加固NT和IIS的安全(6)

6．文件系统和注册表存取控制：

详见bastion.inf

7．管理员帐号：

bastion.inf将Administrator改名为root,可以按照自己的需要更改这个名字，并使用强壮的密码

四、可选的注册表设置

1．删除 OS/2 和 POSIX 子系统:

删除如下目录的任何键：

HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT

删除如下的键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath

删除如下的键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session

Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session

Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session

Manager\SubSystems\Os2

删除如下目录：

c:\winnt\system32\os2

2．除去RDS漏洞:

删除如下的注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters\ADCLaunch\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters\ADCLaunch\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVCParameters\ADCLaunch\VbBusObj.VbBusObjCls

3．从网络服务中删除不必要的服务：

删除：Netbios接口，计算机浏览器，服务器，工作站

保留：RPC配置

五、保护许可

1． 保护Internet Guest 用户帐号：

在用户管理器中，将Internet Guest 帐号改为晦涩的名字，并使用强壮的密码禁止guest帐号。

将改名后的Internet Guest 帐号从组“guests”中删除。

设置改名后的Internet Guest 帐号对所有卷的访问为“No Access”，为了保证IIS的正常运行，必须赋予改名后的Internet Guest 帐号对以下目录的读取权限：

默认路径 环境变量

c:\ %SystemDrive%

c:\winnt %SystemRoot%

d:\InetPub\wwwroot 你的IIS根目录

注意：在设置以上目录的权限时，不要选择替换子目录的权限！！

2． 锁住组“Users”：

设置NT内建组“Users”对所有卷的访问权为“No Access”，因为新用户会自动加入组“Users”中，所以新用户缺省将不能访问任何卷。

原文作者：Gavin Reid gavin@shebeen.com