6．文件系統(tǒng)和注冊表存取控制：

詳見bastion.inf

　　7．管理員帳號：

bastion.inf將Administrator改名為root,可以按照自己的需要更改這個名字，并使用強壯的密碼

　　四、可選的注冊表設置

1．刪除 OS/2 和 POSIX 子系統(tǒng):

刪除如下目錄的任何鍵：
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
刪除如下的鍵：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
刪除如下的鍵：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2

刪除如下目錄：
c:\winnt\system32\os2

　　2．除去RDS漏洞:

刪除如下的注冊表項：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\VbBusObj.VbBusObjCls

　　3．從網絡服務中刪除不必要的服務：

刪除：Netbios接口，計算機瀏覽器，服務器，工作站
保留：RPC配置


　　五、保護許可

　　1． 保護Internet Guest 用戶帳號：

　　在用戶管理器中，將Internet Guest 帳號改為晦澀的名字，并使用強壯的密碼禁止guest帳號。
將改名后的Internet Guest 帳號從組“guests”中刪除。

　　設置改名后的Internet Guest 帳號對所有卷的訪問為“No Access”，為了保證IIS的正常運行，必須賦予改名后的Internet Guest 帳號對以下目錄的讀取權限：
默認路徑 環(huán)境變量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目錄

　　注意：在設置以上目錄的權限時，不要選擇替換子目錄的權限！！

　　2． 鎖住組“Users”：

　　設置NT內建組“Users”對所有卷的訪問權為“No Access”，因為新用戶會自動加入組“Users”中，所以新用戶缺省將不能訪問任何卷。
　　原文作者：Gavin Reid [email protected]