1.安裝系統(tǒng)最少需要兩個邏輯分區(qū)�,主分區(qū)和邏輯分區(qū)格式都采用NTFS格式。windows2003操作系統(tǒng)系統(tǒng)分區(qū)不得低于60G�����,windows2008操作系統(tǒng)系統(tǒng)分區(qū)不得低于80G。
2.硬盤及文件夾權(quán)限:
⑴系統(tǒng)盤及其他邏輯磁盤只給Administrators組和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾�,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾,子文件夾及文件
|
|
?
|
<不是繼承的>
|
?
⑵系統(tǒng)盤\Inetpub\ 目錄下所有目錄��、文件只給Administrtors和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾�����,子文件夾及文件
|
|
?
|
<繼承于c:\>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾�,子文件夾及文件
|
|
?
|
<繼承于c:\>
|
?
⑶C:\Documents and Settings目錄只給Administrtors和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾�,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾,子文件夾及文件
|
|
?
|
<不是繼承的>
|
?
⑷ C:\Documents and Settings\All Users目錄只給Administrtors和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾����,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾,子文件夾及文件
|
|
?
|
<不是繼承的>
|
?
其他權(quán)限部分:
|
Users
|
讀取和運行
|
|
?
|
該文件夾�����,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
USERS組的權(quán)限僅限制于讀取和運行�����,絕對不能加上寫入權(quán)限
|
?
?
?
- 賬戶安全設置
- 賬戶要盡可能少,并且要經(jīng)常檢查系統(tǒng)賬戶�����、賬戶權(quán)限及密碼����。刪除已經(jīng)不再使用的賬戶。
- 停用Guest賬號����,并給Guest 加一個復雜的密碼。
- 把系統(tǒng)Administrator賬號改名���,盡量把它偽裝成普通用戶�����,名稱不要帶有Admin字樣�����。
- 不讓系統(tǒng)顯示上次登錄的用戶名,具體操作如下:
修改注冊表“HKLM\Software\Microsoft\ WindowsNT\Current Version\Winlogon\Dont Display Last User Name”的鍵值�,把REG_SZ 的鍵值改成1�����。
(5)應用密碼策略�,啟用密碼復雜性要求����,設置密碼長度最小值���。
- 本地安全策略設置
打開“本地安全策略”(開始菜單—>管理工具—>本地安全策略)
A�����、本地策略——>審核策略 (可選用)
審核系統(tǒng)登陸事件成功��,失敗
審核帳戶管理成功��,失敗
審核登陸事件成功�����,失敗
審核對象訪問成功
審核策略更改成功�,失敗
審核特權(quán)使用成功��,失敗
審核系統(tǒng)事件成功���,失敗
B����、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除�����。
通過終端服務拒絕登陸:加入Guests�����、Users組
通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C�、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡訪問:可匿名訪問的命名管道 全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑 全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑和子路徑 全部刪除
- 系統(tǒng)防火墻設置:開啟系統(tǒng)防火墻功能����,添加業(yè)務系統(tǒng)相關(guān)端口訪問權(quán)限。
- 修改系統(tǒng)默認遠程桌面端口號3389為其他端口���,并在防火墻允許通過(如不修改的話���,務必將3389映射到外網(wǎng)的其他端口,不允許外網(wǎng)通過3389來遠程服務器)
7.操作系統(tǒng)安裝完成�,不要立即把服務器接入網(wǎng)絡,因為這時的服務器還沒有打上各種補丁�,存在各種漏洞,非常容易感染病毒和被入侵��。補丁的安裝應該在所有應用程序安裝完之后(具體順序如:IIS��、.Net環(huán)境、數(shù)據(jù)庫���、應用系統(tǒng))����,因為補丁程序往往要替換或修改某些系統(tǒng)文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。在安裝補丁時有些補丁不要盲目安裝例如.Net的相關(guān)補丁盡量不要安裝���。
8.操作系統(tǒng)除安裝以下工具軟件:Office辦公軟件、解壓縮軟件、殺毒軟件之外,禁止安裝QQ、迅雷等與使用此系統(tǒng)無關(guān)的軟件��,工具軟件中對操作系統(tǒng)自動更新的功能需要關(guān)閉�����。
9.規(guī)劃好各邏輯分區(qū)的功能分類�,如:應用程序&數(shù)據(jù)庫���、文件備份等���;辦公軟件����、數(shù)據(jù)庫安裝文件���、.NET安裝文件��、補丁文件等����。統(tǒng)一存放到命名為tools的文件夾中��。
10.操作系統(tǒng)桌面上禁止存放程序安裝包����、程序升級腳本以及其他文件,可在規(guī)劃的非系統(tǒng)分區(qū)建立文件夾并快鍵方式到桌面存儲此類文件�����。
1.各版本Sql數(shù)據(jù)庫服務器必須安裝相應的service pack����。
2.禁止Mssql數(shù)據(jù)庫sa帳號的密碼設置為空�。保證sa的密碼足夠復雜���。
3.盡量每個數(shù)據(jù)庫使用一個帳號和密碼,比如建立了一個數(shù)據(jù)庫�,只給PUBLIC和DB_OWNER權(quán)限,不使用sa帳號��。
4.數(shù)據(jù)庫訪問端口1433如需外網(wǎng)訪問��,務必將1433映射成其他端口或更改數(shù)據(jù)庫訪問端口1433為其他端口�。
5.禁用xp_cmdshell,在外圍應用配置里����。
?
?
?
