一、分区规划

    所有分区采用NTFS格式,NTFS在空间的利用、安全和性能方面比FAT格式都有较大的提升。
    建议分三个区。系统在C盘,空间15G-20G;D/E盘平分剩余空间,重要程序和数据库程序安装在D盘,E盘放临时文件和工具文件以及备份。
    尽可能少的向系统盘写入非系统文件以减少系统备份的工作量。
 
二、系统基本设置
1.防火墙
    启用系统防火墙,允许例外。
2.杀毒软件
    建议安装企业版杀杀毒软件。
3.帐户优化
    重新命名administrator用户,使用字母+数字+特殊符号的策略修改密码,最好不要小于14位。
    创建多一个管理员帐户,密码超复杂,日常不使用仅做备用帐户。
    禁用或删除掉guest帐户(手工或工具删除均可,推荐删除guest)。
    创建administrator陷阱帐户,设置密码超复杂,并且没有任何权限。
4.系统补丁更新
    通过windows updata打上所有的windows补丁,然后将自动更新设置为“下载更新,但是由我来决定什么时候安装”,可安排时间统一更新。
 
三、设置本地安全策略
1.密码策略
    密码必须符合复杂性要求<启用>,密码长度最小值<8个字符>,密码最长使用期限<30天>,密码最短使用期限<0天>,强制密码历史<5个记住的密码>,用可还原的加密来储存密码<禁用>。
2.帐户锁定策略
    复位帐户锁定计数器<30分钟之后>,帐户锁定时间<60分钟>,帐户锁定阈值<3次无效登录>。
3.审核策略
    审核策略更改<成功\失败>,审核登录事件<成功\失败>,审核对象访问<成功\失败>,审核过程跟踪<无审核>,审核目录服务访问<失败>,审核特权使用<失败>,审核系统事件<成功\失败>,审核帐户登录事件<成功\失败>,审核帐户管理<成功\失败>。
4.用户权限分配
    在拒绝从网络访问这台计算机中添加guest帐号。
5.安全选项
    关机:允许系统在未登录前关机<禁用>。
    交互式登录:不显示上次的用户名<启用>。
    设备:防止用户安装打印机驱动程序<启用>,未签名驱动程序的安装操作<禁止安装>,允许不登录移除<禁用>,只有本地登录的用户才能访问CD-ROM<启用>,只有本地登录的用户才能访问软盘<启用>。
    网络访问:不允许SAM帐户的匿名枚举<启用>。
注:只需要修改上面的设置,其他设置保持默认。
 
四、服务设置
1.必须禁用的服务
以下服务危险性较大,必须禁用 [先停止服务再将属性设置为:禁用]。
Remote Registry  [说明:禁止远程连接注册表]
task schedule     [说明:禁止自动运行程序]
server           [说明:禁止默认共享]
Telnet           [说明:禁止telnet远程登陆]
workstation       [说明:防止一些漏洞和系统敏感信息获取]
2.建议禁用的服务
以下服务一般并不需要用到,推荐关闭并将启动方式设为手动和禁止:
服务名称      适用情况说明
Alerter    [不需要管理警报]
ClipBook   [不需要查看远程剪贴簿的剪贴页面]
Computer Browser [可以禁用]
Fax Service  [不需要发送或接收传真]
Indexing Service     [不提供远程文件索引和快速访问或者没有连上局域网]
Internet Connection Sharing [不需要共享连接网络]
IPSEC Policy Agent [如连接要windows域该服务需要开启]
Messager [未连接到Windows 2000的域并且不需要管理警报]
Net Logon [不需要让局域网的其他用户登陆]
NetMeeting Remote Desktop Sharing [不需要使用NetMeeting远程管理计算机]
Network DDE [提高安全性]
Network DDE DSDM [提高安全性]
TCP/IP NetBIOS Helper Service [服务器不需要开启共享]
RunAs Service [不需要在某一用户态下用另外一用户执行程序]
Wireless Configuration [不需要无线网络]
QoS RSVP [不需要使用依赖于QoS的程序] 
Remote Access Auto Connection Manager [不需要让程序读取网络信息时自动连接到网络]
Routing and Remote Access [机器不做路由之用]
Smart Card [没有智能卡阅读器和智能卡] 
Smart Card Helper [没有旧式智能卡阅读器和智能卡]
Uninterruptible Power Supply [没有使用UPS或者UPS不支持双向传输信号]
Utility Manager [不从一个窗口中启动和配置辅助工具]
3.其他服务
其他服务根据需要决定是否开放,如:IIS Admin World Wide Web。
 
五、网络安全配置
1.设置网络连接,在属性里只保留TCP/IP协议,禁用TCP/IP上的NetBios。
2.修改注册表,禁止建立远程空连接。
运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值改为:00000001
3.禁止C$、D$、ADMIN$一类的缺省共享
进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,把AutoShareServer值设为0
4.隐藏重要文件/目录
进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fol der\Hidden\SHOWALL,将CheckedValue值由1改为0
5.启用TCP/IP筛选,仅开放必须的TCP端口,禁用所有UDP端口。
6.实现简单抵御Ddos***
下面是一个脚本,将其保存为*.reg文件,运行后会自动修改注册表相应的选项,以防止DDOS***。
 
Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"=hex:01,00,00,00
"NoRecentDocsHistory"=hex:01,00,00,00
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DontDisplayLastUserName"="1"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000
"KeepAliveTime"=dword:000927c0
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
"TcpMaxConnectResponseRetransmissions"=dword:00000001
"TcpMaxDataRetransmissions"=dword:00000003
"TCPMaxPortsExhausted"=dword:00000005
"DisableIPSourceRouting"=dword:00000002
"TcpTimedWaitDelay"=dword:0000001e
"TcpNumConnections"=dword:00004e20
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
"EnableICMPRedirects"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
"EnableDynamicBacklog"=dword:00000001
"MinimumDynamicBacklog"=dword:00000014
"MaximumDynamicBacklog"=dword:00007530
"DynamicBacklogGrowthDelta"=dword:0000000a
 
六、日志安全
1.系统日志安全
    更改系统自身日志文件默认保存路径到c:\Eventlog。
    修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog中的相应值(Files=” c:\Eventlog”),将应用程序日志、系统日志、安全日志转移到F:\Eventlog目录,调整日志文件大小,将该目录只允许system有写入权限和administrator完全控制权限。
2.应用程序日志安全
重要程序的日志同样转移到E:\下。
 
七、IIS6.0安全设置(以ASP为例)
1.停止默认站点,删除默认站点的虚拟目录c:\inetpub,并将虚拟目录更改到其他盘。
2.配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。启用ASP应用程序扩展。
3.为每个虚拟站点创建独立的IIS匿名访问用户,删除默认的USER组,加入新创建的一个组IIS,禁止IIS组本地登陆、禁止访问所有磁盘。
4.创建虚拟站点。虚拟站点的HTML文件夹只授权administrators ,system完全控制,为此虚拟站点创建的IIS匿名用户读取运行、列出目录。
5.修改站点的日志存放目录,更改为非C盘下。
6.修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。
7.防范asp***
开始-运行,输入CMD,执行以下脚本,卸载最不安全组件。
______________________________________________________
 
regsvr32 /u C:\WINDOWS\System32\wshom.ocx
regsvr32 /u C:\WINDOWS\system32\shell32.dll
ren c:\WINDOWS\system32\wshom.ocx wshom.ocx.save
ren C:\windows\system32\shell32.dll shell32.dll.save
____________________________________________________
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp***通过wscript或shell.application执行命令以及使用***查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
 
八、SQL server安全配置
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码,数据库键接不使用SA帐户,单数据库单独设使用帐户.只给public和db_owner权限.
4、删除以下的扩展存储过程格式为:
  use master
  sp_dropextendedproc '扩展存储过程名'
  xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
  Xp_regaddmultistring  Xp_regdeletekey  Xp_regdeletevalue  Xp_regenumvalues
  Xp_regread      Xp_regwrite    Xp_regremovemultistring 
OLE自动存储过程,不需要删除
  Sp_OACreate   Sp_OADestroy    Sp_OAGetErrorInfo  Sp_OAGetProperty
  Sp_OAMethod  Sp_OASetProperty  Sp_OAStop
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
注:在删除存储过程时一定要注意,小心drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,然后再在数据库服务器上删除。
 
九、修改远程终端服务和SQLserver默认端口
1.修改远程终端的默认端口(3389):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
PortNumber=”设定值 ” 。
2.隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口
3.在防火墙的例外中添加修改后的远程终端服务端口和SQL server端口(千万别忘记了),并设置可访问此端口的IP地址。以后如需要用到什么端口,只需在防火墙的例外中添加即可。