服务器使用指南:
1.运用一键ghost软件,做好系统的备份工作(注意备份时所用的系统帐号密码).
2.系统密码一定要设置复杂(数字,字母大,小写,特殊符号,全部用上,并且要15位以上).
3.无关的软件不要在服务器上安装,例如QQ,迅雷之类
4.不要在服务器上访问任何网站(微软的更新网站除外).
5.第三方软件的安全配置做好,密码也要尽量复杂,如mssql,serv-u之类
6.打上最新补丁,开启自动更新
7.可酌情安装杀毒软件与防火墙(推荐安装mcafee)
8.开启IIS,FTP日志记录.
9.网站目录放在一起,以便更好地进行权限控制.例如不要D盘放些E盘放些这样做.
10.管理员帐号不要建立太多,1-2个足够.
11.所有的数据文件或者有用的数据不要放在C盘,软件也尽量不要装在C盘
附系统安全设置简易手册:
1. 权限
(1) 各个盘的根目录应该只有 system 跟 administrator有权限(网站目录自行酌情配置)
(2) 目录权限
c:/windows administrators 和 SYSTEM 完全控制,其它删除
c:/windows/repair administrators 和 SYSTEM 完全控制,其它删除
c:/windows/temp everyone -> 完全
c:/windows/assembly everyone -> 读
c:/windows/microsoft.net administrators 和 SYSTEM 完全控制,users 读取,读取和运行,列出文件夹目录,其它删除
c:/windows/system32 administrators 和 SYSTEM 完全控制,users 读取,读取和运行,列出文件夹目录,其它删除
c:/windows/system32/inetsrv/MetaBack administrators 和 SYSTEM 完全控制,其它删除
c:/program files/ administrators 和 SYSTEM 完全控制,其它删除
c:/program files/Common Files administrators 和 SYSTEM 完全控制,users 读取,读取和运行,列出文件夹目录,其它删除
c:/Documents and Settingrs administrators 和 SYSTEM 完全控制,其它删除
c:/Documents and Settingrs/All Users administrators 和 SYSTEM 完全控制,其它删除
(3) 文件权限
adsnt.dll;adsiis.dll;adsiisex.dll;cmd.exe;command.exe;netstat.exe;net.exe;net1.exe;cacls.exe;sc.exe;regsvr32.exe;ftp.exe;tftp.exe;regedit.exe;at.exe;attrib.exe
只有 administrators 和 SYSTEM 有权限
删除sethc.exe文件,建立同名文件夹,然后给此文件夹administrators 和 SYSTEM 完全控制,其它删除
(4)网站目录权限
网站目录可以给administrators 和 SYSTEM 完全控制,aspnet,iwan完全控制,iusr则看情况,如果要上传,则完全控制,如果不需要,那给读取权限则可.
2. 注册表
到HKEY_CLASSES_ROOT/CLSID/删除以下的CLSID
clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8
clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B
clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B
clsid:093FF999-1EA0-4079-9525-9614C3504B74
3. 服务
没用的服务可以禁用
browser,cryptsvc,dhcp,dfs,trkwks,msdtc,dnscache,ersvc,helpsvc,spooler,remoteregistry,lmhosts,wzcsvc,lanmanworkstation
4. 组件
删除危险组件
regsvr32 /u C:/WINDOWS/System32/wshom.ocx
del C:/WINDOWS/System32/wshom.ocx
regsvr32 /u C:/WINDOWS/system32/shell32.dll
del C:/WINDOWS/System32/shell32.dll
运行 gpedit.msc -> 计算机配置 -> 安全设置 -> 本地策略 ->安全选项
网络访问: 可匿名访问的共享
网络访问: 可匿名访问的命名管道
网络访问: 可远程访问的注册表路径
网络访问: 可远程访问的注册表路径和子路径
将以上四项的内容全部删除
网络访问: 不允许 SAM 账户的匿名枚举
网络访问: 不允许 SAM 账户和共享的匿名枚举
网络访问: 不允许存储网络身份验证的凭据或 .NET Passports
网络访问: 限制匿名访问命名管道和共享
将以上四项通通设为“已启用”
5. 删除 administratos 组的终端登录权限,改为为每个管理员加上远程权限(可选)
运行 gpedit.msc -> 计算机配置 -> 安全设置 -> 本地策略 -> 用户权限分配 -> 通过终端允许登录
7.审核策略(可选)
运行 gpedit.msc ->计算机配置 ->安全设置 ->本地策略 ->审核策略
策略更改: 无审核
登录事件: 成功,失败
对象访问: 失败
过程追踪: 无审核
目录服务访问:无审核
特权使用: 无审核
系统事件: 成功,失败
账户登录事件:成功,失败
账户管理: 成功,失败
8.用户锁定(可选)
运行 gpedit.msc ->计算机配置 ->安全设置 ->帐户策略
设置为阈值3次,复位时间30分钟.