云题海 - 专业文章范例文档资料分享平台

文档分类

当前位置:首页 > win2003安全策略

win2003安全策略

  • 62 次阅读
  • 3 次下载
  • 2025/5/2 16:32:55

? ? ? ? ? ? ?

对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败

本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为\已启用\

?

o > 不显示上次的用户名 更改为\已启用\ o > 不需要按CTRL+ALT+DEL 更改为\已启用\ o > 不允许 SAM 账户的匿名枚举 更改为\已启用\ o > 不允许 SAM 账户和共享的匿名枚举 更改为\已启用\ o > 重命名来宾账户 更改成一个复杂的账户名

o > 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]

组策略编辑器

运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示\关闭事件跟踪程序\更改为已禁用

删除不安全组件

WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。 1.

方案一:

regsvr32 /u wshom.ocx 卸载WScript.Shell 组件 regsvr32 /u shell32.dll 卸载Shell.application 组件

如果按照上面讲到的设置,可不必删除这两个文件 2.

方案二:

删除注册表 HKEY_CLASSES_ROOT\\CLSID\\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell 删除注册表 HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application

用户管理

建立另一个备用管理员账号,防止特殊情况发生。

安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号

用户组说明

在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但要将这个组赋予C:\\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录,太小家子气。

二、系统权限与安全配置

2.2最少的服务如果实现

黑色为自动 绿色为手动 红色为禁用

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

Alerter

Application Experience Lookup Service Application Layer Gateway Service Application Management

Automatic Updates [Windows自动更新,可选项] Background Intelligent Transfer Service ClipBook

COM+ Event System COM+ System Application Computer Browser Cryptographic Services

DCOM Server Process Launcher DHCP Client

Distributed File System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS Client

Error Reporting Service Event Log File Replication Help and Support HTTP SSL

Human Interface Device Access IIS Admin Service

IMAPI CD-Burning COM Service Indexing Service Intersite Messaging

IPSEC Services [如果使用了IP安全策略则自动,如无则禁用,可选操作] Kerberos Key Distribution Center License Logging

Logical Disk Manager [可选,多硬盘建议自动] Logical Disk Manager Administrative Service Messenger /li> Microsoft Search

Microsoft Software Shadow Copy Provider MSSQLSERVER MSSQLServerADHelper Net Logon

NetMeeting Remote Desktop Sharing Network Connections Network DDE

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

Network DDE DSDM

Network Location Awareness (NLA) Network Provisioning Service NT LM Security Support Provider Performance Logs and Alerts Plug and Play

Portable Media Serial Number Service [微软反盗版工具,目前只针对多媒体类] Print Spooler Protected Storage

Remote Access Auto Connection Manager Remote Access Connection Manager Remote Desktop Help Session Manager Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Removable Storage

Resultant Set of Policy Provider Routing and Remote Access Secondary Logon

Security Accounts Manager Server

Shell Hardware Detection Smart Card

Special Administration Console Helper SQLSERVERAGENT System Event Notification Task Scheduler TCP/IP NetBIOS Helper Telephony Telnet

Terminal Services

Terminal Services Session Directory Themes

Uninterruptible Power Supply Upload Manager Virtual Disk Service Volume Shadow Copy WebClient

Windows Audio [服务器没必要使用声音]

Windows Firewall/Internet Connection Sharing (ICS) Windows Image Acquisition (WIA) Windows Installer

Windows Management Instrumentation

Windows Management Instrumentation Driver Extensions

? ? ? ? ? ? ?

Windows Time

Windows User Mode Driver Framework WinHTTP Web Proxy Auto-Discovery Service Wireless Configuration WMI Performance Adapter Workstation

World Wide Web Publishing Service

以上操作完成以后是否就\最小的权限+最少的服务=最大的安全\呢?其实不然,任何事物都是相对的 依我个人而见,以上设置也只是最基本的一些东西而已,如有遗漏,稍后补上!

三、IIS、终端服务、FTP、SQL的配置

3.1 IIS配置

IIS6与IIS5有着很多不同之处,不一一列举,也不是我一个脑袋可以装下的东西。都在资料上!IIS6有一个非常不方便的东西,就是他限制了在线上传不得大于200K,如何修改,请看:

首先停用IIS服务,> 服务 > iis admin service > 停用

C:\\windows\\system32\\inetsrv\\ metabase.xml 文件 用记事本打开它

找到 ASPMaxRequestEntityAllowed 处。默认为 204800 即 204800字节(200K)

修改为想要的数字如: 2048000 [2M] 保存,重启IIS服务即可!

设置基本参数

打开IIS管理器 > 网站 > 属性 >

网站 > 启动日志记录 > 关闭

主目录 > 配置 > 应用程序扩展 > 只保留 asp,asa

主目录 > 配置 > 选项 > 启用父目录

主目录 > 配置 > 调试 > 向客户端发送文本错误消息

网站 > 自定义错误 > 全部改成默认值 [上一章已经删除IIS使用的错误信息页面]

IIS管理器 > WEB服务扩展 > 启用 Active Server Pages

注:停用IIS默认站点,切勿删除,有可能会造成IIS的不稳定。

站点的建立将在第四节中详细介绍。

搜索更多关于: win2003安全策略 的文档
  • 收藏
  • 违规举报
  • 版权认领
下载文档10.00 元 加入VIP免费下载
推荐下载
本文作者:...

共分享92篇相关文档

文档简介:

? ? ? ? ? ? ? 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为\已启用\ ? o > 不显示上次的用户名 更改为\已启用\ o > 不需要按CTRL+ALT+DEL 更改为\已启用\ o > 不允许 SAM 账户的匿名枚举 更改为\已启用\ o > 不允许 SAM 账户和共享的匿名枚举 更改为\已启用\ o > 重命名来宾账户 更改成一个复杂的账户名 o > 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户] 组策略编辑器 运行 gpedit.msc 计算机配置 > 管理模板

相关文档

相关推荐

× 游客快捷下载通道(下载后可以自由复制和排版)
单篇付费下载
限时特价:10 元/份 原价:20元
微信支付并下载
微信支付并下载
VIP包月下载
特价:29 元/月 原价:99元
低至 0.3 元/份 每月下载150
全站内容免费自由复制
马上升级VIP
VIP包月下载
特价:29 元/月 原价:99元
低至 0.3 元/份 每月下载150
全站内容免费自由复制
马上升级VIP
注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
微信:fanwen365 QQ:370150219
Copyright © 云题海 All Rights Reserved. 苏ICP备16052595号-3 网站地图 客服QQ:370150219 邮箱:370150219@qq.com