固若金汤 Windows 2003服务器加固方案

    因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器

　　我们通过一下几个方面对您的系统进行安全加固：

　　1． 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

　　2． IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

　　3． 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

　　系统的安全加固：

　　1．目录权限的配置：

　　1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

　　1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

　　1．6审核MetBase.bin，C:\WINNT\system32\inetsrv目录只有administrator只允许Administrator用户读写。

　　2．组策略配置:

　　在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators；

　　启用不允许匿名访问SAM帐号和共享；

　　启用不允许为网络验证存储凭据或Passport；

　　从文件共享中删除允许匿名登录的DFS$和COMCFG；

　　启用交互登录：不显示上次的用户名；

　　启用在下一次密码变更时不存储LANMAN哈希值；

　　禁止IIS匿名用户在本地登录；

　　3.本地安全策略设置:

　　开始菜单—>管理工具—>本地安全策略

　　A、本地策略——>审核策略

　　审核策略更改　成功　失败

　　审核登录事件　成功　失败

　　审核对象访问失败

　　审核过程跟踪　无审核

　　审核目录服务访问失败

　　审核特权使用失败

　　审核系统事件　成功　失败

　　审核账户登录事件　成功　失败

　　审核账户管理　成功　失败

　　注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

　　B、本地策略——>用户权限分配

　　关闭系统：只有Administrators组、其它全部删除。

　　通过终端服务拒绝登陆：加入Guests、User组

　　通过终端服务允许登陆：只加入Administrators组，其他全部删除

　　C、本地策略——>安全选项

　　交互式登陆：不显示上次的用户名　启用

　　网络访问：不允许SAM帐户和共享的匿名枚举启用

　　网络访问：不允许为网络身份验证储存凭证　启用

　　网络访问：可匿名访问的共享　全部删除

　　网络访问：可匿名访问的命全部删除

　　网络访问：可远程访问的注册表路径全部删除

　　网络访问：可远程访问的注册表路径和子路径全部删除

　　帐户：重命名来宾帐户重命名一个帐户

　　帐户：重命名系统管理员帐户　重命名一个帐户