1. 首先取消各磁盤中不必要的權限。C盤建議只保留administrators組、system組的完全控制權限和IIS_WPG組的讀取執(zhí)行權限。(建議使用“安全”選項卡中的“高級”進行權限分配工作)
D盤如果是用于存放網(wǎng)站程序文件,建議保留administrators組、system組的完全控制權和設置users組“讀取屬性”的權限(用于ASP.NET創(chuàng)建目錄)。
其余盤盡可能只保留administrators組、system組的完全控制權,其余權限都去除掉。
2.把 WScript,Shell這些組件反注冊掉。
在開始菜單—運行—輸入“CMD”后按確認—輸入下面指令:
regsvr32/u wshom.ocx
regsvr32/u shell32.dll
3. C:windowssystem32下的cacls.exe、net.exe、net1.exe、cmd.exe、wshom.ocx、shell32.dll、文件,按鼠標右鍵“屬性”->“安全”->“高級”,去掉“允許父項的繼承權限...”這個選項(接著點“復制”),然后將除了administrators及system之外的權限都去掉
4. 增加賬號安全管理。在開始菜單--“運行”中輸入:gpedit.msc。然后“計算機配置”—“windows設置”—“安全設置”鼠標右鍵—“導入策略”
預先定義的安全模板有:
(1)默認安全(setup security.inf)
(2)域控制器默認安全(DC security.inf)
(3)兼容(compatws.inf)
(4)安全(secure*.inf)
(5)高度安全(hisec*.inf)
(6)系統(tǒng)根目錄安全(rootsec.inf)
(7)IE瀏覽器安全(iesacls.inf)
可根據(jù)服務器的實際業(yè)務情況自行選擇合適的模板
5. 取消不必要的系統(tǒng)服務。開始菜單—運行-- services.msc。
將不必要服務的啟動類型設置為“禁用”
以下為Win 2003系統(tǒng)中不必要開放的服務列表:
·Computer Browser 維護網(wǎng)絡上計算機的最新列表以及提供這個列表
·Task scheduler 允許程序在指定時間運行
·Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務
·Removable storage 管理可移動媒體、驅(qū)動程序和庫
·Remote Registry Service 允許遠程注冊表操作
·Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機的朋友不能禁用這項
·IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序
·Distributed Link Tracking Client 當文件在網(wǎng)絡域的NTFS卷中移動時發(fā)送通知
·Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件
·Alerter 通知選定的用戶和計算機管理警報
·Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
·Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
·Telnet 允許遠程用戶登錄到此計算機并運行程序