將\system32\cmd.exe轉移到其他目錄或更名;
系統帳號盡量少,更改預設帳戶名(如administrator)和描述,密碼盡量複雜;
拒絕通過網路訪問該計算機(匿名登入;內建管理員帳戶;support_388945a0;guest;所有非作業系統服務帳戶)
建議對一般使用者只給予讀取許可權,而只給管理員和system以完全控制許可權,但這樣做有可能使某些正常的指令碼程式不能執行,或者某些需要寫的操作不能完成,這時需要對這些檔案所在的資料夾許可權進行更改,建議在做更改前先在測試機器上作測試,然後慎重更改。
ntfs檔案許可權設定(注意檔案的許可權優先級別比資料夾的許可權高):
檔案型別
cgi 檔案(.exe、.dll、.cmd、.pl)
指令碼檔案 (.asp)
包含檔案(.inc、.shtm、.shtml)
靜態內容(.txt、.gif、.jpg、.htm、.html)
建議的 ntfs 許可權
everyone(執行)
administrators(完全控制)
system(完全控制)
禁止c、d、d
、d一類的預設共享
hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters
autoshareserver、reg_dword、0x0
禁止admin$預設共享
hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters
autosharewks、reg_dword、0x0
限制ipc$預設共享
hkey_local_machine\system\currentcontrolset\control\lsa
restrictanonymous reg_dword 0x0 預設
0x1 匿名使用者無法列舉本機使用者列表
0x2 匿名使用者無法連線本機ipc$共享
說明:不建議使用2,否則可能會造成你的一些服務無法啟動,如sql server
僅給使用者真正需要的許可權,許可權的最小化原則是安全的重要保障
賬戶管理 成功 失敗
登入事件 成功 失敗
物件訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登入事件 成功 失敗
審核專案少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核專案太多不僅會占用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義。 如何起名與之相關的是:
在賬戶策略->密碼策略中設定:
密碼複雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定 3次錯誤登入
鎖定時間 20分鐘
win2003伺服器安全設定教程
伺服器安全設定 1 系統盤和站點放置盤必須設定為ntfs格式,方便設定許可權。2 系統盤和站點放置盤除administrators 和system的使用者許可權全部去除。3 啟用windows自帶防火牆,只保留有用的埠,比如遠端和web ftp 3389 80 21 等等,有郵件伺服器的還要開啟25...
Win2000 Win2003終端伺服器授權啟用
win2k的終端服務有90天的限制,如果這90天內不啟用它的話,過期之後就不能連線到win2k終端了 不影響無盤dos站的使用 要啟用它首先得擁有乙個七位數的註冊號碼 4954438 6565792 6879321或者5296992中任意乙個均可 利用它再經過如下操作即可完成終端的啟用 1 首先進入...
WIN 2003的伺服器群集功能
伺服器群集功能最早是為 microsoft windows nt?server 4.0 作業系統設計的,這一功能在 microsoft windows server 2003 enterprise edition 和 windows server 2003 datacenter edition 作業...