• 服务器安装

1.安装系统最少需要两个逻辑分区，主分区和逻辑分区格式都采用NTFS格式。windows2003操作系统系统分区不得低于60G，windows2008操作系统系统分区不得低于80G。

2.硬盘及文件夹权限：

⑴系统盘及其他逻辑磁盘只给Administrators组和System账户完全控制权限：

⑵系统盘\Inetpub\ 目录下所有目录、文件只给Administrtors和System账户完全控制权限：

⑶C:\Documents and Settings目录只给Administrtors和System账户完全控制权限：

⑷ C:\Documents and Settings\All Users目录只给Administrtors和System账户完全控制权限：

其他权限部分：

3. 账户安全设置

1. 账户要尽可能少，并且要经常检查系统账户、账户权限及密码。删除已经不再使用的账户。
2. 停用Guest账号，并给Guest 加一个复杂的密码。
3. 把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。
4. 不让系统显示上次登录的用户名，具体操作如下：

修改注册表“HKLM\Software\Microsoft\ WindowsNT\Current Version\Winlogon\Dont Display Last User Name”的键值，把REG_SZ 的键值改成1。

（5）应用密码策略，启用密码复杂性要求，设置密码长度最小值。

4. 本地安全策略设置

打开“本地安全策略”（开始菜单—>管理工具—>本地安全策略）

A、本地策略——>审核策略 (可选用)

审核系统登陆事件成功，失败

审核帐户管理成功，失败

审核登陆事件成功，失败

审核对象访问成功

审核策略更改成功，失败

审核特权使用成功，失败

审核系统事件成功，失败

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、Users组

通过终端服务允许登陆：只加入Administrators组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名 启用

网络访问：可匿名访问的共享 全部删除

网络访问：可匿名访问的命名管道 全部删除

网络访问：可远程访问的注册表路径 全部删除

网络访问：可远程访问的注册表路径和子路径 全部删除

5. 系统防火墙设置：开启系统防火墙功能，添加业务系统相关端口访问权限。
6. 修改系统默认远程桌面端口号3389为其他端口，并在防火墙允许通过（如不修改的话，务必将3389映射到外网的其他端口，不允许外网通过3389来远程服务器）

7.操作系统安装完成，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。补丁的安装应该在所有应用程序安装完之后（具体顺序如：IIS、.Net环境、数据库、应用系统），因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。在安装补丁时有些补丁不要盲目安装例如.Net的相关补丁尽量不要安装。

8.操作系统除安装以下工具软件：Office办公软件、解压缩软件、杀毒软件之外，禁止安装QQ、迅雷等与使用此系统无关的软件，工具软件中对操作系统自动更新的功能需要关闭。

9.规划好各逻辑分区的功能分类，如：应用程序&数据库、文件备份等；办公软件、数据库安装文件、.NET安装文件、补丁文件等。统一存放到命名为tools的文件夹中。

10.操作系统桌面上禁止存放程序安装包、程序升级脚本以及其他文件，可在规划的非系统分区建立文件夹并快键方式到桌面存储此类文件。

• 数据库设置

1.各版本Sql数据库服务器必须安装相应的service pack。

2.禁止Mssql数据库sa帐号的密码设置为空。保证sa的密码足够复杂。

3.尽量每个数据库使用一个帐号和密码，比如建立了一个数据库，只给PUBLIC和DB_OWNER权限，不使用sa帐号。

4.数据库访问端口1433如需外网访问，务必将1433映射成其他端口或更改数据库访问端口1433为其他端口。

5.禁用xp_cmdshell，在外围应用配置里。