三、運(yùn)行bastion.inf加固腳本

　　下載最新的bastioninf.zip，解壓后運(yùn)行如下命令：

secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt

　　這個(gè)安全策略腳本在系統(tǒng)中做了如下改動(dòng)：

　　　1．設(shè)定如下的密碼策略：

密碼唯一性：記錄上次的 6 個(gè)密碼
最短密碼期限：2
密碼最長(zhǎng)期限：42
最短密碼長(zhǎng)度：10
密碼復(fù)雜化(passfilt.dll)：?jiǎn)⒂?BR>用戶必須登錄方能更改密碼：?jiǎn)⒂?BR>帳號(hào)失敗登錄鎖定的門限：5
鎖定后重新啟用的時(shí)間間隔：720分鐘

　　2．審計(jì)策略：

審核如下的事件：
用戶和組管理 成功：失敗
登錄和注銷 成功：失敗
文件及對(duì)象訪問(wèn) 失敗
更改安全規(guī)則 成功： 失敗
用戶權(quán)限的使用 失敗
系統(tǒng)事件 成功： 失敗

　　3．用戶權(quán)限分配：

從網(wǎng)絡(luò)中訪問(wèn)這臺(tái)計(jì)算機(jī)：No one
將工作站添加到域：No one
備份文件和目錄：Administrators
更改系統(tǒng)時(shí)間：Administrators
強(qiáng)制從遠(yuǎn)程系統(tǒng)關(guān)機(jī)：No one
加載和下載設(shè)備驅(qū)動(dòng)程序：Administrators
本地登錄：Administrators
管理審核和安全日志：Administrators
恢復(fù)文件和目錄：Administrators
關(guān)閉系統(tǒng)：Administrators
獲得文件或?qū)ο蟮乃鶎贆?quán)：Administrators
忽略遍歷檢查（高級(jí)權(quán)力）：Everyone
作為服務(wù)登錄（高級(jí)權(quán)力）：No one
內(nèi)存中鎖定頁(yè)：No one
替換進(jìn)程級(jí)記號(hào)：No one
產(chǎn)生安全審核：No one
創(chuàng)建頁(yè)面文件：Administrators
配置系統(tǒng)性能：No one
創(chuàng)建記號(hào)對(duì)象：No one
調(diào)試程序：No one
增加進(jìn)度優(yōu)先級(jí)：Administrators
添加配額：Administrators
配置單一進(jìn)程：Administrators
修改固件環(huán)境值：Administrators
生成系統(tǒng)策略： Administrators
以批處理作業(yè)登錄：No one

　　4．事件查看器設(shè)置：

應(yīng)用程序、系統(tǒng)和安全的日志空間都設(shè)為100MB
事件日志覆蓋方式為：覆蓋30天以前的日志
禁止匿名用戶查看日志