先来个大概备忘录安全策略,很多细节来不及写了。
分区,使用NTFS格式化
事先规划好分区,及目录,以及设置各文件夹权限,每根目录只保留Administrators组的、系统组权限。
C:\Documents and Settings删除除了Administrators组的其他组权限,需手工重置子文件和目录权限。
管理员账号 密码设置为强壮交叉密码,10位到16位
删除c:\inetpub目录中的所属文件夹
删除C:\WINNT\system32\inetsrv中的iisadmpwd目录。
在本地安全策略中将用户到期时间改为0(永久不过期)
修改系统安全策略,设置帐户策略中的密码最长留存期为”0”;定制审核策略
1) 账户管理 成功 失败
2) 登录事件 成功 失败
3) 对象访问 失败
4) 策略更改 成功 失败
5) 特权使用 失败
6) 系统事件 成功 失败
7) 目录服务访问 失败
8) 账户登录事件 成功 失败
应审核的目录包括:system32,sql2000,等等其他的。审核过程如下:
文件夹属性—安全—高级—审核—添加—everyone—全部失败成功审核
修改事件查看器日志属性, 51200K。
预防DoS:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值,可防御一定强度的DoS攻击
"TcpTimedWaitDelay" REG_DWORD=30
开起了服务器端口安全设置(TCP/IP筛选功能)。
开启系统防火墙,将规划好的需要打开的端口均添加到防火墙中。
保证“本地连接属性”中的“Mircosoft 网络客户”和“Mircosoft 网络的文件和打印共项”去掉勾选。
安装防病毒软件
不管IIS6.0添加ASP虚拟站点,还php虚拟主机。
独立匿名访问用户,并且去掉全部属组,即空白组
建立独立的IIS地址池
为虚拟目录设置适当的访问权限
当前应用程序映射列表
然后参照下表删除相关类别:
| 如果不使用下列应用 | 就删除掉以下项目 | |
| 基于Web的口令修改 | .htr | |
| Internet数据库连接器 (注意:所有的IIS5 Web服务器将使用ADO等相似技术代替数据库连接器) | .idc | |
| 服务器端包含文件(Server-side Includes) | .stm, .shtm, and .shtml | |
| Internet打印 | .printer | |
| 索引服务(
|
.htw, .ida and .id q |
本文转自jimmy_lixw 51CTO博客,原文链接:http://blog.51cto.com/jimmyli/587065,如需转载请自行联系原作者
