windows2003 服务器系统权限与安全配置（2）

本地安全策略配置

开始 > 程序 > 管理工具 > 本地安全策略

• 账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期，上面我讲到不会造成IIS密码不同步]

• 账户策略 > 账户锁定策略 >账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]

• 本地策略 > 审核策略 >

• 账户管理 成功 失败

• 登录事件 成功 失败

• 对象访问 失败

• 策略更改 成功 失败

• 特权使用 失败

• 系统事件 成功 失败

• 目录服务访问 失败

• 账户登录事件 成功 失败

• 本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为"已启用"

• 
  

• > 不显示上次的用户名 更改为"已启用"

• > 不需要按CTRL+ALT+DEL 更改为"已启用"

• > 不允许 SAM 账户的匿名枚举 更改为"已启用"

• > 不允许 SAM 账户和共享的匿名枚举 更改为"已启用"

• > 重命名来宾账户 更改成一个复杂的账户名

• > 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]

组策略编辑器
运行 gpedit. msc 计算机配置 > 管理模板 > 系统 显示"关闭事件跟踪程序" 更改为已禁用

删除不安全组件
WScript .Shell 、Shell. application 这两个组件一般一些ASP木 马或一些恶意程序都会使用到。

1. 方案一：
   
   

   regsvr32 /u wshom. ocx 卸载WScript. Shell 组件
   regsvr32 /u shell32. dll 卸载Shell. application 组件

   如果按照上面讲到的设置，可不必删除这两个文件

2. 方案二：
   
   

   删除注册表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript. Shell
   删除注册表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应 Shell. application

用户管理

建立另一个备用管理员账号，防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号

用户组说明
在将来要使用到的IIS中，IIS用户一般使用Guests组，也可以再重新建立一个独立的专供IIS使用的组，但要将这个组赋予C:\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录，太小家子气。