Windows WEB服务器配置安全规范(试行版)
WINDOWS_WEB_服务器配置安全规范
Windows WEB服务器配置安全规范(试行版)目录一、安装 Win 200x 安全概览 1.硬盘分区的文件系统选择 2.组件的定制3.接入网络时间4.账户安全管理5.安全审核6.卸载无用的组件模块二、基本系统设置1.安装各种补丁2.分区内容规划3.协议管理4.关闭所有以下不需要的服务5.删除 OS/2 和 POSIX 子系统6.帐号和密码策略7.设置文件和目录权限8.注册表一些条目的修改9.启用TCP/IP过滤10.移动部分重要文件并加访问控制11.下载Hisecweb.inf安全模板来配置系统12. 服务器上其他工具程序的替代13.设置陷阱脚本14.取消部分危险文件扩展名15.关闭 445 端口16.关闭 DirectDraw17.禁止dump file的产生和自动清除页面文件18.禁止从软盘和CD ROM启动系统19.锁住注册表的访问权限20.使用IPSec增强IP数据包的安全性21.考虑使用智能卡来代替密码22.将服务器隐藏起来23.Win 2003中提高FSO的安全性三、IIS 安全设置1.关闭并删除默认站点2.建立自己的站点,与系统不在一个分区3.删除IIS的部分目录 4.删除不必要的IIS映射和扩展5.禁用父路径6.在虚拟目录上设置访问控制权限7.启用日志记录8.备份IIS配置9.修改IIS标志10.重定义错误信息11.Win 2003中提高FSO的安全性12.防止ASP 木马在服务器上运行四、数据安全及备份管理1.备份2.设置文件共享权限3.防止文件名欺骗4.Access数据库的安全概要5.MSSQL 注入攻击的防范6.MSSQL Server 的基本安全策略7.使用应用层过滤防范URL入侵8.PHP木马的攻击的防御之道五、其他辅助安全措施六、简单设置防御小流量DDOS 攻击七、日常安全检查sql/downloads/2000/sp3.asp"target=_blank>/sql/downloads/2000/sp3.asp。
WEB 服务器配置安全规范
WEB 服务器配置安全规范Apache服务器的主要安全缺陷正如我们前言所说尽管Apache服务器应用最为广泛,设计上非常安全的程序。
但是同其它应用程序一样,Apache 也存在安全缺陷。
毕竟它是完全源代码,Apache服务器的安全缺陷主要是使用HTTP协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行“拒绝服务”(DoS)攻击。
合理的网络配置能够保护Apache服务器免遭多种攻击。
我们来介绍一下主要的安全缺陷:(1)使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。
这样会使Apache对系统资源(CPU时间和内存)需求的剧增,最终造成Apache系统变慢甚至完全瘫痪。
(2)缓冲区溢出的安全缺陷该方法攻击者利用程序编写的一些缺陷,使程序偏离正常的流程。
程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。
(3)被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程),攻击者会通过它获得root权限,进而控制整个Apache系统。
(4)恶意的攻击者进行“拒绝服务”(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞,它主要是存在于Apache的chunk encoding中,这是一个HTTP协议定义的用于接受web用户所提交数据的功能。
所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。
请广大Apache服务器管理员去/dist/httpd/下载补丁程序以确保其WEB服务器安全!正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性,由于Apache服务器其庞大的项目,难免会存在安全隐患。
正确维护和配置Apache WEB服务器就很重要了。
Windows 7 WEB 全能服务器环境配置攻略(asp .net php)全包
Windows 7全能型WEB(asp .net php)服务器环境配置攻略(一)技术是为人服务,人可以改变技术,但绝不可以做技术的奴隶。
本着互相学习、共同提高的理念,本人以微软windows7操作系统为基础,与大家共同探讨学习在windows 7中设置服务器。
最常见的WEB服务那就是WWW服务,也就是指网站功能。
WWW服务主要为用户展示新闻、图片、提供数据、生产订单等。
配置一款 WEB 操作系统其实并不难,要求我们心要细。
发现问题要善于思考,善于搜索。
不懂不要紧,只要我们肯研究、肯学习,敢问、敢想,那一切都能解决的。
前言国内网站WEB应用程序的概况互联网发展到今天,对我们的生活产生了极大的影响。
一些专业的程序开发商为我们提供了许多很好的产品,其中不乏一些开源免费的产品。
例如国产 BBS的领头羊北京康盛创想公司,旗下包括 PHP 类产品 discuz!、supesite/xs-space、ecshop、supe-v和.net 类的 discuz!NT 产品,其最近又发布了新产品 ucenter、ucenter home 将各个应用程序之间相互联系起来。
还有国内 CMS 的新势力酷源网站管理系统(KYCMS),上线不到半年就好评如潮。
还有以开源著称的织梦网站管理系统(DEDECMS),其 3.1版本体积小巧,功能强大。
现己发展到 5.1 版本,集成了众多当前主流的模块,如问答、分类信息、小说等。
此外还有 IWMS网奇、动易、风讯、帝国、PHPCMS、PHP168等众多产品,当然一些没有坚持下来的产品也不胜其数。
就是因为有这么多的软件供应商为我们提供软件,才使得国内的互联网一片红火,每天都有大量的新站长加入进来建设互联网。
下面是国内 WEB 领域做得比较成功的产品:一:论坛类:1:discuz 论坛。
官方:2:discuz!NT 论坛。
跟上面的是同一家。
官方:3:phpwind论坛。
官方:4:动网论坛。
服务器安全设置的规范
服务器安全设置的规范随着信息技术的快速发展,服务器作为信息存储和传输的核心组件,其安全性变得越来越重要。
为了保护服务器免受恶意攻击和数据泄露等风险,以下是一份关于服务器安全设置的规范。
1、用户账户管理服务器应仅允许必要的用户账户访问,所有账户都应设置强密码,并定期更换。
对于重要账户,如系统管理员和数据库管理员,应使用多因素身份验证方法来提高安全性。
同时,对用户账户的异常活动应进行实时监控和记录。
2、防火墙设置服务器的防火墙应设置为只允许必要的网络流量通过,并阻止未授权的访问。
这意味着所有不必要的端口和服务都应被关闭,如不必要的网络协议或远程访问服务等。
防火墙规则应定期更新以应对新的威胁。
3、入侵检测与防御服务器应安装入侵检测系统(IDS)或入侵防御系统(IPS),以便及时发现并阻止恶意活动。
这些系统可以监控网络流量,识别并阻止恶意行为,如未经授权的访问、拒绝服务攻击等。
4、系统更新与补丁管理服务器的操作系统、应用程序和数据库应始终保持最新状态,以防止因版本过旧而引发的安全漏洞。
所有安全更新和补丁都应及时应用,以消除已知的漏洞。
5、数据加密与备份敏感数据应在传输和存储过程中进行加密,以防止数据泄露。
同时,定期备份数据,确保在发生故障或攻击时可以快速恢复数据。
备份数据应存储在安全的地方,如离线存储设备或云端存储服务。
6、日志与监控服务器应记录所有活动,包括系统事件、用户行为、网络流量等。
这些日志可以帮助管理员发现异常行为和潜在的攻击。
同时,应使用性能监控工具来实时监控服务器的运行状态和网络流量。
7、安全审计与记录对服务器的所有操作和访问活动都应进行审计和记录,包括系统管理员、数据库管理员和其他有特权的管理员的操作。
这些记录可以帮助追踪潜在的安全问题,并在发生违规行为时提供证据。
8、灾难恢复计划为了应对自然灾害、人为错误或恶意攻击等可能的安全事件,应制定灾难恢复计划。
该计划应包括数据的备份和恢复流程、服务器的备份和重新部署流程以及其他相关操作流程。
服务器安全配置手册
服务器安全配置手册服务器安全配置手册1、引言服务器安全配置是保护服务器及其上的敏感数据不受未经授权的访问和攻击的重要措施。
本手册旨在提供一个综合的服务器安全配置指南,帮助管理员确保服务器的安全性。
2、服务器操作系统安全配置2.1 启用防火墙2.2 定期更新操作系统和补丁2.3 禁用不必要的服务和端口2.4 管理账户访问权限2.5 锁定敏感文件和目录的权限2.6 限制远程访问2.7 配置安全审计和日志记录2.8实施恶意软件检测和防止攻击的工具2.9定期备份数据3、网络安全配置3.1 使用强密码和账户锁定策略3.2 启用网络加密协议3.3 使用安全的远程访问协议3.4 使用虚拟专用网络(VPN)进行远程访问3.5 网络隔离和分段3.6 监控网络流量和入侵检测系统4、应用程序安全配置4.1 管理应用程序访问权限4.2 使用强密码和多因素身份验证4.3 配置安全的默认设置和权限4.4 定期更新和测试应用程序5、数据库安全配置5.1 定期备份数据库5.2 使用强密码和身份验证5.3 限制数据库访问权限5.4 定期更新数据库软件和补丁6、附件本文档附带以下附件供参考:- 服务器配置审计检查表- 网络安全检查表- 应用程序安全检查表- 数据库安全检查表7、法律名词及注释- 数据保护法:一种根据特定法律法规保护个人数据隐私的法律框架。
- 网络安全法:一种保护网络安全并维护网络秩序的法律法规。
- 信息安全管理系统(ISMS):一套规定、管理和保护组织信息资产的综合体系。
服务器基本安全配置
服务器基本安全配置1.介绍在互联网时代,服务器的安全性至关重要。
恶意攻击者可能会利用漏洞入侵您的服务器,并窃取敏感信息或者破坏系统稳定性。
为了保护您的数据和服务,进行适当的基本安全配置是必不可少的。
2.硬件与网络设置2.1使用防火墙:确保在服务器上启用并正确配置防火墙以过滤非法访问。
2.2更新硬件设备固件:及时更新路由器、交换机等硬件设备固件来修复已知漏洞。
2.3安装最新补丁程序:应该时常检查操作系统供应商发布是否有任何新版本或者补丁程序,并立即将其部署到服务器上。
3.操作系统级别设置3.1创建强密码策略:设置一个包含大小写字母、数字和特殊字符组合长度大于8位数以上作为用户登录密码规则;3.1.12关闭不需要使用端口:根据实际需求关闭未被使用到但开放状态下监听外界请求连接(如FTP,Telnet);4.软体层面加密传输通道:4.1配置SSL证书:对所有通过HTTP升级HTTPS方式访间的网站启用SSL证书;5.2禁止不安全协议:例如SSLV2、SSLv3和TLSLO等已知存在漏洞或者被攻破过的加密传输通道,应该禁用掉。
5.数据库设置5.1定期备份数据库:定期将服务器上重要数据进行备份,并存储在另一个位置以防灾难发生。
5.1.12使用强密码保护数据库:设置复杂且长于8位数以上作为用户登录密码规则;6.日志和监测配置6.1启动日志记录功能:确保所有关键事件都有相应的日志记录。
这些包括成功/失败的登录尝试、文件系统更改等。
6.2实时监测工具:使用实时监视工具来检查潜在入侵行为并即将采取适当措施。
7.附件:-防火墙配置示例文档(见附件A)-操作系统补丁程序更新指南(见附件B)法律名词及注释:-防火墙(Firewall):一种网络安全设备,可根据预先定义好策略对进出网络流量进行管理与审计。
-补丁程序(Patch):软件供货商发布修正错误或者增强性能的更新版本。
WindowsServer2023安全配置
WindowsServer2023安全配置1. 启用防火墙:Windows Server 2023内置了防火墙功能,用户可以通过配置防火墙规则来限制网络流量,防止恶意攻击和未经授权的访问。
2. 更新系统补丁:定期更新Windows Server 2023的系统补丁和安全更新,以修复已知的漏洞和安全问题。
3. 安装安全软件:安装杀毒软件、防火墙和其他安全工具,确保系统的安全状态。
4. 配置用户权限:合理配置用户权限,限制用户对系统和应用程序的访问权限,降低被恶意软件攻击和非法访问的风险。
5. 使用加密通信:启用SSL/TLS协议,使用HTTPS协议访问网页,使用加密协议进行远程访问等,以保障通信内容的机密性和完整性。
6. 启用安全审计:通过启用Windows Server 2023的安全审计功能,记录关键事件和活动,帮助追踪和排查安全问题。
7. 加强远程访问控制:对远程访问进行认证和授权管理,使用VPN等安全通道进行远程访问,提高远程访问的安全性。
8. 设定密码策略:设置密码复杂度要求、密码过期策略、账户锁定策略等,加强账户和密码安全管理。
综上所述,通过合理的安全配置,用户可以提高Windows Server 2023系统的安全性,降低面临的安全风险。
同时,用户也需要定期对系统进行安全评估和漏洞扫描,及时更新安全策略,以应对不断变化的安全威胁。
9. 数据备份与恢复:配置定期数据备份和灾难恢复策略,确保在系统遭受攻击或数据丢失时能够及时恢复数据。
备份数据应存储在安全可靠的地方,并进行加密保护,以免被恶意攻击者获取。
10. 关闭不必要的服务:在Windows Server 2023上,往往会默认安装一些不必要的服务和功能,这些服务可能会成为潜在的安全隐患。
建议管理员进行分类评估,关闭那些不必要的服务和功能,以减少系统的攻击面。
11. 加强身份验证:采用多因素身份验证(MFA)作为访问系统的标准,确保只有经过授权的用户才能够成功访问系统。
网站WEB应用安全措施要求规范
网站WEB应用安全措施要求规范随着互联网的快速发展,Web应用安全越来越重要。
攻击者利用Web应用的漏洞来获取用户的敏感信息或者破坏系统的安全已经成为一种普遍现象。
为了保护网站的安全,必须采取一定的安全措施。
下面是一些常见的网站Web应用安全措施要求规范:1.输入验证:对于用户输入的数据,要进行有效的验证和过滤,防止恶意用户输入恶意代码或者执行攻击。
常见的验证包括长度验证、格式验证、数据类型验证等。
2. 跨站脚本攻击(XSS)防御:XSS是指攻击者通过在Web应用中注入恶意脚本来获取用户信息的一种攻击方式。
要防御XSS攻击,可以对用户输入进行过滤和编码,以及合理设置浏览器的安全相关头部。
3. SQL注入防御:SQL注入是指攻击者通过在Web应用中注入恶意SQL代码来获取敏感信息或者破坏数据库的一种攻击方式。
要防御SQL注入,可以使用参数化查询和绑定变量等方式来构建SQL查询。
4. 跨站请求伪造(CSRF)防御:CSRF是指攻击者通过在Web应用中伪造合法用户的请求来进行非法操作的一种攻击方式。
要防御CSRF攻击,可以使用Token验证、Referer验证等方式来确保请求的合法性。
6.认证和授权:对于涉及用户身份认证和权限控制的功能,必须采用安全的认证和授权机制,以防止非法用户获取权限。
7. 安全配置和漏洞修复:对于Web应用的服务器、数据库、操作系统等,要进行安全配置,关闭不必要的服务和端口,及时更新补丁和漏洞修复。
8. 安全日志和监控:要记录Web应用的安全事件和异常行为,及时监控和响应安全事件,以及进行安全事件的分析和溯源,以便及时发现和应对安全威胁。
9. 安全培训和意识:为所有开发人员、测试人员和维护人员提供相关的安全培训,提高他们对Web应用安全的意识和知识水平。
安全是一个团队的责任,每个人都要有安全意识。
10. 定期安全审计和测试:定期对Web应用进行安全审计和测试,发现和修复潜在的安全漏洞,提高Web应用的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、安装Win 200x安全概览1.硬盘分区的文件系统选择2.组件的定制3.接入网络时间4.账户安全管理5.安全审核6.卸载无用的组件模块二、基本系统设置1.安装各种补丁2.分区内容规划3.协议管理4.关闭所有以下不需要的服务5.删除 OS/2 和 POSIX 子系统6.帐号和密码策略7.设置文件和目录权限8.注册表一些条目的修改9.启用TCP/IP过滤10.移动部分重要文件并加访问控制11.下载Hisecweb.inf安全模板来配置系统12. 服务器上其他工具程序的替代13.设置陷阱脚本14.取消部分危险文件扩展名15.关闭 445 端口16.关闭 DirectDraw17.禁止dump file的产生和自动清除页面文件18.禁止从软盘和CD ROM启动系统19.锁住注册表的访问权限20.使用IPSec增强IP数据包的安全性21.考虑使用智能卡来代替密码22.将服务器隐藏起来23.Win 2003中提高FSO的安全性三、IIS安全设置1.关闭并删除默认站点2.建立自己的站点,与系统不在一个分区3.删除IIS的部分目录4.删除不必要的IIS映射和扩展5.禁用父路径6.在虚拟目录上设置访问控制权限7.启用日志记录8.备份IIS配置9.修改IIS标志10.重定义错误信息11.Win 2003中提高FSO的安全性12.防止ASP 木马在服务器上运行四、数据安全及备份管理1.备份2.设置文件共享权限3.防止文件名欺骗4.Access数据库的安全概要5.MSSQL 注入攻击的防范6.MSSQL Server 的基本安全策略7.使用应用层过滤防范URL入侵8.PHP木马的攻击的防御之道五、其他辅助安全措施六、简单设置防御小流量DDOS 攻击七、日常安全检查一、安装 Win 200x安全概览1.硬盘分区的文件系统选择①使用多分区分别管理不同内容在安装Win 2000时,如条件许可,应至少建立两个逻辑分区,一个用作系统分区,另一个用作应用程序分区。
尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系统分区。
对提供服务的机器,可按如下设置分区:分区1:系统分区,安装系统和重要日志文件。
分区2:提供给IIS使用。
分区3:提供给FTP使用。
分区4:放置其他一些资料文件。
(以上为示例,可灵活把握)②采用NTFS文件系统所有磁盘分区必须采用 NTFS 文件系统,而不要使用 FAT32!特别注意:一定要在系统安装时,通过安装程序将系统盘格式化为NTFS,而不要先以 FAT32 格式安装系统,然后再用 Convert 转换!因为转换后的磁盘根目录的默认权限过高!③使用文件加密系统EFSWindows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。
这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。
记住要给文件夹也使用EFS,而不仅仅是单个的文件。
有关EFS的具体信息可以查看/windows2000/techinfo/howitworks/security/encrypt.asp注意:建议加密temp文件夹!因为一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。
所以,给temp 文件夹加密可以给你的文件多一层保护。
2.组件的定制不要按Win 2000的默认安装组件,根据安全原则“最少的服务+最小的权限=最大的安全”,只选择确实需要的服务安装即可。
典型Web服务器需要的最小组件是:公用文件、Internet 服务管理器、WWW服务器。
3.接入网络时间在安装完成Win 2000操作系统时,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。
补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
IIS的HotFix要求每次更改IIS的配置时都需要重新安装。
4.账户安全管理1)账户要尽可能少,并且要经常用一些扫描工具检查系统账户、账户权限及密码。
删除已经不再使用的账户。
2)停用Guest账号,并给Guest 加一个复杂的密码。
3)把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。
4)不让系统显示上次登录的用户名,具体**作如下:修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值,把REG_SZ 的键值改成1。
5.安全审核在“管理工具→远程控制服务配置→连接”处,右键点击“RPD-TCP”连接,选择“属性”,在其窗口选中“权限”,点击右下角的“高级”,选择“审核”,增加一个“everyone”组,审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。
在“管理工具→日记查看→安全日记”可看到该审核记录。
开启安全审核是win2000最基本的入侵检测方法。
当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。
很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。
下面的这些审核是必须开启的,其他的可以根据需要增加:策略设置审核系统登陆事件成功,失败审核帐户管理成功,失败审核登陆事件成功,失败审核对象访问成功审核策略更改成功,失败审核特权使用成功,失败审核系统事件成功,失败6.卸载无用的组件模块将\Winnt\inf 下的sysoc.inf 文件中的所有hide用替换法删除;然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。
二、基本系统设置1.安装各种补丁安装Service Pack 和最新的hotfix;安装SQL和IIS系列补丁。
如果从本地备份中安装,则随后必须立即通过在线更新功能查验是否有遗漏的补丁没有安装。
建议启用系统自动更新功能,并设置为有更新时自动下载安装。
注意:建议记得安装最新的MDAC(/data/download.htm)MDAC为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,且MDAC 一般不以补丁形式发放的,比较容易漏更新。
为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。
注意:在安装最新版本前最好先做一下测试,因为有的数据访问方式或许在新版本中不再被支持,这种情况下可以通过修改注册表来档漏洞,详见漏洞测试文档。
2.分区内容规划1)操作系统、Web主目录、日志分别安装在不同的分区。
2)关闭任何分区的自动运行特性:可以使用 TweakUI 等工具进行修改。
以防万一有人放入Autorun程序实现恶意代码自动加载。
3.协议管理卸载不需要的协议,比如IPX/SPX, NetBIOS;在连接属性对话框的TCP)/IP属性的高级选项卡中,选择“WINS”,选定“禁用TCP/IP上的NETBIOS”。
4.关闭所有以下不需要的服务以下仅供参考,具体还要看服务器上运行的应用来确定!要特别注意各服务之间的储存关系,个性为当可能导致某些功能的异常,甚至服务器不能工作!建议每次只个性两三个项目,重启测试无误后再设置其他项目!* Alerter (disable)* ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)**** Plug and Play (disable after all hardware configuration)***** Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* ***Telephone Service (disable)****在必要时禁止如下服务:* SNMP service (optional)* SNMP trap (optional)* UPS (optional设置如下服务为自动启动:* Eventlog ( required )* NT LM Security Provider (required)* RPC service (required)* WWW (required)* Workstation (leave service on: will be disabled later in the document.* MSDTC (required)* Protected Storage (required)5.删除 OS/2 和 POSIX 子系统:删除如下目录的任何键:HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT删除如下的键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath删除如下的键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2删除如下目录:c:\winnt\system32\os2 但会出现文件保护的提示,建议不删除,修改注册表就可以了6.帐号和密码策略1)保证禁止guest帐号2)将administrator改名为比较难猜的帐号3)密码唯一性:记录上次的 6 个密码4)最短密码期限:25)密码最长期限:426)最短密码长度:87)密码复杂化(passfilt.dll):启用8)用户必须登录方能更改密码:启用9)帐号失败登录锁定的门限:610)锁定后重新启用的时间间隔:720分钟11)本地安全策略:设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。