windows2003安全策略

1、開始菜單—>管理工具—>本地安全策略

A、本地策略——>審覈策略

審覈策略更改　成功　失敗

審覈登錄事件　成功　失敗

審覈對象訪問失敗

審覈過程跟蹤　無審覈

審覈目錄服務訪問失敗

審覈特權使用失敗

審覈系統事件　成功　失敗

審覈賬戶登錄事件　成功　失敗

審覈賬戶管理　成功　失敗

B、本地策略——>用戶權限分配

關閉系統：只有Administrators組、其它全部刪除。

通過終端服務允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

C、本地策略——>安全選項

交互式登陸：不顯示上次的用戶名　啓用

網絡訪問：不允許SAM帳戶和共享的匿名枚舉　 啓用

網絡訪問：不允許爲網絡身份驗證儲存憑證　啓用

網絡訪問：可匿名訪問的共享　全部刪除

網絡訪問：可匿名訪問的命全部刪除

網絡訪問：可遠程訪問的註冊表路徑全部刪除

網絡訪問：可遠程訪問的註冊表路徑和子路徑全部刪除

帳戶：重命名來賓帳戶重命名一個帳戶

帳戶：重命名系統管理員帳戶　重命名一個帳戶

2、IIS站點設置：

2.1、將IIS目錄＆數據與系統磁盤分開，保存在專用磁盤空間內。

2.2、啓用父級路徑

2.3、在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp, aspx html htm 等必要映射即可）

2.4、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定製HTM文件

2.5、Web站點權限設定（建議）

讀 允許

寫 不允許

腳本源訪問 不允許

目錄瀏覽 建議關閉

日誌訪問 建議關閉

索引資源 建議關閉

執行 推薦選擇 “純腳本”

2.6、建議使用W3C擴充日誌文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態，用戶代理，而且每天均要審查日誌。（最好不要使用缺省的目錄，建議更換一個記日誌的路徑，同時設置日誌的訪問權限，只允許管理員和system爲Full Control）。

2.7、程序安全:

1) 涉及用戶名與口令的程序最好封裝在服務器端，儘量少的在ASP文件裏出現，涉及到與數據庫連接地用戶名與口令應給予最小的權限;

2) 需要經過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面。

3) 防止ASP主頁.inc文件泄露問題;

4) 防止UE等編輯器生成some.asp.bak文件泄露問題。

5)如果數據庫是access,要防止mdb格式的數據庫被下載,也不要命名asp爲擴展做爲數據庫.

6、IIS權限設置的思路

·要爲每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置權限的身份。

·在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。

·設置所有的分區禁止這個用戶訪問，而剛纔這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父權限，並且要加上超管組和SYSTEM組）。

 

Windows Server2003系統安全設置

NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,
TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE tftp.exe
把以上命令文件通通只給Administrators 和SYSTEM爲完全控制權限

附更改3389端口(dword:00000d3d爲十六進制)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:00000d3d
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00000d3d

本文出自 51CTO.COM技術博客