最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU，例如将IIS的最大CPU使用率在70%。

　　3．账号安全：

　　Win2000的账号安全是另一个重点，首先，Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来139空连接，实际上win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的

　　选项RestrictAnonymous（匿名连接的额外），这个选项有三个值：

　　0：None.Relyondeultpermissions（无，取决于默认的权限）

　　1：DonotallowenumerationofSAMaccountsandshares（不允许枚举SAM帐号和共享）

　　2：Noaccesswithoutexplicitanonymouspermissions（没有显式匿名权限就不允许访问）

　　0这个值是系统默认的，什么都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常。

　　1这个值是只允许非NULL用户存取SAM账号信息和共享信息。

　　2这个值是在win2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为1比较好。

　　好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了……慢着，至少还有一个账户是可以跑密码的，这就是系统内建的administrator，怎么办？我改改改，在计算机管理->用户账号中右击administrator然后改名，改成什么随便你，只要能记得就行了。

　　不对不对，我都已经改了用户名了，怎么还是有人跑我管理员的密码？幸好我的密码够长，但是这也不是办法呀？嗯，那肯定是在本地或者TerminalService的登录界面看到的，好吧，我们再来把

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’tDisplayLastUserName串数据改成1，这样系统不会自动显示上次的登录用户名。

　　将服务器注册表

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon项中的Don‘tDisplayLastUserName串数据修改为1，隐藏上次登陆控制台的用户名。

　　（哇，世界清静了，无聊中在摸一次~~）

　　5．安全日志：我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去凶手，

　　我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

　　账户管理成功失败

　　登录事件成功失败

　　对象访问失败

　　策略更改成功失败

　　使用失败

　　系统事件成功失败

　　目录服务访问失败

　　账户登录事件成功失败

　　审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。与之相关的是：

　　在账户策略->密码策略中设定：

　　密码复杂性要求启用

　　密码长度最小值6位

　　强制密码历史5次

　　最留期30天

　　在账户策略->账户锁定策略中设定：

　　账户锁定3次错误登录

　　锁定时间20分钟

　　复位锁定计数20分钟

　　同样，TerminalService的安全日志默认也是不开的，我们可以在TerminalServiceConfigration

　　（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

　　7.目录和文件权限：

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（FullControl），你需要根据应用的需要进行权限重设。

　　在进行权限控制时，请记住以下几个原则：

　　1>限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；

　　2>的权限要比允许的权限高（策略会先执行）如果一个用户属于一个被访问某个资源的组，那么不管其他的权限设置给他了多少权限，他也一定不能访问这个资源。所以请非常小心地使用，任何一个不当的都有可能造成系统无法正常运行；

　　3>文件权限比文件夹权限高（这个不用解释了吧？）

　　4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；

　　5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；

　　8.一定程度预防DoS：

　　在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS

　　路由器密码查看器SynAttackProtectREG_DWORD2

　　EnablePMTUDiscoveryREG_DWORD0

　　NoNameReleaseOnDemandREG_DWORD1

　　EnableDeadGWDetectREG_DWORD0

　　KeepAliveTimeREG_DWORD300,000

　　PerformRouterDiscoveryREG_DWORD0

　　EnableICMPRedirectsREG_DWORD0

　　ICMP：ICMP的风暴和碎片也是NT主机比较头疼的方法，其实应付的方法也很简单，win2000自带一个Routing&RemoteAccess工具，这个工具初具路由器的雏形（微软真是的，什么都要做？听说最近又要做防火墙了）在这个工具中，我们可以轻易的定义输入输出包过滤器，例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文（让你炸？我丢、丢、丢）

　　四、需要注意的一些事：

　　实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用而不是做OPENHACK的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的，随着网络结构的变化、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。