加固Windows 2003平台WEB服务器（3）

　　1. 设置帐号锁定阀值为5次无效登录，锁定时间为30分钟;

　　2. 从通过网络访问此计算机中删除Everyone组;

　　3. 在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;

　　4. 为交互登录启动消息文本。

　　5. 启用 不允许匿名访问SAM帐号和共享;

　　6. 启用 不允许为网络验证存储凭据或Passport;

　　7. 启用 在下一次密码变更时不存储LANMAN哈希值;

　　8. 启用 清除虚拟内存页面文件;

　　9. 禁止IIS匿名用户在本地登录;

　　10. 启用 交互登录：不显示上次的用户名;

　　11. 从文件共享中删除允许匿名登录的DFS$和COMCFG;

　　12. 禁用活动桌面。

　　强化TCP协议：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

　　"SynAttackProtect"=dword:00000001

　　"EnablePMTUDiscovery"=dword:00000000

　　"NoNameReleaseOnDemand"=dword:00000001

　　"EnableDeadGWDetect"=dword:00000000

　　"KeepAliveTime"=dword:00300000

　　"PerformRouterDiscovery"=dword:00000000

　　"TcpMaxConnectResponseRetransmissions"=dword:00000003

　　"TcpMaxHalfOpen"=dword:00000100

　　"TcpMaxHalfOpenRetried"=dword:00000080

　　"TcpMaxPortsExhausted"=dword:00000005

　　安装和配置IIS

　　进入Windows组件安装，找到应用程序服务器，进入详细信息，勾选ASP.NET后，IIS必须的组件就会被自动选择，如果你的服务器需要运行ASP脚本，那么还需要进入Internet信息服务(IIS)-万维网服务下勾选Active Server Pages。完成安装后，应当在其他逻辑分区上单独建立一个目录用来存储WEB网站程序及数据。

　　一台WEB服务器上都运行着多个网站，他们之间可能互不相干，所以为了起到隔离和提高安全性，需要建立一个匿名WEB用户组，为每一个站点创建一个匿名访问账号，将这些匿名账号添加到之前建立的匿名WEB用户组中，并在本地计算机策略中禁止此组有本地登录权限。