在必要时禁止如下服务:
- SNMP service (optional)
- SNMP trap (optional)
- UPS (optional
设置如下服务为自动启动: - Eventlog ( required )
- NT LM Security Provider (required)
- RPC service (required)
- WWW (required)
- Workstation (leave service on:will be disabled later in the document)
- MSDTC (required)
- Protected Storage (required)
■. 删除 OS/2 和 POSIX 子系统:
删除如下目录的任何键:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2
删除如下目录:
c:\winnt\system32\os2
■. 帐号和密码策略
1) 保证禁止guest帐号
2) 将administrator改名为比较难猜的帐号
3) 密码唯一性:记录上次的 6 个密码
4) 最短密码期限:2
5) 密码最长期限:42
6) 最短密码长度:8
7) 密码复杂化(passfilt.dll):启用
8) 用户必须登录方能更改密码:启用
9) 帐号失败登录锁定的门限:6
10)锁定后重新启用的时间间隔:720分钟
■.保护文件和目录
将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限
■.注册表一些条目的修改
1) 去除logon对话框中的shutdown按钮
将HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\Current Version\Winlogon\中
ShutdownWithoutLogon REG_SZ 值设为0
2) 去除logon信息的cashing功能
将HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\Current Version\Winlogon\中
CachedLogonsCount REG_SZ 值设为0