加固NT和IIS的安全(4)_Windows教程

三、运行bastion.inf加固脚本

　　下载最新的bastioninf.zip，解压后运行如下命令：

secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt

　　这个安全策略脚本在系统中做了如下改动：

　　　1．设定如下的密码策略：

密码唯一性：记录上次的 6 个密码
最短密码期限：2
密码最长期限：42
最短密码长度：10
密码复杂化(passfilt.dll)：启用
用户必须登录方能更改密码：启用
帐号失败登录锁定的门限：5
锁定后重新启用的时间间隔：720分钟

　　2．审计策略：

审核如下的事件：
用户和组管理 成功：失败
登录和注销 成功：失败
文件及对象访问 失败
更改安全规则 成功： 失败
用户权限的使用 失败
系统事件 成功： 失败

　　3．用户权限分配：

从网络中访问这台计算机：No one
将工作站添加到域：No one
备份文件和目录：Administrators
更改系统时间：Administrators
强制从远程系统关机：No one
加载和下载设备驱动程序：Administrators
本地登录：Administrators
管理审核和安全日志：Administrators
恢复文件和目录：Administrators
关闭系统：Administrators
获得文件或对象的所属权：Administrators
忽略遍历检查（高级权力）：Everyone
作为服务登录（高级权力）：No one
内存中锁定页：No one
替换进程级记号：No one
产生安全审核：No one
创建页面文件：Administrators
配置系统性能：No one
创建记号对象：No one
调试程序：No one
增加进度优先级：Administrators
添加配额：Administrators
配置单一进程：Administrators
修改固件环境值：Administrators
生成系统策略： Administrators
以批处理作业登录：No one

　　4．事件查看器设置：

应用程序、系统和安全的日志空间都设为100MB
事件日志覆盖方式为：覆盖30天以前的日志
禁止匿名用户查看日志