1.安裝系統(tǒng)最少需要兩個邏輯分區(qū)����,主分區(qū)和邏輯分區(qū)格式都采用NTFS格式。windows2003操作系統(tǒng)系統(tǒng)分區(qū)不得低于60G�����,windows2008操作系統(tǒng)系統(tǒng)分區(qū)不得低于80G��。
2.硬盤及文件夾權(quán)限:
⑴系統(tǒng)盤及其他邏輯磁盤只給Administrators組和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾�,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾��,子文件夾及文件
|
|
?
|
<不是繼承的>
|
?
⑵系統(tǒng)盤\Inetpub\ 目錄下所有目錄����、文件只給Administrtors和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾����,子文件夾及文件
|
|
?
|
<繼承于c:\>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾,子文件夾及文件
|
|
?
|
<繼承于c:\>
|
?
⑶C:\Documents and Settings目錄只給Administrtors和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾����,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾,子文件夾及文件
|
|
?
|
<不是繼承的>
|
?
⑷ C:\Documents and Settings\All Users目錄只給Administrtors和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾�����,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾���,子文件夾及文件
|
|
?
|
<不是繼承的>
|
?
其他權(quán)限部分:
|
Users
|
讀取和運行
|
|
?
|
該文件夾���,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
USERS組的權(quán)限僅限制于讀取和運行,絕對不能加上寫入權(quán)限
|
?
?
?
- 賬戶安全設(shè)置
- 賬戶要盡可能少���,并且要經(jīng)常檢查系統(tǒng)賬戶��、賬戶權(quán)限及密碼�����。刪除已經(jīng)不再使用的賬戶�。
- 停用Guest賬號,并給Guest 加一個復(fù)雜的密碼�。
- 把系統(tǒng)Administrator賬號改名,盡量把它偽裝成普通用戶�����,名稱不要帶有Admin字樣�。
- 不讓系統(tǒng)顯示上次登錄的用戶名�,具體操作如下:
修改注冊表“HKLM\Software\Microsoft\ WindowsNT\Current Version\Winlogon\Dont Display Last User Name”的鍵值,把REG_SZ 的鍵值改成1����。
(5)應(yīng)用密碼策略,啟用密碼復(fù)雜性要求�,設(shè)置密碼長度最小值。
- 本地安全策略設(shè)置
打開“本地安全策略”(開始菜單—>管理工具—>本地安全策略)
A���、本地策略——>審核策略 (可選用)
審核系統(tǒng)登陸事件成功�,失敗
審核帳戶管理成功,失敗
審核登陸事件成功���,失敗
審核對象訪問成功
審核策略更改成功�����,失敗
審核特權(quán)使用成功���,失敗
審核系統(tǒng)事件成功,失敗
B���、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組�、其它全部刪除�。
通過終端服務(wù)拒絕登陸:加入Guests、Users組
通過終端服務(wù)允許登陸:只加入Administrators組����,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命名管道 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑 全部刪除
- 系統(tǒng)防火墻設(shè)置:開啟系統(tǒng)防火墻功能���,添加業(yè)務(wù)系統(tǒng)相關(guān)端口訪問權(quán)限�����。
- 修改系統(tǒng)默認(rèn)遠(yuǎn)程桌面端口號3389為其他端口��,并在防火墻允許通過(如不修改的話�����,務(wù)必將3389映射到外網(wǎng)的其他端口��,不允許外網(wǎng)通過3389來遠(yuǎn)程服務(wù)器)
7.操作系統(tǒng)安裝完成���,不要立即把服務(wù)器接入網(wǎng)絡(luò)����,因為這時的服務(wù)器還沒有打上各種補丁����,存在各種漏洞���,非常容易感染病毒和被入侵�。補丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后(具體順序如:IIS�、.Net環(huán)境、數(shù)據(jù)庫、應(yīng)用系統(tǒng))�,因為補丁程序往往要替換或修改某些系統(tǒng)文件,如果先安裝補丁再安裝應(yīng)用程序有可能導(dǎo)致補丁不能起到應(yīng)有的效果�。在安裝補丁時有些補丁不要盲目安裝例如.Net的相關(guān)補丁盡量不要安裝。
8.操作系統(tǒng)除安裝以下工具軟件:Office辦公軟件����、解壓縮軟件、殺毒軟件之外���,禁止安裝QQ��、迅雷等與使用此系統(tǒng)無關(guān)的軟件�����,工具軟件中對操作系統(tǒng)自動更新的功能需要關(guān)閉����。
9.規(guī)劃好各邏輯分區(qū)的功能分類�����,如:應(yīng)用程序&數(shù)據(jù)庫�����、文件備份等;辦公軟件�、數(shù)據(jù)庫安裝文件、.NET安裝文件�、補丁文件等。統(tǒng)一存放到命名為tools的文件夾中�。
10.操作系統(tǒng)桌面上禁止存放程序安裝包、程序升級腳本以及其他文件���,可在規(guī)劃的非系統(tǒng)分區(qū)建立文件夾并快鍵方式到桌面存儲此類文件�����。
1.各版本Sql數(shù)據(jù)庫服務(wù)器必須安裝相應(yīng)的service pack�。
2.禁止Mssql數(shù)據(jù)庫sa帳號的密碼設(shè)置為空���。保證sa的密碼足夠復(fù)雜�����。
3.盡量每個數(shù)據(jù)庫使用一個帳號和密碼,比如建立了一個數(shù)據(jù)庫�����,只給PUBLIC和DB_OWNER權(quán)限,不使用sa帳號���。
4.數(shù)據(jù)庫訪問端口1433如需外網(wǎng)訪問����,務(wù)必將1433映射成其他端口或更改數(shù)據(jù)庫訪問端口1433為其他端口��。
5.禁用xp_cmdshell�����,在外圍應(yīng)用配置里��。
?
?
?
