加固Windows Server 2003 IIS 服务器

核心提示： 向用户权限分配手动添加唯一的安全组大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定，但是，加固Windows Server 2003 IIS 服务器(8)，有些帐户和安全组不能被包括在模板内，因为它们的安全标识符 (SID) 对于单个的 Window

向用户权限分配手动添加唯一的安全组

大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是，有些帐户和安全组不能被包括在模板内，因为它们的安全标识符 (SID) 对于单个的 Windows 2003 域是特定的。下面给出了必须手动配置的用户权限分配。

警告：下表包含了内置的 Administrator 帐户。注意不要将 Administrator 帐户和内置的 Administrators 安全组相混淆。如果 Administrators 安全组添加了以下任何一个拒绝访问的用户权限，您必须在本地登录以更正该错误。

此外，根据模块创建 Windows Server 2003 服务器的成员服务器基准中描述的某些建议，内置的 Administrator 账户可能已经被重命名。当添加 Administrator 账户时，请确信指定的是经过重命名的账户。

成员服务器默认值 旧客户端 企业客户端 高安全性

拒绝通过网络访问该计算机

内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

内置管理员帐户；Support_388945a0；Guest；所有非操作系统服务帐户

警告：所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。这不包括操作系统使用的内置帐户 LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。

保护众所周知帐户的安全

Windows Server 2003 具备大量的内置用户帐户，这些帐户不能删除，但可以重命名。Windows 2003 中最常见的两个帐户是 Guest 和 Administrator。

默认情况下，Guest 帐户在成员服务器和域控制器上被禁用。不应更改此设置。内置的 Administrator 帐户应被重命名，而且其描述也应被更改，以防止攻击者通过该帐户破坏远程服务器。