IIS6.0安设置实际操作.docVIP

IIS安全加固过程环境 iis6.0补丁情况，通过常用的辅助软件（**卫士），能打的补丁全打上 1.设置每个分驱的权限，只留administrators system32完全控制，2.以下文件及目录也都只设置administrators system32完全控制权 可执行文件位于system32目录下  net.exe net1.exe cmd.exe format.exe at.exe netstat.exe telnet.exe cacls.exe ftp.exe reg.exe regedit.exe inetsrv目录 Documents and Settings 目录，特别是 All Users\「开始」菜单\程序\启动 Administrator\「开始」菜单\程序\启动 3. 删除IIS安装成功后生成的c:\inetpub目录 或者重命名 4.如果需要远程维护，更改3389端口，HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边 PortNumber 改为你想用的端口，如果开启了windows自带的防火墙，在防火墙中开启你所更改后的端口  5.帐号安全 重命名administrator 创建一个administrator 隶属于users组，密码设长些 删除没用的帐号 禁用guest 网站多的话，最好为每个网站建一个帐户，不用IUSER-coputername-数字（我禁用了此帐户），新创建的用户加入一个组（随便建个，如webuser） 6. 组策略设置 让系统在登入时不显示上次用户名，可在组策略中修改 计算机配置——windows设置——本地策略——安全选项 也可在注册表中修改,创建REG_SZ Dont-DisplayLastUserName 值为1 HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont-DisplayLastUserName 以及下面这几项设置 网络访问：不允许SAM帐户和共享的匿名枚举　 启用 网络访问：不允许为网络身份验证储存凭证　启用 网络访问：可匿名访问的共享　全部删除 网络访问：可匿名访问的命全部删除 网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 帐户策略，锁定及密码，根据你自己情况来设置；截图是锁定策略 本地策略之 审核策略 7.IP安全策略 创建udp安全策略， a. 右边空白 右击“管理IP 筛选器表和……”——弹出窗口 “编辑”——“添加” 这张是完成图 添加，出现新窗口，下一步，描述输入内容，便于自己理解，下一步，到下面这张图， 源地址 选 “我的IP地址”， 再下一步 下一步，协议选 ：UDP 下一步，选 “到此端口”输入53 DNS用的 下一步，完成。回到 点 确定。完成添加。现在开始 创建IP安全策略；右击空白处“创建IP安全策略”，出现向导，下一步，输入名称及描述，在此我输入allow dns udp，2次“下一步”出现 不管，直接点 是，就完成，显示 如下图 右击 udp安全策略——属性，出现下图，红线是我创建好的，省去 点，添加，出现“安全规则向导”，按3次 下一步后，出现 看到，你刚才创建的 allow udp dns，选 上，下一步 上图中的“阻止”是自己添加的，是后面新建一条UDP时用到，这里我们选择“许可” 下一步，就完成了 默认建好后，策略是“未指派”的，我们需要手动指派下才可以生效 创建一条阻止 UDP的IP安全策略，与前面相似 协议 UDP 端口 都是空着 8.系统服务 直接上张已经开启的服务图，关掉的服务比较多 TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 Server支持此计算机通过网络的文件、打印、和命名管道共享 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件，不需要可禁用