web服务器 1.web服务器关闭不需要的IIS组件,比如禁用wev,禁用cgi和asp功能 2.隐藏网站物理路径,删除默认网站,更改网站的物理路径 3.删除无用的虚拟目录以及iis映射,只保留需要后缀文件的映射, 4.启用IIS日志记录,每天审查日志 5.设置web站点目录访问权限为读取权限,去除写入,目录浏览;尽可能不给执行权限 6.防止access数据库被下载,具体操作为:添加.mdb扩展名的映射的都做为禁止(默认是POST,GET,) 7.禁用vbscript执行权限 数据库服务器 1.SQLSERVER 禁用xpcmd..命令 2.sqlserver 服务器,禁止采用sa作为访问账号