加固NT和IIS的安全(4)_Windows教程

三、運行bastion.inf加固腳本

　　下載最新的bastioninf.zip，解壓后運行如下命令：

secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt

　　這個安全策略腳本在系統(tǒng)中做了如下改動：

　　　1．設定如下的密碼策略：

密碼唯一性：記錄上次的 6 個密碼
最短密碼期限：2
密碼最長期限：42
最短密碼長度：10
密碼復雜化(passfilt.dll)：啟用
用戶必須登錄方能更改密碼：啟用
帳號失敗登錄鎖定的門限：5
鎖定后重新啟用的時間間隔：720分鐘

　　2．審計策略：

審核如下的事件：
用戶和組管理 成功：失敗
登錄和注銷 成功：失敗
文件及對象訪問 失敗
更改安全規(guī)則 成功： 失敗
用戶權(quán)限的使用 失敗
系統(tǒng)事件 成功： 失敗

　　3．用戶權(quán)限分配：

從網(wǎng)絡中訪問這臺計算機：No one
將工作站添加到域：No one
備份文件和目錄：Administrators
更改系統(tǒng)時間：Administrators
強制從遠程系統(tǒng)關(guān)機：No one
加載和下載設備驅(qū)動程序：Administrators
本地登錄：Administrators
管理審核和安全日志：Administrators
恢復文件和目錄：Administrators
關(guān)閉系統(tǒng)：Administrators
獲得文件或?qū)ο蟮乃鶎贆?quán)：Administrators
忽略遍歷檢查（高級權(quán)力）：Everyone
作為服務登錄（高級權(quán)力）：No one
內(nèi)存中鎖定頁：No one
替換進程級記號：No one
產(chǎn)生安全審核：No one
創(chuàng)建頁面文件：Administrators
配置系統(tǒng)性能：No one
創(chuàng)建記號對象：No one
調(diào)試程序：No one
增加進度優(yōu)先級：Administrators
添加配額：Administrators
配置單一進程：Administrators
修改固件環(huán)境值：Administrators
生成系統(tǒng)策略： Administrators
以批處理作業(yè)登錄：No one

　　4．事件查看器設置：

應用程序、系統(tǒng)和安全的日志空間都設為100MB
事件日志覆蓋方式為：覆蓋30天以前的日志
禁止匿名用戶查看日志