一、服务器安装系统
1、安装系统
2、配置iLO
二、检查系统完整度
1、server2012r2打开桌面图标:
CMD运行:rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
2、驱动安装完整
3、硬件检查相关软件:dell的SysMgt 、HP的iLO、
4、系统激活
5、打补丁
6、删除禁用不必要的系统账户
7、系统帐户管理
1)、修改administrator账户名称和密码
2)、重新另建管理员,并加入administrators组,至少登陆一次
3)、禁用administrator用户
8、确认系统防火墙开启
9、修改时钟服务器为192.168.xx.xx
10、修改时钟同步频率为15分钟(900毫秒)
1)、cmd运行regedit
2)、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient ] ,SpecialPollInterval键值改为900
三、配置系统环境
1、安装IIS组件
2、安装.net3.5和.net4.7
3、修改3389端口为8338,配置防火墙开通8338端口
1)、cmd运行regedit
2)、hklm\system\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp,“PortNumber”的dword值是3389,将其修改为8338
3)、hklm\system\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp,“portnumber”的dword值是3389,将其修改为8338
4、对所有磁盘进行权限调整
5、安装杀毒软件
6、安装AspNetMVC3Setup组件
7、安装AspNetWebPages2Setup组件
8、安装AccessDatabaseEngine_X64组件,2010版本以上
四、环境安全(视情况配置)
1、关闭无用的服务,运行-“services.msc”:
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
Shell Hardware Detection
TCP/IP NetBIOS Helper
Workstation (作为AD不可禁用)
2、取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除
3、配置IIS屏蔽常见蜘蛛
网站根目录下配置文件web.config:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Block spider">
<match url="(^robots.txt$)" ignoreCase="false" negate="true"/>
<conditions>
<add input="{HTTP_USER_AGENT}" pattern="Baiduspider|Baiduspider-image|Baiduspider-mobile|Baiduspider-video|Baiduspider-news|Googlebot|360Spider|Sosospider|YoudaoBot|YodaoBot|msnbot|msnbot-media|bingbot|ia_archiver|EasouSpider|JikeSpider|EtaoSpider|YisouSpider||Webdup|AcoonBot|AhrefsBot|Ezooms|EdisterBot|EC2LinkFinder|jikespider|Purebot|MJ12bot|WangIDSpider|WBSearchBot|Wotbox|xbfMozilla|Yottaa|YandexBot|Jorgee|SWEBot|spbot|TurnitinBot-Agent|curl|perl|Python|Wget|Xenu|ZmEu|Sogou News Spider|Sogou web spider|Sogou inst spider|Sogou spider|Sogou spider2|Sogou blog|Sogou Orion spider|Bing Spider|BaiDu Spider|DingTalkBot-LinkService|bidswitchbot/1.0|Wespe.de Spider|trendkite-akashic-crawler|Wespe.de Spider|Baidu-YunGuanCe-SLABot|Yandex Spider|CCBot/2.0+|MSN Spider|Yahoo Spider|Baidu-YunGuanCe-SLABot|Google Spider|webmeup-crawler.com|zhanzhang.toutiao.com" ignoreCase="true"/>
</conditions>
<action type="CustomResponse" statusCode="403" statusReason="Forbidden" statusDescription="Forbidden"/>
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
4、配置加密策略,工具“IISCrypto-ssl工具 v2.0.zip”,下载链接https://www.nartac.com/Products/IISCrypto/Download
5、关闭网络访问的安全选项
依次打开“计算机配置>策略>Windows设置>安全设置>本地策略>安全选项”:
交互式登录:不显示最后的用户名,Enable
交互式登录:计算机不活动限制300s
交互式登录:提醒用户在过期之前更改密码,15天或30天
网络访问:可匿名访问的共享,清空原有配置,配置为空
网络访问:可匿名访问的命名管道,清空原有配置,配置为空
网络访问:可远程访问的注册表路径,清空默认,不定义路径,不允许访问
网络访问:可远程访问的注册表路径和子路径
账户:来宾账户状态,Disabled
账户:重命名系统管理账户, 系统默认账户Administrator, 如重命名为Baiinfo#82l223
账户:阻止Microsoft账户,Enable,用户不能添加Microsoft账户或使用该账户登录
完成后,CMD-管理员模式, 运行“gpupdate /force”或重启系统
6、关闭危险端口(135,137,138,139,443,445)
7、做好备份:虚拟机快照,系统备份,整机备份
五、多用户远程桌面授权
RD远程桌面授权 注册号码:5296992 4954438 6565792、6879321、5296992
协议号4954438
六、winserver2012远程桌面进入只有CMD窗口,无桌面解决方法:
原因:.net framework4.5是Windows server图形化界面的基础,系统还原时只装了核心模式core,系统没有了图形界面当然只有cmd了。
解决方法:使用dism命令需要将核心模式core 变回完整模式 Full,命令如下:
Dism /online /enable-feature /all /featurename:Server-Gui-Mgmt /featurename:Server-Gui-Shell /featurename:ServerCore-FullServer
输入回车后根据自己的网络情况静等一段时间后问题是否要重启,重启完成即可
七、IIS配置筛选规则:见自己写的Word文档“Windows Server服务器 IIS部署筛选规则”
