一、磁盘的初始规划与设置
1、正确划分文件系统格式,确保所有磁盘分区为NTFS分区。
2、C盘安装操作系统,D盘安装常用软件及存放用户网站目录文件。
二、禁用以下不必要的服务
Computer Browser:维护网络上计算机的最新列表以及提供这个列表
Routing and Remote Access:在局域网以及广域网环境中为企业提供路由服务
Remote Registry Service:允许远程注册表操作
Print Spooler:将文件加载到内存中以便以后打印。
IPSEC Policy Agent:管理IP安全策略以及启动ISAKMP/OakleyIKE和IP安全驱动程序
Distributed Link Tracking Client:当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System:提供事件的自动发布到订阅COM组件
Error Reporting Service:收集、存储和向 Microsoft 报告异常应用程序
Messenger:传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet:允许远程用户登录到此计算机并运行程序
三、修改以下存在安全风险的注册表项
1、禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \interface,新建DWORD值,名为PerformRouterDiscovery 值为0。
2、防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters,将EnableICMPRedirects 值设为0。
3、不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters,新建DWORD值,名为IGMPLevel 值为0。
4、修改远程桌面服务端口
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp,将PortNumber改为1024,不与其它服务冲突即可。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp,方法同上,修改的端口号和上面修改的一样。
5、限制IPC空连接:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,将restrictanonymous的值改成“1”即可。
6、删除默认共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,将REG_DWORD值的AutoShareServer和AutoShareWks修改为0。如没有该键值则手动增加后再更改。
四、重新设定具有特定功能执行文件的权限
对操作系统安装目录中的以下文件重新设定访问权限,只允许administrators组访问:
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
五、其它操作系统安全设置
1、启用系统自带防火墙,根据服务类型只打开80、21、1433等必要端口。
2、将Windows自动更新更改为使用校内WSUS服务器。
3、防病毒软件应安装学校瑞星网络版。
(请增加Linux系统的配置规范)