將\System32\cmd.exe轉(zhuǎn)移到其他目錄或更名；

系統(tǒng)帳號(hào)盡量少，更改默認(rèn)帳戶名（如Administrator）和描述，密碼盡量復(fù)雜；

拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)（匿名登錄；內(nèi)置管理員帳戶；Support_388945a0；Guest；所有非操作系統(tǒng)服務(wù)帳戶）

建議對(duì)一般用戶只給予讀取權(quán)限，而只給管理員和System以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成，這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改，建議在做更改前先在測(cè)試機(jī)器上作測(cè)試，然后慎重更改。

NTFS文件權(quán)限設(shè)定（注意文件的權(quán)限優(yōu)先級(jí)別比文件夾的權(quán)限高）：

文件類型

CGI 文件（.exe、.dll、.cmd、.pl）

腳本文件 (.asp)

包含文件（.inc、.shtm、.shtml）

靜態(tài)內(nèi)容（.txt、.gif、.jpg、.htm、.html）

建議的 NTFS 權(quán)限

Everyone（執(zhí)行）

Administrators（完全控制）

System（完全控制）

禁止C$、D$一類的缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareServer、REG_DWORD、0x0

禁止ADMIN$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareWks、REG_DWORD、0x0

限制IPC$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous REG_DWORD 0x0 缺省

0x1 匿名用戶無法列舉本機(jī)用戶列表

0x2 匿名用戶無法連接本機(jī)IPC$共享

說明:不建議使用2，否則可能會(huì)造成你的一些服務(wù)無法啟動(dòng)，如SQL Server

僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障

在本地安全策略->審核策略中打開相應(yīng)的審核，推薦的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對(duì)象訪問 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪問 失敗

賬戶登錄事件 成功 失敗

審核項(xiàng)目少的缺點(diǎn)是萬一你想看發(fā)現(xiàn)沒有記錄那就一點(diǎn)都沒轍；審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒空去看，這樣就失去了審核的意義。 如何起名與之相關(guān)的是：

在賬戶策略->密碼策略中設(shè)定：

密碼復(fù)雜性要求 啟用

密碼長(zhǎng)度最小值 6位

強(qiáng)制密碼歷史 5次

最長(zhǎng)存留期 30天

在賬戶策略->賬戶鎖定策略中設(shè)定：

賬戶鎖定 3次錯(cuò)誤登錄

鎖定時(shí)間 20分鐘

總結(jié)

以上是生活随笔為你收集整理的给WIN2003 IIS SQL服务器安全加固的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。