秘籍分享:關于Windows服務器的安全策略(詳)

       1.1.1Windows Server的安裝 安裝系統(tǒng)最少兩需要個分區(qū)，分區(qū)格式都采用NTFS格式；
       在斷開網(wǎng)絡的情況安裝好操作系統(tǒng)；
       安裝IIS，僅安裝必要的 IIS 組件（禁用不需要的如FTP 和 SMTP 服務）；
       安裝MSSQL及其它所需要的軟件然后進行Update；
       使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分析計算機的安全配置，并標識缺少的修補程序和更新。

       1.1.2設置和管理賬戶 系統(tǒng)管理員賬戶最好少建，更改默認的管理員帳戶名（Administrator）和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14位；
       新建一個名為Administrator的陷阱帳號，為其設置最小的權限，然后隨便輸入組合的最好不低于20位的密碼將Guest賬戶禁用并更改名稱和描述，然后輸入一個復雜的密碼； 
       在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效”，“鎖定時間為30分鐘”，“復位鎖定計數(shù)設為30分鐘”；
       在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用；
       在安全設置-本地策略-用戶權利分配中將“從網(wǎng)絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶；
       創(chuàng)建一個User賬戶，運行系統(tǒng)，如果要運行特權命令使用Runas命令。

       1.1.3網(wǎng)絡服務安全管理 禁止C$、D$、ADMIN$一類的缺省共享；
       解除NetBios與TCP/IP協(xié)議的綁定；
       關閉不需要的服務。

       1.1.4打開相應的審核策略（推薦的要審核的項目） 登錄事件 成功 失敗
       賬戶登錄事件 成功 失敗
       系統(tǒng)事件 成功 失敗
       策略更改 成功 失敗
       對象訪問 失敗
       目錄服務訪問 失��；
       特權使用 失敗。

       1.1.5安全相關設置 隱藏重要文件/目錄；
       啟動系統(tǒng)自帶的Internet連接防火墻，在設置服務選項中勾選Web服務器；
       防止SYN洪水攻擊；
       禁止響應ICMP路由通告報文；
       防止ICMP重定向報文的攻擊；
       不支持IGMP協(xié)議；
       禁用DCOM。

       1.1.6配置 IIS 服務 不使用默認的Web站點，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。
       刪除IIS默認創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。
       刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
       刪除不必要的IIS擴展名映射；
       去掉不必要的應用程序映射。主要為.shtml, .shtm, .stm； 
       更改IIS日志的路徑
       利用WIS (Web Injection Scanner)工具對整個網(wǎng)站進行SQL Injection 脆弱性掃描。