解析Windows 2003安全加固方案

　　我們通過以下幾個方面對您的系統(tǒng)進行安全加固：

　　1. 系統(tǒng)的安全加固：我們通過配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強，系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

　　2. IIS手工加固：手工加固iis可以有效的提高iweb站點的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

　　3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

　　系統(tǒng)的安全加固：

　　1.目錄權(quán)限的配置：

　　1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對其下的子目錄作單獨的目錄權(quán)限，如果WEB站點目錄，你要為其目錄權(quán)限分配一個與之對應(yīng)的匿名訪問帳號并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅固，可以分配只讀權(quán)限并對特殊的目錄作可寫權(quán)限。

　　1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

　　1.3 因為服務(wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。因為如果你安裝有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個配置文件。

　　1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

　　1.5 配置Windows目錄，其實這一塊主要是根據(jù)自身的情況如果使用默認的安全設(shè)置也是可行的，不過還是應(yīng)該進入SYSTEM32目錄下，將 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。

　　1.6審核MetBase.bin，C:/WINNT/system32/inetsrv目錄只有administrator只允許Administrator用戶讀寫。

　　2.組策略配置:

　　在用戶權(quán)利指派下，從通過網(wǎng)絡(luò)訪問此計算機中刪除Power Users和Backup Operators;

　　啟用不允許匿名訪問SAM帳號和共享;

　　啟用不允許為網(wǎng)絡(luò)驗證存儲憑據(jù)或Passport;

　　從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

　　啟用交互登錄：不顯示上次的用戶名;

　　啟用在下一次密碼變更時不存儲LANMAN哈希值;

　　禁止IIS匿名用戶在本地登錄;

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]