a、使用NTFS分区。开启系统防火墙,按需开放服务端口。mssql-1433。
端口对应表:windows\system32\drivers\etc\services
b、administrator改名加复杂密码,禁用guest加复杂密码,创建一个administrator无任何权限帐号并设置复杂密码,删除可疑不必要的帐号。
c、彻底关闭默认共享,HLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters:AutoShareServer-0;AutoShareWks-0;HLM\SYSTEM\CurrentControlSet\Control\Lsa:restrictanonymous-1。
d、禁止空连接,HLM\SYSTEM\CurentControlSet\control\Lsa:Restrictanonymous-1。
e、隐藏上次用户名,HLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon:Dont Display Last User Name-1。
f、密码策略:
将“密码必须符合复杂性要求”设置为“已启用”;
将“密码长度最小值”设置为“10”;
将“密码最长留存期”设置为“0”;
将“密码最短留存期”设置为“0”;
将“强制密码历史”设置为“3”;
将“用可还原的加密来储存密码”设置为“已禁用”。
g、secpol.msc
用户权利分配,从网络访问此计算机,取消可疑和不必要的用户的网络访问权利。
(一般只保留系统管理员帐号,也可以全部取消,有需要再添加。)
审核策略:
审核策略更改-成功失败;
审核登录事件-成功失败;
审核对象访问-失败;
审核过程追踪-无审核;
审核目录服务访问-失败;
审核特权使用-失败;
审核系统事件-成功失败;
审核账户登录事件-成功失败;
审核账户管理-成功失败。
本地选项:
对匿名连接的额外限制-不允许枚举SAM账号和共享;
账户锁定策略:
复位账户锁定计数器-20;账户锁定时间-20;账户锁定阀值-13。
IP安全策略,设置。
h、services.msc
停止并禁用“Telnet”、“Terminal Services”、“server”、“Task Scheduler”、“Remote Registry”。
i、尽量只安装TCP/IP协议,删除“网络文件和打印机共享服务”;
TCP/IP协议->高级->WINS->禁用TCP/IP上的NetBIOS。
j、删除不需要的服务程序(终端服务),禁用NetBIOS,修改共享权限非Everyone(打印共享)。
尽量禁用不需要的服务:IIS、RAS、RemoteRegistry。
k、修补漏洞补丁,防病毒软件,防火墙软件,IDS软件。
360
comodo
Malware Defender
l、停用远程桌面并破坏掉,使用远程管理软件。
m、可安装VwFirewall将系统薄弱的地方修补并且进行免疫,但是安装后绝不能重启,修补免疫之后也得卸载。
n、禁用站点的索引资源权限。
o、卸载最不安全的组件,例如WScript.Shell, Shell.application, WScript.Network。
整理就这样了,大家可以帮忙补充补充。
主要以实用为主,那些用不着的,没必要的,有更好办法的东东就不要搞出来误导人了。
win2k3在国内服务器的市场还是比较大的。还没那么快过渡到win2k8的。