局域网服务器安全设置 局域网的服务

如何搭建局域网服务器

问题一：如何组建一个局域网服务器 “局域网”在狭义上，指的是硬件。

创新互联专注骨干网络服务器租用10多年，服务更有保障！服务器租用，四川绵阳服务器托管 成都服务器租用，成都服务器托管，骨干网络带宽，享受低延迟，高速访问。灵活、实现低成本的共享或公网数据中心高速带宽的专属高性能服务器。

也就是说，你将服务器、各客户机的网卡接上网线，把网线接到交换机上，你的局域网就OK了，呵呵。

至于这个局域网你会不会用，怎么用，那就是你的事了，正象我们的组装电脑，硬件OK了，但是软件、及设置还得自个来啊，呵呵。

如果你没有经验，如果你只是想让客户机通过服务器能上网，那很容易，保证服务器能正常上网后。

去服务器中：

右键点 网上邻居-》属性-》对着上网对应的那个网络（如果是ADSL拔号，请对着对应的拔号的那个东西）点右键-》“高级”页-》把Internet联接共享的钩钩上，并选择用于联接局网的网卡作为“家庭网络联接”用。确认后，服务器的IP会自动设成192.168.0.1，并打开HDCP服务（注意，这个HDCP服务是不受控的，不能在控制面版里的HDCP里设定）。

各客户机：

网络邻居的属性中，让各客户机的IP为自动分配便可（安装后默认它们就是）。

这种方法架好后，在服务器先起动的情况下，各客户机会自动从服务器分配好IP，IP的前三位为192.168.0。

注意，这种方法是没有防护能力的，各客户端可以自由抢带宽，只要服务器能正常上网，开着，客户端都开着。如果有人不自觉，使用多线程下载，甚至BT下载类的东西，别的客户端的网速将受到严重影响。

使用软件的方法有使用CCproxy等专用软件，可管理性强，网络自由度高，安全性强，可对客户端行为做一些控制，比如限制线程、限制BT等。缺点是通用性不怎么好，某些网络游戏等东西会受一定的影响。

使用硬件路由，一般的个人用路由也没有多少防护能力，但比win自身的防护力强一些。最大的好处是稳定性强，并且它便宜，只要150元左右。而且它的通用性好，绝大多数的软件、游戏都没问题。最大的问题是很多地区的电信等对它的便用作了针对性的限制。

问题二：如何建立（公司）内部使用的局域网服务器？ 这要看公司信息点多少，要达到什么要求了。

1、组建内网。如果几十台电脑，用二层交换机甚至HUB连在一起，配好IP，就是一个简答的小局域网了。如果数百台以上，为了方便管理，抑制网络风暴，就需要三层交换机划分VLAN。

2、控制计算机上网。现在一般都在防火墙上做设置，这是电脑连接外网的最后一道出口。在防火墙可配置那些IP允许连接外网，那些IP不能。如果公司规模小，没有防火墙，可在路由器上做mac过滤来控制。

3、局域网内部管理，可搭建域服务器来实现管理。

无论是交换机配置，还是防火墙配置，域管理，都有很深的学问在里面，需要刻苦研究。你可以把具体情况和要求说一说，大家研究一下。

问题三：怎么在Win7系统中搭建局域网Web服务器 参考百度经验上的相关操作方法：

jingyan.baidu/...a

问题四：局域网时间服务器怎么搭建？ 1.默认情况下，独立服务器WINDOWS SERVER 2003 是作为NTP客户端工作的 ，所以必须通过修改注册表，让它作为NTP服务器运行。工作之前最好先备份注册表文件。 2.修改以下选项的键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer内的「Enabled」设定为1，打开NTP服务器功能（默认是不开启NTP Server服务，除非电脑升级成为域控制站） 3 修改以下键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags设定为5．该设定强制主机将它自身宣布为可靠的时间源，从而使用内置的互补金属氧化物半导体 (CMOS) 时钟。（设定好后就要确定本机的电池要耐用了，做成时间服务器，时间一出错就头大了，呵呵） 如果要采用外面的时间服务器就用默认的a值即可． 4．我这边的服务器同步用外部服务器，地址为210.72.145.44 (中国国家授时中心） 5．重启Win32Time服务： net stop w32Time net start W32Time 6．至此，已完成服务器端设定． 7．客户端的设定更改注册表即可． HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient SpecialPollInterval 值修改成十进制43200 （单位为秒，43200为12小时） SpecialPollTimeRemaining 值修改成［时间同步服务器］,0 如：192.168.1.1,0

问题五：怎么只用一个路由器搭建局域网？ 三台电脑全部接在路由器的LAN口上，不要接在WAN口上。三台电脑要设置在同一个网段，而且每个电脑要安装网络共享服务，你可以查下相关资料。

1、局域网里的每台电脑设采用指定的IP地址；这样方便访问；

2、每台电脑的共享模式采用简单共享

3、关闭每台电脑的windows防火墙；

4、如果电脑安装的杀毒软件是瑞星，则需设置白名单为你局域网的IP网段；并且允许局域网内的电脑互ping；

5、设置每台电脑上的打印机为共享；

6、点开始――运行，输入\\192.168.1.X（某台电脑的IP地址）

7、在随后出现的共享打印机的图标上点右键，点连接，即可完成。

注：有些电脑设置了访问口令，如果不是特别设置的用户名，则需输入对方电脑的访问口令，如果删除了administrator管理员帐号，有可能会无法访问打印机。

zhidao.baidu/question/101024233?si=1

一、先选定一台电脑连接打印机，并安装好打印机驱动，并设为共享打印机。

1、共享打印机必须在网络上把文件夹和打印机共享的协议添加上。在win98系统在网上邻居的右键属性，在里面把文件夹和打印机共享的协议。在2000/XP上在本地连接的右键属性，在网络的文件和打印机共享打上勾。作为了这台计算机就是打印服务机。

2、在安装打印机后的打印机图标上按右键，设为共享。

3、记住这台设为打印机服务的电脑的计算机名。

二、在局域网中其他计算机上搜索这台打印服务的计算机，出来的结果，点击这台计算机，进入后在再点击共享的打印机，就能共享打印机了。如果这个打印机服务电脑设有密码，提示你要输入的话，第一次访问时，输入打印机服务器的计算机名和密码，并选择保存。

（注：Win98安装共享必须在工作端本机安装打印机程序，在添加的时候提示要驱程，要把打印机的驱动程序放入光盘，指定路径，在不同系统下工作客户端有可能要使用到打印机驱动程序）。

注意端口问题：

1、打印机一般有两种接口：1是LPT，2是USB，或者是两种并存，但有些打印机安装后默认为LPT1，如果你的是USB，在安装后的打印机图标上按右键，属性，在端口上选择USB for printer port。

用打印并口的就是LPT1。如果你接的是USB口，但在端口上没有找USB端口，那就是你的打印机驱动程序没有装好。

2、如果你的工作端电脑本身有打印机，或者曾经安装过打印机，在打印的时候要注册选择网络共享的打印机。除非你已经在共享的打印机图标上按右键设为默认。

zhidao.baidu/question/32604930?si=3

问题六：要组建局域网服务器网络，有什么要求 吞吐量是指在单位时间内中央处理器（CPU）从存储设备读取-处理-存储信息的量。

影响吞吐量因素：

1、存储设备的存取速度，即从存储器读出数据或数据写入存储器所需时间；

2、CPU性能：1）时钟频率；

2）每条指令所花的时钟周期数（即CPI）；

3）指令条数；

3、系统结构，如并行处理结构可增大吞吐量。

所以具体数值要根据你的应用综合的来衡量。

问题七：如何搭建一个局域网流媒体服务器 所谓流媒体技术，是指将连续的影像和声音信息经过压缩处理后放在网站服务器上，让用户能够一边下载一边观看、收听（即所谓的“在线欣赏”），而不需要等整

个压缩文件下载到自己的机器上才可以欣赏的网络传输技术。目前，在这个领域中的竞争者主要有微软、RealNetworks、Apple三家公司，例如微

软新近发布了Windows Media Services 9、RealNetworks公司新近发布的Helix

Platform、Apple新近发布的Darwin streaming server 4.1，意图在流媒体领域大干一场。

一般来说，一个完整的流媒体服务系统需要三个部分组成：编码器、流服务器和播放器。编码器通过对内容来源（如MP3文件或者麦克风输入）进行编码，并将编

码过的内容发送到流服务器；流服务器再将它们发布到Internet，这样客户端的播放器只要连接到流服务器就可以进行在线播放了。

利用Winamp架设MP3网络电台

当我们静静地在欣赏美妙的MP3音乐时，你是否曾经考虑过将这些原本属于个人的MP3音乐通过网络在局域网内进行发布，甚至还可以通过Internet进

行发布？这样就可以让遍布世界的朋友们与你一起共享MP3音乐之旅。其实，要做到这一点并不难，你只要将本机创建为一台MP3流媒体服务器，将自己所喜爱

的MP3音乐不停播放，然后通知朋友们访问你的这台MP3服务器就可以了。

说起MP3的播放，使用最广泛的莫过于Winamp了。对于MP3流媒体服务这个领域，Winamp的开发者Nullsoft公司当然不会放弃，专门发布

了面向MP3的流服务器SHOUTcast Server。虽然它的功能没有Windows Media Server和Real

Server强大，但它不仅对硬件的要求极低，更关键的是完全免费，使用起来没有后顾之忧。另外你还需要下载一个名为SHOUTcast DSP

Plug-in的插件，只有安装了这个不起眼的插件，Winamp才能支持流媒体服务。

首先打开Winamp（请注意版本号必须在2.22以上），切换到“Options” | “Preferences”|

“DSP/Effect”标签页，选中“Nullsoft SHOUTcast Source DSP

v1.8.2a[dsp_sc.dll]”下的“Configure”按钮。打开“SHOUTcast

Source”窗口，选择“Output”标签页，如图1所示，在“Address”栏内填入本机的IP地址。如果你想在Internet上广播MP3音

乐，则必须键入本机的外部IP地址，然后就可以从程序组中运行SHOUTcast

DAAS（GUI）程序以启动SHOUTcast服务。这时系统会自动连接到服务器，接下来请返回图1窗口点击“Connect”按钮。如果连接成功，该

按钮会变为“disconnect”字样，这样我们就完成了在本机架设MP3流服务器的全部过程。

架设REAL格式的视频点播中心

如果是架设视频点播服务器，那么选择Real格式是非常明智的。因为RealProducer Plus这款功能强大的软件操作相当简单，每次使用时会弹出一个向导对话框进行操作提示。目前最新版本是10.0，我们只要选择8.5.1以上的版本即可。

从“工具”菜单下选择“创建网页”命令，此时会弹出一个如图2所示的向导式对话框，点击“前进”按钮选择你希望用于创建Web页面的Real多媒体文件。

随后RealProducer会询问是创建......

问题八：如何建立局域网内客户端和服务器连接？ 因WIN2003的安全设置较复杂，所以从低版本的XP、2000系统进行连接需要进行下列几项配置：1、在服务器上设置个共享文件夹，如果能访问就可以了；2、如果不能访问就关防火墙，服务器开guest帐户；3、在组策略里把拒绝从网络访问这台计算机中的guest删除；4、登陆方式改成以本地方式登陆；5、若服务器与客户端在不同网段或工作组，须配置WINS服务； 查看原帖

问题九：如何组建公司内部局域网 这要看公司信息点多少，要达到什么要求了。

1、组建内网。如果几十台电脑，用二层交换机甚至HUB连在一起，配好IP，就是一个简答的小局域网了。如果数百台以上，为了方便管理，抑制网络风暴，就需要三层交换机划分VLAN。

2、控制计算机上网。现在一般都在防火墙上做设置，这是电脑连接外网的最后一道出口。在防火墙可配置那些IP允许连接外网，那些IP不能。如果公司规模小，没有防火墙，可在路由器上做mac过滤来控制。

3、局域网内部管理，可搭建域服务器来实现管理。

无论是交换机配置，还是防火墙配置，域管理，都有很深的学问在里面，需要刻苦研究。你可以把具体情况和要求说一说，大家研究一下。

问题十：小公司怎么建立局域网共享服务器？ 做ftp吧，更不同的部门建立不通的帐号关联不通文件夹不同的权限

局域网面临安全问题有哪些

面临的安全如下：

一，设置权限以保证数据安全

为文件或者文件夹指定合适的权限，可极大地保证数据的安全。

1，只授予用户最低级别的权限。如某用户只需要读一个文件，那么仅给其授予对该文件的“读取”权限。这可以在一定程度上避免无意修改或删除重要文件的可能；

2，为个人数据和应用程序文件夹指定权限时，可以授予“读取及运行”权限，可以在一定程度上避免应用程序及数据被无意破坏；

二，用户安全设置

1，删除不必要的用户，去掉所有的Duplicate User 用户、测试用户、共享用户等等。用户组策略设置相应的权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口；

2，把共享文件权限从everyone 组改成授权用户：任何时候都不要把共享文件的用户设置成“everyone”组，包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。

三，密码安全设置

1，使用安全密码：注意密码的复杂性，不要过于简单，还要记住经常修改密码；

2，设置屏幕保护密码：这是一个很简单也很有必要的操作。也是防止内部人员破坏服务器的一个屏障；

3，开启密码策略；注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天；

4，考虑使用智能卡来代替密码：对于密码，总是使管理员进退两难，密码设置简单容易收到黑客的攻击，设置太复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

四，系统安全设置

1，使用NTFS格式分区：最好把服务器的所有分区都改成NTFS格式，NTFS文件系统比FAT、FAT32的文件系统安全得多；

2，运行杀毒软件：杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，要注意经常运行程序并升级病毒库；

3，到微软网站下载最新的补丁程序：很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出现很久了，还放着服务器的漏洞不补，给人家当靶子用。访问安全站点，下载最新的Service Park 和补丁漏洞是保障服务器的长久安全的唯一方法；

4，关闭默认共享：Windows XP系统安装好后系统会创建一些隐藏的共享，可以在Cmd下打“NetShare”查看它们。网上有很多关于IPC入侵的文章，都利用默认共享连接。要禁止这些共享，打开“管理工具计算机管理共享文件夹共享”在相应的共享文件夹上按右键，点“停止共享”；

5，禁止用户从软盘和光驱启动系统：一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动硬盘和光驱。当然，把机箱锁起来仍不失为一个好方法.

6，利用Windows XP 的安全设置工具来配置安全策略：微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们可以很方便地配置你的服务器以满足你的要求。

五，服务安全设置

1，关闭不必要的端口，用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客的入侵。具体方法：打开“网上邻居――属性――本地连接――属性――Internet协议(TCP/IP)――属性――高级――选项――TCP/IP筛选――属性”打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可；

2，设置好安全记录的访问权限；安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统帐户才有权访问；

3，把敏感文件存放在另外的文件服务器中：虽然现在服务器的硬盘容量都很大，还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们；

4，禁止建立空连接：默认情况下，任何用户都可以通过空连接连上服务器，进而枚举出帐号，猜测密码，可以通过修改注册表来禁止建立空连接：即把“HKEY_LOCAL_MACHINE\SYSTERM\CurrentControlSet/Control/Lsa”的RestrictAnonymous值改成“1”即可。

六，关闭缩略图的缓存

对于安全性至关重要的共享企业工作站或计算机，必须启用该设置以关闭缩略图视图缓存，因为缩略图缓存可以被任何人读取。打开注册表编辑器：找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\,在右侧窗口中新建或编辑名为“NoThumbnailCache”的DWORD值，将键值设置为“1”，关闭缩略图的缓存；如将键值设置为“0”，则打开缩略图的缓存。

七，设置用户对软驱及CD-ROM的访问权限

打开注册表编辑器，找到：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateCDRoms"的DOWORD值，将键值设为“1”，仅仅本地登录可以使用CDRom驱动器；如将键值设置为“0”，则只可以被域中的管理员所使用。

在右侧中窗格中新建或编辑名为“AllocateFloppies"的DWOED值，将键值设置为“1”，仅仅本地登录可以使用软盘驱动器；如将键值设置为“0”，则只可以被域中的管理员所使用。

八，设置其他用户对移动存储器的访问权限

打开注册表编辑器，找到：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateDASD”的DWOD值，如将键值设为“0”，只允许系统管理员可以访问；如将键值设置为“1”，则只允许系统管理员及有权限的用户可以访问；如将键值设置为“2”，则只允许系统管理员及交互式用户可以访问。

服务器有哪些安全设置？

1)、系统安全基本设置

1.安装说明：系统全部NTFS格式化，重新安装系统（采用原版win2003）,安装杀毒软件(Mcafee)，并将杀毒软件更新，安装sp2补钉，安装IIS（只安装必须的组件）,安装SQL2000，安装点虐 2.0,开启防火墙。并将服务器打上最新的补钉。

2)、关闭不需要的服务

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网管理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助 其他服务有待核查

3)、设置和管理账户

1、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码

2、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于10位

3、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

4、计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效 时间为30分钟

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

6、 在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户,Aspnet账户

7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

4）、打开相应的审核策略

审核策略更改:成功

审核登录事件:成功,失败

审核对象访问:失败

审核对象追踪:成功,失败

审核目录服务访问:失败

审核特权使用:失败

审核系统事件:成功,失败

审核账户登录事件:成功,失败

审核账户管理:成功,失败

5）、 其它安全相关设置

1、禁止C$、D$、ADMIN$一类的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的 窗口中新建Dword值，名称设为AutoShareServer值设为0

2、解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS

3、隐藏重要文件/目录

可以修改注册表实现完全隐藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

4、防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为SynAttackProtect，值为2

5、 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0

6. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0

7、 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为IGMPLevel 值为0

8、禁用DCOM：运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子 文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属 性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

9、终端服务的默认端口为3389，可考虑修改为别的端口。

修改方法为： 服务器端：打开注册表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 处找到类似RDP-TCP的子键，修改PortNumber值。 客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会 生成一个后缀为点吸烟 s的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件（方法：菜单→文件→导入），这样客户端就修改了端口。

6）、配置 IIS 服务

1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。

4、删除不必要的IIS扩展名映射。 右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映 射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。 目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。 如果没有特殊的要求采用UrlScan默认配置就可以了。 但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要 %WINDIR%System32InetsrvURLscan，文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添 加debug谓词，注意此节是区分大小写的。 如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。 如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset 如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

7）、配置Sql服务器

1、System Administrators 角色最好不要超过两个

3、不要使用Sa账户，为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为：

use master sp_dropextendedproc '扩展存储过程名'

xp_cmdshell：是进入操作系统的最佳捷径，删除 访问注册表的存储过程，

删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默 认的1433端口。

8）、修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认 文件大小512KB，管理员都会改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT 系统日志文件：%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日 志 Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日 志 Scheduler(任务计划)服务日志默认位置：%systemroot%\schedlgu.txt 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 删掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本 // AutoShareServer 对server版本 // 0

禁止管理共享admin$,c$,d$之类默认共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用户无法列举本机用户列表 //0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动

9）、本地安全策略

1．只开放服务需要的端口与协议。 具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→ TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP 口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口 用于POP3。常用的UDP端口有：53口－DNS域名解析服务；161口－snmp简单的网络管理协议。 8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。 封TCP端口: 21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧) 封所有ICMP,即封PING 以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的

2、禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139， 通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两 种方法禁止建立空连接：

（1） 修改注册表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。

（2） 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的 RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。 首先，Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来 是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得 到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接， 实际上Windows 2000的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里） 就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户 可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1” 这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows 2000才支 持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较 好。

10)、防止asp木马

1、基于FileSystemObject组件的asp木马

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除

2．基于shell.application组件的asp木马

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //删除

3．将图片文件夹的权限设置为不允许运行。

4.如果网站中不存在有asp的话，禁用asp

11）、防止SQL注入

1．尽量使用参数化语句

2．无法使用参数化的SQL使用过滤。

3．网站设置为不显示详细错误信息，页面出错时一律跳转到错误页面。

4.不要使用sa用户连接数据库

5、新建一个public权限数据库用户，并用这个用户访问数据库 6、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限

最后强调一下，以上设置可能会影响到有些应用服务，例如导至不能连接上远程服务器，

因此强烈建议，以上设置首先在本地机器或虚拟机(VMware Workstation)上做好设置，确定没事之后然后再在服务器上做。

如何设置局域网服务器

有两个解决办法：

1. 在服务器上为每个客户端用户设置一个登录账户并设置口令，服务器上的用户名和口令跟客户端登录本机系统所用的用户名和口令保持一致；

2. 修改服务器安全设置里面的“本地策略”，设置“网络访问：本地账户的共享和安全模式”为：

“仅来宾：本地用户以来宾身份验证”；

启用guest账户并允许guest账户网络访问服务器。

如果需要更详细的方法，我的百度空间里面有专文介绍。