【正文】 ? 服務(wù)和端口限制 ? 限制對(duì)外開放的端口 : 在 TCP/IP的高級(jí)設(shè)置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設(shè)置。如果您不使用 Intra 或如果將服務(wù)器連接到 Web 上，則應(yīng)將其刪除。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請(qǐng)求后，重新取回用戶的 SIDs和用戶權(quán)限。而 GINA DLL提供一個(gè)交互式的界面為用戶登陸提供認(rèn)證請(qǐng)求。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認(rèn)證后再訪問 。 訪問令牌是用戶在通過驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。 ? 創(chuàng)建用戶的訪問令牌。安全標(biāo)識(shí)是唯一的，即使是相同的用戶名，在每次創(chuàng)建時(shí)獲得的安全標(biāo)識(shí)都時(shí)完全不同的。 ? 主目錄 | 配置 | ? 刪除無用的 .htr .ida .idq .printer .idc .stm .shtml等 IIS服務(wù)安全配置 ? 禁用父路徑 “ 父路徑 ” 選項(xiàng)允許在對(duì)諸如 MapPath 函數(shù)調(diào)用中使用 “ ..”。 2．定位在注冊(cè)表中的下列鍵上： HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA 3．在編輯菜單欄中選取加一個(gè)鍵值： Value Name:RestrictAnonymous Data Type:REG_DWORD Value:1（ Windows2022下為 2） 4．退出注冊(cè)表編輯器并重啟計(jì)算機(jī)，使改動(dòng)生效。 ? 使用專門的安全工具 微軟的 IIS安全設(shè)置工具： IIS Lock Tool；是針對(duì) IIS的漏洞設(shè)計(jì)的，可以有效設(shè)置 IIS安全屬性。它主要用于 Intra 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務(wù)器升級(jí)到 IIS 5 時(shí)，它并不刪除。 Windows安全子系統(tǒng) ? 網(wǎng)絡(luò)登陸（ Netlogon）： 網(wǎng)絡(luò)登陸服務(wù)必須在通過認(rèn)證后建立一個(gè)安全的通道。 Windows安全子系統(tǒng) ?安全子系統(tǒng)包括以下部分： ? Winlogon ? Graphical Identification and Authentication DLL (GINA) ? Local Security Authority(LSA) ? Security Support Provider Interface(SSPI) ? Authentication Packages ? Security support providers ? Netlogon Service ? Security Account Manager(SAM) Windows 安全子系統(tǒng) Winlogon GINA LSA Security Account Management Netlogon Authentication Packages Security Support Provider SSPI 加載 GINA，監(jiān)視認(rèn)證順序 加載認(rèn)證包 支持額外的驗(yàn)證機(jī)制 為認(rèn)證建立安全通道 提供登陸接口 提供真正的用戶校驗(yàn) 管理用戶和用戶證書的數(shù)據(jù)庫 Windows安全子系統(tǒng) ? Winlogon and Gina: Winlogon調(diào)用 GINA DLL，并監(jiān)視安全認(rèn)證序列。 ? 對(duì)象的訪問控制（ Control of access to object） 不允許直接訪問系統(tǒng)的某些資源。 Windows安全子系統(tǒng)的組件 ? 安全描述符（ Security descriptors）： Windows 系統(tǒng)中的任何對(duì)象的屬性都有安全描述符這部分。 ? 管理本地安裝的服務(wù)所使用的服務(wù)賬號(hào)。因此，一旦某個(gè)帳號(hào)被刪除，它的安全標(biāo)識(shí)就不再存在了，即使用相同的用戶名重建帳號(hào)，也會(huì)被賦予不同的安全標(biāo)識(shí)，不會(huì)保留原來的權(quán)限。禁用該選項(xiàng)的步驟如下： ? 右鍵單擊該 Web 站點(diǎn)的根，然后從上下文菜單中選擇 “ 屬性 ” 。 Netbios的安全設(shè)置 ? Win2022的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項(xiàng)，提供三個(gè)值可選 ? 0： None. Rely on default permissions（無，取決于默認(rèn)的權(quán)限） ? 1： Do not allow enumeration of SAM accounts and shares（不允許枚舉 SAM帳號(hào)和共享） ? 2： No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問） Windows 2022注冊(cè)表 ? 所有的配置和控制選項(xiàng)都存儲(chǔ)在注冊(cè)表中 ? 分為五個(gè)子樹，分別是 Hkey_loc