一、注册本表安全配置

1、 禁止非法访问者拿到系统用户列表，设置如下：Hkey_Local_Machine\ System\ CurrentControlSet\ Control\ Lsa 下的 RestrictAnonymous 项设置为“ 2 ” ;修改Win 2000的本地安全策略 设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。 ;

2、 （w2k only）禁止用户登录后的用户名留在登录界面中，提高安全系数，设置如下：Hkey_Local_Machine\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon下的DontDisplayLastUserName项设置为“1”;

3、 更改终端服务端口，服务器设置如下：Hkey_Local_Machine\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp 下的 PortNumber项设置为自己希望的端口，如“5000”等，

客户端配置如下：在“开始”——“程序”——“终端服务客户端”——“客户端连接管理器”中选定一个连接，然后在“文件”——“导出”*.CNS文件，用记事本打开这个.CNS文件，找到SERVER PROT项，改为同服务器一样的端口，保存设置之后再将这个.CNS文件导入原来的连接；

4、 关闭Direct Draw,这是C2级安全标准对视频卡和内存的要求。关闭Direct Draw受影响的程序如：在服务器上玩高级游戏（没必要），设置方法如下：Hkey_Local_Machine\System\CurrentControlSet\Control\GraphicsDrivers\DCI下的Timeout(REG_DWORD) 项设置为“0”即可；

5、 去除logon信息的cashing功能 

将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中CachedLogonsCount REG_SZ 值设为0

6、删除注册表中的以下注册表主键，以防网页木马：

Wscript.Shell

Wscript.Shell.1

Shell.application

Shell.application.1

Wscript.NETWORK

Wscript.NETWORK.1

删除后要重启

二、 账号安全配置

1、Guest 账号必须禁止，并设置一个又长又复杂的密码

2、 设置账号陷井，把Administrator更改为黑客猜测不到的用户名，并修改账号的描述信息；

3、 设置密码策略，密码长度不低于7位或14位，“密码必须符合复杂性要求”改为“启用”，密码最长存留期改为40天（41为黑客户暴力破解期）；

4、 设置“审核策略”，审核账户登录事件的成功与失败，账户管理的成功与失败等事件；

三、 关闭系统的一些默认设置

1、假若没来设置系统“警报”的话，关闭“信使服务”，以防止被黑客利用“信使服务”发送大量的信息导致系统瘫痪;

2、关闭默认共享，打开 管理工具——计算机管理——共享文件夹——共享，在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的；

（如果想禁止%DriveLetter%$的默认共享，可以在注册表的以下位置 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 新建名称：AutoShareServer 类型: REG_DWORD 值: 0

如果想禁止Admin$的默认共享，可以在注册表的以下位置 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 新建名称：AutoShareWks 类型: REG_DWORD 值: 0）

3、禁止dump file的产生，以防黑客利用系统出错信息获得系统程序的敏感信息，设置方法如下：控制面板——系统属性——高级——“启动和故障恢复”，将“写入调试信息”改成“无”

4、防止.asa、.mdb文件被非法下载。在“internet服务器”——“WWW服务主属性”——“主目录”——“应用程序配置”选.asa、.mdb扩展名，——“编辑”，去掉“脚本引擎“的选择勾。

4、将系统的REMOTE REGISTRY SERVICES关闭（默认此服务是打开的，而这是WIN2000中最危险的服务了），pwdump3就无法对你的系统密码档进行dump了。当然，这只能欺骗一下那些所谓的“黑客”，因为他只要有ADMIN权限的用户，当然也可以远程的将此服务打开。

5、禁止FSO功能。

(1)修改注册表，将FileSystemObject改成一个任意的名字，只有知道该名字的用户才可以创建该对象[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID] @="scripting.FileSystemObject"

(2)运行Regsvr32 scrrun.dll /u，所有用户无法创建FileSystemObject。

(3)运行cacls %systemroot%\system32\scrrun.dll /e /d guests，匿名用户（包括IUSR_Machinename用户,2003用Users）无法使用FileSystemObject，我们可以对ASP文件或者脚本文件设置NTFS权限<