DSS操作系统安装手册V11.docx

1、DSS操作系统安装手册V11浙江大华技术股份有限公司操作系统安装手册DSS系统专用V1.0目录一、 概述 11. 规范化安装操作系统、系统安全设置的重要性 12. 文档使用方式 13文档使用者 14. 适用系统 15. 注意事项 1二、 操作系统安装 21. 操作系统安装 22. 系统补丁安装 23. 杀毒软件安装 34. 常用软件安装 3三、 系统安全设置 41. 重要文件隐藏、禁用不必要的服务等 42. 限制常用端口、禁ping功能 42.1 限制常用端口 42.2 禁ping 93. 开启防火墙，将DSS应用程序及端口添加到例外中 10四、用户安全设置 121. 禁用Guest账号 12

2、2. 限制不必要的用户 123. Administrator账号改名 124. 创建陷阱用户 12五、系统权限设置 151. 磁盘权限 152. 本地安全策略设置 15六、 备份系统 17修订页编号修订内容简述修订日期修订后版本号修订人审核人1创建文档2012-9-41.1朱盛波周鉴刚2文档修订2012-9-201.1朱盛波周鉴刚一、 概述1. 规范化安装操作系统、系统安全设置的重要性1）DSS系统运行在Windows操作系统上，因此操作系统稳定性和安全性至关重要，规范化安装操作系统并对操作系统进行安全设置是DSS系统正常运行的前提；2）服务器使用的随意性(如：乱装软件、任意远程桌面、U盘任意

3、拔插等),很容易将病毒带到服务器上，从而造成DSS系统有时候会无法正常运行；3）一些平台要使用互联网环境，如DSS-M等，在互联网环境中病毒泛滥，服务器很容易受攻击，从而造成DSS系统无法正常使用；4）由于系统问题导致DSS系统无法正常运行，此问题维护起来很困难，往往要花很大的代价，如：重装操作系统，重新搭建DSS系统，可能会造成数据丢失等严重后果，因此，在装DSS系统前，对系统进行安全性策略设置是非常有必要的。2. 文档使用方式1）对于已经部署DSS系统并正常运行的情况，补充部署“系统安全设置、用户安全设置、系统权限设置”，并每周备份DSS系统数据库；2）对于服务器已经中毒，DSS系统无法正

4、常运行，按照此文档进行重装操作系统并进行系统安全设置、用户安全设置和系统权限设置。3文档使用者此文档使用对象是区域现场部署人员和区域解决问题技术人员。4. 适用系统此文档适用windows xp、windows server 2003、windows server 2008.5. 注意事项所有步骤完成前不要将网线插上安装DSS系统的服务器，以避免病毒感染二、 操作系统安装1. 操作系统安装1）格式化非系统盘；2）格式化安装全新Windows操作系统；3）开启系统自带防火墙，开启方法：开始控制面板防火墙。2. 系统补丁安装1）在能够连接互联网的电脑上打开wsusoffline文件夹，双击Upda

5、teGenerator.exe，如图2.1：图2.12）选择相应的操作系统，下载相对应的系统补丁，系统补丁下载好后会自动保存在wsusoffline中相对应的文件夹；3）将下载好补丁的整个wsusoffline文件夹拷贝到DSS系统服务器上（注：注意对wsusoffline进行病毒扫描，并确保网线没有插上安装DSS系统的服务器，以防病毒感染），打开wsusoffline文件夹下的client文件夹，双击UpdateInstaller.exe，选择对应的安装选项，点击“开始”安装补丁。3. 杀毒软件安装安装杀毒软件，建议使用金山毒霸、诺顿或卡巴斯基，安装完杀毒软件对服务器进行扫描查杀病毒，要定时

6、更新病毒库。4. 常用软件安装1）安装日常使用的软件，如解压缩软件、word软件等；2）安装平台常用的程序（如：抓包工具Wireshark、数据库工具Navicat、-M诊断工具等、文档编辑工具UE）；3）安装远程桌面工具，如VNC；4）安装完毕后,使用杀毒软件再次扫描磁盘。三、 系统安全设置1. 重要文件隐藏、禁用不必要的服务等双击运行“系统安全配置”文件中的“系统安全配置.exe”，该安全配置包括：1）不记住登陆名字；2）不支持IGMP协议；3）防止ICMP重定向报文的攻击；4）防止SYN洪水攻击；5）更改TTL值；6）禁用不必要的服务；7）禁止IPC$空连接；8）禁止响应ICMP路由通告

7、报文；9）禁止远程修改注册表；10）删除默认共享；11）卸载不安全的组件；12）隐藏重要文件；13）修改远程端口，在跳出的窗口中手动输入更改后的端口（重启后生效），如10538，并记住该端口，如果用系统自带的远程工具远程服务器时需要输入：IP：10538。推荐关闭windows自带的的远程桌面工具，使用第三方的远程工具如VNC等。2. 限制常用端口、禁ping功能2.1 限制常用端口默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑，应该封闭这些端口，主要有：TCP 135、139、445、593、1025端口和UDP 135、137、13

8、8、445端口，一些流行病毒的后门端口（如TCP 2745、3127、6129端口），以及远程服务访问端口3389。下面为关闭这些网络端口的具体步骤：1）点击“开始设置控制面板管理工具”，双击打开“本地安全策略”，选中“IP安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，选择“创建IP安全策略”（图3.1），图3.1 创建IP安全策略2）在“IP安全策略向导”中可设置新策略的名称，这里取名字为“禁ping和禁端口”，点击“下一步”按钮，去掉“激活默认相应规则”左边的钩去掉，点击“下一步”直至“完成”，完成新的IP安全策略的创建。 3）右击新创建的IP安全策略，选择“属性”，把“使用添加

9、向导”左边的钩去掉，点击“添加”，添加新的规则。4）在“新规则属性”中“IP筛选器列表”选项卡点击“添加”。5）在“IP筛选器列表”窗口中，可将名称改成“禁端口”，把“使用添加向导”左边的钩去掉，点击“添加”，添加新的筛选器。6）在“IP筛选器属性”窗口中选择“地址”选项卡，源地址选“任何IP地址”，目标地址选“我的IP地址”，如图（图3.2）；接着选择“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，（如图3.3）图3.2 寻址配置图3.3 IP筛选器协议配置屏蔽TCP 135（RPC）端口的筛选器添加完毕，可以防止

10、外界通过135端口连上你的电脑。点击“确定”后回到“IP筛选器列表”的对话框，可以看到已经添加了一条“IP筛选器”，重复以上步骤继续添加TCP 137、139、445、593端口和UDP 135、139、445端口，为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮，回到“新规则属性”窗口。7）在“新规则属性”对话框中，选择“禁端口”即刚创建的筛选器，然后点击其左边的圆圈选择该筛选器（如图3.4），接着选择“筛选器操作”选项卡，把“使用添加向导”左边的钩去掉，点击“添加”按钮，在“安全措施

11、”中选择“阻止”（如图3.5），“常规”中可自定义名称，这里取“阻止”，然后点击“确定”按钮回到“筛选器操作”界面。图3.4 IP筛选器列表图3.5 新筛选器操作 选择“阻止”，即刚添加的筛选器操作，点击“应用”后点“确定”回到 “禁ping和禁端口属性”界面，在“禁端口”左边打钩，点击“应用”后点“确定”。回到“IP安全策略，在本地计算机”界面。2.2 禁ping1）双击4.1中已经创建“禁ping和禁端口”，打开该安全策略的属性；2）点击“添加”进入新规则属性；3）在“IP筛选器列表”中点击“添加”，进入“IP筛选器列表”；4）将名称改为“禁ping”，点击“添加”进入“筛选器属性”界面；

12、5）在“寻址”选项卡中，源地址选“任何IP地址”，目标地址选“我的IP地址”；在“协议”选项卡中，在“选择协议类型”的下拉列表中选择“ICMP”， 点击“确定”回到“编辑规则属性”界面；6）在“IP筛选器列表”选项卡中选择“禁ping”，如图3.6图3.67）在“筛选器操作”中选择“阻止”，点击“应用”和“确定”，回到“禁ping和禁端口属性”界面；8）选择“禁端口”和“禁ping”，点击“应用”和确定完成配置，如图3.7图3.79）回到“IP安全策略，在本地计算机”界面，用鼠标右击“禁ping和禁端口”，然后选择“指派”。10）重新启动后，完成禁ping和禁端口操作。3. 开启防火墙，将DS

13、S应用程序及端口添加到例外中1） 点击开始控制面板windows防火墙；2） 在“常规”选项卡中选择“启用”；3） 在“例外”选项卡中，点击“添加程序”，在跳出的窗口中选择“浏览”,分别将ARS.exe、ARS_Extra.exe、cms.exe、DMS_Server.exe、MTS_Server.exe、ss.exe、ss.exe、VMS.exe添加，如图3.8；图3.84） 在“例外”选项卡中，点击“添加端口”，添加需要映射出去的端口。必须映射的端口：80(tomcat端口)，5900（远程工具VNC的端口）注意：如果自己修改了端口，要把修改后的端口映射好，以确保正常使用平台。四、用户安全

14、设置 1. 禁用Guest账号1）右击我的电脑管理本地用户和组用户右击Guest用户属性选择“账户已禁用”。2）为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。 2. 限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3. Administrator账号改名 Windows 2003 的Administrator用户是不能被停用的，这意

15、味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，方法是修改用户名称。 4. 创建陷阱用户 即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，并且加上一个你自己都记不住的超级复杂密码。 例：禁用Guest的操作流程：操作步骤：a. 选中计算机-右击-点击“管理”图4.1 计算机管理选择本地用户和组-用户-选择Guest右击属性：图4.2 计算机用户管理在Guest属性页中勾选账号已停用-确定保存：图4.3 禁用Guest账号五、系统权限设置1. 磁盘权限1） 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 完全控制权限；2）

16、 系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM的完全控制权限；3） 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限；4） 系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、del文件只给 Administrators 组和SYSTEM

17、的完全控制权限；5） 将System32cmd.exe、ftp.exe转移到其他目录或更名 Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看，包括下面的所有子目录；6） 删除c:inetpub目录。2. 本地安全策略设置1）点击开始菜单管理工具本地安全策略A.本地策略审核策略 双击“审核策略更改”选择“成功、失败”；双击“审核登录事件”选择“成功、失败”；双击“审核对象访问”选择“失败”；双击“审核过程跟踪”选择“无审核”；双击“审核目录服务访问”选择“失败”；双击“审核特权使用”选择“失败”；双击“审核系统事件”选择“成

18、功、失败”；双击“审核账户登录事件”选择“成功、失败”；双击“审核账户管理”选择“成功、失败”。B、本地策略用户权限分配双击“关闭系统”：只保留Administrators组、其它全部删除；双击“通过终端服务允许登陆”：只保留Administrators和Remote Desktop Users组，其他全部删除；C、本地策略安全选项双击“交互式登陆：不显示上次的用户名”选择“启用”；双击“网络访问：不允许SAM帐户和共享的匿名枚举”选择“启用”；双击“网络访问：不允许为网络身份验证储存凭证”选择“启用”；双击“网络访问：可匿名访问的共享”将方框中内容全部删除；双击“网络访问：可匿名访问的命名通道” 将方框中内容全部删除；双击“网络访问：可远程访问的注册表路径” 将方框中内容全部删除；双击“网络访问：可远程访问的注册表路径和子路径”将方框中内容全部删除；双击“帐户：重命名来宾帐户”重命名一个帐户；双击“帐户：重命名系统管理员帐户”重命名一个帐户。六、 备份系统使用工具对刚安装好的系统进行备份，如：GHOST等。