Telnet
服务方向: 该服务允许某个远程用户登录到系统,并使用命令行来运行控制台程序.
可执行文件: winntsystem32tlntsvr.exe
风险:他的密码是以明文形式传输,如果MTLM认证被启用,则NTLM密码散列也会被发现.
建议: 禁止吧

Utility Manager
服务方向: 可以启动和配置可达性工具.
可执行文件: winntsystem32UtilMan.exe
风险: 没有已知风险
建议: 除非你需要使用可达性工具,否则应当禁止他

Windows Time
服务方向: 从一个网络时间服务器来设置系统时间.
可执行文件: winntsystem32services.exe
风险: 没有已知风险
建议: 如果你不是2000,就禁了吧

World Wide Web Publishing
服务方向: 该服务提供Internet的匿名Web站点访问服务.
可执行文件: winntsystem32inetsrvinetinfo.exe
风险: 各种文件访问,远程命令执行,拒绝服务和其他风险都有
建议: 他是必须得,只有靠其他工具维护他的安全咯

Windows Management Instrumentation
服务方向: 提供系统管理信息,它基本上是一个基于WEB的企业管理兼容工具,用于从各种来源收集并关联管理数据.
可执行文件: winntsystem32WBEMWinMgmt.exe
风险: 具有暴露敏感信息的潜在危险
建议: WMI是一种有用的工具,同样也可用于收集信息.如果你不是特别不希望使用该服务,还是启用吧

Windows Internet Name Service
服务方向: 是微软用于NetBIOS网络的名称服务.
可执行文件: winntsystem32win.exe
风险: 具有暴露敏感系统信息的潜在危险
建议: 纯粹的Windows2000网络并不依赖WINS.应当被禁用.或是只在本地使用好了.

端口部分
139端口
1．开始—程序—管理工具—本地安全策略—鼠标右点“IP安全策略，在本地机器”；
2．点击“管理IP筛选器表和筛选器操作”，在“管理IP筛选器列表”上点“添加”；
3．将弹出“IP筛选器列表”窗口；
4．添入名称和描述，比如“禁止139”，点添加，然后会出现一个IP“筛选器向导”，点下一步；
5．到“指定IP源地址”窗口，在“源地址”中选择“任何IP地址”，点下一步；
6．在“IP通信目标”的“目标地址”选择“我的IP地址”，点下一步；
7．在“IP协议类型”的“选择协议类型”选择“TCP”，点下一步；
8．在“筛选器向导”的“设置IP协议端口”里第一拦“从任意端口”，第二拦“到此端口”并且添上“139”，点下一步；
9．点“完成”，然后在点“关闭”，回到“管理IP筛选器表和筛选器操作”；
10．选择“管理筛选器操作”，点“添加”；
11．这时会出现一个“筛选器操作向导”的，点“下一步”，在“名称“里添上“禁止139端口”连接，点下一步，选择“阻止”，再点下一步；
12．点“完成”和“关闭”。

445端口
方法和上面的139端口的方法一样，只是注意在添加筛选器操作的时候不能用同一个“阻止”筛选器操作，否则规则没有作用。

完成上面两项操作后，回到“IP安全策略，在本地机器”，右点“IP安全策略”：
1．“IP安全策略向导”，点“下一步”，在“名称”中，添入“禁止使用139，445端口连接”一路点下一步，完成。
2．在“禁止使用139，445端口连接”里点“添加”，出现“安全规则向导”，一路下一步，到“IP筛选器列表”，选择“禁止139”（就是我们先前关闭139的时候添入的那名称），点下一步，在“筛选器操作”选择“禁止139”，点下一步，最后，点“完成”，“确定”；
3．通过“添加”将禁用445端口的筛选器列表和操作也添进去一路下一步，到“IP筛选器列表”，选择“禁止445”，点下一步，在“筛选器操作”里选“禁止445”，点下一步然后点“关闭”，回到“属性”窗口；
最后，只需要将刚才配置好的东西指派就成了。

135端口
对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这?*?氲腢DP包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，但任需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与NT的RPC服务进行通讯。如果真是这样，你一定要在那些原始地址的系统上(需要135口通讯)，实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。

关于17，19，7，9端口的打开应该是属于使用的是默认服务配置，关闭的方法；先去下载一个叫做 Configure Port Blocker 的软件，该软件可以直接删除不必要的端口

80端口
使用安全有效的验证用户身份的方法（建议不允许匿名登陆）；
在IIS中，将HTTP404 Object Not Found 出错页面通过URL重定向到一个定制的HTM文件。

IIS服务器
1.更改默认的IIS路径，把C盘下的InetPub目录彻底删除，然后随便在什么盘建立一个，在IIS管理器中将主目录指向我们建立的目录
2.打开IIS服务器，到“主目录”页面，找到“设置”，删除不必要的映射，留下我们要用的。删除在IIS管理器中右点主机—属性—WWW 服务编辑—主目录配置—应用程序映射。在那个窗口的应用程序调试书签内，讲脚本错误消息改为发送文本，错误文本随便怎么写好了。退出时，让虚拟站点继承设定的属性。 (责任编辑：admin)