WIN2000 SERVER安全配置服務器手冊(6)

51.限制IPC$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用戶無法列舉本機用戶列表 0x2 匿名用戶無法連接本機IPC$共享

說明：不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server。

52.不支持IGMP協議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters IGMPLevel REG_DWORD 0x0(默認值為0x2)

說明：記得Win9x下有個bug，就是用可以用IGMP使別人藍屏，修改注冊表可以修正這個bug。Win2000雖然沒這個bug了，但IGMP并不是必要的，因此照樣可以去掉。改成0后用route print將看不到那個討厭的224.0.0.0項了。

53.設置arp緩存老化時間設置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ Parameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數，默認值為120秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數，默認值為600)

說明：如果ArpCacheLife大于或等于ArpCacheMinReferencedLife，則引用或未引用的ARP緩存項在ArpCacheLife秒后到期。如果ArpCacheLife小于阿ARPCacheMinReferencedLife，未引用項在ArpCacheLife秒后到期，而引用項在ArpCacheMinReferencedLife秒后到期。每次將出站數據包發送到項的IP地址時，就會引用ARP緩存中的項。

54.禁止死網關監測技術

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ Parameters EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1)

說明：如果你設置了多個網關，那么你的機器在處理多個連接有困難時，就會自動改用備份網關。有時候這并不是一項好主意，建議禁止死網關監測。

55.不支持路由功能

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ Parameters IPEnableRouter REG_DWORD 0x0(默認值為0x0)

說明：把值設置為0x1可以使Win2000具備路由功能，由此帶來不必要的問題。

56.做NAT時放大轉換的對外端口最大值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ Parameters MaxUserPort REG_DWORD 5000-65534(十進制)(默認值0x1388--十進制為5000)

說明：當應用程序從系統請求可用的用戶端口數時，該參數控制所使用的最大端口數。正常情況下，短期端口的分配數量為1024-5000。將該參數設置到有效范圍以外時，就會使用最接近的有效數值(5000或65534)。使用NAT時建議把值放大點。

57.修改MAC地址

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\找到右窗口的說明為“網卡”的目錄，比如說{4D36E972-E325-11CE-BFC1-08002BE10318}。

展開之，在其下的0000，0001，0002...的分支中找到“DriverDesc”的鍵值為你網卡的說明，比如說“DriverDesc”的值為“Intel 82559 Fast Ethernet LAN on Motherboard”然后在右窗口新建一字符串值，名字為“Networkaddress”，內容為你想要的MAC值，比如說是“004040404040”然后重啟動計算機，ipconfig /all看看。

58.防止密碼被DUMP，你只需在服務里面關掉Remote regisitery servicess。

原文轉自：http://www.kjueaiud.com