1.计算机安全策略设置(gpedit.msc)
Windows设置——>安全设置——>账户策略——>账户锁定策略:
1 2 3 | 账户锁定阀值:3次无效登录账户锁定时间:30分钟复位账户锁定计时器:30分钟之后 |
本地策略——>安全选项:
1 2 3 | 交互式登陆:不显示上次的用户名 启用帐户:重命名来宾帐户 重命名帐户:重命名系统管理员帐户 重命名 |
本地策略——>审核策略:
1 2 3 4 5 6 7 8 9 | 审核策略更改 成功 失败 审核登录事件 成功 失败审核对象访问 失败审核过程跟踪 无审核审核目录服务访问 失败审核特权使用 失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败 |
本地策略——>用户权限分配:
1 2 3 4 | 从网络访问此计算机:保留Guest组、IIS-WPG组。关闭系统:只有Administrators组、其它全部删除。通过终端服务拒绝登陆:加入Guests、User组通过终端服务允许登陆:只加入Administrators组,其他全部删除 |
2.禁用不必要的服务:
1 2 3 4 5 6 7 8 9 10 11 12 | Computer BrowserDHCP ClientError reporting servicePrintSpoolerRemote RegistryRemote Desktop Help Session ManagerTCP/IP NetBIOS HelperHelp and SupportWindows AudioServerWorkstation |
3.开启防火墙或TCP/IP筛选:
4.修改3389远程桌面端口:
1 2 3 4 5 6 7 8 9 | REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d $newport /fREG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d $newport /f#然后关闭并重新启动远程桌面,远程连接操作请重新启动系统生效。REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /fREG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f |
5.IIS新建网站时尽量新建不同的用户,并权限最小化:
1 2 3 | 网站匿名访问用户属于Guest群组应用程序池标记用户属于IIS_WPG群组网站目录仅保留系统管理员网站用户权限 |
6.系统目录权限:
1 2 3 4 | C:\administrators/system全部权限,继承到下级目录。C:\Program Files\Common Files 开放Everyone,默认的读取及运行,列出文件目录,读取三个权限。C:\Windows\ 开放USERS默认的读取及运行,列出文件目录,读取三个权限。C:\Windows\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限。 |
7.禁用不安全的组件、调整ASP.NET安全级别防WebShell木马。
8.使用UrlScan应用防火墙过滤链接。
9.SQL2000数据库服务器安全设置。
