一、磁盘的初始规划与设置

1、正确划分文件系统格式，确保所有磁盘分区为NTFS分区。

2、C盘安装操作系统，D盘安装常用软件及存放用户网站目录文件。

二、禁用以下不必要的服务

• Computer Browser：维护网络上计算机的最新列表以及提供这个列表

• Routing and Remote Access：在局域网以及广域网环境中为企业提供路由服务

• Remote Registry Service：允许远程注册表操作

• Print Spooler：将文件加载到内存中以便以后打印。

• IPSEC Policy Agent：管理IP安全策略以及启动ISAKMP/OakleyIKE和IP安全驱动程序

• Distributed Link Tracking Client：当文件在网络域的NTFS卷中移动时发送通知

• Com+ Event System：提供事件的自动发布到订阅COM组件

• Error Reporting Service：收集、存储和向 Microsoft 报告异常应用程序

• Messenger：传输客户端和服务器之间的 NET SEND 和 警报器服务消息

• Telnet：允许远程用户登录到此计算机并运行程序

  三、修改以下存在安全风险的注册表项

  1、禁止响应ICMP路由通告报文

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \interface，新建DWORD值，名为PerformRouterDiscovery 值为0。

  2、防止ICMP重定向报文的攻击

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，将EnableICMPRedirects 值设为0。

  3、不支持IGMP协议

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，新建DWORD值，名为IGMPLevel 值为0。

  4、修改远程桌面服务端口

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，将PortNumber改为1024，不与其它服务冲突即可。

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，方法同上，修改的端口号和上面修改的一样。

  5、限制IPC空连接：

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，将restrictanonymous的值改成“1”即可。

  6、删除默认共享

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，将REG_DWORD值的AutoShareServer和AutoShareWks修改为0。如没有该键值则手动增加后再更改。

  四、重新设定具有特定功能执行文件的权限

  对操作系统安装目录中的以下文件重新设定访问权限，只允许administrators组访问：

• net.exe

• net1.exet

• cmd.exe

• tftp.exe

• netstat.exe

• regedit.exe

• at.exe

• attrib.exe

• cacls.exe

• format.com

  五、其它操作系统安全设置

  1、启用系统自带防火墙，根据服务类型只打开80、21、1433等必要端口。

  2、将Windows自动更新更改为使用校内WSUS服务器。

  3、防病毒软件应安装学校瑞星网络版。

  （请增加Linux系统的配置规范）