一,系统更新
1,升级到win2003 SP2;
2,安装最新安全与系统补丁。
二,系统根目录/系统目录权限
1,查看对各个重要的目录是否设置了访问控制列表。例如“C:”“c:/system”“c:/system32”。
三,服务开放情况
1,打开 控制面板->管理工具->服务窗口;
2,关闭不必要的服务:
Alerter、Remote Registry、Messenger、Computer Browser 、Error Reporting Service 、Help and Support 、Print Spooler、Server 、Windows Time 、Task Scheduler
3,关闭以下TCP端口:
Ftp:21 Epmap:135 Netbios-ssn:139 Microsoft域:445
4,删除Microsoft Index,Server,IIS不必要的组件。
四,IIS情况检查
1,删除IIS例子程序。
五,密码策略
1,运行secpol.msc命令;
2,密码策略,密码历史不小于5次,密码长度大于7位,最短存留期大于5天,最长存留期小于90天,必须启用密码复杂性要求。
六,安全审核
1,运行中输入secpol.msc命令
2,打开“本地安全设置”对话框,依次展开“本地策略-审核策略”:
i. 审核策略更改 成功, 失败
ii. 审核登录事件 成功, 失败
iii. 审核对象访问 成功, 失败
iv. 审核过程追踪 失败
v. 审核目录服务访问 失败
vi. 审核特权使用 成功, 失败
vii. 审核系统事件 成功, 失败
viii. 审核帐户登录事件 成功, 失败
ix. 审核帐户管理 成功, 失败
七,缺省共享、空连接,管理共享
1,使用net share命令检查目前的共享情况;
2,删除ADMIN$,C$,D$,E$。
八,日志记录
1,查看“系统工具->事件查看器”里面的属性;
2,将日志文件的大小改为10MB(根据系统空间情况),覆盖周期从7天改为30天。
九,帐号对所有卷的访问权限
1,将everyone可以执行的权限分配删除;有的目录在进行权限分配后会影响系统的正常运行,在进行权限时一定要慎重。
十,其他设置
1,SNMP的community的值 客户定义;
2,屏幕保护设置为3分钟并有口令;
3,禁用TCP/IP上的NetBios接口;
4,administrator超级管理员改名。
