加固NT和IIS的安全(3)

　6．从ISM(Internet Service Manager)中删除如下目录

IISSamples
Scripts
IISAdmin
IISHelp
IISADMPWD

　　7．删除不必要的IIS扩展名映射

　　从ISM中：

选择计算机名，点鼠标右键，选择属性
然后选择编辑
然后选择主目录， 点击配置
选择扩展名 ".HTA", ".HTR" 和 ".IDC" ，点击删除
如果不使用server side include，则删除".shtm" ".stm" 和 ".shtml"

　　8．禁止缺省的www站点

　　9．禁止管理员从网络登陆

　　使用NT resouce kit中的工具passprop,执行如下命令：

passprop /adminlockout /complex

　　10．仅开放使用的端口

在控制面板中选择网络，点击属性择TCP/IP协议并点击属性
点击高级选项
选择"启用安全机制"并点击"配置"
将允许所有改为仅允许如下的端口：
TCP Ports UDP Ports IP Protocols
80 HTTP 161 SNMP 6
443 SSL 162 SNMP 8
22 SSH

　　11．仅安装TCP/IP协议

在控制面板中选择网络，点击协议，删除所有非TCP/IP的协议

　　12．禁止NetBIOS

在控制面板中选择网络，点击绑定, 选择NetBios接口，然后点击禁用

　　13．移动部分重要文件并加访问控制

　　创建一个只有系统管理员能够访问的目录，比如：

　　d:\admin

将system32目录下的如下文件移动到上面创建的目录：

xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
edlin.exe, ping.exe, route.exe,at.exe,finger.exe,posix.exe,rsh.exe,
atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe,
rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe,
regedit.exe, edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe,
cmd.exe,nslookup.exe