顺着天性做事,逆着个性做人.
分类: WINDOWS
2006-03-18 16:42:50
NT服务器安装配置说明
Created by Noodle
&& 打补丁先!&&
一、网络配置
只保留TCP/IP协议勾选。
禁用TCP/IP上的NetBIOS,有必要的话,做上TCP端口筛选。
二、目录权限
修改所有分区安全权限:Administrator,SYSTEM完全控制 千万不能重置系统盘(C)权限
三、系统设置
1、系统属性 => 高级 => 启动和故障恢复
只保留自动重新启动
2、更改"服务"
Alerter禁用
Automatic Updates禁用
Computer Browser 手动
DHCP Client 禁用
Distributed File System 手动
Messenger 禁用
Print Spooler 禁用
Remote Registry Service 禁用
RunAs Service禁用
TCP/IP NetBIOS Helper Service禁用
Server 禁用
Telnet 禁用
Terminal Services禁用(如终端登陆则不禁用)
Workstation 禁用
3、注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
4、修改CMD.exe、NET.exe、cacls.exe、FTP.exe、TFTP.exe、TELNET.exe文件权限
Administrator读取及运行、读取
Guests、Web Anonymous Users、Web Applications 完全拒绝
注意:其中cmd.exe SYSTEM必须有 读取及运行、读取 权限
四、重新定置系统组件
只留下必要的IIS组件及客户要求安装的组件。
五、软件安装
1、IIS LockDown Tool 只保留
2、如有配置CGI及Perl,则安装目录给IIS匿名用户的权限为:读取及运行、列出文件夹目录、读取。
3、其他相关软件的安装…
六、本地安全策略
1、安全设置 => 审核策略
策略更改、登陆事件、特权使用、系统事件、帐户登陆事件、帐户管理 勾选失败
2、安全设置 => 用户权利指派
从网络访问计算机IUSR_SERVERNAME、IWAM_SERVERNAME、(ASPNET)、(GUESTS)。
拒绝本地登陆IUSR_SERVERNAME、(ASPNET)、(SQLDebugger)。
拒绝从网络访问这台机器Administrators
在本地网络Administrator、IUSR_SERVERNAME
3、安全设置 => 安全选项
LAN Manager 身份验证级别 仅发送NTLMv2响应\拒绝LM&NTLM
安全通道 (4个) 启用
不显示上次登陆名 启用
数字签名 (4个) 启用
对匿名连接额外的限制 不允许枚举SAM帐号和共享
智能卡移除操作 锁定工作站
4、IP安全策略 打上 &&(如使用终端则要删除 Reject tcp 3389 才能指派)
Ip.ipsec
IP策略
注册表调整
