win2008server 安全配置

【转】系统安装　
分区：
服务器的硬盘是320Ｇ，分成了4个区，C盘做系统盘（30G），D盘做数据库和软件盘（50G），E盘做网站目录（150G），F盘做备份盘（90G），以NTFS格式对4个区进行格式化。

安装系统：
启动服务器，设置BIOS为光盘启动，重启，插入Windows2008R2安装盘至光驱中，根据提示安装操作系统。

设置登录时不弹出“管理您的服务器”窗口：
启动计算机，弹出“管理您的服务器”窗口，勾选窗口左下方的“登录时不要显示此页”。

启动自动更新：
选择初始配置任务--启动自动更新和反馈--启动自动更新和反馈。


下载并安装更新：
选择初始配置任务--下载并安装更新--更改设置--重要更新--选择下载更新，但是让我选择是否安装更新--确定

修改计算机名：
选择初始配置任务--提供计算机名和域--更改--输入计算机名--确定--重启

安装驱动：
系统安装更新完毕，进入系统，按照主板-显卡-声卡-网卡-其他设备的顺序安装各类驱动程序。

安装WEB服务器：
01.进入服务器管理器
02.选择角色，添加角色
03选择WEB服务器，下一步
04.选择除FTP服务器外的所有选项，下一步
05.安装

安装.net　3.5功能：
01.进入服务器管理器
02.选择功能，添加功能
03.选择.net　Framework　3.51功能，选择Windows　进程激活服务，选择XPS查看器
04.下一步，安装

安装更新：
点击右下角更新图标，选择更新，安装更新，重启计算机。

启用父路径
打开Internet　信息服务(IIS)管理器，选择本地服务器，选择ASP，选择启用父路径，将False改为True。

远程访问服务
一.启动远程访问服务
01.选择服务器管理器--启用远程桌面
02.选择允许运行任意版本远程桌面的计算机连接(较不安全)。备注：方便多种版本Windows远程管理服务器。
03.确定
二.修改远程访问服务端口
01.在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方
02.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal　Server\WinStations\RDP-Tcp
03.找到右侧的　"PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口
04.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal　Server\Wds\rdpwd\Tds\tcp
05.找到右侧的　"PortNumber"，用十进制方式显示，默认为3389，改为同上的端口
06.在控制面板--Windows　防火墙--高级设置--入站规则--新建规则
07.选择端口--协议和端口--TCP/特定本地端口：同上的端口
08.下一步，选择允许连接
09.下一步，选择公用
10.下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。[TCP　同上的端口]
11.删除远程桌面(TCP-In)规则
12.重新启动计算机

堵住资源共享隐患
打开“本地连接”界面，选择“属性”，左键点击“Microsoft网络客户端”，再点击“卸载”，在弹出的对话框中“是”确认卸载。点击“Microsoft网络的文件和打印机共享”，再点击“卸载”，在弹出的对话框中选择“是”确认卸载。

解除Netbios和TCP/IP协议的绑定
打开“本地连接”界面，选择“属性”，在弹出的“属性”框中双击“Internet协议版本（TCP/IPV4）”，点击“属性”，再点击“高级”—“WINS”，选择“禁用TCP/IP上的NETBIOS”，点击“确认”并关闭本地连接属性。

禁止默认共享
点 击“开始”—“运行”，输入“Regedit”，打开注册表编辑器，打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\lanmanserver\parameters”，在右边的窗口中新建Dword值，名称设 为AutoShareServer，值设为“0”。

修改虚拟内存的位置或禁用虚拟内存
两者选择其一，在内存足够大的情况下可以禁用虚拟内存。如果内存不是非常大，还是修改虚拟内存到硬盘的非系统盘。一般情况下不建议禁用虚拟内存。
1、 修改虚拟内存的位置：右键点击“计算机”，选择“属性”—“高级系统设置”—“高级”—“设置”—“高级”—“虚拟内存”—“更改”，取 消勾选“自动管理所有驱动器的分页文件大小”，在“驱动器”选择框里面选中系统盘，选择“无分页文件”，在非系统盘如D盘，选择“自定义大小”，输入“初 始大小”和“最大值”，点击“设置”，并确认修改。
2、　　　　　　　　禁用虚拟内存：右键点击“计算机”，选择“属性”—“高级系统设置”—“高级”—“设置”—“高级”—“虚拟内存”—“更改”，取消勾选“自动管理所有驱动器的分页文件大小”，对所有驱动器都选择“无分页文件”，然后点击“设置”并确认修改。

本地安全策略
更改管理员账号和来宾账号
本地策略-安全选项-账户，重命名系统管理员账户，把Administrator改名。重命名来宾账户，把Guest用户改名为Administrator，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到"密码"里去。

组策略
计算机配置—Windows设置—安全设置—本地策略—安全选项
交互式登陆：不显示最后的用户名（启用）

关闭自动播放
控制面板，自动播放，取消勾选，保存。
点 击“开始”—“运行”，输入“Gpedit.msc”，打开组策略编辑器，依次展开“计算机配置”—“管理模板”—“Windows组件”，在右侧窗口找 到“自动播放策略”选项并打开，双击右侧关闭自动播放，在打开的对话框上部选择“已启用”，在对话框下部选择“所有驱动器”，点击“确定”完成设置。

备份系统
至此重启服务器，对刚刚做好的操作系统做一个GHOST。