一份很强的Windows2003作为WEB服务器的安全设置方案(3)

　　审核帐户登陆事件    成功,失败
　　审核帐户管理        成功,失败
>>开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期，上面我讲到不会造成IIS密码不同步]
账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]

>> 在安全设置里 本地策略-安全选项
网络访问:可匿名访问的共享;
网络访问:可匿名访问的命名管道;
网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径;
将以上四项全部删除
>> 不允许 SAM 账户的匿名枚举 更改为"已启用"
>> 不允许 SAM 账户和共享的匿名枚举 更改为"已启用" ;
>> 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为"已启用" ;
>> 网络访问.限制匿名访问命名管道和共享,更改为"已启用" ;
将以上四项通通设为“已启用”
本地策略 > 安全选项
> 清除虚拟内存页面文件 更改为"已启用"
> 不显示上次的用户名 更改为"已启用"
> 不需要按CTRL+ALT+DEL 更改为"已启用"

9、备份
　　使用ntbackup软件.备份系统状态.
　　使用reg.exe 备份系统关键数据
　　如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
　　来备份系统的ODBC
10、杀毒
　　这里介绍MCAFEE 8i 中文企业版.因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.比如已经能够检测到海阳顶端2006.而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件.而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.而且无法对于MIME编码的文件进行杀毒.
　　在MCAFEE中.我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等.我们在软件中加入对WEB目录的杀毒计划.每天执行一次.并且打开实时监控.
　

11、关闭无用的服务
　　我们一般关闭如下服务:

　　Help and Support
　　TCP/IP NetBIOS Helper
　　Computer Browser 维护网络上计算机的最新列表以及提供这个列表
　　Task scheduler 允许程序在指定时间运行
　　Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
　　Distributed File System: 局域网管理共享文件，不需要禁用
　　Distributed linktracking client:用于局域网更新连接信息，不需要禁用
　　Error reporting service:禁止发送错误报告
　　Microsoft Serch:提供快速的单词搜索，不需要可禁用
　　NT LM Security support provide:telnet服务和Microsoft Serch用的，不需要禁用
　　Print Spooler:如果没有打印机可禁用
　　Remote Registry:禁止远程修改注册表
　　Remote Desktop Help Session Manager:禁止远程协助
　　Workstation 关闭的话远程NET命令列不出用户组
禁用DCOM:
　　 运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
　　 对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。
　　 清除“在这台计算机上启用分布式 COM”复选框。
　　 如果服务器不用作域控,我们也可以禁用 Workstation

12、取消危险组件
　　如果服务器不需要FSO
　　regsvr32 /u c:\windows\system32\scrrun.dll
　　注销组件
　　使用regedit
　　将/HKEY_CLASSES_ROOT下的
　　WScript.Network
　　WScript.Network.1
　　WScript.Shell
　　WScript.Shell.1
　　Shell.Application
　　Shell.Application.1
　　键值改名或删除
　　将这些键值下CLSID中包含的字串
　　如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
　　到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
　　全部删除
>> 卸载删除具有CMD命令功能的危险组件
WSHOM.OCX对应于WScript.Shell组件
HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
添加IUSR用户完全拒绝权限
Shell32.dll对应于Shell.Application组件
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
添加IUSR用户完全拒绝权限
regsvr32/u C:\Windows\System32\wshom.ocx
regsvr32/u C:\Windows\System32\shell32.dll
WSHOM.ocx和Shell32.dll这两个文件只给Administrators组完全权限

14、 删除默认共享
@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::
:: 先列举存在的分区，然后再逐个删除以分区名命名的共享；
:: 通过修改注册表防止admin$共享在下次开机时重新加载；
:: IPC$共享需要administritor权限才能成功删除
::
::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
title 默认共享删除器
color 1f
echo.
echo ------------------------------------------------------
echo.
echo 开始删除每个分区下的默认共享.
echo.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
if exist %%a:\nul (
net share %%a$ /delete>nul 2>nul && echo 成功删除名为 %%a$ 的默认共享 || echo 名为 %%a$ 的默认共享不存在
)
)
net share admin$ /delete>nul 2>nul && echo 成功删除名为 admin$ 的默认共享 || echo 名为 admin$ 的默认共享不存在