一、硬盘分区和操作系统的安装
硬盘分区
总的来说,硬盘分区上没有什么值得深入分析的地方,但是一个分区前做好规划,知道放什么的人,如果真的不知道。
陶。只有一个硬盘,只有一个分区,分区要一次完成。不要分成FAT32再转换成NTFS。分为一次性NTFS格式,以我个人习惯,系
一般磁盘是12G。建议用光盘启动分区过程,不要加载硬盘软件。
系统安装
以下内容均以2003企业版为例。
安装过程没什么好说的。安装系统是一项以个人性格为参数的活动。我建议在安装路径上保留默认路径,很多文章里应该写什么?
没有必要改变到某个东西的路径。路径保存在注册表中,更改是没有用的。在安装过程中,选择您需要的服务,例如
没有特殊需求不要安装一些DNS和DHCP。在安装过程中,网卡属性中只能保留TCP/IP,同时可以禁用NETBOIS。安装后,如
如果带宽条件允许可用系统在线升级。
二、系统权限和安全配置
前面说的都是屁话,只是擦亮我的笔。(我也曾经是学者)
话题一转,就到了系统权限设置和安全配置的实际操作阶段。
系统设置网上有句话叫‘最小权限最小服务=最大安全’。这句话基本上大家都看过,但是我好像没见过对比。
为了一篇详细全面的文章,我根据个人经历做一个教学尝试。
2.1如何实现最小权限?
NTFS系统权限设置
使用前,将管理员用户作为所有权限添加到每个硬盘根目录(可选系统用户)。
删除其他用户,进入系统盘:权限如下
C:\WINDOWS Administrators系统用户所有权限用户用户默认权限不会被修改其他目录删除Everyone用户,记住
C:\Documents and Settings下的All Users\Default用户目录及其子目录
例如,目录C:\ documents and settings \ all users \ application data的默认配置保留了Everyone用户权限。
还要注意C:\WINDOWS目录下的权限。例如,C:\WINDOWS\PCHealth和C:\windows\Installer也保留Everyone权限。删除
C:\WINDOWS\Web\printers目录,此目录的存在将导致. printers扩展名被添加到iis中,这可能会溢出攻击默认的IIS错误页。
世界上用的人不多。建议删除目录C:\WINDOWS\Help\iisHelp,删除目录C:\ WINDOWS \ system32 \ inetsrv \ iisadmpwd,这是管理IIS。
密码,比如一些密码不同步导致的500错误,使用OWA或者Iisadmpwd修改同步密码,但是这里可以删除,下面提到设置。
设置会杜绝系统设置导致的密码不同步问题。打开C:\Windows搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限,删除所有用户,仅将管理员和系统另存为所有权限
关闭端口445。
HKEY _ LOCAL _ MACHINE \ System \ current control set \ Services \ netBT \ Parameters
创建新的“DWORD值”。该值被命名为“SMBDeviceEnabled ”,数据是默认值“0”
不允许空连接。
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current Control set \ Control \ Lsa
新的“DWORD值”具有名为“RestrictAnonymous”的值和“1”的数据值(2003年默认为1)
禁止系统自动启动服务器共享。
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ lanman server \ Parameters
创建一个新的“双字值”。该值名为“AutoShareServer ”,数据值为“0”
禁止系统自动启动管理共享。
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ lanman server \ Parameters
新的“DWORD值”被命名为“AutoShareWks ”,其数据值为“0”
通过修改注册表防止小规模DDOS攻击
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters
使用名为“SynAttackProtec”的值创建一个新的“DWORD值”
当系统崩溃和屏幕发蓝时,转储文件是查找问题的非常有用的信息。但是,它也可以向黑客提供一些敏感信息,如一些应用程序。
密码等。控制面板系统属性高级启动和故障恢复将写入的调试信息更改为无。
关华生医生,华医生。
在开始-运行,或者开始-程序-附件-系统工具-系统信息-工具-华生医生中输入' drwtsn32 '从系统中调出华生医生。
只保留‘转储所有线程上下文’选项,否则一旦程序出错,硬盘会读取很长时间,占用大量空间。如果以前发生过这种情况,请查找user.dmp
文件,删除后可以节省几十MB的空间。
本地安全策略配置
启动程序管理工具本地安全策略
策略密码策略密码的最短使用期限改为0天【也就是密码不过期,就像我上面说的,不会导致IIS密码不同步】账号策略账号锁
设置策略账号锁定阈值5次,账号锁定时间10分钟【个人推荐配置】本地策略审核策略账号管理成功失败登录事件。
对象访问失败策略更改失败权限使用失败系统事件失败目录服务访问失败帐户登录事件成功
本地策略安全选项失败。清除虚拟内存分页文件。将其更改为“enabled ”,并且不显示最后一个用户名。将其更改为“启用”,您无需按。
CTRL ALT DEL更改为“启用”不允许SAM帐户的匿名枚举更改为“启用”不允许SAM帐户和共享的匿名枚举更改为“
启用'重命名来宾帐户为复杂的帐户名称重命名系统管理员帐户以更改自己的帐户[同时,您可以创建一个无用的帐户。
组的管理员帐户]组策略编辑器
运行gpedit.msc计算机配置管理模板系统显示“关闭事件跟踪器”更改为禁用。
删除不安全的组件
WScript。Shell和Shell.application是一些ASP木马或恶意程序常用的两个组件。
选项1:
Regsvr32 /u wshom.ocx卸载WScript。外壳组件
regr 32/u shell32.dll卸载外壳应用程序组件
根据上面提到的设置,没有必要删除这两个文件。
选项2:
删除WScript。对应于注册表HKEY _类_根\ clsid \ { 72c 24 DD 5-D70A-438 b-8a 42-98424 b 88 AFB 8 }的外壳
删除与注册表HKEY _类_根\ clsid \ { 13709620-C279-11CE-A49E-44553540000 }对应的Shell.application
用户管理
建立另一个备用管理员帐户,以防出现特殊情况。
安装了终端服务和SQL服务的服务器停用TsInternetUser,SQLDebugger帐户。
用户组描述
在以后要使用的IIS中,IIS用户一般使用Guests组,也可以重新建立一个独立的IIS专用组,但是这个组要给
C:\Windows目录有读取权限[单次读取]。个人不用单独的目录太小家子气了。
二、系统权限和安全配置
2.2如果实现了最低服务
黑色、绿色、手动、红色、禁用。
警报器应用程序体验查找服务应用层网关服务应用程序管理自动化
更新[Windows自动更新,可选]后台智能传送服务剪贴板com事件系统com系统
应用程序计算机浏览器加密服务DCOM服务器进程启动器DHCP客户端分布式文件
系统分布式链接跟踪客户端分布式链接跟踪服务器分布式事务处理协调器DNS
客户端错误报告服务事件日志文件复制帮助和支持HTTP SSL人机界面设备
访问IIS管理服务imagi CD-burning com服务索引服务站点间消息IPSec服务[if
如果使用IP安全策略,则自动执行,否则将被禁用,可选操作] Kerberos密钥分发中心许可证记录逻辑磁盘
manager[可选,多硬盘建议自动]逻辑磁盘管理器管理服务messenger/Li Microsoft search
Microsoft软件卷影复制提供程序MSSQL server MSSQL server helper Net Logon NetMeeting远程桌面
共享网络连接网络动态数据交换网络DDE DSDM网络位置感知(NLA)网络配置
service NT LM安全支持提供程序性能日志和警报即插即用便携式媒体序列号
服务[微软反盗版工具,目前只针对多媒体类]打印后台处理程序保护的存储远程访问自动连接
管理器远程访问连接管理器远程桌面帮助会话管理器远程过程调用(RPC)远程
过程调用(RPC)定位器远程注册表可移动存储策略提供程序路由和
远程访问二级登录安全帐户管理器服务器外壳硬件检测智能卡特殊
管理控制台帮助程序SQLSERVERAGENT系统事件通知任务计划程序TCP/IP NetBIOS H
