三、運行bastion.inf加固腳本

　　下載最新的bastioninf.zip，解壓后運行如下命令：

secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt

　　這個安全策略腳本在系統中做了如下改動：

　　　1．設定如下的密碼策略：

密碼唯一性：記錄上次的 6 個密碼
最短密碼期限：2
密碼最長期限：42
最短密碼長度：10
密碼復雜化(passfilt.dll)：啟用
用戶必須登錄方能更改密碼：啟用
帳號失敗登錄鎖定的門限：5
鎖定后重新啟用的時間間隔：720分鐘

　　2．審計策略：

審核如下的事件：
用戶和組管理 成功：失敗
登錄和注銷 成功：失敗
文件及對象訪問 失敗
更改安全規則 成功： 失敗
用戶權限的使用 失敗
系統事件 成功： 失敗

　　3．用戶權限分配：

從網絡中訪問這臺計算機：No one
將工作站添加到域：No one
備份文件和目錄：Administrators
更改系統時間：Administrators
強制從遠程系統關機：No one
加載和下載設備驅動程序：Administrators
本地登錄：Administrators
管理審核和安全日志：Administrators
恢復文件和目錄：Administrators
關閉系統：Administrators
獲得文件或對象的所屬權：Administrators
忽略遍歷檢查（高級權力）：Everyone
作為服務登錄（高級權力）：No one
內存中鎖定頁：No one
替換進程級記號：No one
產生安全審核：No one
創建頁面文件：Administrators
配置系統性能：No one
創建記號對象：No one
調試程序：No one
增加進度優先級：Administrators
添加配額：Administrators
配置單一進程：Administrators
修改固件環境值：Administrators
生成系統策略： Administrators
以批處理作業登錄：No one

　　4．事件查看器設置：

應用程序、系統和安全的日志空間都設為100MB
事件日志覆蓋方式為：覆蓋30天以前的日志
禁止匿名用戶查看日志