虚拟主机安全配置与优化(2)

　　3.服务的配置

　　在Windows里面有很多服务，这些服务都是为了不同的需求而提供的。在这里我们要根据自己的环境来配置服务，禁用那些不要的服务.老生常谈的一句话："最少的服务+最小权限=最大的安全".

　　禁用那些用不到的服务：Alerter、ClipBook、Computer Browser、 Distributed File System、Indexing Service、Internet Connection Sharing、Messenger、NetMeeting Remote Desktop Sharing、Print Spooler、Remote Registry Service、Smart Card、Task Scheduler、TCP/IP NetBIOS Helper Service、Telnet、Windows Time、Workstation.关于为什么禁用Workstation服务我会在下面说到。

　　3.端口的配置

　　下面我来说一下怎样关闭常见的危险端口和一些无用的共享,如：默认共享。

　　在本地连接-属性中，把"Microsoft网络的文件和打印机共享"卸载掉。

　　在选定的组件中之留下TCP/IP协议和Microsoft网络客户端.大家可能会说为什么要留Microsoft网络客户端,根据前几天的调试，如果不装它的话，重新启动IIS的时候会提示“服务不能启动，无法验证的服务”。选中TCP/IP协议-属性-高级-WINS-禁用TCP/IP上的Netbios选项。把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI,Timeout双字节值改为0。建议大家设为0.这个键值对玩游戏有用，做虚拟主机我们用不到。

　　把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa项下的数值restrictanonymous,由0改为1。

　　在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters项下新建双字节值AutoShareServer值为0。

　　在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters项下新建双字节值SMBDeviceEnabled值为0。

　　在防火墙中添加IP规则，允许21、25、80、110。禁止135端口。最后启动禁止所有别的端口的通过。

　　我们也可以通过系统自带的本地安全策略和TCP/IP筛选来设置相应打开和关闭的端口。