一、系統的安裝
正常情況下Internet 信息服務(IIS)只需要選擇三項:
Internet服務管理器 + Word Wide Web服務器 + 公用文件
附件和工具可以全部勾除(平常是用不到的),再加上終端服務即可,其它統統勾除!
關於磁盤分區: 正常情況下,C盤分10G已經非常足夠使用,其它的應用軟件均安裝到D盤,如提供FTP服務的SERV-U,以免系統崩潰後要全新安裝系統 的時間需要備份C盤數據。
二、安裝硬件的驅動程序
經常安裝驅程後重啟會自動加載一些程序,可用超級兔子之類軟件清理一下啟動項。其它的如聲卡的驅動找不到,可以不用安裝,因為平常用不到聲卡,不需要把時間浪費在這裡。有碰到系統能默認認出來的顯卡也無需再另裝驅動程序。
二、補丁安裝
裝完系統後,如果安裝的系統是沒有打過SP4的,請先安裝WINDOWS 2000 sp4,然後進入Windows Update在線更新所有補丁。也可以下載補丁集(chinaz.com提供 的下載)直接安時間排序打上,以免浪費時間,微軟的網站有時候非常慢的。
復制一些必要的軟件到D盤
如,WIN2K安裝目錄I386,可放置一份到D盤,以方便以後使用(如重裝IIS的時候)。
D盤新建一個SOFT目錄,用於存放常用軟件,如PHP,MYSQL,DUM,SERV-U,SQL SERVER等的安裝文件
三、系統安全設置
1,用戶管理
刪除TsInternetUser用戶,並且將Guest用戶改名禁用並且更改一個復雜的密碼!
更改Administrator的用戶名以及密碼!
2,不讓系統顯示上次登錄的用戶名,具體操作如下:
修改注冊表“HKLMSoftwareMicrosoftWindowsNTCurrent VersionWinLogonDont Display
Last User Name”的鍵值,把REG_SZ 的鍵值改成1。
3,禁止建立空連接
默認情況下,任何用戶可通過空連接連上服務器,枚舉賬號並猜測密碼。可以通過以下兩種方法禁止
建立空連接。
(1)修改注冊表
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成1。
(2)修改Win 2000的本地安全策略
設置“本地安全策略→本地策略→選項”中的RestrictAnonymous(匿名連接的額外限制)為“不容
許枚舉SAM賬號和共享”。
4,打開安全審核
管理工具--本地安全策略--本地策略--審核策略,正常情況下一共是9項
推薦設置為:
審核策略更改:成功 失敗
審核登錄事件:成功 失敗
審核對象訪問:失敗
審核特權使用:失敗
審核系統事件:成功 失敗
審核目錄服務訪問:失敗
審核賬戶登錄事件:成功 失敗
審核賬戶管理:成功 失敗
審核策略不需要全部打開,如對象訪問的成功項。否則將會占用過多的系統資源。
5,IP安全策略的配置。
可下載現成的策略直接導入(詳細配置方法可見網上文章),如http://afei.blog.chinaz.com/UploadFiles/2006-1/128918890.rar ,下載後在管理工具--本地安全策略--IP安全策略 點右鍵選擇-所有任務--導入策略,導入後,指派為新IP安全策略,然後在管理工具--本地安全策略--安全設置 點右鍵選擇重新加載
