一、系统的安装

正常情况下Internet 信息服务(IIS)只需要选择三项：
Internet服务管理器 + Word Wide Web服务器 + 公用文件
附件和工具可以全部勾除(平常是用不到的)，再加上终端服务即可，其它统统勾除!

关于磁盘分区: 正常情况下，C盘分10G已经非常足够使用，其它的应用软件均安装到D盘，如提供FTP服务的SERV-U，以免系统崩溃后要全新安装系统 的时间需要备份C盘数据。

　

二、安装硬件的驱动程序

经常安装驱程后重启会自动加载一些程序，可用超级兔子之类软件清理一下启动项。其它的如声卡的驱动找不到，可以不用安装，因为平常用不到声卡，不需要把时间浪费在这里。有碰到系统能默认认出来的显卡也无需再另装驱动程序。

二、补丁安装

装完系统后，如果安装的系统是没有打过SP4的，请先安装WINDOWS 2000 sp4，然后进入Windows Update在线更新所有补丁。也可以下载补丁集(chinaz.com提供 的下载)直接安时间排序打上，以免浪费时间，微软的网站有时候非常慢的。

复制一些必要的软件到D盘

如，WIN2K安装目录I386，可放置一份到D盘，以方便以后使用(如重装IIS的时候)。
D盘新建一个SOFT目录，用于存放常用软件，如PHP，MYSQL，DUM，SERV-U，SQL SERVER等的安装文件

三、系统安全设置

1，用户管理
删除TsInternetUser用户，并且将Guest用户改名禁用并且更改一个复杂的密码！
更改Administrator的用户名以及密码！

2，不让系统显示上次登录的用户名，具体操作如下： 牐
牐 修改注册表“HKLMSoftwareMicrosoftWindowsNTCurrent VersionWinlogonDont Display
Last User Name”的键值，把REG_SZ 的键值改成1。

3，禁止建立空连接
牐犇认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。可以通过以下两种方法禁止
建立空连接。 牐
牐牐1）修改注册表 牐
牐燣ocal_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成1。 牐
牐牐2）修改Win 2000的本地安全策略 牐
牐犐柚谩氨镜匕踩策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容
许枚举SAM账号和共享”。

4，打开安全审核
管理工具--本地安全策略--本地策略--审核策略，正常情况下一共是9项

推荐设置为：
审核策略更改：成功 失败
审核登录事件：成功 失败
审核对象访问：失败
审核特权使用：失败
审核系统事件：成功 失败
审核目录服务访问：失败
审核账户登录事件：成功 失败
　 审核账户管理：成功 失败
审核策略不需要全部打开，如对象访问的成功项。否则将会占用过多的系统资源。

5，IP安全策略的配置。
可下载现成的策略直接导入(详细配置方法可见网上文章)，如http://afei.blog.chinaz.com/PreviousFile/os/2006-1/128918890.rar ，下载后在管理工具--本地安全策略--IP安全策略 点右键选择-所有任务--导入策略，导入后，指派为新IP安全策略，然后在管理工具--本地安全策略--安全设置 点右键选择重新加载

6，关闭不必要和危险的系统服务

一个新安装好的windows 2000 server系统，默认应该是存在以下服务，设置为以下状态：

Alerter - 禁用 Application Management - 禁用

Automatic Updates - 可禁用

Background Intelligent Transfer Service - 禁用

ClipBook - 禁用

COM+ Event System - 手动

Computer Browser - 禁用

DHCP Client - 禁用

Distributed File System - 禁用

Distributed Link Tracking Client - 自动

Distributed Link Tracking Server - 禁用

Distributed Transaction Coordinator - 自动

DNS Client - 自动

Event Log - 自动

Fax Service - 禁用

File Replication - 禁用

IIS Admin Service - 自动

Indexing Service - 手动

Internet Connection Sharing - 手动

Intersite Messaging 禁用

IPSEC Policy Agent - 自动

Kerberos Key Distribution Center - 禁用

License Logging Service - 禁用

Logical Disk Manager - 自动

Logical Disk Manager Administrative Service - 手动

Messenger - 禁用

Microsoft Search - 禁用 (本服务在装了SQLSERVER2000 SP3后出现)

Net Logon - 手动

NetMeeting Remote Desktop Sharing - 手动

Network Connections - 自动

Network DDE - 手动

Network DDE DSDM - 手动

NT LM Security Support Provider - 手动

Performance Logs and Alerts - 手动

Plug and Play 自动

Print Spooler 禁用

Protected Storage 自动

QoS RSVP - 手动

Remote Access Auto Connection Manager - 手动

Remote Access Connection Manager - 手动

Remote Procedure Call (RPC) - 自动

Remote Procedure Call (RPC) Locator - 手动

Remote Registry Service 必须禁用

Removable Storage - 自动

Routing and Remote Access - 禁用

RunAs Service - 禁用

Security Accounts Manager 自动

Smart Card - 手动

Smart Card Helper - 手动

System Event Notification 自动

Task Scheduler 必须禁用

TCP/IP NetBIOS Helper Service 必须禁用

Telephony - 手动

Telnet 禁用

Terminal Services - 自动

Uninterruptible Power Supply - 手动

Utility Manager - 手动

Windows Installer - 手动

Windows Management Instrumentation 自动

Windows Management Instrumentation Driver Extensions 自动

Windows Time - 手动

Wireless Configuration - 手动

Workstation 自动

World Wide Web Publishing Service 自动

做为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。

7,修改注册表
　

删除如下目录的任何键：
HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2 Subsystem for NT

删除以下键：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironmentOs2LibPath

删除以下键：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptional
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosix

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2

 

8，修改终端服务的默认端口(如有必要才需要此操作，默认为3389，可随意修改为1-65535的端口)
打开注册表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations”处
找到类似RDP-TCP的子键，修改PortNumber值。

　

9，网卡的端口筛选(看具体情况配置，正常情况不需要做此配置，此项配置需重启才能生效)

网卡属性里的tcp/ip协议属性--->高级-->选项-->tcp/ip筛选属性-->

第一项:TCP端口：
只允许： ---(看具体这台服务器提供什么服务添加)
80 （www服务）
21 (一般的ftp默认)
53 (DNS服务)
110 (MAIL的SMTP服务)
25 (MAIL的POP3服务)
还有例如你的远程终端的端口(默认为3389，也有可能你改为别的端口，如6666，则加上6666)
　

第二项UDP端口：
此项可不添加，因为限制了以后，服务器则不能打开网页等操作(当然，也安全多了)

第三项IP协议：
ip协议：只允许6
　

10，IIS安全配置 开始-->程序-->管理工具-->Internet 服务管理器
默认的设置是有一个叫“默认站点”的站点，删除。
在IIS管理器中右击主机，进入属性，会出来一个叫 "*机器名属性"的窗口，在主属性下选择"WWW服务"，进入编辑
到主目录选项卡，进入应用程序设置下的配置，在应用程序映射里，你可以看到有htw, htr, idq, ida等扩展名的映射，
除了asp,asa,shtml,sthm,stm外，其它的统统删除，因为其余的映射几乎每个都有安全方面的漏洞。(这是在未装cgi之类服务的情况下，像cgi,安装后也会在这里自动添加映射,没有映射可就运行不了cgi程序了，同理，php或asp.net也一样)
默认的iis发布目录为c:Inetpub，将这个目录删除。在d盘或e盘新建一个目录(目录名随意,如WWW)，然后新建一个站点，将主目录指向你新建的目录。
这样做的目的是为了将站点和系统分开。不至于站点的安全设置出问题时危及到系统安全。

11，其它

网卡属性里的tcp/ip协议属性--->高级-->WINS-->选择 "禁用TCP/IP 上的NetBIOS"

删除C:WINNTWeb下的两个子目录(一个是桌面图片目录，一个是打印目录，打印目录存在的话好像IIS的默认站点一直会多一个Printer的目录出来)

 

四、系统相关目录及文件的权限设置

C、D、E等盘全部设置为仅Administrator组有完全控制权限(必须)

C:Program Files
这个目录，像连接数据库这些都是要读取的，是C盘下比较重要的权限设置。

设