Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2051798
  • 博文数量: 213
  • 博客积分: 10474
  • 博客等级: 上将
  • 技术积分: 2149
  • 用 户 组: 普通用户
  • 注册时间: 2005-05-05 16:53
个人简介

顺着天性做事,逆着个性做人.

文章分类

全部博文(213)

文章存档

2020年(3)

2015年(1)

2014年(1)

2013年(1)

2012年(4)

2011年(8)

2010年(36)

2009年(17)

2008年(38)

2007年(25)

2006年(37)

2005年(42)

分类: WINDOWS

2006-03-18 16:42:50

看了老大做的基本NT服务器安装配置还是很有价值的,就借来参考了。

 

NT服务器安装配置说明

Created by Noodle

&& 打补丁先!&&

 

一、网络配置

只保留TCP/IP协议勾选。

禁用TCP/IP上的NetBIOS,有必要的话,做上TCP端口筛选

二、目录权限

修改所有分区安全权限:Administrator,SYSTEM完全控制 千万不能重置系统盘(C)权限

三、系统设置

1、系统属性 => 高级 => 启动和故障恢复

只保留自动重新启动

2、更改"服务"

Alerter禁用

Automatic Updates禁用

Computer Browser 手动

DHCP Client 禁用

Distributed File System 手动

Messenger 禁用

Print Spooler 禁用

Remote Registry Service 禁用

RunAs Service禁用

TCP/IP NetBIOS Helper Service禁用

Server 禁用

Telnet 禁用

Terminal Services禁用(如终端登陆则不禁用)

Workstation 禁用

3、注册表

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]

"AutoShareServer"=dword:00000000

"AutoShareWks"=dword:00000000

4、修改CMD.exeNET.execacls.exeFTP.exeTFTP.exeTELNET.exe文件权限

Administrator读取及运行、读取

GuestsWeb Anonymous UsersWeb Applications 完全拒绝

注意:其中cmd.exe SYSTEM必须有 读取及运行、读取 权限

四、重新定置系统组件

只留下必要的IIS组件及客户要求安装的组件。

五、软件安装

1IIS LockDown Tool 只保留Http Services删除没有必要的东西。(如IIS中已经存在正在使用的站点,则不可使用该软件。)

2、如有配置CGIPerl,则安装目录给IIS匿名用户的权限为:读取及运行、列出文件夹目录、读取

3、其他相关软件的安装

六、本地安全策略

1、安全设置 => 审核策略

策略更改、登陆事件、特权使用、系统事件、帐户登陆事件、帐户管理  勾选失败

2、安全设置 => 用户权利指派

从网络访问计算机IUSR_SERVERNAMEIWAM_SERVERNAME(ASPNET)(GUESTS)

拒绝本地登陆IUSR_SERVERNAME(ASPNET)(SQLDebugger)

拒绝从网络访问这台机器Administrators

在本地网络AdministratorIUSR_SERVERNAME

3、安全设置 => 安全选项

LAN Manager 身份验证级别 仅发送NTLMv2响应\拒绝LM&NTLM

安全通道 (4) 启用

不显示上次登陆名 启用

数字签名 (4) 启用

对匿名连接额外的限制 不允许枚举SAM帐号和共享

智能卡移除操作 锁定工作站

4IP安全策略 打上  &&(如使用终端则要删除 Reject tcp 3389 才能指派)

   Ip.ipsec

 

IP策略

注册表调整

阅读(2423) | 评论(0) | 转发(0) |
0

上一篇:简单的防火墙实验

下一篇:站点错误处理

给主人留下些什么吧!~~