windows安全管理安裝
一、系統安裝
1. 磁盤分區格式
1）一臺要用來作為網絡服務器的Windows Server，硬盤的分區格式一定要是NTFS，NTFS的分區格式遠比FAT分區格式來得安全的多，在NTFS格式下，用戶可以對不同的文件夾設置不同的的權限，增強服務器的安全性。
2）另一點要注意的是，我們對硬盤進行分區，最好是一次性進行，把分區都分成NTFS格式，可別先分成FAT格式，再進行轉換，這樣很容易導致系統出問題，甚至崩潰。
3）由于NTFS分區格式的特殊性，用戶無法通過軟盤啟動進行殺毒，所以要提醒用戶，一定要做好系統的防毒工作。
2. 操作系統安裝
1）操作系統安裝，一定要做到一臺服務器只安裝一個系統，才不會給居心不良的人有可乘之機，增加了服務器的安全隱患。
2）操作系統安裝時，系統文件不要裝在默認的目錄(WINNT)，要選擇安裝一個新的目錄進行安裝；Web目錄和系統不要放在同一個分區，防止有人通過Web權限漏洞，訪問系統文件、文件夾。
3）安裝完操作系統，一定要先更新系統必要的補丁，直到沒有補丁可更新。
4）盡量少安裝與Web服務不相關的軟件。
二、系統設置
1. 帳戶設置
1） 盡可能少的有效帳戶，沒有用的一律不要，多一個帳戶就多一個安全隱患。
2） 可以有兩個管理帳戶，以防忘記密碼，或者被人修改了密碼，做后備用。
3） 要加強帳戶管理，不要輕易給特殊權限。
4） 給管理帳戶改名字，不要保留默認的名字，這個容易被猜到。其他非管理帳戶也盡量遵循這一原則。
5） 將Guest帳戶禁用，改成一個復雜的名稱并加上密碼，然后將它從Guests組刪除。
6） 帳戶密碼規則，所有帳戶（系統帳號除外）密碼最好是8位以上，密碼最好是特殊符號、數字、大小寫字母的搭配。不要避免使用單詞。
7） 帳戶密碼要定期進行更改，密碼最好熟記在腦中，不要在其他地方做記錄；另外，如果發現日志中有連續嘗試登陸的帳戶，要立即更改其帳戶名及口令。
8） 在系統中加設帳戶錯誤登陸鎖定的次數，防止連續的登陸嘗試，并能有效提高管理員的警惕性。
2. 網絡設置
1）只保留TCP/IP協議，其他全部刪除。
2）NetBIOS常常是網絡黑客的掃描目標，這里我們要禁用它。
操作方法：網絡連接->本地連接屬性->高級->WINS選項->禁用Tcp/Ip上的NetBIOS->確定。
3）只允許一些必要的端口
如：
21    TCP  FTP
25    TCP  SMTP
53    TCP  DNS
80    TCP  HTTP
1433  TCP  SQL SERVER
3389  TCP  TERMINAL SERVICES
5631  TCP  PCANYWHERE
等一些常用的端口。特別提醒：安裝藍芒域名虛擬主機關系系統需要開放19888端口。
4）
3. 刪除沒有必要的共享，提高安全性
操作方法：運行Regedit，
(1) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一值
Name： AutoShareServer
Type：REG-DWORD
Value：0
(2) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下增加一值
Name：restrictanonymous
Type：REG_DWORD
Value：0
4. 修改權限
Windows 2000 Server的NTFS分區默認權限都是Everyone完全控制權限，這樣給服務器的安全帶來了一定的安全隱患。我們建議，所有NTFS分區只給管理員和SYSTEM完全控制權限。有特殊權限需求的目錄可單獨設置。
5. 修改計算機某些特性
操作方法：控制面板->系統->高級->啟動和故障恢復->取消顯示操作系統列表->取消發送警報->取消寫入調試信息->完成。
6. 禁止一些沒有必要的服務。
具體操作位置：控制面版->管理工具->服務
需要停掉的服務，例如：Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。
7. 安全日志
Win2000的默認安裝是不開任何安全審核的！
那么請你到本地安全策略->審核策略中打開相應的審核，推薦的審核是：
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義。 與之相關的是：
在賬戶策略->密碼策略中設定：
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定：
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復位鎖定計數 20分鐘
同樣，Terminal Service的安全日志默認也是不開的，我們可以在Terminal Service Configration（遠程服務配置）->權限->高級中配置安全審核，一般來說只要記錄登錄、注銷事件就可以了
8. IIS設置
只安裝管理器、公共文檔和WWW服務。
盡量減少IIS中沒有必要的映射，大多數用戶只留asp,asa就可以了。
Web目錄需要IUSR讀寫權限，IIS中只開放讀取權限。
有效利用IIS中IP禁止訪問列表。
完善日志功能，以便查找問題，加強監控。
9. FTP設置
禁止對FTP的匿名訪問。
注意用戶權限的開放度。

關鍵詞：管理工具   帳號