1. 安装一个最小化的操作系统和一个最新的服务包;
2. 安装你要在主机上运行的应用程序并配置;
3. 重新申请服务包,安装最新的安全补丁;
4. 删除或禁用操作系统中不必要的服务和组件;
5. 加固操作系统的其他部分;
6. 为文件和其他对象设置严格的访问控制权限。
下面详细解释执行的步骤:
1. 安装最小化的操作系统注意事项:从一个干净的系统开始,不要在主机上安装多系统启动,防止经由其他系统启动控制造成的破坏。只使用NTFS分区作为文件系统分区,因为他提供了日志检查信息。此外必须使用NTFS才能对文件使用DACL,达到访问控制安全的目的;只安装TCP/IP协议,不安装其他的任何协议,在选择安装程序时不要安装任何额外的程序和服务;如果安装了服务器版本的win2000,要把他配置成standalone(独立服务器)模式。
2. 安装和配置应用程序及服务程序:不要安装任何的多余的程序,小心安装采用服务和应用程序,尽量选择最新的安装和服务版本。在你的系统上安装配置正常使用的应用程序,在你的系统上安装配置你选择好的用来提供网络服务的程序。了解你要安装的程序是否存在安全缺陷;在高安全性要求的应用环境中,不要安装MS-ofiice或任何开发工具。可用执行程序越少越好。
3. 重新申请服务包,安装最新的安全补丁:微软提供了windows update程序可以直接连接到微软的下载站点获得更新的hotfix,即大的服务包发布之后发布的安全补丁程序,通常用来弥补近期发现的安全漏洞。
4. 配置操作系统提供的服务:禁止操作系统提供的一切不必要的服务,对于有其他要求的系统服务可视情况开启,但原则上应尽量避免使用微软提供的系统服务。
event log事件日志记录
logical disk manager(LDM)磁盘管理需要
network connections网络管理需要
plug and play硬件设备即插即用需要
protected storage保护性存储需要
remote procedure call (RPC)系统进程间调用需要
security accounts manger (SAM)帐户管理数据需要
windows management instrumentation (WMI)管理控制需要
WMI driver extensions管理控制需要
可设置为手动启动的服务:
DNS clinent仅当DNS启动时需要
Runas service仅当需要runas命令时起用
IIS admin service微软web服务需要
Logical disk manager administrative service磁盘管理需要
NT LM security support provider微软web服务需要
Word wide web publishing service微软web服务需要