6.从ISM(Internet Service Manager)中删除如下目录
IISSamples
Scripts
IISAdmin
IISHelp
IISADMPWD
7.删除不必要的IIS扩展名映射
从ISM中:
选择计算机名,点鼠标右键,选择属性
然后选择编辑
然后选择主目录, 点击配置
选择扩展名 ".HTA", ".HTR" 和 ".IDC" ,点击删除
如果不使用server side include,则删除".shtm" ".stm" 和 ".shtml"
8.禁止缺省的www站点
9.禁止管理员从网络登陆
使用NT resouce kit中的工具passprop,执行如下命令:
passprop /adminlockout /complex
10.仅开放使用的端口
在控制面板中选择网络,点击属性择TCP/IP协议并点击属性
点击高级选项
选择"启用安全机制"并点击"配置"
将允许所有改为仅允许如下的端口:
TCP Ports UDP Ports IP Protocols
80 HTTP 161 SNMP 6
443 SSL 162 SNMP 8
22 SSH
11.仅安装TCP/IP协议
在控制面板中选择网络,点击协议,删除所有非TCP/IP的协议
12.禁止NetBIOS
在控制面板中选择网络,点击绑定, 选择NetBios接口,然后点击禁用
13.移动部分重要文件并加访问控制
创建一个只有系统管理员能够访问的目录,比如:
d:\admin
将system32目录下的如下文件移动到上面创建的目录:
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
edlin.exe, ping.exe, route.exe,at.exe,finger.exe,posix.exe,rsh.exe,
atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe,
rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe,
regedit.exe, edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe,
cmd.exe,nslookup.exe