XFocus Windows Internet服务器安全配置

2、启动系统自带的Internet连接_blank”>防火墙，在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为SynAttackProtect，值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0

http://www.knowsky.com/article.asp?typeid=57

4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 　　 新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击
　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　 将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为IGMPLevel 值为0
7.修改终端服务端口
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：
cracker 可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统，如：
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实 际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

10. 删除默认共享
有 人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它： HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是 REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改 成功,失败
审核系统事件 成功,失败
审核帐户登陆事件 成功,失败
审核帐户管理 成功,失败
本地安全策略->本地策略->安全选项
交互式登陆：不显示上次地用户名　　启用
交互式登陆：会话锁定不显示上次地用户名　　启用
网络访问:限制匿名访问命名管道和共享　启用

13.解除上传附件限制
Windows2003中IIS6默认无法上传超过200K的附件以及无法下载超过4M的附件问题
解决办法：
1、先在服务里关闭 iis admin service 服务。
2、找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
3、用纯文本方式打开，找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为10M即：10240000），默认为：204800，即：200K。
4、存盘，然后重启 iis admin service 服务。

在 IIS 6.0 中，无法下载超过4M的附件时，可以按以下步骤解决：
1、先在服务里关闭 iis admin service 服务。
2、找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
3、用纯文本方式打开，找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即：20480000）。
4、存盘，然后重启 iis admin service 服务。

14防止Serv-U权限提升
其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

后续安装的
PHP 4.4.1版本
下载解压缩 c:\PHP, 在Windows的Path加入 c:\PHP 添加环境变量 PHPRC指向C:\PHP\php.ini 表示php.ini的位置,
拷贝 C:\PHP\dll\*.* 到 c:\PHP目录 记得设置 upload_directory = “C:\WINDOWS\TEMP”
session_directory = “C:\WINDOWS\TEMP” 设置upload的最大文件为10M

Zend Optimizer 2.6.2 版本 3.0.1版本已经推出 下载地址: http://downloads.zend.com/optimizer/
eAccelerator 加速器 WINDOWS版本下载地址: http://www.arnot.info/eaccelerator/
在extension=php_zip.dll下面添加

extension=eaccelerator.dll
eaccelerator.shm_size=”64″ //默认为16M，我改为64M
eAccelerator.cache_dir=”C:\Windows\temp” //需要手动创建,确保他的权限为可读写
eaccelerator.enable=”1″
eaccelerator.optimizer=”1″
eaccelerator.check_mtime=”1″
eaccelerator.debug=”0″
eaccelerator.filter=”"
eaccelerator.shm_max=”0″
eaccelerator.shm_ttl=”0″
eaccelerator.shm_prune_period=”0″
eaccelerator.shm_only=”0″
eaccelerator.compress=”1″
eaccelerator.compress_level=”9″

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!