IIS网站服务器安全设置（4）

6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)

协议 IP协议端口 源地址 目标地址 描述 方式
ICMP -- -- -- ICMP 阻止
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止
UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止
UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止

以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口

7、服务器安全设置之--本地安全策略设置

安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动)


   开始菜单—>管理工具—>本地安全策略

   A、本地策略——>审核策略

   审核策略更改   成功 失败 
   审核登录事件   成功 失败
   审核对象访问      失败
   审核过程跟踪   无审核
   审核目录服务访问    失败
   审核特权使用      失败
   审核系统事件   成功 失败
   审核账户登录事件 成功 失败
   审核账户管理   成功 失败
  B、本地策略——>用户权限分配

   关闭系统：只有Administrators组、其它全部删除。
   通过终端服务拒绝登陆：加入Guests、User组
   通过终端服务允许登陆：只加入Administrators组，其他全部删除

  C、本地策略——>安全选项

   交互式登陆：不显示上次的用户名       启用
   网络访问：不允许SAM帐户和共享的匿名枚举   启用
   网络访问：不允许为网络身份验证储存凭证   启用
   网络访问：可匿名访问的共享         全部删除
   网络访问：可匿名访问的命          全部删除
   网络访问：可远程访问的注册表路径      全部删除
   网络访问：可远程访问的注册表路径和子路径  全部删除
   帐户：重命名来宾帐户            重命名一个帐户
   帐户：重命名系统管理员帐户         重命名一个帐户