发布时间 : 星期三 文章win2003安全策略更新完毕开始阅读
? ? ? ? ? ? ?
对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败
本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为\已启用\
?
o > 不显示上次的用户名 更改为\已启用\ o > 不需要按CTRL+ALT+DEL 更改为\已启用\ o > 不允许 SAM 账户的匿名枚举 更改为\已启用\ o > 不允许 SAM 账户和共享的匿名枚举 更改为\已启用\ o > 重命名来宾账户 更改成一个复杂的账户名
o > 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]
组策略编辑器
运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示\关闭事件跟踪程序\更改为已禁用
删除不安全组件
WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。 1.
方案一:
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件 regsvr32 /u shell32.dll 卸载Shell.application 组件
如果按照上面讲到的设置,可不必删除这两个文件 2.
方案二:
删除注册表 HKEY_CLASSES_ROOT\\CLSID\\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell 删除注册表 HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application
用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但要将这个组赋予C:\\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录,太小家子气。
二、系统权限与安全配置
2.2最少的服务如果实现
黑色为自动 绿色为手动 红色为禁用
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
Alerter
Application Experience Lookup Service Application Layer Gateway Service Application Management
Automatic Updates [Windows自动更新,可选项] Background Intelligent Transfer Service ClipBook
COM+ Event System COM+ System Application Computer Browser Cryptographic Services
DCOM Server Process Launcher DHCP Client
Distributed File System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS Client
Error Reporting Service Event Log File Replication Help and Support HTTP SSL
Human Interface Device Access IIS Admin Service
IMAPI CD-Burning COM Service Indexing Service Intersite Messaging
IPSEC Services [如果使用了IP安全策略则自动,如无则禁用,可选操作] Kerberos Key Distribution Center License Logging
Logical Disk Manager [可选,多硬盘建议自动] Logical Disk Manager Administrative Service Messenger /li> Microsoft Search
Microsoft Software Shadow Copy Provider MSSQLSERVER MSSQLServerADHelper Net Logon
NetMeeting Remote Desktop Sharing Network Connections Network DDE
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
Network DDE DSDM
Network Location Awareness (NLA) Network Provisioning Service NT LM Security Support Provider Performance Logs and Alerts Plug and Play
Portable Media Serial Number Service [微软反盗版工具,目前只针对多媒体类] Print Spooler Protected Storage
Remote Access Auto Connection Manager Remote Access Connection Manager Remote Desktop Help Session Manager Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Removable Storage
Resultant Set of Policy Provider Routing and Remote Access Secondary Logon
Security Accounts Manager Server
Shell Hardware Detection Smart Card
Special Administration Console Helper SQLSERVERAGENT System Event Notification Task Scheduler TCP/IP NetBIOS Helper Telephony Telnet
Terminal Services
Terminal Services Session Directory Themes
Uninterruptible Power Supply Upload Manager Virtual Disk Service Volume Shadow Copy WebClient
Windows Audio [服务器没必要使用声音]
Windows Firewall/Internet Connection Sharing (ICS) Windows Image Acquisition (WIA) Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
? ? ? ? ? ? ?
Windows Time
Windows User Mode Driver Framework WinHTTP Web Proxy Auto-Discovery Service Wireless Configuration WMI Performance Adapter Workstation
World Wide Web Publishing Service
以上操作完成以后是否就\最小的权限+最少的服务=最大的安全\呢?其实不然,任何事物都是相对的 依我个人而见,以上设置也只是最基本的一些东西而已,如有遗漏,稍后补上!
三、IIS、终端服务、FTP、SQL的配置
3.1 IIS配置
IIS6与IIS5有着很多不同之处,不一一列举,也不是我一个脑袋可以装下的东西。都在资料上!IIS6有一个非常不方便的东西,就是他限制了在线上传不得大于200K,如何修改,请看:
首先停用IIS服务,> 服务 > iis admin service > 停用
C:\\windows\\system32\\inetsrv\\ metabase.xml 文件 用记事本打开它
找到 ASPMaxRequestEntityAllowed 处。默认为 204800 即 204800字节(200K)
修改为想要的数字如: 2048000 [2M] 保存,重启IIS服务即可!
设置基本参数
打开IIS管理器 > 网站 > 属性 >
网站 > 启动日志记录 > 关闭
主目录 > 配置 > 应用程序扩展 > 只保留 asp,asa
主目录 > 配置 > 选项 > 启用父目录
主目录 > 配置 > 调试 > 向客户端发送文本错误消息
网站 > 自定义错误 > 全部改成默认值 [上一章已经删除IIS使用的错误信息页面]
IIS管理器 > WEB服务扩展 > 启用 Active Server Pages
注:停用IIS默认站点,切勿删除,有可能会造成IIS的不稳定。
站点的建立将在第四节中详细介绍。