加固NT和IIS的安全(6)_Windows教程

编辑Tag赚U币
教程Tag:暂无Tag,欢迎添加,赚取U币!
6.文件系统和注册表存取控制:

详见bastion.inf

  7.管理员帐号:

bastion.inf将Administrator改名为root,可以按照自己的需要更改这个名字,并使用强壮的密码

  四、可选的注册表设置

1.删除 OS/2 和 POSIX 子系统:

删除如下目录的任何键:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2

删除如下目录:
c:\winnt\system32\os2

  2.除去RDS漏洞:

删除如下的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\VbBusObj.VbBusObjCls

  3.从网络服务中删除不必要的服务:

删除:Netbios接口,计算机浏览器,服务器,工作站
保留:RPC配置


  五、保护许可

  1. 保护Internet Guest 用户帐号:

  在用户管理器中,将Internet Guest 帐号改为晦涩的名字,并使用强壮的密码禁止guest帐号。
将改名后的Internet Guest 帐号从组“guests”中删除。

  设置改名后的Internet Guest 帐号对所有卷的访问为“No Access”,为了保证IIS的正常运行,必须赋予改名后的Internet Guest 帐号对以下目录的读取权限:
默认路径 环境变量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目录

  注意:在设置以上目录的权限时,不要选择替换子目录的权限!!

  2. 锁住组“Users”:

  设置NT内建组“Users”对所有卷的访问权为“No Access”,因为新用户会自动加入组“Users”中,所以新用户缺省将不能访问任何卷。
  原文作者:Gavin Reid gavin@shebeen.com

来源:网络搜集//所属分类:Windows教程/更新时间:2013-04-15
相关Windows教程