Web站点的Win服务器安全解决方案（3）

5.系统启动的等待时间设置为0秒，控制面板->系统->启动/关闭，然后将列表显示的默认值“30”改为“0”。(或者在boot.ini里将TimeOut的值改为0)

6.只开放必要的端口，关闭其余端口。

说明：缺省情况下，所有的端口对外开放，黑客就会利用扫描工具扫描那些端口可以利用，这对安全是一个严重威胁。

现将一些常用端口列表如下：

端口协议应用程序

21TCPFTP

25TCPSMTP

53TCPDNS

80TCPHTTPSERVER

1433TCPSQLSERVER

5631TCPPCANYWHERE

5632UDPPCANYWHERE

6(非端口)IP协议

8(非端口)IP协议

7.加强日志审核;

说明：日志任何包括事件查看器中的应用、系统、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，从中可以看出某些攻击迹象，因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录，帐号审核可以从域用户管理器——规则——审核中选择指标;NTFS中对文件的审核从资源管理器中选取。要注意的一点是，只需选取你真正关心的指标就可以了，如果全选，则记录数目太大，反而不利于分析;另外太多对系统资源也是一种浪费。

8.加强数据备份;

说明：这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，而这往往是黑客们真正关心的东西;遗憾的是，不少网管在这一点上作的并不好，不是备份不完全，就是备份不及时。数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。

9.只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议;

说明：网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。

10.停掉没有用的服务，只保留与网站有关的服务和服务器某些必须的服务。

说明：有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机，如果确实没有用处建议禁止掉，同时也能节约一些系统资源。但要注意有些服务是操作系统必须的服务，建议在停掉前查阅帮助文档并首先在测试服务器上作一下测试。

11.隐藏上次登录用户名，修改注册表Winnt4.0：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon中增加DontDisplayLastUserName，将其值设为1。Windows2000中该项已经存在，只需将其值改为1。