Win2000+IIS 5.0安全配置规范(2)

在必要时禁止如下服务:

  • SNMP service (optional)
  • SNMP trap (optional)
  • UPS (optional
    设置如下服务为自动启动:
  • Eventlog ( required )
  • NT LM Security Provider (required)
  • RPC service (required)
  • WWW (required)
  • Workstation (leave service on:will be disabled later in the document)
  • MSDTC (required)
  • Protected Storage (required)
    ■. 删除 OS/2 和 POSIX 子系统:
    删除如下目录的任何键:
    HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
    删除如下的键:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath
    删除如下的键:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2
    删除如下目录:
    c:\winnt\system32\os2
    ■. 帐号和密码策略
    1) 保证禁止guest帐号
    2) 将administrator改名为比较难猜的帐号
    3) 密码唯一性:记录上次的 6 个密码
    4) 最短密码期限:2
    5) 密码最长期限:42
    6) 最短密码长度:8
    7) 密码复杂化(passfilt.dll):启用
    8) 用户必须登录方能更改密码:启用
    9) 帐号失败登录锁定的门限:6
    10)锁定后重新启用的时间间隔:720分钟
    ■.保护文件和目录
    将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限
    ■.注册表一些条目的修改
    1) 去除logon对话框中的shutdown按钮
    将HKEY_LOCAL_MACHINE\SOFTWARE
    \Microsoft\Windows NT\Current Version\Winlogon\中
    ShutdownWithoutLogon REG_SZ 值设为0
    2) 去除logon信息的cashing功能
    将HKEY_LOCAL_MACHINE\SOFTWARE
    \Microsoft\Windows NT\Current Version\Winlogon\中
    CachedLogonsCount REG_SZ 值设为0
Published At
Categories with 服务器类
Tagged with
comments powered by Disqus