NT/2000服务器终极安全设置与效率优化指南（3）

核心提示： .asa、可执行文件、批处理文件、日志文件、罕见扩展如：shtml、.printer等，三、总结以上两个工具功能强大，NT/2000服务器终极安全设置与效率优化指南（3）(9)，可以真正实现对IIS的保护，IISLockTool简单，如果你一旦使用了这个值，你的共享估计就全部完蛋了，相对而

.asa、可执行文件、批处理文件、日志文件、罕见扩展如：shtml、.printer等。

三、总结

以上两个工具功能强大，可以真正实现对IIS的保护。IISLock

Tool简单，相对而言，只是被动的防卫；UrlScan设置比较难，建议对IIS非常熟悉的管理员使用，只要设置得当，UrlScan的功能更加强大。在使用UrlScan的时候，切记不要设置一次万事大吉，需要不停跟踪新出现的漏洞，随时修改URLScan的配置文件。

3。高级篇：NT/2000的高级安全设置

1.禁用空连接，禁止匿名获得用户名列表

Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous

=

1来禁止139空连接，实际上win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：

0：None.Relyondefaultpermissions（无，取决于默认的权限1：Donotallowenumerationof

SAMaccountsandshares（不允许枚举SAM帐号和共享）2：Noaccesswithoutexplicitanonymous

permissions（没有显式匿名权限就不允许访问）

0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常危险。

1这个值是只允许非NULL用户存取SAM账号信息和共享信息。

2这个值是在win2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为1比较好。