DSS操作系统安装手册V11Word格式文档下载.docx
《DSS操作系统安装手册V11Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《DSS操作系统安装手册V11Word格式文档下载.docx(17页珍藏版)》请在冰豆网上搜索。
四、用户安全设置12
1.禁用Guest账号12
2.限制不必要的用户12
3.Administrator账号改名12
4.创建陷阱用户12
五、系统权限设置15
1.磁盘权限15
2.本地安全策略设置15
六、备份系统17
修订页
编号
修订内容简述
修订日期
修订后版本号
修订人
审核人
1
创建文档
2012-9-4
1.1
朱盛波
周鉴刚
2
文档修订
2012-9-20
一、概述
1.规范化安装操作系统、系统安全设置的重要性
1)DSS系统运行在Windows操作系统上,因此操作系统稳定性和安全性至关重要,规范化安装操作系统并对操作系统进行安全设置是DSS系统正常运行的前提;
2)服务器使用的随意性(如:
乱装软件、任意远程桌面、U盘任意拔插等),很容易将病毒带到服务器上,从而造成DSS系统有时候会无法正常运行;
3)一些平台要使用互联网环境,如DSS-M等,在互联网环境中病毒泛滥,服务器很容易受攻击,从而造成DSS系统无法正常使用;
4)由于系统问题导致DSS系统无法正常运行,此问题维护起来很困难,往往要花很大的代价,如:
重装操作系统,重新搭建DSS系统,可能会造成数据丢失等严重后果,因此,在装DSS系统前,对系统进行安全性策略设置是非常有必要的。
2.文档使用方式
1)对于已经部署DSS系统并正常运行的情况,补充部署“系统安全设置、用户安全设置、系统权限设置”,并每周备份DSS系统数据库;
2)对于服务器已经中毒,DSS系统无法正常运行,按照此文档进行重装操作系统并进行系统安全设置、用户安全设置和系统权限设置。
3.文档使用者
此文档使用对象是区域现场部署人员和区域解决问题技术人员。
4.适用系统
此文档适用windowsxp、windowsserver2003、windowsserver2008.
5.注意事项
所有步骤完成前不要将网线插上安装DSS系统的服务器,以避免病毒感染
二、操作系统安装
1.操作系统安装
1)格式化非系统盘;
2)格式化安装全新Windows操作系统;
3)开启系统自带防火墙,开启方法:
开始控制面板防火墙。
2.系统补丁安装
1)在能够连接互联网的电脑上打开wsusoffline文件夹,双击UpdateGenerator.exe,如图2.1:
图2.1
2)选择相应的操作系统,下载相对应的系统补丁,系统补丁下载好后会自动保存在wsusoffline中相对应的文件夹;
3)将下载好补丁的整个wsusoffline文件夹拷贝到DSS系统服务器上(注:
注意对wsusoffline进行病毒扫描,并确保网线没有插上安装DSS系统的服务器,以防病毒感染),打开wsusoffline文件夹下的client文件夹,双击UpdateInstaller.exe,选择对应的安装选项,点击“开始”安装补丁。
3.杀毒软件安装
安装杀毒软件,建议使用金山毒霸、诺顿或卡巴斯基,安装完杀毒软件对服务器进行扫描查杀病毒,要定时更新病毒库。
4.常用软件安装
1)安装日常使用的软件,如解压缩软件、word软件等;
2)安装平台常用的程序(如:
抓包工具Wireshark、数据库工具Navicat、-M诊断工具等、文档编辑工具UE);
3)安装远程桌面工具,如VNC;
4)安装完毕后,使用杀毒软件再次扫描磁盘。
三、系统安全设置
1.重要文件隐藏、禁用不必要的服务等
双击运行“系统安全配置”文件中的“系统安全配置.exe”,该安全配置包括:
1)不记住登陆名字;
2)不支持IGMP协议;
3)防止ICMP重定向报文的攻击;
4)防止SYN洪水攻击;
5)更改TTL值;
6)禁用不必要的服务;
7)禁止IPC$空连接;
8)禁止响应ICMP路由通告报文;
9)禁止远程修改注册表;
10)删除默认共享;
11)卸载不安全的组件;
12)隐藏重要文件;
13)修改远程端口,在跳出的窗口中手动输入更改后的端口(重启后生效),如10538,并记住该端口,如果用系统自带的远程工具远程服务器时需要输入:
IP:
10538。
推荐关闭windows自带的的远程桌面工具,使用第三方的远程工具如VNC等。
2.限制常用端口、禁ping功能
2.1限制常用端口
默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑,应该封闭这些端口,主要有:
TCP135、139、445、593、1025端口和UDP135、137、138、445端口,一些流行病毒的后门端口(如TCP2745、3127、6129端口),以及远程服务访问端口3389。
下面为关闭这些网络端口的具体步骤:
1)点击“开始→设置→控制面板→管理工具”,双击打开“本地安全策略”,选中“IP安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,选择“创建IP安全策略”(图3.1),
图3.1创建IP安全策略
2)在“IP安全策略向导”中可设置新策略的名称,这里取名字为“禁ping和禁端口”,点击“下一步”按钮,去掉“激活默认相应规则”左边的钩去掉,点击“下一步”直至“完成”,完成新的IP安全策略的创建。
3)右击新创建的IP安全策略,选择“属性”,把“使用添加向导”左边的钩去掉,点击“添加”,添加新的规则。
4)在“新规则属性”中“IP筛选器列表”选项卡点击“添加”。
5)在“IP筛选器列表”窗口中,可将名称改成“禁端口”,把“使用添加向导”左边的钩去掉,点击“添加”,添加新的筛选器。
6)在“IP筛选器属性”窗口中选择“地址”选项卡,源地址选“任何IP地址”,目标地址选“我的IP地址”,如图(图3.2);
接着选择“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,(如图3.3)
图3.2寻址配置
图3.3IP筛选器协议配置
屏蔽TCP135(RPC)端口的筛选器添加完毕,可以防止外界通过135端口连上你的电脑。
点击“确定”后回到“IP筛选器列表”的对话框,可以看到已经添加了一条“IP筛选器”,重复以上步骤继续添加TCP137、139、445、593端口和UDP135、139、445端口,为它们建立相应的筛选器。
重复以上步骤添加TCP1025、2745、3127、6129、3389端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮,回到“新规则属性”窗口。
7)在“新规则属性”对话框中,选择“禁端口”即刚创建的筛选器,然后点击其左边的圆圈选择该筛选器(如图3.4),接着选择“筛选器操作”选项卡,把“使用添加向导”左边的钩去掉,点击“添加”按钮,在“安全措施”中选择“阻止”(如图3.5),“常规”中可自定义名称,这里取“阻止”,然后点击“确定”按钮回到“筛选器操作”界面。
图3.4IP筛选器列表
图3.5新筛选器操作
选择“阻止”,即刚添加的筛选器操作,点击“应用”后点“确定”回到“禁ping和禁端口属性”界面,在“禁端口”左边打钩,点击“应用”后点“确定”。
回到“IP安全策略,在本地计算机”界面。
2.2禁ping
1)双击4.1中已经创建“禁ping和禁端口”,打开该安全策略的属性;
2)点击“添加”进入新规则属性;
3)在“IP筛选器列表”中点击“添加”,进入“IP筛选器列表”;
4)将名称改为“禁ping”,点击“添加”进入“筛选器属性”界面;
5)在“寻址”选项卡中,源地址选“任何IP地址”,目标地址选“我的IP地址”;
在“协议”选项卡中,在“选择协议类型”的下拉列表中选择“ICMP”,点击“确定”回到“编辑规则属性”界面;
6)在“IP筛选器列表”选项卡中选择“禁ping”,如图3.6
图3.6
7)在“筛选器操作”中选择“阻止”,点击“应用”和“确定”,回到“禁ping和禁端口属性”界面;
8)选择“禁端口”和“禁ping”,点击“应用”和确定完成配置,如图3.7
图3.7
9)回到“IP安全策略,在本地计算机”界面,用鼠标右击“禁ping和禁端口”,然后选择“指派”。
10)重新启动后,完成禁ping和禁端口操作。
3.开启防火墙,将DSS应用程序及端口添加到例外中
1)点击开始—>
控制面板—>
windows防火墙;
2)在“常规”选项卡中选择“启用”;
3)在“例外”选项卡中,点击“添加程序”,在跳出的窗口中选择“浏览”,分别将ARS.exe、ARS_Extra.exe、cms.exe、DMS_Server.exe、MTS_Server.exe、ss.exe、ss.exe、VMS.exe添加,如图3.8;
图3.8
4)在“例外”选项卡中,点击“添加端口”,添加需要映射出去的端口。
必须映射的端口:
80(tomcat端口),5900(远程工具VNC的端口)
注意:
如果自己修改了端口,要把修改后的端口映射好,以确保正常使用平台。
四、用户安全设置
1.禁用Guest账号
1)右击我的电脑管理本地用户和组用户右击Guest用户属性选择“账户已禁用”。
2)为了保险起见,最好给Guest加一个复杂的密码。
你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2.限制不必要的用户
去掉所有的DuplicateUser用户、测试用户、共享用户等等。
用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
这些用户很多时候都是黑客们入侵系统的突破口。
3.Administrator账号改名
Windows2003的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。
尽量把它伪装成普通用户,方法是修改用户名称。
4.创建陷阱用户
即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,并且加上一个你自己都记不住的超级复杂密码。
例:
禁用Guest的操作流程:
操作步骤:
a.选中计算机->
右击->
点击“管理”
图4.1计算机管理
选择本地用户和组->
用户->
选择Guest右击属性:
图4.2计算机用户管理
在Guest属性页中勾选账号已停用->
确定保存:
图4.3禁用Guest账号
五、系统权限设置
1.磁盘权限
1)系统盘及所有磁盘只给Administrators组和SYSTEM完全控制权限;
2)系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限;
3)系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限;
4)系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给Administrators组和SYSTEM的完全控制权限;
5)将\System32\cmd.exe、、ftp.exe转移到其他目录或更名DocumentsandSettings下所有些目录都设置只给adinistrators权限。
并且要一个一个目录查看,包括下面的所有子目录;
6)删除c:
\inetpub目录。
2.本地安全策略设置
1)点击开始菜单—>
管理工具—>
本地安全策略
A.本地策略——>
审核策略
双击“审核策略更改”选择“成功、失败”;
双击“审核登录事件”选择“成功、失败”;
双击“审核对象访问”选择“失败”;
双击“审核过程跟踪”选择“无审核”;
双击“审核目录服务访问”选择“失败”;
双击“审核特权使用”选择“失败”;
双击“审核系统事件”选择“成功、失败”;
双击“审核账户登录事件”选择“成功、失败”;
双击“审核账户管理”选择“成功、失败”。
B、本地策略——>
用户权限分配
双击“关闭系统”:
只保留Administrators组、其它全部删除;
双击“通过终端服务允许登陆”:
只保留Administrators和RemoteDesktopUsers组,其他全部删除;
C、本地策略——>
安全选项
双击“交互式登陆:
不显示上次的用户名”选择“启用”;
双击“网络访问:
不允许SAM帐户和共享的匿名枚举”选择“启用”;
不允许为网络身份验证储存凭证”选择“启用”;
可匿名访问的共享”将方框中内容全部删除;
可匿名访问的命名通道”将方框中内容全部删除;
可远程访问的注册表路径”将方框中内容全部删除;
可远程访问的注册表路径和子路径”将方框中内容全部删除;
双击“帐户:
重命名来宾帐户”重命名一个帐户;
重命名系统管理员帐户”重命名一个帐户。
六、备份系统
使用工具对刚安装好的系统进行备份,如:
GHOST等。