关于站点的安全性（转）

阿呆

WIN2000 SERVER+IIS5.0

关于系统的配置:

1．硬盘的分区
    分区1：系统分区，安装系统和重要日志文件。
??分区2：提供给IIS使用。
??分区3：提供给FTP使用。

2．组件的定制
      Internet 服务管理器、WWW服务器 终端服务管理器

3.修改注册表及关闭不需要的服务
删除如下目录的任何键：
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
删除如下的键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2

不让系统显示上次登录的用户名
HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name的键值改成1。

禁止建立空连接
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。

关闭所有不需要的服务
Alerter (disable)
ClipBook Server (disable)
Computer Browser (disable)
DHCP Client (disable)
Directory Replicator (disable)
FTP publishing service (disable)
License Logging Service (disable)
Messenger (disable)
Netlogon (disable)
Network DDE (disable)
Network DDE DSDM (disable)
Network Monitor (disable)
Plug and Play (disable after all hardware configuration)
Remote Access Server (disable)
Remote Procedure Call (RPC) locater (disable)
Schedule (disable)
Server (disable)
Simple Services (disable)
Spooler (disable)
TCP/IP Netbios Helper (disable)
Telephone Service (disable)

4.账户安全
停用Guest账号，并给Guest 加一个复杂的密码。
把系统Administrator账号改名，尽量把它伪装成普通用户
密码唯一性：记录上次的 3个密码
最短密码期限：0
密码最长期限：42
最短密码长度：6
密码复杂化：启用
帐号失败登录锁定的门限：3
锁定后重新启用的时间间隔：60分钟
在本地安全策略中起用审核策略

5、目录访问权限
重要的目录文件限制写权限，如将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限

6、IIS的安全
关闭并删除默认站点：
默认FTP站点
默认Web站点
管理Web站点
删除 C:\\inetpub
建立自己的站点，与系统不在一个分区
删除IIS的部分目录：
IISHelp C:\winnt\help\iishelp
IISAdmin C:\system32\inetsrv\iisadmin
MSADC C:\Program Files\Common Files\System\msadc\
删除不必要的IIS映射和扩展
禁用父路径
在虚拟目录上设置访问控制权限
Administrators（完全控制）
System（完全控制）
使用 W3C 扩展日志记录格式
建立一个HTML的目录一个ASP的目录，分别赋予执行无和纯脚本

7、网络安全
修改默认的端口
启用TCP/IP过滤
安装防火墙
用模板配置基本的 Windows 2000 系统安全策略
去除所有网络共享
限制LSA匿名访问
去除logon信息的cashing和shutdown功能

8、安装数据库服务器和邮件服务器和FTP服务器

9、配置TCP/IP及DNS

9、打补丁
安装WINSP2
安装最新的hotfix
  安装SQL Server 2000的安全补丁....