一、注冊本表安全配置

1、 禁止非法訪問者拿到系統用戶列表，設置如下：Hkey_Local_Machine\ System\ CurrentControlSet\ Control\ Lsa 下的 RestrictAnonymous 項設置為“ 2 ” ;修改Win 2000的本地安全策略 設置“本地安全策略→本地策略→選項”中的RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。 ;

2、 （w2k only）禁止用戶登錄后的用戶名留在登錄界面中，提高安全系數，設置如下：Hkey_Local_Machine\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon下的DontDisplayLastUserName項設置為“1”;

3、 更改終端服務端口，服務器設置如下：Hkey_Local_Machine\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp 下的 PortNumber項設置為自己希望的端口，如“5000”等，

客戶端配置如下：在“開始”——“程序”——“終端服務客戶端”——“客戶端連接管理器”中選定一個連接，然后在“文件”——“導出”*.CNS文件，用記事本打開這個.CNS文件，找到SERVER PROT項，改為同服務器一樣的端口，保存設置之后再將這個.CNS文件導入原來的連接；

4、 關閉Direct Draw,這是C2級安全標準對視頻卡和內存的要求。關閉Direct Draw受影響的程序如：在服務器上玩高級游戲（沒必要），設置方法如下：Hkey_Local_Machine\System\CurrentControlSet\Control\GraphicsDrivers\DCI下的Timeout(REG_DWORD) 項設置為“0”即可；

5、 去除logon信息的cashing功能 

將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中CachedLogonsCount REG_SZ 值設為0

6、刪除注冊表中的以下注冊表主鍵，以防網頁木馬：

Wscript.Shell

Wscript.Shell.1

Shell.application

Shell.application.1

Wscript.NETWORK

Wscript.NETWORK.1

刪除后要重啟

二、 賬號安全配置

1、Guest 賬號必須禁止，并設置一個又長又復雜的密碼

2、 設置賬號陷井，把Administrator更改為黑客猜測不到的用戶名，并修改賬號的描述信息；

3、 設置密碼策略，密碼長度不低于7位或14位，“密碼必須符合復雜性要求”改為“啟用”，密碼最長存留期改為40天（41為黑客戶暴力破解期）；

4、 設置“審核策略”，審核賬戶登錄事件的成功與失敗，賬戶管理的成功與失敗等事件；

三、 關閉系統的一些默認設置

1、假若沒來設置系統“警報”的話，關閉“信使服務”，以防止被黑客利用“信使服務”發送大量的信息導致系統癱瘓;

2、關閉默認共享，打開 管理工具——計算機管理——共享文件夾——共享，在相應的共享文件夾上按右鍵，點停止共享即可，不過機器重新啟動后，這些共享又會重新開啟的；

（如果想禁止%DriveLetter%$的默認共享，可以在注冊表的以下位置 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 新建名稱：AutoShareServer 類型: REG_DWORD 值: 0

如果想禁止Admin$的默認共享，可以在注冊表的以下位置 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 新建名稱：AutoShareWks 類型: REG_DWORD 值: 0）

3、禁止dump file的產生，以防黑客利用系統出錯信息獲得系統程序的敏感信息，設置方法如下：控制面板——系統屬性——高級——“啟動和故障恢復”，將“寫入調試信息”改成“無”

4、防止.asa、.mdb文件被非法下載。在“internet服務器”——“WWW服務主屬性”——“主目錄”——“應用程序配置”選.asa、.mdb擴展名，——“編輯”，去掉“腳本引擎“的選擇勾。

4、將系統的REMOTE REGISTRY SERVICES關閉（默認此服務是打開的，而這是WIN2000中最危險的服務了），pwdump3就無法對你的系統密碼檔進行dump了。當然，這只能欺騙一下那些所謂的“黑客”，因為他只要有ADMIN權限的用戶，當然也可以遠程的將此服務打開。

5、禁止FSO功能。

(1)修改注冊表，將FileSystemObject改成一個任意的名字，只有知道該名字的用戶才可以創建該對象[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID] @="scripting.FileSystemObject"

(2)運行Regsvr32 scrrun.dll /u，所有用戶無法創建FileSystemObject。

(3)運行cacls %systemroot%\system32\scrrun.dll /e /d guests，匿名用戶（包括IUSR_Machinename用戶,2003用Users）無法使用FileSystemObject，我們可以對ASP文件或者腳本文件設置NTFS權限<