加固NT和IIS的安全(6)

6．文件系统和注册表存取控制：

详见bastion.inf

　　7．管理员帐号：

bastion.inf将Administrator改名为root,可以按照自己的需要更改这个名字，并使用强壮的密码

　　四、可选的注册表设置

1．删除 OS/2 和 POSIX 子系统:

删除如下目录的任何键：
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
删除如下的键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2

删除如下目录：
c:\winnt\system32\os2

　　2．除去RDS漏洞:

删除如下的注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\VbBusObj.VbBusObjCls

　　3．从网络服务中删除不必要的服务：

删除：Netbios接口，计算机浏览器，服务器，工作站
保留：RPC配置


　　五、保护许可

　　1． 保护Internet Guest 用户帐号：

　　在用户管理器中，将Internet Guest 帐号改为晦涩的名字，并使用强壮的密码禁止guest帐号。
将改名后的Internet Guest 帐号从组“guests”中删除。

　　设置改名后的Internet Guest 帐号对所有卷的访问为“No Access”，为了保证IIS的正常运行，必须赋予改名后的Internet Guest 帐号对以下目录的读取权限：
默认路径 环境变量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目录

　　注意：在设置以上目录的权限时，不要选择替换子目录的权限！！

　　2． 锁住组“Users”：

　　设置NT内建组“Users”对所有卷的访问权为“No Access”，因为新用户会自动加入组“Users”中，所以新用户缺省将不能访问任何卷。
　　原文作者：Gavin Reid gavin@shebeen.com