一、磁盘的初始规划与设置

1、正确划分文件系统格式，确保所有磁盘分区为NTFS分区。

2、C盘安装操作系统，D盘安装常用软件及存放用户网站目录文件。

二、禁用以下不必要的服务

lComputer Browser：维护网络上计算机的最新列表以及提供这个列表

lRouting and Remote Access：在局域网以及广域网环境中为企业提供路由服务

lRemote Registry Service：允许远程注册表操作

lPrint Spooler：将文件加载到内存中以便以后打印。

lIPSEC Policy Agent：管理IP安全策略以及启动ISAKMP/OakleyIKE和IP安全驱动程序

lDistributed Link Tracking Client：当文件在网络域的NTFS卷中移动时发送通知

lCom+ Event System：提供事件的自动发布到订阅COM组件

lError Reporting Service：收集、存储和向 Microsoft 报告异常应用程序

lMessenger：传输客户端和服务器之间的 NET SEND 和 警报器服务消息

lTelnet：允许远程用户登录到此计算机并运行程序

三、修改以下存在安全风险的注册表项

1、禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \interface，新建DWORD值，名为PerformRouterDiscovery 值为0。

2、防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，将EnableICMPRedirects 值设为0。

3、不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，新建DWORD值，名为IGMPLevel 值为0。

4、修改远程桌面服务端口

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，将PortNumber改为1024，不与其它服务冲突即可。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，方法同上，修改的端口号和上面修改的一样。

5、限制IPC空连接：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，将restrictanonymous的值改成“1”即可。

6、删除默认共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，将REG_DWORD值的AutoShareServer和AutoShareWks修改为0。如没有该键值则手动增加后再更改。

四、重新设定具有特定功能执行文件的权限

对操作系统安装目录中的以下文件重新设定访问权限，只允许administrators组访问：

lnet.exe

lnet1.exet

lcmd.exe

ltftp.exe

lnetstat.exe

lregedit.exe

lat.exe

lattrib.exe

lcacls.exe

lformat.com

五、其它操作系统安全设置

1、启用系统自带防火墙，根据服务类型只打开80、21、1433等必要端口。

2、将Windows自动更新更改为使用校内WSUS服务器。

3、防病毒软件应安装学校瑞星网络版。

（请增加Linux系统的配置规范）