WEB 服务器硬件配置方案

服务器硬件配置方案WEB、入门级常规服务器硬配置方案:硬件名称基本参数数量参考价奔腾E2160系列，LPGA封装,双核，工作功率65W,核心电压

1.25V,主CPU频1800MHZ,总线频率800MHZ,倍频9,外频200MHZ,128M—级缓1¥460存，1M二级缓存，指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T内存采纳封，频率Kingston DDRII6671G,PBGA667MHZ1¥135采纳Intel P965/ICH8芯片组，集成Realtek ALC662声卡芯片，适用主板Core2Extreme/Core2Quad/Core2Duo/奔腾4/赛扬D/PentiumD系1¥599列处理器前端总线频率FSB1066MHz台式机硬盘容量:160GB转速/分:7200转/分缓存（KB）:8000KB接硬盘1¥380口类型:Serial ATA接口速率:Serial ATA300机箱类型:金河田飓风n机箱样式:立式机箱结构:Micro ATX/ATX

3.5英机箱寸仓位:1个软驱仓位+6个硬盘仓位光驱仓位:4个产品电源:金河田1¥230355WB3C光驱选配，一般DVD光驱1—热器类型:CPU散热器散热方式:风冷风扇转数（RPM）:2200轴承类型:散热器合金轴承适用范围Intel LGA775conroe、PentiumD Pentium41¥60Celeron D全系列最大风量（CFM）:43CFMUPS UPS电源类型:后备式UPS额定输出容量:

0.5kva1¥200稳压器选配1—业小室r一般显示器1-鼠标键盘一般PS键盘和鼠标1¥100备注作为服务器，首先要保证不间断电源，机房要限制好相对温度和湿度这里有额外配置的WEB不间断电源和稳压器，此服务器配置能胜基本的恳求服务，如大量的数据交换，文件读写，UPS WEB可能会存在带宽瓶颈

二、顶级服务器配置方案登录事务胜利失败账户登录事务胜利失败系统事务胜利失败策略更改胜利失败对象访问失败书目服务访问失败特权运用失败

十二、其它平安相关设置、隐藏重要文件/书目

1、启动系统自带的连接防火墙，在设置服务选项中勾选服务器2Internet Web、防止洪水攻击3SYN禁止响应路由通告报文

4.ICMP.防止重定向报文的攻击5ICMP不支持协议

6.IGMP

7、禁用DCOM

十三、配置服务ns、不运用默认的站点，假如运用也要将将书目与系统磁盘分开1Web ns、删除默认创建的书目在安装系统的盘上2ns Inetpub、删除系统盘下的虚拟书目，如、3_vti_bin IISSamplesScriptsIIShelp IISAdminIlShelp MSADCo、删除不必要的扩展名映射4ns右键单击“默认站点-属性一主书目一配置”，打开应用程序窗口，去掉不必要的应用程序Web映射主要为.shtml,.shtm,.stm、更改日志的路径5ns右键单击“默认站点一属性-网站一在启用日志记录下点击属性Web、假如运用的是可以运用来爱护在运行的的版本不须要62000iislockdown IIS,2023IE

6.

0、运用7UrlScan但假如你在服务器运行程序，并要进行调试你需打开要％ASP.NETWINDIR%\System32\Inetsrv\URLscan文件夹中的文件，然后在节添加谓词，留意此节是区分大小写URLScan.ini UserAHowVerbsdebug的假如你的网页是网页你须要在删除相关的内容.asp DenyExtensions.asp假如你的网页运用了非代码，你须要在节中将的值设为在ASCII OptionAllowHighBitCharactcrs1对文件做了更改后，你须要重启服务才能生效，快速方法运行中输入假如URLScan.ini IISiisreset你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScano、利用工具对整个网站进行脆弱性扫描.8WIS WebInjection ScannerSQL Injection

十四、配置服务器Sql

1、System Administrators角色最好不要超过两个假如是在本机最好将身份验证配置为Win登陆不要运用账户，为其配置一个超级困难的密码删除以下的扩展存储过程格式为、Sa

23、use master

4、sp_dropextendedproc扩展存储过程名，xp-cmdshell是进入操作系统的最佳捷径，删除访问注册表的存储过程，删除Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues自动存储过程，不须要删除OLESp_OACreate Sp_OA DestroySp_OAGetErrorInfo Sp_OAGetPropertyXp_regread Xp_regwrite Xp_regremovemultistringSp_OAMethod Sp_OASetProperty Sp_OAStop、隐藏、更改默认的端口5SQLServer1433右击实例选属性-常规-网络配置中选择协议的属性，选择隐藏实例，并改原默TCP/IP SQLServer认的端口1433

十五、假如只做服务器，不进行其它操作，运用IPSec、管理工具一本地平安策略一右击平安策略一管理筛选器表和筛选器操作一在管理筛选1IP IP IP器表选项下点击添加一名称设为筛选器一点击添加一在描述中输入服务器一将源地址设为任何地址一Web WebIP一将目标地址设为我的地址一一协议类型设为协议端口第一项设为从随意端口，其次项IP Tcp——IP到此端口点击完成——点击确定80——、再在管理筛选器表选项下点击2IP添加一名称设为全部入站筛选器一点击添加一在描述中输入全部入站筛选一将源地址设为任何IP地址一一将目标地址设为我的地址一一协议类型设为随意一一点击下一步一一完成一一点击确定IP、在管理筛选器操作选项下点击添加一一下一步一一名称中输入阻挡一一下一步一一选择阻挡3——下一步一一完成一一关闭管理筛选器表和筛选器操作窗口IP、右击平安策略一一创建平安策略一一下一步一一名称输入数据包筛选器一一下一步一一4IPIP取消默认激活响应原则一一下一步一一完成、在打开的新平安策略属性窗口选择添加一一下一步一一不指定隧道一一下一步一一全部网络5IP连接一一下一步一一在筛选器列表中选择新建的筛选器一一下一步一一在筛选器操作中选择许IP Web可一一下一步一一完成一一在筛选器列表中选择新建的阻挡筛选器一一下一步一一在筛选器操作中IP选择阻挡一一下一步一一完成一一确定、在平安策略的右边窗口中右击新建的数据包筛选器，点击指派，不须要重启，就可生6IP IPSec效.

十七、如何配置一台坚实平安的服务器win2023）确定你要用它来干什么，须要开什么服务，什么是不必要的，没用地就别装（像什么的），不1Index必要的服务全都可以关掉在限制面版=＞管理工具中，自己看着办，如下服务是肯定要禁止的Remote RegistryServiceRunAs ServiceTaskSchedulerTelnetWindows Time其他不必要的服务可以设为手动方式和最好也关掉，要用的话，把管理公共字改掉SNMP ServiceSNMP TrapService）打补丁2确定你打上了Win2k SP2;）配置3IIS在管理器中，去处全部不必要的扩展关联（基本上除了等几个必要的和之类的外，1,US ASP/ASA CGI其他都可以去掉）有可能的话，可以安装一个还是有肯定效果的SecurellS,校验权限，差不多就自己看着办吧，不要被人家就可以了_*2,ftp tag〜）4MSSQLo首先，记得肯定要加一个难记得密码，不然就什么都完了然后记得升级和SQL

7.0SP2SQL2k SP

1.）5Terminal Servero打了基本就没太大问题，只要你的系统不是没密码SP2高级部分）类防火墙限制1这须要我们打开的服务，然后选择网络设置=＞网络界面属性=＞＞高级=＞选项简MS IPSECTCP/IP=洁一点的话，就用筛选，确定指开放那些端口，比如等等（惋惜开放服务的话，常TCP/IP80,1433ftp常会乱开端口的，难以确定）；要求高级的话，自己定义一个策略，可以精确的过滤例如某种类型等等…可以做到水泄不IPSEC ICMP通哦，不要到时候你自己也进不去了就好_*〜）设置2NetBI0S历史以来，是仅次于的平安问题最多的服务，简直就是后门打开netbios USwinnt至少做这样一条设置注册表编辑Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1可以禁止空用户连接，防止信息泄漏和其他更严峻的平安问题IPC$）加强3Terminal Server注册表编辑HKEY_LOCAL_MACHINESOFTWAREMicrosoft\WindowsNT\CurrentVersion\Winlogon\Dont DisplayLast UserName=1可以让别人在中看不到你上次登录的用户名，有平安了一点点（记住，别人获得你的信息越少，你就ts越平安））系统文件书目权限检查4基本的策略，可以在文件属性中修改，避开有完全限制的书目，大部分文件最好禁止everyone everyone写，甚至读对于系统的重要文件和书目，例如等等，可以用中的一个工具具体的system32Win2k ResoueceKit xacls加强访问限制）预防信息监测和攻击5DOS必要的话，打开或者自己添加一个平安策略，过滤掉和类型，这样别RSAS IPSECICMP EchoRedrict人你就不会有反映，而假如不通的话，可能别人就此罢手了_*而且缺省配置下，许多的漏ping ping〜洞扫描器不通就不扫了，西西（当然啦，假如你有更强的防火墙，哪就更好）肯定程度的ping DoS预防在注册表中更改以下值可以帮助你防HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters卫肯定强度的攻击DoSSynAttackProtect REG_DWORD2EnablePMTUDiscovery REG_DWORD0NoNameReleaseOnDemand REG_DWORD1EnableDeadGWDetect REG_DWORD0KeepAliveTime REG_DWORD300,000PerformRouterDiscovery REG_DWORD0EnablelCMPRedirects REG_DWORD0

十八、中提高的平安性Win2023FSO供应了强大的文件系统访问实力，可以对服务器硬盘上的任何文件进行操作，这给学校网站的平安ASP带来巨大的威逼供应了强大的文件系统访问实力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、ASP改名等操作，这给学校网站的平安带来巨大的威逼现在许多校内主机都遭遇过木马的侵扰但FSO是禁用组件后，引起的后果就是全部利用这个组件的程序将无法运行，无法满意客户的需求FSO ASP如何既允许组件，又不影响服务器的平安性呢（即不同虚拟主机用户之间不能运用FileSystemObject该组件读写别人的文件）？以下是笔者多年来摸索出来的阅历第一步是有别于设置的关键右击盘，点击“共享与平安”，在出现在对话框中Windows2000C选择“平安”选项卡，将、组删除，删除后假如你的网站连程序都不能运行，请添Everyone UsersASP加组（图）并重启计算机HS_WPG1,经过这样设计后，木马就已经不能运行了假如你要进行更平安级别的设置，请分别对各个磁FSO盘分区进行如上设置，并为各个站点设置不同匿名访问用户下面以实例来介绍（假设你的主机上盘E文件夹下设站点）Abe Abe.打开“计算机管理一本地用户和组一用户”，创建用户，并设置密码，并将“用户下次登1Abe录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于组Guests右击选择“属性一平安”选项卡,此时可以看到该文件夹的默认平安设置是完

2.E:\Abc,“Everyone全限制（视不同状况显示的内容不完全一样），删除的完全限制（假如不能删除，请点击［高Everyone级］按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除全部），添力口及Administrators用户对本网站书目的全部平安权限Abe打开管理器，右击主机名，在弹出的菜单中选择“属性一书目平安性”选项卡,点击身

3.US Abe份验证和访问限制的［编辑］,弹出图所示对话框，匿名访问用户默认的就是机器名”,点击2“IUSR_［阅读］,在“选择用户”对话框中找到前面创建的账户，确定后重复输入密码Abe

十九、建议假如你按本方案去操作，建议每做一项更改就测试一下服务器，假如有问题可以立刻撤消更改而假如更改的项数多，才发觉出问题，那就很难推断问题是出在哪一步上了

二十、运行服务器记录当前的程序和开放的端口、将当前服务器的进程抓图或记录下来，将其保存，便利以后比照查看是否有不明的程序

1、将当前开放的端口抓图或记录下来，保存，便利以后比照查看是否开放了不明的端口当然假如你2能辨别每一个进程，和端口这一步可以省略硬件名称基本参数PowerEdge2900CPU频率1600MHZ,标配2个Xeon E5310处理CPU器,8M缓存内存FB-DIMM,2GB,最大可配置48GBInter5000X系歹U,FSB总线频率4066MHZ,6个扩展槽；集成ATI主板ESI000限制器，含16MB SDRAM米纳DELL PowerEdgeSAS结构，146GB容量；标配内置硬盘托架支持多达8块35SAS或SATA硬盘热插拔硬盘；支持两个半高（HH）驱动器托架供应磁带或光驱设备（可2900Xeon选CD-ROM＞可选DVD-ROM或一体化CD-RW/DVD-ROM）E5310/2GB/146GB配置网卡双嵌入式Broadcom NetXtremeII5708千兆以太网卡机箱2个RJ.45（支持内置1GBNIC）后置、1个串口后置、6个通用串行总线标准接口（USB）

2.0端口（两个前置、4个后置）、2个视频（1个前置、1个后置）散热器6个+2个热插拔冗余风扇（6个标配，外加每个电源1个风扇）OpenManage＞标配主板管理限制器，含IMPI

2.0支持、可选DRAC5/i管理工具的先进功能备注:9系统支持1Windows Server2023R2Enterprise EditionWindows Server2023R2Web EditionWindowsServer2023R2x64Enterprise EditionWindows Server2023R2x64Standard EditionWindows StorageServer2023R2Workgroup Edition2,工作环境相对工作温度10℃・35℃,相对工作湿度20%・80%无冷凝，相对存储温度-40℃.65℃,相对湿度5%-95%无冷凝以上配置为统一硬件配置，为系列服务器标准配置，参考价位3,DELL¥13000服务器软件配置和平安配置方案WEB

一、系统的安装

1、依据Windows2023安装光盘的提示安装，默认状况下2023没有把HS

6.0安装在系统里面

2、IIS

6.0的安装起先菜单一＞限制面板一＞添加或删除程序一＞添加/删除Windows组件应用程序---------ASP.NET（可选）|——启用网络COM4-访问（必选）|-----Internet信息服务（IIS）Internet信息服务管理器（必选）I——公用文件（必选）|-----万维网服务---------Active Serverpages（必选）|——Internet数据连接器（可选）|——WebDAV发布（可选）I——万维网服务（必选）I——在服务器端的包含文件（可选）然后点击确定一＞下一步安装

3、系统补丁的更新点击起先菜单一＞全部程序一＞Windows Update依据提示进行补丁的安装

4、备份系统用GHOST备份系统

5、安装常用的软件例如杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统

二、系统权限的设置

1、磁盘权限系统盘及全部磁盘只给Administrators组和SYSTEM的完全限制权限系统盘\Documents andSettings书目只给Administrators组和SYSTEM的完全限制权限系统盘Documents andSettingsAH Users书目只给Administrators组和SYSTEM的完全限制权限系统盘\Inetpub书目及下面全部书目、文件只给Administrators组和SYSTEM的完全限制权限系统盘\Windows\System32\cacls.exe、cmd.exe＞net.exe＞netl.exe文件只给Administrators组和SYSTEM的完全限制权限

2、本地平安策略设置起先菜单—＞管理工具—＞本地平安策略A、本地策略——＞审核策略审核策略更改胜利失败审核登录事务胜利失败审核对象访问失败审核过程跟踪无审核审核书目服务访问失败审核特权运用失败审核系统事务胜利失败审核账户登录事务胜利失败审核账户管理胜利失败B、本地策略——＞用户权限安排关闭系统只有Administrators组、其它全部删除通过终端服务拒绝登陆加入Guests、User组通过终端服务允许登陆只加入Administrators组，其他全部删除C、本地策略——＞平安选项交互式登陆不显示上次的用户名启用网络访问不允许SAM帐户和共享的匿名枚举启用网络访问不允许为网络身份验证储存凭证启用网络访问可匿名访问的共享全部删除网络访问可匿名访问的命全部删除网络访问可远程访问的注册表路径全部删除网络访问可远程访问的注册表路径和子路径全部删除帐户重命名来宾帐户重命名一个帐户帐户重命名系统管理员帐户重命名一个帐户、禁用不必要的服务3起先菜单一＞管理工具一＞服务Print SpoolerRemoteRegistryTCP/IP NetBIOSHelperServer以上是在Windows Server2023系统上面默认启动的服务中禁用的，默认禁用的服务如没特殊须要的话不要启动

4、启用防火墙桌面一＞网上邻居一＞（右键）属性一＞本地连接一＞（右键）属性一＞高级一＞（选中）Internet连接防火墙—＞设把服务器上面要用到的服务端口选中例如一台WEB服务器，要供应WEB

（80）、FTP

（21）服务及远程桌面管理

（3389）在“FTP服务器”、“WEB服务器（HTTP）”、远程桌面”前面打上对号假如你要供应服务的端口不在里面，你也可以点击“添加”镂钮来添加，具体参数可以参照系统里面原有的参数然后点击确定留意假如是远程管理这台服务器，请先确定远程管理的端口是否选中或添加

三、平安配置Windows2023I.确保全部磁盘分区为分区NTFSI.操作系统、主书目、日志分别安装在不同的分区WebL不要安装不须要的协议，比如IPX/SPX,NetBIOSI.不要安装其它任何操作系统I.安装全部补丁用瑞星平安漏洞扫描下载I.关闭全部不须要的服务Alerter disableClipBookServer disableComputer Browser disableDHCPClient disableDirectoryReplicator disableFTPpublishing servicedisableLicense LoggingService disableMessengerdisableNetlogon disableNetworkDDE disableNetworkDDE DSDMdisableNetwork MonitordisablePlug andPlay disableafter allhardware configurationRemoteAccess Server disable*Remote ProcedureCall RPClocater disable*Schedule disable*Serverdisable*Simple Servicesdisable*Spooler disable*TCP/IP NetbiosHelper disable*Telephone Servicedisable■.帐号和密码策略保证禁止帐号1guest将改名为比较难猜的帐号2administrator密码唯一性记录上次的个密码36最短密码期限42密码最长期限542最短密码长度68密码困难化启用7passfilt.dll用户必需登录方能更改密码启用8帐号失败登录锁定的时限96锁定后重新启用的时间间隔分钟10720■.爱护文件和书目将等书目的访问权限做限制，限制C:\winnt,C:\winnt\config,C:\winnt\system32,C:\winnt\system的写权限，限制组的读写权限everyone users■.注册表一些条目的修改去除对话框中的按钮1logon shutdown将HKEY_LOCAL_MACHINE\SOFTWARE中\Microsoft\Windows NT\Current Version\Winlogon\值设为ShutdownWithoutLogon REG_SZ0去除信息的功能2logon cashing将HKEY_LOCAL_MACHINE\SOFTWARE中\Microsoft\Windows NT\Current Version\Winlogon\值设为CachedLogonsCount REG_SZ0限制匿名访问4LSA将HKEY_LOCAL_MACHINE\SYSTEM中\CurrentControlSet\Control\LSA值设为RestriCanonymous REG_DWORD1去除全部网络共享5将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\41值设为AutoShareServer REG_DWORD0

四、的平安配置IIS■.关闭并删除默认站点:默认站点FTP默认站点Web管理站点Web■.建立自己的站点，与系统不在一个分区，如建立书目，以后建立站点时的日志文件均位于此书目，确保此书目上的访D:\wwwroot

3.E:\Logfiles问限制权限是（完全限制）（完全限制）Administrators System■.删除的部分书目nsIISHelp C:\winnt\help\iishelpIISAdmin C:\system32\inetsrv\iisadminMSADC C:\Program Files\Common Files\System\msadc\删除C:\\inetpub■.删除不必要的映射和扩展IIS被预先配置为支持常用的文件名扩展如和文件接收到这些类型的文件恳求时，该IIS.asp.shtm IIS调用由处理假如您不运用其中的某些扩展或功能，则应删除该DLL映射，步骤如下选择计算机名，点鼠标右键，选择属性然后选择编辑然后选择主书目，点击配置选择扩展名点击删除\.htw\,\.htr\,\.idc\,\,ida\,\.idq\^U\.printed,假如不运用则删除和server sideinclude,\.shtm\\.stm\\.shtml\*.禁用父路径“父路径”选项允许您在对诸如函数调用中运用在默认状况下，该选项MapPath处于启用状态，应当禁用它禁用该选项的步骤如下右键单击该站点的根，然后从上下文菜单中选择“属性”Web单击“主书目”选项卡单击“配置”单击“应用程序选项”选项卡取消选择“启用父路径”复选框*.在虚拟书目上设置访问限制权限主页运用的文件依据文件类型应运用不同的访问限制列表（）CGI.exe,.dll,d,.pl（）Everyone X（完全限制）Administrators（完全限制）System脚本文件（.asp）（）Everyone X（完全限制）Administrators（完全限制）System文件（）include.inc,.shtm,.shtml（）Everyone X（完全限制）Administrators（完全限制）System静态内容（）.txt,.gif,jpg,.html（）Everyone R（完全限制）Administrators完全限制System在创建站点时，没有必要在每个文件上设置访问限制权限，应当为每个文件类型创建一个新Web书目，然后在每个书目上设置访问限制权限、允许访问限制权限传给各个文件例如，书目结构可为以下形式D:\wwwroot\myserver\static.html D:\wwwroot\myserver\include.inc D:\wwwroot\myserver\script■.启用日志记.asp D:\wwwroot\myserver\executable.dll D:\wwwroot\myserver\images.gif,.jpeg录确定服务器是否被攻击时，日志记录是极其重要的应运用扩展日志记录格式，步骤如下W3C打开服务管理器Internet右键单击站点，然后从上下文菜单中选择“属性”单击站点”选项卡“Web选中“启用日志记录”复选框从“活动日志格式”下拉列表中选择扩展日志文件格式”“W3C单击“属性”单击“扩展属性”选项卡，然后设置以下属性*客户地址IP*用户名*方法*资源URI*状态HTTP・Win32状态*用户代理*服务器地址IP*服务器端口

五、删除默认共享和禁用连接Windows Server2023IPC是共享“命名管道”的资源，它是为了让进程间通信而开放的命名IPC$Internet ProcessConnection管道，通过供应可信任的用户名和口令，连接双方计算机即可以建立平安的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问它是特有的功能，但它有一个特Windows NT/2000/XP/2023点，即在同一时间内，两个之间只允许建立一个连接在供应了功能的同时，IP NT/2000/XP/2023ipc$在初次安装系统时还打开了默认共享，即全部的逻辑共享和系统书目或c$,d$,e$……winnt共享全部的这些，微软的初衷都是为了便利管理员的管理，但也为简称为入侵windowsadmin$IPC者有意或无意的供应了便利条件，导致了系统平安性能的降低在建立的连接中不须要任何黑客工IPC具，在吩咐行里键入相应的吩咐就可以了，不过有个前提条件，那就是你须要知道远程主机的用户名和密码打开后输入如下吩咐即可进行连接我们可以通过修CMD netuse\ipipc$password/user:usernqmeo改注册表来禁用连接打开注册表编辑器找到如下组建IPC中的子键，将其值改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa restrictanonymous为即可禁用连接1IPC

六、清空远程可访问的注册表路径大家都知道，操作系统供应了注册表的远程访问功能，只有将远程可访问的注册表Windows2023路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息.打开组策略编辑器，依次绽开“计算机配置一设置一平安设置一本地策略一平安选项”，在Windows右侧窗口中找到“网络访问可远程访问的注册表路径然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可（如图）7

七、关闭不必要的端口对于个人用户来说安装中默认的有些端口的确是没有什么必要的，关掉端口也就是关闭无用的服务端口是协议所运用的端口，在安装了协议的同时，也会被作为默认设置139NetBIOS TCP/IP NetBIOS安装到系统中端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过知道你的139NetBIOS电脑中的一切！在以前的版本中，只要担心装网络的文件和打印共享协议，就可关Windows Microsoft闭端口但在中，只这样做是不行的假如想彻底关闭端口，具体步骤139Windows Server2023139如下鼠标右键单击“网络邻居力选择“属性进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页（如图）8,然后去掉网络的文件和打印共享”前面的（如图）“Microsoft9,接下来选中“Internet协议（TCP/IP）”,单击“属性”一“高级”一“WINS”，把“禁用TCP/IP上的选中，即任务完成（如图）NetBIOS10!对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了假如你的电脑中还装了你最好重新设置一下端口过滤步骤如下选择网卡属性，然后双击ns,协议（）在出现的窗口中单击“高级”按钮，会进入“高级设置”窗口，接下“Internet TCP/IP”,TCP/IP来选择“选项”标签下的筛选”项，点“属性”按钮，会来到筛选”的窗口，在该窗“TCP/IP“TCP/IP口的“启用筛选（全部适配器）”前面打上“然后依据须要配置就可以了假TCP/IP如你只准备阅读网页，则只开放端口即可，所以可以在端口”上方选择“只允许”，然TCP80“TCP后单击“添加”按钮，输入再单击“确定”即可80

八、杜绝非法访问应用程序是一种服务器操作系统，为了防止登陆到其中的用户，随意启动服务器中的Windows Server2023应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要依据不同用户的访问权限，来限制他们去调用应用程序事实上我们只要运用组策略编辑器作进一步的设置，即可实现这一目的,具体步骤如下打开“组策略编辑器”的方法为依次点击“起先一运行”，在“运行”对话框中键入“gpedit.msc”吩咐并回车，即可打开“组策略编辑器”窗口然后依次打开“组策略限制台一用户配置一管理模板一系统”中的“只运行许可的应用程序”并启用此策略.w in do ws然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可

九、设置和管理账户＞系统管理员账户最好少建，更改默认的管理员帐户名和描述，密码最好采纳数字1Administrator加大小写字母加数字的上档键组合，长度最好不少于位

14、新建一个名为的陷阱帐号，为其设置最小的权限，然后随意输入组合的最好不低2Administrator于位的密码

20、将账户禁用并更改名称和描述，然后输入一个困难的密码，当然现在也有一个的3Guest DelGuest工具，或许你也可以利用它来删除账户，但我没有试过Guest、在运行中输入回车，打开组策略编辑器，选择计算机配置设置-平安设置-4gpediLmsc-Windows账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时时间间隔分钟”，“复位锁定计60数设为分钟二

30、在平安设置-本地策略-平安选项中将“不显示上次的用户名”设为启用

5、在平安设置-本地策略-用户权利安排中将“从网络访问此计算机”中只保留来宾账户、6Internet启动进程账户假如你运用了还要保留账户MS Asp.net Aspnet、创建一个账户，运行系统，假如要运行特权吩咐运用吩咐7User Runas

十、网络服务平安管理、禁止、、一类的缺省共享1C$D$ADMIN$、解除与协议的绑定2NetBios TCP/IP、关闭不须要的服务，以下为建议选项3维护网络计算机更新，禁用ComputerBrowser:局域网管理共享文件，不须要禁用Distributed FileSystem:Distributed linktrackingclient用于局域网更新连接信息，不须要禁用Error reportingservice禁止发送错误报告MicrosoftSerch供应快速的单词搜寻，不须要可禁用NTLMSecuritysupportprovidetelnet服务和Microsoft Serch用的，不须要禁用PrintSpooler假如没有打印机可禁用RemoteRegistry禁止远程修改注册表Remote DesktopHelp SessionManager禁止远程帮助

十一、打开相应的审核策略在运行中输入回车，打开组策略编辑器，选择计算机配置设置-平安设置-审gpedit.msc-Windows核策略在创建审核项目时须要留意的是假如审核的项目太多，生成的事务也就越多，那么要想发觉严峻的事务也越难当然假如审核的太少也会影响你发觉严峻的事务，你须要依据状况在这二者之间做出选择举荐的要审核的项目是。