强化权限管理，完善帐户安全策略

检查帐户策略设置。配置密码策略时，通常要求密码必须符合复杂性标准，密码长度最小值、最短使用期限、最长使用期限也要合理设置，登录时密码输入错误达到指定次数系统能自动锁定该登录帐户，可通过“本地安全策略”、“密码策略”进行检查、设置。

检查审核策略设置。通常帐户登录、系统事件审核应包含成功和失败操作，策略更改、帐户管理等事件审核应包含成功操作，既能保证审核安全信息质量较高，又能使系统资源占用较少，可通过“本地安全策略”、“审核策略”进行检查、设置。

检查用户权限分配。权限定义了授予用户或组对某对象或属性访问类型。应严格限制用户完全控制权限，防止默认共享被用作入侵通道，对威胁系统安全的权限应做到禁用或严格限制，可通过“本地安全策略”、“用户权利指派”进行检查、设置。

修改注册表设置，优化系统安全选项

检查并设置注册表修改权限。WindowsServer 2003下比较安全的做法是仅允许管理员访问注册表，具体方法是，在系统目录下找到regedit.exe文件，右键选择“权限”栏进行检查，最好将无关用户权限取消。

检查并清空远程可访问的注册表路径。为有效防止攻击者通过远程注册表读取系统信息，应禁止该功能。具体方法是，打开组策略编辑器，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“安全选项”，找到“网络访问:可远程访问的注册表路径” 进行检查，最好将内容全部删除。

检查并加固注册表安全项。常用选项设置包括：

1.为 防止ICMP重定向报文的攻击，打开“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesTcpipParameters”， 将“Enable ICMPRedirects”值设为0。

2.为防止SYN洪水攻击，打开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”，新建DWORD值，名 为“SynAttackProtect”，最好把数值设为2。

3.为禁止IPC空连接，打开“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetControlLSA”，最好把RestrictAnonymous数值改成1。

配置IP策略，实施网络安全控制

检查并限制无关服务及端口。开放无关服务会给入侵提供通道，通常建议将不必要的服务禁用，比 如 Computer Browser、Distributed File System、TCP/IP NetBIOS Helper、Telnet等。端口对应服务，仅开放必要服务及端口是确保网络安全的有效途径。具体方法是，设置“Internet协议”属性，启用“TCP/IP筛选”,添加“允许通过的协议和端口”，只开放必要的服务端口，限制攻击者的入侵途径。

检查并制定IP安全策略。 IPSec支持系列加密算法，可进行数据源认证，筛选特定IP或端口，提供安全、透明、高效的网络防护。具体实施方法是：

1.定义策略。依次打开“管理工具”、“本地安全设置”，选择“创建IP安全策略”。

2.定义筛选器操作。右键点击“IP安全策略”选择“管理IP筛选器表和筛选器操作”，定义“IP 筛选器列表”和“IP 筛选器属性”，设置“源地址”、“目标地址”、“协议类型”、“协议端口”。

3.定义规则属性。在“新规则属性”窗口中点选创建的规则，点击“管理筛选器操作”选项卡下的“添加”，点选“安全措施”下的“阻止”选项。

4.生效策略。在组策略窗口中，右键点击创建的策略，选择“指派”，实现对该策略的启用。