一、硬盘分区【pán fèn qū】♉与操作【yǔ cāo zuò】系统🥪的安装
硬盘分区【pán fèn qū】♉
总的来【zǒng de lái】🎷讲在硬盘分区【pán fèn qū】♉上面没什么值【shí me zhí】得深入剖析的地方🈂，无非就🌈是一个在分区🍔前做好【qián zuò hǎo】规划知【guī huá zhī】🈂道要去【dào yào qù】放些什么东西【me dōng xī】， 如果实在不知

道【dào】。那就只一个硬【yī gè yìng】😛盘只分一个区【yī gè qū】，分区要一次性Ⓜ完成💚，不要先【bú yào xiān】分成🦃FAT32再转成【zài zhuǎn chéng】🏠NTFS。一次性Ⓜ分成🦃 NTFS格式，以我个人习惯，系【xì】🛬

统盘一【tǒng pán yī】般给【bān gěi】🍐12G。建议使🐸用光盘【yòng guāng pán】启动完【qǐ dòng wán】成分区🔖过程🐜，不要加【bú yào jiā】载硬盘🦏软件【ruǎn jiàn】。
系统安装
以下内容均以2003 企业版为例【wéi lì】
安装过🏐程也没😋什么多【shí me duō】🏑讲的【jiǎng de】，安装系【ān zhuāng xì】统是一⚫个以个人性格为参数的活动，我建议【wǒ jiàn yì】🐅在安装路径上保持默认路径，好多文🔃章上写什么安

装路径【zhuāng lù jìng】🚿要改成【yào gǎi chéng】什么呀什么的🥕，这是没【zhè shì méi】必要的💮。路径保【lù jìng bǎo】存在注⤵册表里，怎么改【zěn me gǎi】都没用。在安装过程中【guò chéng zhōng】就要选定你需🐭要的服👼务，如一

些【xiē】😘DNS、DHCP没特别【méi tè bié】🤙需要也就不要👔装了。在安装【zài ān zhuāng】过程中网卡属性中可以只保【yǐ zhī bǎo】留😡TCP/IP 这一项，同时禁用NETBOIS。安装完【ān zhuāng wán】📛成后如

果带宽条件允📖许可用系统自带在线升级🐏。
二【èr】🖋、系统权【xì tǒng quán】限✊与安全【ān quán】配置【zhì】🍙
前面讲的都是【de dōu shì】屁话【pì huà】，润润笔而已。（俺也文人一次【rén yī cì】）
话锋一💊转就到🎁了系统权【xì tǒng quán】限✊设置【zhì】与安全【ān quán】配置【zhì】🍙的实际操作阶【cāo zuò jiē】段
系统设【xì tǒng shè】置【zhì】网上有一句【yǒu yī jù】话是"最小的🧡权限✊+最少的【zuì shǎo de】服务【fú wù】=最大的安全【ān quán】"。此句基🐱本上是【běn shàng shì】🔑个人都看过【kàn guò】，但我好【dàn wǒ hǎo】🥖像没有看到过💑一篇讲🚙的比较

详细稍【xiáng xì shāo】🙂具全面的文章，下面就【xià miàn jiù】以我个【yǐ wǒ gè】人经验【rén jīng yàn】作一次【zuò yī cì】❌教学尝【jiāo xué cháng】试【shì】！
2.1 最小的权限如何实现🆑？
NTFS系统权限设置🛬
在使用🎳之前将【zhī qián jiāng】每个硬🎬盘根加📹上 Administrators 用户为全部权🏫限(可选加入【rù】🎿SYSTEM用户)
删除其【shān chú qí】它用户，进入【rù】系🍒统盘:权限如下【xià】
C:\WINDOWS Administrators SYSTEM用户全🏓部权限 Users 用户默【yòng hù mò】❣认权限不作修改 其它目【qí tā mù】👐录删除Everyone用户，切记

C:\Documents and Settings下【xià】All Users\Default User目录【lù】及其子目录【lù】
如【rú】🥐C:\Documents and Settings\All Users\Application Data 目录【lù】默🌸认配置📭保留了Everyone用户权【yòng hù quán】🤐限
C:\WINDOWS 目录【lù】下【xià】面的权🥤限也得【xiàn yě dé】注意【zhù yì】,如【rú】🥐 C:\WINDOWS\PCHealth、C:\windows\Installer也是保😀留了Everyone权限. 删除

C:\WINDOWS\Web\printers目录，此目录【cǐ mù lù】的存在🕉会造成IIS里加入【lǐ jiā rù】🐳一个【yī gè】.printers的扩展🔺名【míng】，可溢出攻击【gōng jī】 默认IIS错误页面已基🌿本😧

上没多少人使用了【yòng le】。建议删除【chú】C:\WINDOWS\Help\iisHelp目录🔖 删除【chú】C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录🏈为管理【wéi guǎn lǐ】🎥IIS

密码之用【yòng】🏥，如一些因密码【yīn mì mǎ】🐛不同步造成【zào chéng】500 错误的时候使💽用【yòng】🏥 OWA 或【huò】🔏 Iisadmpwd 修改同步密码，但在这【dàn zài zhè】里可以删掉，下面讲【xià miàn jiǎng】到的设🚺

置将会杜绝因系统设🔂置造成的密码不同步😹问题。 打开C:\Windows 搜索【sōu suǒ】
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限【xiàn】😡，删除所有的用【yǒu de yòng】户只保🆘存Administrators 和【hé】SYSTEM为【wéi】🌵所有权限【xiàn】😡
关闭【guān bì】445端口🥉
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建【xīn jiàn】 "DWORD值🔎"值名为【zhí míng wéi】🎍 "SMBDeviceEnabled" 数据为【shù jù wéi】🌵默认值🚸"0"
禁止建【jìn zhǐ jiàn】立空连接☔
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建【xīn jiàn】 "DWORD值🔎"值名为【zhí míng wéi】🎍 "RestrictAnonymous" 数据值【shù jù zhí】🔐为【wéi】🌵"1" [2003默认为【wéi】🌵1]
禁止系【jìn zhǐ xì】🎀统自动【tǒng zì dòng】启动服🍨务器共享【xiǎng】
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建【xīn jiàn】 "DWORD值🔎"值名为【zhí míng wéi】🎍 "AutoShareServer" 数据值【shù jù zhí】🔐为【wéi】🌵"0"
禁止系【jìn zhǐ xì】🎀统自动【tǒng zì dòng】启动管理共享【lǐ gòng xiǎng】
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建【xīn jiàn】 "DWORD值🔎"值名为【zhí míng wéi】🎍 "AutoShareWks" 数据值【shù jù zhí】🔐为【wéi】🌵"0"
通过修改注册表防止小规模🎲DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建【xīn jiàn】 "DWORD值🔎"值名为【zhí míng wéi】🎍 "SynAttackProtect" 数据值【shù jù zhí】🔐为【wéi】🌵"1"
禁止【jìn zhǐ】dump file的产生
dump文件在系统崩【xì tǒng bēng】⛲溃和【hé】蓝屏的时候是一【hòu shì yī】份很有🏴用的查找问题的资料。然而🥛，它也能【tā yě néng】🦔够给黑【gòu gěi hēi】客提供🆘一些敏感信息【gǎn xìn xī】比如一些应用程序【chéng xù】

的密码等♊。控制面🎲板>系统属【xì tǒng shǔ】性>高级>启动和故障恢复把 写入调🐦试信息🐛 改成无【gǎi chéng wú】。
关闭华🍬医生🃏Dr.Watson
在开始-运行中【yùn háng zhōng】🛄输入【shū rù】"drwtsn32"，或者开始-程序-附件【fù jiàn】-系统工【xì tǒng gōng】具-系统信【xì tǒng xìn】🌆息🛫-工具-Dr Watson，调出系【diào chū xì】统里的华医生【huá yī shēng】🃏Dr.Watson ，

只保留"转储全【zhuǎn chǔ quán】🤣部线程上下文"选项，否则一旦程序🤨出错🔬，硬盘会读很久，并占用🥩大量空【dà liàng kōng】间🆚。如果以【rú guǒ yǐ】前有此【qián yǒu cǐ】🎟情况【qíng kuàng】，请查找【qǐng chá zhǎo】user.dmp

文件🐆，删除后🛅可节省几十🐘MB空间。
本地安全策略【quán cè luè】🙂配置
开始 > 程序【chéng xù】 > 管理工【guǎn lǐ gōng】具 > 本地安全策略【quán cè luè】🙂
账户策【zhàng hù cè】略【luè】🙂 > 密码策⏳略【luè】🙂 > 密码最💻短使用期限 改成0天[即密码【jí mì mǎ】🌹不过期🧣，上面我讲到不【jiǎng dào bú】会造成【huì zào chéng】IIS密码不📤同步] 账户策【zhàng hù cè】略【luè】🙂 > 账户锁【zhàng hù suǒ】

定策略 >账户锁🥈定阈值 5 次 账户锁🥈定时间🏐 10分钟【fèn zhōng】 [个人推【gè rén tuī】💤荐配置🗨] 本地策【běn dì cè】略 > 审核策【shěn hé cè】略 > 账户管理🍼 成功 失败 登录事【dēng lù shì】件【jiàn】🌒

成功【chéng gōng】 失败【shī bài】🚹 对象访问 失败【shī bài】🚹 策略更【cè luè gèng】改🏩 成功【chéng gōng】 失败【shī bài】🚹 特权使🦂用 失败【shī bài】🚹 系统事件【jiàn】🆚 成功【chéng gōng】 失败【shī bài】🚹 目录服务访问 失败【shī bài】🚹 账户登☝录事件【lù shì jiàn】🤶 成功【chéng gōng】

失败🎯 本地策略【luè】 > 安全选【ān quán xuǎn】🐸项【xiàng】🥈 > 清除虚🙋拟内存【nǐ nèi cún】页面文件🏵 更改为【gèng gǎi wéi】"已启用" > 不显示上次的用户名 更改为【gèng gǎi wéi】"已启用" > 不需要按【àn】📍

CTRL+ALT+DEL 更改为【gèng gǎi wéi】"已启用【yǐ qǐ yòng】🙉" > 不允许【bú yǔn xǔ】🚓 SAM 账户的匿名枚【nì míng méi】🐓举📮 更改为【gèng gǎi wéi】"已启用【yǐ qǐ yòng】🙉" > 不允许【bú yǔn xǔ】🚓 SAM 账户和共享的匿名枚【nì míng méi】🐓举📮 更改为【gèng gǎi wéi】"

已启用🍥" > 重命名来宾账户♎ 更改成一个复杂的账户♎名 > 重命名系统管【xì tǒng guǎn】🔱理员账号【hào】🆚 更改一【gèng gǎi yī】个自己【gè zì jǐ】用的账【yòng de zhàng】号【hào】🆚 [同时可建立一个无用🚧

户组【zǔ】📬的Administrat账户] 组【zǔ】📬策略编【cè luè biān】辑器【jí qì】
运行🍝 gpedit.msc 计算机配置【pèi zhì】 > 管理模板【bǎn】 > 系统 显示🌛"关闭事件【jiàn】⏹跟踪程序【xù】" 更改为已禁用📪
删除不安全组件【zǔ jiàn】🍂
WScript.Shell 、Shell.application 这两个【zhè liǎng gè】🐉组件一【zǔ jiàn yī】🚐般一些🌱ASP木马或【mù mǎ huò】一些恶意程序【xù】🤨都会使用到。
方案一🦗：
regsvr32 /u wshom.ocx 卸载【xiè zǎi】WScript.Shell 组件【zǔ jiàn】🍂
regsvr32 /u shell32.dll 卸载【xiè zǎi】Shell.application 组件【zǔ jiàn】🍂
如果按照上面讲到的🌹设置，可不必💒删除这🗓两个文【liǎng gè wén】👮件【jiàn】⏹
方案二：
删除注【shān chú zhù】🗃册表【cè biǎo】 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注【shān chú zhù】🗃册表【cè biǎo】 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application
用户管理
建立另【jiàn lì lìng】一个备用管理【yòng guǎn lǐ】员账号【zhàng hào】，防止特⏫殊情况发生【fā shēng】。
安装有终端服【zhōng duān fú】🍝务与【wù yǔ】🚑SQL服务的服务器停用TsInternetUser, SQLDebugger这两个【zhè liǎng gè】🐉账号【zhàng hào】
用户组【zǔ】🚺说明
在将来要使用到的IIS中🤸，IIS用户一般使用【bān shǐ yòng】Guests组【zǔ】📬，也可以【yě kě yǐ】⤴再重新【zài chóng xīn】建立一个独立的专供🤜IIS使用的组【zǔ】📬，但要将🕎这个组【zǔ】📬赋予【fù yǔ】

C:\Windows 目录为【mù lù wéi】读取权【dú qǔ quán】限【xiàn】[单一读取] 个人不建议使用单独🔚目录【mù lù】，太小家🈺子气。
二、系统权🌈限【xiàn】与安全配置🦍
2.2最少的【zuì shǎo de】🎊服务如果实现🎓
黑色为【hēi sè wéi】自动【zì dòng】🤭 绿色为【lǜ sè wéi】手动 红色为👰禁用
Alerter Application Experience Lookup Service Application Layer Gateway Service Application Management Automatic

Updates [Windows自动更新【xīn】,可选项🏾] Background Intelligent Transfer Service ClipBook COM+ Event System COM+ System

Application Computer Browser Cryptographic Services DCOM Server Process Launcher DHCP Client Distributed File

System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS

Client Error Reporting Service Event Log File Replication Help and Support HTTP SSL Human Interface Device

Access IIS Admin Service IMAPI CD-Burning COM Service Indexing Service Intersite Messaging IPSEC Services [如果【rú guǒ】🥦

使用了🖼IP安全策【ān quán cè】🌜略则自【luè zé zì】动，如无则禁用，可选操作【zuò】🏌] Kerberos Key Distribution Center License Logging Logical Disk

Manager [可选【kě xuǎn】🎤，多硬盘🧘建议自动【dòng】] Logical Disk Manager Administrative Service Messenger   /li> Microsoft Search

Microsoft Software Shadow Copy Provider MSSQLSERVER MSSQLServerADHelper Net Logon NetMeeting Remote Desktop

Sharing Network Connections Network DDE Network DDE DSDM Network Location Awareness (NLA) Network Provisioning

Service NT LM Security Support Provider Performance Logs and Alerts Plug and Play Portable Media Serial Number

Service [微软反【wēi ruǎn fǎn】✔盗版工具【jù】，目前只针对多媒体类🙆] Print Spooler Protected Storage Remote Access Auto Connection

Manager Remote Access Connection Manager Remote Desktop Help Session Manager Remote Procedure Call (RPC) Remote

Procedure Call (RPC) Locator Remote Registry Removable Storage Resultant Set of Policy Provider Routing and

Remote Access Secondary Logon Security Accounts Manager Server Shell Hardware Detection Smart Card Special

Administration Console Helper SQLSERVERAGENT System Event Notification Task Scheduler TCP/IP NetBIOS H