三、运行bastion.inf加固脚本

　　下载最新的bastioninf.zip，解压后运行如下命令：

secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt

　　这个安全策略脚本在系统中做了如下改动：

　　　1．设定如下的密码策略：

密码唯一性：记录上次的 6 个密码
最短密码期限：2
密码最长期限：42
最短密码长度：10
密码复杂化(passfilt.dll)：启用
用户必须登录方能更改密码：启用
帐号失败登录锁定的门限：5
锁定后重新启用的时间间隔：720分钟

　　2．审计策略：

审核如下的事件：
用户和组管理 成功：失败
登录和注销 成功：失败
文件及对象访问 失败
更改安全规则 成功： 失败
用户权限的使用 失败
系统事件 成功： 失败

　　3．用户权限分配：

从网络中访问这台计算机：No one
将工作站添加到域：No one
备份文件和目录：Administrators
更改系统时间：Administrators
强制从远程系统关机：No one
加载和下载设备驱动程序：Administrators
本地登录：Administrators
管理审核和安全日志：Administrators
恢复文件和目录：Administrators
关闭系统：Administrators
获得文件或对象的所属权：Administrators
忽略遍历检查（高级权力）：Everyone
作为服务登录（高级权力）：No one
内存中锁定页：No one
替换进程级记号：No one
产生安全审核：No one
创建页面文件：Administrators
配置系统性能：No one
创建记号对象：No one
调试程序：No one
增加进度优先级：Administrators
添加配额：Administrators
配置单一进程：Administrators
修改固件环境值：Administrators
生成系统策略： Administrators
以批处理作业登录：No one

　　4．事件查看器设置：

应用程序、系统和安全的日志空间都设为100MB
事件日志覆盖方式为：覆盖30天以前的日志
禁止匿名用户查看日志
　　5．注册表的值

KEY Type Value
MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo\
HandlerRequired REG_DWORD 1

MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\
NtfsDisable8dot3NameCreation REG_DWORD 1

MACHINE\Software\Microsoft\WindowsNT\Version\Winlogon\AllocateCDRoms REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\Su

MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan
PrintServices\AddPrintDrivers REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\
Parameters\EnablePlainTextPassword REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoDisconnect REG_DWORD 15

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareWks REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareServer REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableForcedLogOff REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\RequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
RequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
EnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\
Parameters\RequireSignOrSeal REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SealSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SignSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ RestrictAnonymous
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session Manager\
ProtectionMode REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ LmCompatibilityLevel
REG_DWORD 2

MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\LegalNoticeText REG_SZ This is a

private system. Unauthorized use is prohibited.

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\LegalNoticeCaption REG_SZ CISD

MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\DontDisplayLastUserName REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown REG_DWORD 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\CachedLogonsCount REG_SZ 0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\AllocateFloppies REG_SZ 1

MACHINE\Software\Microsoft\Windows NT\Current bmitControl
REG_DWORD 0

MACHINE\System\CurrentControlSet\Control\Lsa\
FullPrivilegeAuditing REG_BINARY 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\ShutdownWithoutLogon REG_SZ 1
　　6．文件系统和注册表存取控制：

详见bastion.inf

　　7．管理员帐号：

bastion.inf将Administrator改名为root,可以按照自己的需要更改这个名字，并使用强壮的密码

　　四、可选的注册表设置

1．删除 OS/2 和 POSIX 子系统:

删除如下目录的任何键：
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
删除如下的键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2

删除如下目录：
c:\winnt\system32\os2

　　2．除去RDS漏洞:

删除如下的注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\VbBusObj.VbBusObjCls

　　3．从网络服务中删除不必要的服务：

删除：Netbios接口，计算机浏览器，服务器，工作站
保留：RPC配置


　　五、保护许可

　　1． 保护Internet Guest 用户帐号：

　　在用户管理器中，将Internet Guest 帐号改为晦涩的名字，并使用强壮的密码禁止guest帐号。
将改名后的Internet Guest 帐号从组“guests”中删除。

　　设置改名后的Internet Guest 帐号对所有卷的访问为“No Access”，为了保证IIS的正常运行，必须赋予改名后的Internet Guest 帐号对以下目录的读取权限：
默认路径 环境变量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目录

　　注意：在设置以上目录的权限时，不要选择替换子目录的权限！！

　　2． 锁住组“Users”：

　　设置NT内建组“Users”对所有卷的访问权为“No Access”，因为新用户会自动加入组“Users”中，所以新用户缺省将不能访问任何卷。
　　原文作者：Gavin Reid gavin@shebeen.com