服务器策略安全设置

本地安全策略配置

1)开始 > 程序 > 管理工具 > 本地安全策略

2)账户策略 > 密码策略 > 密码最长使用期限改成60天

3)账户策略 > 密码策略 > 密码最短使用期限改成0天[即密码不过期，上面我讲到不会造

成IIS密码不同步]

4)账户策略 > 账户锁定策略 > 账户锁定阈值 6 次账户锁定时间 10分钟 [个人推荐配置]

5)本地策略 > 审核策略 >

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

6)本地策略 > 安全选项 > 清除虚拟内存页面文件更改为"已启用" > 不显示上次的用户

名更改为"已启用" > 不需要按CTRL+ALT+DEL 更改为"已启用" > 不允许 SAM 账户的匿名枚举更改为"已启用" > 不允许 SAM 账户和共享的匿名枚举更改为"已启用"

7)Ø重命名来宾账户更改成一个复杂的账户名公司统一更改为Guest999$#

8)Ø重命名系统管理员账号更改一个自己用的账号 [同时可建立一个无用户组的

Administrat账户] 策略如下：更改为localadmin帐户，添加Administrator用户，创建超复杂密码，把用户所属的组全部删除。

9)我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性调整日至文件大小：

1048576KB=1G 覆盖时间超过30天的事件

10)帐户策略——>帐户锁定策略设置为3次无效登陆

11)本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。通过

终端服务允许登陆：只加入Administrators,Remote Desktop Users组用户权利分配：将“从网络访问此计算机”中只保留(Administrators)、使用还要保留Aspnet账户。 (ASPNET)、启动IIS进程账户(IUSR)、

(IWAM)(Everyone) (Administrators)(ASPNET)(IUSR)(IWAM)(Everyone)

通过终端服务拒绝登陆：加入Guests组

通过终端服务允许登陆：只加入Administrators组，其他全部删除

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐

（此文档部分内容来源于网络，如有侵权请告知删除，文档可自行编辑修改内容，

供参考，感谢您的配合和支持）