先來個大概備忘錄安全性原則,很多細節來不及寫了。
分區,使用NTFS格式化
事先規劃好分區,及目錄,以及設定各檔案夾許可權,每根目錄只保留Administrators組的、系統組許可權。
C:\Documents and Settings刪除除了Administrators組的其他組許可權,需手工重設子檔案和目錄許可權。
管理員帳號 密碼設定為強壯交叉密碼,10位到16位
刪除c:\inetpub目錄中的所屬檔案夾
刪除C:\WINNT\system32\inetsrv中的iisadmpwd目錄。
在本地安全性原則中將使用者到期時間改為0(永久不到期)
修改系統安全性原則,設定帳戶原則中的密碼最長留存期為”0”;定製稽核原則
1) 賬戶管理 成功 失敗
2) 登入事件 成功 失敗
3) 對象訪問 失敗
4) 策略更改 成功 失敗
5) 特權使用 失敗
6) 系統事件 成功 失敗
7) 目錄服務訪問 失敗
8) 賬戶登入事件 成功 失敗
應審核的目錄包括:system32,sql2000,等等其他的。審核過程如下:
檔案夾屬性—安全—進階—審核—添加—everyone—全部失敗成功審核
修改事件檢視器日誌屬性, 51200K。
預防DoS:
在註冊表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值,可防禦一定強度的DoS攻擊
"TcpTimedWaitDelay" REG_DWORD=30
開起了伺服器連接埠安全設定(TCP/IP篩選功能)。
開啟系統防火牆,將規劃好的需要開啟的連接埠均添加到防火牆中。
保證“本地串連屬性”中的“Mircosoft 網路客戶”和“Mircosoft 網路的檔案和列印共項”去掉勾選。
安裝防毒軟體
不管IIS6.0添加ASP虛擬網站,還php虛擬機器主機。
獨立匿名訪問使用者,並且去掉全部屬組,即空白組
建立獨立的IIS位址集區
為虛擬目錄設定適當的存取權限
當前應用程式對應列表
然後參照下表刪除相關類別:
如果不使用下列應用 |
就刪除掉以下項目 |
基於Web的口令修改 |
.htr |
Internet資料庫連接器 (注意:所有的IIS5 Web伺服器將使用ADO等相似技術代替資料庫連接器) |
.idc |
伺服器端包含檔案(Server-side Includes) |
.stm, .shtm, and .shtml |
Internet列印 |
.printer |
索引服務(Index Server) |
.htw, .ida and .idq |