給WIN2003 IIS SQL伺服器安全加固

將\System32\cmd.exe轉移到其他目錄或更名；

系統帳號儘量少，更改預設帳戶名（如Administrator）和描述，密碼儘量複雜；

拒絕透過網路訪問該計算機（匿名登入；內建管理員帳戶；Support_388945a0；Guest；所有非作業系統服務帳戶）

建議對一般使用者只給予讀取許可權，而只給管理員和System以完全控制許可權，但這樣做有可能使某些正常的指令碼程式不能執行，或者某些需要寫的操作不能完成，這時需要對這些檔案所在的資料夾許可權進行更改，建議在做更改前先在測試機器上作測試，然後慎重更改。

NTFS檔案許可權設定（注意檔案的許可權優先順序別比資料夾的許可權高）：

檔案型別

CGI 檔案（.exe、.dll、.cmd、.pl）

指令碼檔案 (.asp)

包含檔案（.inc、.shtm、.shtml）

靜態內容（.txt、.gif、.jpg、.htm、.html）

建議的 NTFS 許可權

Everyone（執行）

Administrators（完全控制）

System（完全控制）

禁止C、D、D、D一類的預設共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareServer、REG_DWORD、0x0

禁止ADMIN$預設共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareWks、REG_DWORD、0x0

限制IPC$預設共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous REG_DWORD 0x0 嬰兒起名預設

0x1 匿名使用者無法列舉本機使用者列表

0x2 匿名使用者無法連線本機IPC$共享

說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server

僅給使用者真正需要的許可權，許可權的最小化原則是安全的重要保障

在本地安全策略->稽核策略中開啟相應的稽核，推薦的稽核是：

賬戶管理 成功 失敗

登入事件 成功 失敗

物件訪問 失敗

策略更改 成功 失敗

特權使用 失敗

系統事件 成功 失敗

目錄服務訪問 失敗

賬戶登入事件 成功 失敗

稽核專案少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；稽核專案太多不僅會佔用系統資源而且會導致你根本沒空去看，這樣就失去了稽核的意義。 與之相關的是：

在賬戶策略->密碼策略中設定：

密碼複雜性要求 啟用

密碼長度最小值 6位

強制密碼歷史 5次

最長存留期 30天

在賬戶策略->賬戶鎖定策略中設定：

賬戶鎖定 3次錯誤登入

鎖定時間 20分鐘