Win2000+IIS 5.0安全配置规范(2)-网络安全专区

Win2000+IIS 5.0安全配置规范(2)

作者：IT168.com 编辑：杨京京 2008-09-12 21:14 来源：IT168�

在必要时禁止如下服务：
　　* SNMP service (optional)
　　* SNMP trap (optional)
　　* UPS (optional
　　设置如下服务为自动启动：
　　* Eventlog ( required )
　　* NT LM Security Provider (required)
　　* RPC service (required)
　　* WWW (required)
　　* Workstation (leave service on:will be disabled later in the document)
　　* MSDTC (required)
　　* Protected Storage (required)
　　■. 删除 OS/2 和 POSIX 子系统:
　　删除如下目录的任何键：
　　HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
　　删除如下的键：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath
　　删除如下的键：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2
　　删除如下目录：
　　c:\winnt\system32\os2
　　■. 帐号和密码策略
　　1）保证禁止guest帐号
　　2）将administrator改名为比较难猜的帐号
　　3）密码唯一性：记录上次的 6 个密码
　　4）最短密码期限：2
　　5）密码最长期限：42
　　6）最短密码长度：8
　　7）密码复杂化(passfilt.dll)：启用
　　8）用户必须登录方能更改密码：启用
　　9）帐号失败登录锁定的门限：6
　　10）锁定后重新启用的时间间隔：720分钟
　　■．保护文件和目录
　　将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限
　　■．注册表一些条目的修改
　　1）去除logon对话框中的shutdown按钮
　　将HKEY_LOCAL_MACHINE\SOFTWARE
　　\Microsoft\Windows NT\Current Version\Winlogon\中
　　ShutdownWithoutLogon REG_SZ 值设为0
　　2）去除logon信息的cashing功能
　　将HKEY_LOCAL_MACHINE\SOFTWARE
　　\Microsoft\Windows NT\Current Version\Winlogon\中
　　CachedLogonsCount REG_SZ 值设为0

关注我们