我们所做的：

• 将 Web 服务器放入 DMZ
• 将 Web 服务器放在工作组中（不允许在域上）
• 确保应用所有安全补丁
• 最小化正在运行的服务
• 使用 URLScan。删除服务器指纹 (RemoveServerHeader=1)。
• 强化 TCP/IP 堆栈
• 应用 IPSEC 策略以仅允许我们想要的流量（白名单）
• 重命名默认帐户，以便它们可以被典型的脚本/工具定位。
• 移动默认目录（InetPub、WWWRoot 等）
• 最小化本地用户帐户。
• 所有 NetBIOS 都被删除或禁用。

• 为将要管理计算机的每个人添加用户帐户
• 配置终端服务，让每个用户只能同时登录一次
• 添加仅在 runas 无法为给定用户服务时使用的备用管理帐户

-亚当

您可能希望；

• 禁用 SSL 2（修复折旧的 SSL 协议使用）
• 执行网络漏洞评估

如果是这样，我写了一篇关于Howto 的详细文章：在 IIS6 上禁用 SSL2 和弱密码，这可能值得一看。

本文从满足支付卡行业设定的安全要求的角度出发，但仍然与一般的服务器加固相关。

因此，现在要修复折旧的 SSL 协议使用，您应该阅读上述Howto：禁用 SSL2 和弱密码文章以获取分步说明，或者阅读MS 支持文章 #187498，您可以使用ServerSniff确认您的修改已生效。

ps 实际上，您也可以使用 ServerSniff 来确认 Scott 回复中提到的修改。

除了已经提到的内容之外，我还禁用了弱 SSL 密码。

编辑：我找到了几年前写的分步说明。

1. 单击开始，单击运行，键入 regedt32 或键入 regedit，然后单击确定。
2. 在注册表编辑器中，找到以下注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
3. 对以下键执行步骤 4 到 8：密码\DES 56/56 b。密码\RC2 40/128 c。密码\RC4 40/128 d. 密码\RC4 56/128 e。协议\SSL 2.0\客户端 f. 协议\SSL 2.0\服务器
4. 在编辑菜单上，单击添加值。
5. 在数据类型列表中，单击 DWORD。
6. 在“值名称”框中，键入“已启用”，然后单击“确定”。
7. 在 Binary Editor 中键入 00000000 以将新键的值设置为“0”。
8. 单击确定。
9. 完成注册表修改后，重新启动计算机。

如果可能，请从 Windows 2003 SP1 Server 开始，并确保打开内置防火墙，除非您有网络防火墙来保护它。

如果您确实设置了防火墙，请确保打开以下端口： - 3389：远程桌面 (RDP) - 80：HTTP

可选： - 443：HTTPS（可选） - 25：SMTP - 110：Pop3

实用程序：

• Notepad++（到处都是很棒的编辑器）-免费
• 7-Zip（处理 zip、arc 和其他压缩文件）- 免费
• Beyond Compare v3（文件比较和 FTP） - 美元但不多
• 数据库管理