• 服務器安裝

1.安裝系統最少需要兩個邏輯分區，主分區和邏輯分區格式都采用NTFS格式。windows2003操作系統系統分區不得低于60G，windows2008操作系統系統分區不得低于80G。

2.硬盤及文件夾權限：

⑴系統盤及其他邏輯磁盤只給Administrators組和System賬戶完全控制權限：

⑵系統盤\Inetpub\ 目錄下所有目錄、文件只給Administrtors和System賬戶完全控制權限：

⑶C:\Documents and Settings目錄只給Administrtors和System賬戶完全控制權限：

⑷ C:\Documents and Settings\All Users目錄只給Administrtors和System賬戶完全控制權限：

其他權限部分：

?

?

3. 賬戶安全設置

1. 賬戶要盡可能少，并且要經常檢查系統賬戶、賬戶權限及密碼。刪除已經不再使用的賬戶。
2. 停用Guest賬號，并給Guest 加一個復雜的密碼。
3. 把系統Administrator賬號改名，盡量把它偽裝成普通用戶，名稱不要帶有Admin字樣。
4. 不讓系統顯示上次登錄的用戶名，具體操作如下：

修改注冊表“HKLM\Software\Microsoft\ WindowsNT\Current Version\Winlogon\Dont Display Last User Name”的鍵值，把REG_SZ 的鍵值改成1。

（5）應用密碼策略，啟用密碼復雜性要求，設置密碼長度最小值。

4. 本地安全策略設置

打開“本地安全策略”（開始菜單—>管理工具—>本地安全策略）

A、本地策略——>審核策略 (可選用)

審核系統登陸事件成功，失敗

審核帳戶管理成功，失敗

審核登陸事件成功，失敗

審核對象訪問成功

審核策略更改成功，失敗

審核特權使用成功，失敗

審核系統事件成功，失敗

B、本地策略——>用戶權限分配

關閉系統：只有Administrators組、其它全部刪除。

通過終端服務拒絕登陸：加入Guests、Users組

通過終端服務允許登陸：只加入Administrators組，其他全部刪除

C、本地策略——>安全選項

交互式登陸：不顯示上次的用戶名 啟用

網絡訪問：可匿名訪問的共享 全部刪除

網絡訪問：可匿名訪問的命名管道 全部刪除

網絡訪問：可遠程訪問的注冊表路徑 全部刪除

網絡訪問：可遠程訪問的注冊表路徑和子路徑 全部刪除

5. 系統防火墻設置：開啟系統防火墻功能，添加業務系統相關端口訪問權限。
6. 修改系統默認遠程桌面端口號3389為其他端口，并在防火墻允許通過（如不修改的話，務必將3389映射到外網的其他端口，不允許外網通過3389來遠程服務器）

7.操作系統安裝完成，不要立即把服務器接入網絡，因為這時的服務器還沒有打上各種補丁，存在各種漏洞，非常容易感染病毒和被入侵。補丁的安裝應該在所有應用程序安裝完之后（具體順序如：IIS、.Net環境、數據庫、應用系統），因為補丁程序往往要替換或修改某些系統文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。在安裝補丁時有些補丁不要盲目安裝例如.Net的相關補丁盡量不要安裝。

8.操作系統除安裝以下工具軟件：Office辦公軟件、解壓縮軟件、殺毒軟件之外，禁止安裝QQ、迅雷等與使用此系統無關的軟件，工具軟件中對操作系統自動更新的功能需要關閉。

9.規劃好各邏輯分區的功能分類，如：應用程序&數據庫、文件備份等；辦公軟件、數據庫安裝文件、.NET安裝文件、補丁文件等。統一存放到命名為tools的文件夾中。

10.操作系統桌面上禁止存放程序安裝包、程序升級腳本以及其他文件，可在規劃的非系統分區建立文件夾并快鍵方式到桌面存儲此類文件。

• 數據庫設置

1.各版本Sql數據庫服務器必須安裝相應的service pack。

2.禁止Mssql數據庫sa帳號的密碼設置為空。保證sa的密碼足夠復雜。

3.盡量每個數據庫使用一個帳號和密碼，比如建立了一個數據庫，只給PUBLIC和DB_OWNER權限，不使用sa帳號。

4.數據庫訪問端口1433如需外網訪問，務必將1433映射成其他端口或更改數據庫訪問端口1433為其他端口。

5.禁用xp_cmdshell，在外圍應用配置里。

?

?

?