1.安裝系統(tǒng)最少需要兩個(gè)邏輯分區(qū),主分區(qū)和邏輯分區(qū)格式都采用NTFS格式�。windows2003操作系統(tǒng)系統(tǒng)分區(qū)不得低于60G,windows2008操作系統(tǒng)系統(tǒng)分區(qū)不得低于80G��。
2.硬盤及文件夾權(quán)限:
⑴系統(tǒng)盤及其他邏輯磁盤只給Administrators組和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾��,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾�,子文件夾及文件
|
|
?
|
<不是繼承的>
|
?
⑵系統(tǒng)盤\Inetpub\ 目錄下所有目錄、文件只給Administrtors和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾�,子文件夾及文件
|
|
?
|
<繼承于c:\>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾,子文件夾及文件
|
|
?
|
<繼承于c:\>
|
?
⑶C:\Documents and Settings目錄只給Administrtors和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾����,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾,子文件夾及文件
|
|
?
|
<不是繼承的>
|
?
⑷ C:\Documents and Settings\All Users目錄只給Administrtors和System賬戶完全控制權(quán)限:
|
Administrators
|
完全控制
|
|
?
|
該文件夾�,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
SYSTEM
|
完全控制
|
|
?
|
該文件夾�,子文件夾及文件
|
|
?
|
<不是繼承的>
|
?
其他權(quán)限部分:
|
Users
|
讀取和運(yùn)行
|
|
?
|
該文件夾,子文件夾及文件
|
|
?
|
<不是繼承的>
|
|
USERS組的權(quán)限僅限制于讀取和運(yùn)行�,絕對(duì)不能加上寫入權(quán)限
|
?
?
?
- 賬戶安全設(shè)置
- 賬戶要盡可能少,并且要經(jīng)常檢查系統(tǒng)賬戶����、賬戶權(quán)限及密碼����。刪除已經(jīng)不再使用的賬戶����。
- 停用Guest賬號(hào),并給Guest 加一個(gè)復(fù)雜的密碼�。
- 把系統(tǒng)Administrator賬號(hào)改名,盡量把它偽裝成普通用戶�,名稱不要帶有Admin字樣。
- 不讓系統(tǒng)顯示上次登錄的用戶名���,具體操作如下:
修改注冊(cè)表“HKLM\Software\Microsoft\ WindowsNT\Current Version\Winlogon\Dont Display Last User Name”的鍵值�,把REG_SZ 的鍵值改成1���。
(5)應(yīng)用密碼策略�,啟用密碼復(fù)雜性要求�,設(shè)置密碼長(zhǎng)度最小值。
- 本地安全策略設(shè)置
打開(kāi)“本地安全策略”(開(kāi)始菜單—>管理工具—>本地安全策略)
A���、本地策略——>審核策略 (可選用)
審核系統(tǒng)登陸事件成功���,失敗
審核帳戶管理成功����,失敗
審核登陸事件成功����,失敗
審核對(duì)象訪問(wèn)成功
審核策略更改成功,失敗
審核特權(quán)使用成功�����,失敗
審核系統(tǒng)事件成功��,失敗
B���、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組���、其它全部刪除。
通過(guò)終端服務(wù)拒絕登陸:加入Guests�����、Users組
通過(guò)終端服務(wù)允許登陸:只加入Administrators組���,其他全部刪除
C��、本地策略——>安全選項(xiàng)
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的共享 全部刪除
網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道 全部刪除
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 全部刪除
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 全部刪除
- 系統(tǒng)防火墻設(shè)置:開(kāi)啟系統(tǒng)防火墻功能�����,添加業(yè)務(wù)系統(tǒng)相關(guān)端口訪問(wèn)權(quán)限���。
- 修改系統(tǒng)默認(rèn)遠(yuǎn)程桌面端口號(hào)3389為其他端口,并在防火墻允許通過(guò)(如不修改的話���,務(wù)必將3389映射到外網(wǎng)的其他端口�����,不允許外網(wǎng)通過(guò)3389來(lái)遠(yuǎn)程服務(wù)器)
7.操作系統(tǒng)安裝完成��,不要立即把服務(wù)器接入網(wǎng)絡(luò)���,因?yàn)檫@時(shí)的服務(wù)器還沒(méi)有打上各種補(bǔ)丁,存在各種漏洞��,非常容易感染病毒和被入侵�����。補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后(具體順序如:IIS、.Net環(huán)境�����、數(shù)據(jù)庫(kù)�、應(yīng)用系統(tǒng)),因?yàn)檠a(bǔ)丁程序往往要替換或修改某些系統(tǒng)文件�����,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果��。在安裝補(bǔ)丁時(shí)有些補(bǔ)丁不要盲目安裝例如.Net的相關(guān)補(bǔ)丁盡量不要安裝�����。
8.操作系統(tǒng)除安裝以下工具軟件:Office辦公軟件�、解壓縮軟件、殺毒軟件之外���,禁止安裝QQ���、迅雷等與使用此系統(tǒng)無(wú)關(guān)的軟件,工具軟件中對(duì)操作系統(tǒng)自動(dòng)更新的功能需要關(guān)閉。
9.規(guī)劃好各邏輯分區(qū)的功能分類�,如:應(yīng)用程序&數(shù)據(jù)庫(kù)��、文件備份等��;辦公軟件���、數(shù)據(jù)庫(kù)安裝文件���、.NET安裝文件、補(bǔ)丁文件等����。統(tǒng)一存放到命名為tools的文件夾中。
10.操作系統(tǒng)桌面上禁止存放程序安裝包���、程序升級(jí)腳本以及其他文件�����,可在規(guī)劃的非系統(tǒng)分區(qū)建立文件夾并快鍵方式到桌面存儲(chǔ)此類文件���。
1.各版本Sql數(shù)據(jù)庫(kù)服務(wù)器必須安裝相應(yīng)的service pack。
2.禁止Mssql數(shù)據(jù)庫(kù)sa帳號(hào)的密碼設(shè)置為空。保證sa的密碼足夠復(fù)雜��。
3.盡量每個(gè)數(shù)據(jù)庫(kù)使用一個(gè)帳號(hào)和密碼����,比如建立了一個(gè)數(shù)據(jù)庫(kù),只給PUBLIC和DB_OWNER權(quán)限�����,不使用sa帳號(hào)����。
4.數(shù)據(jù)庫(kù)訪問(wèn)端口1433如需外網(wǎng)訪問(wèn),務(wù)必將1433映射成其他端口或更改數(shù)據(jù)庫(kù)訪問(wèn)端口1433為其他端口����。
5.禁用xp_cmdshell,在外圍應(yīng)用配置里���。
?
?
?
