导读:
系统权限的设置
1、磁盘权限
系统盘只给 Administrators 组和 SYSTEM 的完全控制权限
其他磁盘只给 Administrators 组完全控制权限
系统盘/Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘/Documents and Settings/All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘/windows/system32/config/ 禁止guests组
系统盘/Documents and Settings/All Users/「开始」菜单/程序/ 禁止guests组
系统盘/windowns/system32/inetsrv/data/ 禁止guests组
系统盘/Windows/System32/ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘/Windows/System32/ cmd.exe、format.com 仅 Administrators 组完全控制权限
把所有(Windows/system32和Windows/ServicePackFiles/i386) format.com 更名为 format_nowayh.com
2、本地安全策略设置
开始菜单->管理工具->本地安全策略
A、本地策略-->审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略-->用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组
通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除
C、本地策略-->安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
D、账户策略-->账户锁定策略
将账户设为“5次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”
其他配置
√把Administrator账户更改
管理工具→本地安全策略→本地策略→安全选项
√新建一无任何权限的假Administrator账户
管理工具→计算机管理→系统工具→本地用户和组→用户
更改描述:管理计算机(域)的内置帐户
×重命名IIS来宾账户
1、管理工具→计算机管理→系统工具→本地用户和组→用户→重命名IUSR_ComputerName
2、打开 IIS 管理器→本地计算机→属性→允许直接编辑配置数据库
3、进入Windows/system32/inetsrv文件夹→MetaBase.xml→右键编辑→找到"AnonymousUserName"→写入"IUSR_"新名称→保存
4、关闭"允许直接编辑配置数据库"
√禁止文件共享
本地连接属性→去掉"Microsoft网络的文件和打印共享"和"Microsoft 网络客户端"前面的"√"
www.002pc.com认为此文章对《防偷窥电脑Win2003 + IIS6.0 + Serv-U + SQL Server 安全设置》说的很在理。
√禁止NetBIOS(关闭139端口)
本地连接属性→TCP/IP属性→高级→WINS→禁用TCP/IP上的NetBIOS
管理工具→计算机管理→设备管理器→查看→显示隐藏的设备→非即插即用驱动程序→禁用 NetBios over tcpip→重启
√防火墙的设置
本地连接属性→高级→Windows防火墙设置→高级→第一个"设置",勾选FTP、HTTP、远程桌面服务
√禁止ADMIN$缺省共享、磁盘默认共享、限制IPC$缺省共享(匿名用户无法列举本机用户列表、禁止空连接)
新建REG文件,导入注册表
----------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]
"AutoshareWks"=dword:00000000
更多:防偷窥电脑Win2003 + IIS6.0 + Serv-U + SQL Server 安全设置
https://www.002pc.com/diannaojichu/1002.html
你可能感兴趣的Serv,Server,Win2003,SQL,IIS6.0,设置