看出某些攻击迹象，因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录，帐号审核可以从域用户管理器——规则——审核中选择指标；NTFS中对文件的审核从资源管理器中选取。要注意的一点是，只需选取你真正关心的指标就可以了，如果全选，则记录数目太大，反而不利于分析；另外太多对系统资源也是一种浪费。

8.加强数据备份；

说明：这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，而这往往是黑客们真正关心的东西；遗憾的是，不少网管在这一点上作的并不好，不是备份不完全，就是备份不及时。数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。

9.只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议；

说明：网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。

10.停掉没有用的服务，只保留与网站有关的服务和服务器某些必须的服务。

说明：有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机，如果确实没有用处建议禁止掉，同时也能节约一些系统资源。但要注意有些服务是操作系统必须的服务，建议在停掉前查阅帮助文档并首先在测试服务器上作一下测试。

11.隐藏上次登录用户名,修改注册表Winnt4.0：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增加DontDisplayLastUserName，将其值设为1。Windows2000中该项已经存在，只需将其值改为1。

说明：缺省情况下，上次登录的用户名会出现在登录框中，这就为黑客猜测口令提供了线索，最好的方式就是隐藏上次登录用户名。

12.不要起用IP转发功能，控制面板->网络->协议->TCP/IP协议->属性，使这个选框为空。（NT）

说明：缺省情况下，NT的IP转发功能是禁止的，但注意不要启用，否则它会具有路由作用，被黑客利用来对其他服务器进行攻击。

13.安装最新的MDAC（http://