学步园

服务器使用指南:

1.运用一键ghost软件,做好系统的备份工作(注意备份时所用的系统帐号密码).
2.系统密码一定要设置复杂(数字,字母大,小写,特殊符号,全部用上,并且要15位以上).
3.无关的软件不要在服务器上安装,例如QQ,迅雷之类
4.不要在服务器上访问任何网站(微软的更新网站除外).
5.第三方软件的安全配置做好,密码也要尽量复杂,如mssql,serv-u之类
6.打上最新补丁,开启自动更新
7.可酌情安装杀毒软件与防火墙(推荐安装mcafee)
8.开启IIS,FTP日志记录.
9.网站目录放在一起,以便更好地进行权限控制.例如不要D盘放些E盘放些这样做.
10.管理员帐号不要建立太多,1-2个足够.
11.所有的数据文件或者有用的数据不要放在C盘,软件也尽量不要装在C盘

附系统安全设置简易手册:
1. 权限
   (1) 各个盘的根目录应该只有 system 跟 administrator有权限(网站目录自行酌情配置)
   (2) 目录权限
       c:/windows                            administrators 和 SYSTEM 完全控制，其它删除
       c:/windows/repair                     administrators 和 SYSTEM 完全控制，其它删除
       c:/windows/temp                       everyone -> 完全
       c:/windows/assembly                   everyone -> 读     
       c:/windows/microsoft.net              administrators 和 SYSTEM 完全控制，users 读取,读取和运行,列出文件夹目录，其它删除
       c:/windows/system32                   administrators 和 SYSTEM 完全控制，users 读取,读取和运行,列出文件夹目录，其它删除
       c:/windows/system32/inetsrv/MetaBack  administrators 和 SYSTEM 完全控制，其它删除       
       c:/program files/                     administrators 和 SYSTEM 完全控制，其它删除
       c:/program files/Common Files         administrators 和 SYSTEM 完全控制，users 读取,读取和运行,列出文件夹目录，其它删除 
       c:/Documents and Settingrs             administrators 和 SYSTEM 完全控制，其它删除      
       c:/Documents and Settingrs/All Users  administrators 和 SYSTEM 完全控制，其它删除   
   (3) 文件权限
       adsnt.dll;adsiis.dll;adsiisex.dll;cmd.exe;command.exe;netstat.exe;net.exe;net1.exe;cacls.exe;sc.exe;regsvr32.exe;ftp.exe;tftp.exe;regedit.exe;at.exe;attrib.exe
       只有 administrators 和 SYSTEM 有权限
       删除sethc.exe文件,建立同名文件夹,然后给此文件夹administrators 和 SYSTEM 完全控制，其它删除

   (4)网站目录权限
   网站目录可以给administrators 和 SYSTEM 完全控制,aspnet,iwan完全控制,iusr则看情况,如果要上传,则完全控制,如果不需要,那给读取权限则可.

2. 注册表
    到HKEY_CLASSES_ROOT/CLSID/删除以下的CLSID

    clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8 
    clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B
    clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B
    clsid:093FF999-1EA0-4079-9525-9614C3504B74

3. 服务
    没用的服务可以禁用
    browser,cryptsvc,dhcp,dfs,trkwks,msdtc,dnscache,ersvc,helpsvc,spooler,remoteregistry,lmhosts,wzcsvc,lanmanworkstation

4. 组件
删除危险组件
regsvr32 /u C:/WINDOWS/System32/wshom.ocx
del C:/WINDOWS/System32/wshom.ocx
regsvr32 /u C:/WINDOWS/system32/shell32.dll
del C:/WINDOWS/System32/shell32.dll

运行 gpedit.msc -> 计算机配置 -> 安全设置 -> 本地策略 ->安全选项
网络访问: 可匿名访问的共享
网络访问: 可匿名访问的命名管道
网络访问: 可远程访问的注册表路径
网络访问: 可远程访问的注册表路径和子路径
将以上四项的内容全部删除

网络访问: 不允许 SAM 账户的匿名枚举
网络访问: 不允许 SAM 账户和共享的匿名枚举
网络访问: 不允许存储网络身份验证的凭据或 .NET Passports
网络访问: 限制匿名访问命名管道和共享
将以上四项通通设为“已启用”

5. 删除 administratos 组的终端登录权限，改为为每个管理员加上远程权限(可选)
运行 gpedit.msc -> 计算机配置 -> 安全设置 -> 本地策略 -> 用户权限分配 -> 通过终端允许登录

7.审核策略(可选)
运行 gpedit.msc ->计算机配置 ->安全设置 ->本地策略 ->审核策略
    策略更改：    无审核   
　　登录事件：    成功,失败
　　对象访问：    失败
　　过程追踪：    无审核
　　目录服务访问：无审核
　　特权使用：    无审核
　　系统事件：    成功,失败
　　账户登录事件：成功,失败
　　账户管理：    成功,失败

8.用户锁定(可选)
运行 gpedit.msc ->计算机配置 ->安全设置 ->帐户策略
    设置为阈值3次,复位时间30分钟.