win7如何限制它账户使用组策略-(win7用户没有权限打开组策略)

Windows服务器是Microsoft Windows Server System（WSS）的核心，Windows 服务器操作系统。每个Windows服务器对应家用(工作站)版(2003) R2除外）。

1)基本设置系统安全

1.安装说明:系统全部NTFS格式化，重新安装系统(使用原版win2003)安装杀毒软件(Mcafee)，更新杀毒软件，安装sp2补钉，安装IIS(只安装必要的组件)，安装SQL2000，安装.net2.打开防火墙。并在服务器上贴上最新的补丁。

2)关闭不必要的服务

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网管理共享文件，不需要禁用

Distributed linktracking 路由知识 client：不需要禁止局域网更新连接信息

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机，可以禁用

Remote Registry：注册表禁止远程修改

Remote Desktop Help Session Manager：禁止远程协助 其它服务需要验证

3)设置和管理账户

1、将Guest禁用账户并更改名称和描述，然后输入复杂的密码

2.最好少建系统管理员账户，改变默认管理员账户名(Administrator)和描述，密码最好用数字加小写字母加数字的上档键组合，长度最好不少于10位

3.新建一个名字Administrator为陷阱帐户设置最小权限，然后随意输入不少于20位的密码

4.计算机配置-Windows设置-安全设置-账户策略-账户锁定策略将账户设置为三次登录无效 时间为30分钟

5.在安全设置-本地策略-安全选项中设置不显示上次用户名作为启用

6、 从网络访问这台计算机只保留在安全设置-本地策略-用户权利分配中Internet客人账户，启动IIS进程账户,Aspnet账户

7、创建一个User如果账户、操作系统需要使用特权命令Runas命令。

4)打开相应的审计策略

更改审计策略：成功

审核登录事件：成功、失败

访问审核对象：失败

跟踪审核对象：成功、失败

审核目录服务访问：失败

使用审计特权：失败

审计系统事件：成功，失败

审核账户登录事件：成功、失败

审计账户管理：成功，失败

5）、 其它安全相关设置

1、禁止C$、D$、ADMIN$缺省共享的一类

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的 窗口中新建Dword值，名称设为AutoShareServer值设为0

2、解除NetBios与TCP/IP协议的绑定

右击在线邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS

3.隐藏重要文件/目录

可修改注册表，实现完全隐藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠标右击“CheckedValue选择修改，将数值从1改为0

4、防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为SynAttackProtect，值为2

5、 禁止响应ICMP路由通知报告

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0

6. 防止ICMP攻击重定向报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0

7、 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为IGMPLevel 值为0

8、禁用DCOM：运行中输入 Dcomcnfg.exe。 回车， 单击控制台根节点下的组件服务。 回车， 单击控制台根节点下的组件服务。 打开计算机 文件夹。

对于本地计算机，请右键单击我的电脑，然后选择属于 性”。选择默认属性选项卡。在这台计算机上启用分布式清除 COM”复选框。

默认端口为3389，终端服务可考虑修改为其他端口。

修改方法如下： 服务器端：打开注册表，HKLM\\SYSTEM\\Current ControlSet\\Control\\Terminal Server\\Win Stations” 处找到类似RDP-TCP修改子键PortNumber值。 客户端：按正常步骤建立客户端连接，选择此连接，在文件菜单中选择导出，在指定位置 产生后缀为.cns的文件。打开文件，修改Server Port服务器端值PortNumber对应的 值。然后导入文件(方法:菜单:→文件→导入)，使客户端修改端口。

6）、配置 IIS 服务

1.不使用默认Web网站，如果使用，也会 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。

3.删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。

4.删除不必要的IIS扩展名映射。 单击单击默认Web站点→属性→主目录→配置，打开应用程序窗口，删除不必要的应用程序映射 射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径 单击单击默认Web站点→属性-网站-点击启用日志记录下的属性

6.如果使用2000，可以使用iislockdown来保护IIS，在2003运行的IE6.不需要0版本。

7、使用UrlScan

UrlScan是一个ISAPI筛选器，它介入HTTP分析数据包并拒绝任何可疑的通信量。 最新版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。 没有特殊要求的，采用UrlScan默认配置就够了。

但如果你在服务器上运行，如果你在服务器上运行ASP.NET要调试，需要打开程序 %WINDIR%System32InetsrvURLscan，文件夹中的URLScan.ini 然后是文件UserAllowVerbs节添 加debug谓词，注意这一节是区分大小写的。

假如你的网页是.asp你需要在网页上DenyExtensions删除.asp相关内容。

如果你的网页使用非非ASCII你需要代码Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 更改文件后，需要重启IIS只有这样，服务才能生效，并务才能生效iisreset 若配置后出现问题，您可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)整个网站的工具SQL Injection 脆弱性扫描.

7）、配置Sql服务器

1、System Administrators 最好不要超过两个角色

3、不要使用Sa账户，配置超复杂的密码

4.删除以下扩展存储过程格式：

use master sp_dropextendedproc '.扩展存储过程名称'

xp_cmdshell：删除访问登记表的存储过程是进入操作系统的最佳捷径，

删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隐藏 SQL Server、默认变更1433端口

右击实例选择属性-常规-网络配置选择TCP/IP协议的属性，选择隐藏 SQL Server 例子，改原默 认的1433端口。

8)修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志DNS日志默认位置：%systemroot%\\system32\\config，默认 文件大小512KB，管理员会改变默认大小。

安全日志文件：%systemroot%\\system32\\config\\SecEvent.EVT 系统日志文件：%systemroot%\\system32\\config\\SysEvent.EVT 应用程序日志文件：%systemroot%\\system32\\config\\AppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%\\system32\\logfiles\\msftpsvc1\\，每天默许一天 志 Internet信息服务WWW日志默认位置：%systemroot%\\system32\\logfiles\\w3svc1\\，每天默许一天 志 Scheduler(任务计划)服务日志默认位置:%systemroot%\\schedlgu.txt 应用程序日志、安全日志、系统日志、DNS这些服务器日志LOG注册表中的文件： HKEY_LOCAL_MACHINE\\System\\Curr en