安全配置Windows2000服务器

然后是应用程序的配置。在IIS管理器中把无用映射都统统删除（当然必须保留如ASP、ASA等）。在IIS管理器中"主机→属性→WWW服务编辑→主目录配置→应用程序映射"，然后开始一个个删吧。接着再在应用程序调试书签内，?quot;脚本错误消息"改为"发送文本"。点击"确定"退出时别忘了让虚拟站点继承刚才设定好的属性。
　　最后，为了保险起见，可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果怕IIS负荷过高导致服务器死机，也可以在性能中打开CPU限制，如将IIS的最大CPU使用率限制在70%。

三、 账号安全

首先，WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到你的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接，实际上WIN2K的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有这样的选项RestrictAnonymous（匿名连接的额外限制），其中有三个值：

"0"：None， Rely on default permissions（无，取决于默认的权限）

"1"：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM账号和共享）

"2"：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）

"0"这个值是系统默认的，没有任何限制，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等，对服务器来说这样的设置非常危险。"1"这个值是只允许非NULL用户存取SAM账号信息和共享信息。"2"这个值只有WIN2K才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为"1"比较好。