一臺winserver伺服器系統的安裝步驟
一、伺服器安裝系統
1、安裝系統
2、配置iLO
二、檢查系統完整度
1、server2012r2開啟桌面圖示:
CMD執行:rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
2、驅動安裝完整
3、硬體檢查相關軟體:dell的SysMgt 、HP的iLO、
4、系統啟用
5、打補丁
6、刪除禁用不必要的系統賬戶
7、系統帳戶管理
1)、修改administrator賬戶名稱和密碼
2)、重新另建管理員,並加入administrators組,至少登陸一次
3)、禁用administrator使用者
8、確認系統防火牆開啟
9、修改時鐘伺服器為192.168.xx.xx
10、修改時鐘同步頻率為15分鐘(900毫秒)
1)、cmd執行regedit
2)、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient ] ,SpecialPollInterval鍵值改為900
三、配置系統環境
1、安裝IIS元件
2、安裝.net3.5和.net4.7
3、修改3389埠為8338,配置防火牆開通8338埠
1)、cmd執行regedit
2)、hklm\system\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp,“PortNumber”的dword值是3389,將其修改為8338
3)、hklm\system\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp,“portnumber”的dword值是3389,將其修改為8338
4、對所有磁碟進行許可權調整
5、安裝防毒軟體
6、安裝AspNetMVC3Setup元件
7、安裝AspNetWebPages2Setup元件
8、安裝AccessDatabaseEngine_X64元件,2010版本以上
四、環境安全(視情況配置)
1、關閉無用的服務,執行-“services.msc”:
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
Shell Hardware Detection
TCP/IP NetBIOS Helper
Workstation (作為AD不可禁用)
2、取消危險元件
如果伺服器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
登出元件
使用regedit
將/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
鍵值改名或刪除
將這些鍵值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值
全部刪除
3、配置IIS遮蔽常見蜘蛛
網站根目錄下配置檔案web.config:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Block spider">
<match url="(^robots.txt$)" ignoreCase="false" negate="true"/>
<conditions>
<add input="{HTTP_USER_AGENT}" pattern="Baiduspider|Baiduspider-image|Baiduspider-mobile|Baiduspider-video|Baiduspider-news|Googlebot|360Spider|Sosospider|YoudaoBot|YodaoBot|msnbot|msnbot-media|bingbot|ia_archiver|EasouSpider|JikeSpider|EtaoSpider|YisouSpider||Webdup|AcoonBot|AhrefsBot|Ezooms|EdisterBot|EC2LinkFinder|jikespider|Purebot|MJ12bot|WangIDSpider|WBSearchBot|Wotbox|xbfMozilla|Yottaa|YandexBot|Jorgee|SWEBot|spbot|TurnitinBot-Agent|curl|perl|Python|Wget|Xenu|ZmEu|Sogou News Spider|Sogou web spider|Sogou inst spider|Sogou spider|Sogou spider2|Sogou blog|Sogou Orion spider|Bing Spider|BaiDu Spider|DingTalkBot-LinkService|bidswitchbot/1.0|Wespe.de Spider|trendkite-akashic-crawler|Wespe.de Spider|Baidu-YunGuanCe-SLABot|Yandex Spider|CCBot/2.0+|MSN Spider|Yahoo Spider|Baidu-YunGuanCe-SLABot|Google Spider|webmeup-crawler.com|zhanzhang.toutiao.com" ignoreCase="true"/>
</conditions>
<action type="CustomResponse" statusCode="403" statusReason="Forbidden" statusDescription="Forbidden"/>
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
4、配置加密策略,工具“IISCrypto-ssl工具 v2.0.zip”,下載連結https://www.nartac.com/Products/IISCrypto/Download
5、關閉網路訪問的安全選項
依次開啟“計算機配置>策略>Windows設定>安全設定>本地策略>安全選項”:
互動式登入:不顯示最後的使用者名稱,Enable
互動式登入:計算機不活動限制300s
互動式登入:提醒使用者在過期之前更改密碼,15天或30天
網路訪問:可匿名訪問的共享,清空原有配置,配置為空
網路訪問:可匿名訪問的命名管道,清空原有配置,配置為空
網路訪問:可遠端訪問的登錄檔路徑,清空預設,不定義路徑,不允許訪問
網路訪問:可遠端訪問的登錄檔路徑和子路徑
賬戶:來賓賬戶狀態,Disabled
賬戶:重命名系統管理賬戶, 系統預設賬戶Administrator, 如重新命名為Baiinfo#82l223
賬戶:阻止Microsoft賬戶,Enable,使用者不能新增Microsoft賬戶或使用該賬戶登入
完成後,CMD-管理員模式, 執行“gpupdate /force”或重啟系統
6、關閉危險埠(135,137,138,139,443,445)
7、做好備份:虛擬機器快照,系統備份,整機備份
五、多使用者遠端桌面授權
RD遠端桌面授權 註冊號碼:5296992 4954438 6565792、6879321、5296992
協議號4954438
六、winserver2012遠端桌面進入只有CMD視窗,無桌面解決方法:
原因:.net framework4.5是Windows server圖形化介面的基礎,系統還原時只裝了核心模式core,系統沒有了圖形介面當然只有cmd了。
解決方法:使用dism命令需要將核心模式core 變回完整模式 Full,命令如下:
Dism /online /enable-feature /all /featurename:Server-Gui-Mgmt /featurename:Server-Gui-Shell /featurename:ServerCore-FullServer
輸入回車後根據自己的網路情況靜等一段時間後問題是否要重啟,重啟完成即可
七、IIS配置篩選規則:見自己寫的Word文件“Windows Server伺服器 IIS部署篩選規則”