RELATEED CONSULTING
相关咨询
选择下列产品马上在线沟通
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
Win2000+IIS 5.0安全配置规范
  • 作者:xiaoxiao
  • 发表时间:2020-12-23 10:37
  • 来源:未知

  一、 Windows 2000安全配置

  ■. 确保所有磁盘分区为NTFS分区  ■. 操作系统、Web主目录、日志分别安装在不同的分区  ■. 不要安装不需要的协议,比如IPX/SPX, NetBIOS?  ■. 不要安装其它任何操作系统  ■. 安装Service Pack   ■. 安装hotfix,一般需要安装如下补丁  * Q260347_W2K_sp2_x86_cn(IISCrosssite)  * Q262694_W2K_SP2_x86_CN(resetBrowseForm)  * Q269049_W2K_SP2_x86_CN(shellpath)  * Q269862_W2K_SP2_x86_CN(unicode)  * Q270676_W2K_SP2_x86_CN(shurufa)  * Q272743_W2K_SP2_x86_CN(NTLM)  * Q277873_W2K_sp2_x86_CN(filerequest)  * Q278499_W2K_sp2_x86_CN(indexserv)  * Q280322_W2K_sp2_x86_CN(malwebform)  * q285851_w2k_sp3_x86_cn(netdde)  具体可参考微软网站:http://www.microsoft.com/Windows2000/downloads  ■. 关闭所有不需要的服务  * Alerter (disable)   * ClipBook Server (disable)  * Computer Browser (disable)  * DHCP Client (disable)  * Directory Replicator (disable)  * FTP publishing service (disable)  * License Logging Service (disable)  * Messenger (disable)  * Netlogon (disable)  * Network DDE (disable)  * Network DDE DSDM (disable)  * Network Monitor (disable)  * Plug and Play (disable after all hardware configuration)  * Remote Access Server (disable)  * Remote Procedure Call (RPC) locater (disable)  * Schedule (disable)  * Server (disable)  * Simple Services (disable)  * Spooler (disable)  * TCP/IP Netbios Helper (disable)  * Telephone Service (disable)  在必要时禁止如下服务:  * SNMP service (optional)  * SNMP trap (optional)  * UPS (optional  设置如下服务为自动启动:  * Eventlog ( required )  * NT LM Security Provider (required)  * RPC service (required)  * WWW (required)  * Workstation (leave service on:will be disabled later in the document)  * MSDTC (required)  * Protected Storage (required)  ■. 删除 OS/2 和 POSIX 子系统:   删除如下目录的任何键:   HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/OS/2 Subsystem for NT  删除如下的键:  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SessionManager/Environment/Os2LibPath  删除如下的键:  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems/Optional  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems/Posix  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems/Os2  删除如下目录:  c:/winnt/system32/os2  ■. 帐号和密码策略  1) 保证禁止guest帐号  2) 将administrator改名为比较难猜的帐号  3) 密码唯一性:记录上次的 6 个密码  4) 最短密码期限:2  5) 密码最长期限:42  6) 最短密码长度:8  7) 密码复杂化(passfilt.dll):启用  8) 用户必须登录方能更改密码:启用  9) 帐号失败登录锁定的门限:6  10)锁定后重新启用的时间间隔:720分钟  ■.保护文件和目录  将C:/winnt, C:/winnt/config, C:/winnt/system32, C:/winnt/system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限  ■.注册表一些条目的修改  1) 去除logon对话框中的shutdown按钮  将HKEY_LOCAL_MACHINE/SOFTWARE  /Microsoft/Windows NT/Current Version/Winlogon/中  ShutdownWithoutLogon REG_SZ 值设为0  2) 去除logon信息的cashing功能  将HKEY_LOCAL_MACHINE/SOFTWARE  /Microsoft/Windows NT/Current Version/Winlogon/中  CachedLogonsCount REG_SZ 值设为0  3) 隐藏上次登陆的用户名  将HKEY_LOCAL_MACHINE/SOFTWARE  /Microsoft/Windows NT/Current Version/Winlogon/中  DontDisplayLastUserName REG_SZ 值设为1  4)限制LSA匿名访问  将HKEY_LOCAL_MACHINE/SYSTEM  /CurrentControlSet/Control/LSA中  RestricAnonymous REG_DWORD 值设为1  5) 去除所有网络共享  将HKEY_LOCAL_MACHINE/SYSTEM  /CurrentControlSet/Services/LanManServer/Parameters/中  AutoShareServer REG_DWORD 值设为0  ■. 启用TCP/IP过滤  只允许TCP端口80和443(如果使用SSL)  不允许UDP端口  只允许IP Protocol 6 (TCP)  ■. 移动部分重要文件并加访问控制:   创建一个只有系统管理员能够访问的目录,将system32目录下的一些重要文件移动到此目录:  xcopy.exe, wscript.exe, cscript.exe, net.exe,