2003安全配置2

Window2003服务器安全配置方案

前言：

安全问题发生在你没有防护的那一分，

安全问题存在于你没有备份的那一刻

第一节安装Windows 2003 Server

一、注意授权模式的选择（每服务器，每客户）：

建议选择“每服务器”模式，用户可以将许可证模式从“每服务器”转换为“每客户”，但是不能从“每客户”转换为“每服务器”模式。，以后可以免费转换为“每客户”模式。

所谓许可证（CAL）就是为需要访问Windows Server 2003的用户所购买的授权。有两种授权模式：每服务器和每客户。

每服务器：该许可证是为每一台服务器购买的许可证，许可证的数量由“同时”连接到服务器的用户的最大数量来决定。每服务器的许可证模式适合用于网络中拥有很多客户端，但在同一时间“同时”访问服务器的客户端数量不多时采用。并且每服务器的许可证模式也适用于网络中服务器的数量不多时采用。

每客户：该许可证模式是为网络中每一个客户端购买一个许可证，这样网络中的客户端就可以合法地访问网络中的任何一台服务器，而不需要考虑“同时”有多少客户端访问服务器。该许可证模式适用于企业中有多台服务器，并且客户端“同时”访问服务器的情况较多时采用。微软在许可数上只是给了你一个法律上的限制，而不是技术上的。

所以假如你希望服务器有更多的并发连接，只要把每服务器模式的数量改的大一些即可。这个数量会限制到windows中所有的网络应用，包括数据库。

二、安装时候使用NTFS分区格式，设定好NTFS磁盘权限。

C盘赋给administrators 和system用户组权限，删除其他用户组，其它盘也可以同样设置。注意网站最好不要放置在C盘。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。另外，还将c:\windows\system32 目录下的一些DOS命令文件：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录默认everyone用户有权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等方法，在用做web/ftp服务器的系统里，建议是将这些目录都设置的限定好权限。

三、禁止不必要的服务和增强网络连接安全性

把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

注意：不推荐使用TCP/IP筛选里的端口过滤功能。譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port 模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP 过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。

第二节安装和配置IIS

一、仅安装必要的组件，选择Internet(信息服务IIS)即可。原则是网站需要组件功能才安装，比如https://www.wendangku.net/doc/ab1638029.html,或其它组件不需使用就不要安装。

二、修改上传文件的大小

Windows server 2003服务器，当上传文件过大（超过200K）时，提示错误号2147467259。原因是IIS6.0默认配置把上传文件限制在200k，超过即出错。解决方法如下：首先，停止以下服务：

IIS admin service

World Wide Web Publishing Service

HTTP SSL

然后找到：

C:\Windows\system32\inesrv\metabase.xml \Windows\system32\inesrv\

编辑文件metabase.xml(不要用写字板，要用记事本编辑，否则容易出错。) 找到：ASPMaxRequestEntityAllowed 默认为204800 （200k），改成需要的！保存。

最后，启动上面被停止的服务，就完成了！

注：可能会碰到metabase.xml 文件不能被保存，原因是你的服务未停干净，建议重启以后再进行上面的操作。

第三节FTP服务器架设

一、推荐使用Serv-U.FTP.Server.Corporate.v6.0.0.2

1.Serv-U最好不要使用默认安装路径，设置Serv-U的目录权限，只有管理员才能访问；

2、启用Serv-U中的安全，serv-u的几点常规安全设置：

选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。另外在"Block anti time-out schemes"也可以选中。其次，在"Advanced"选项卡中，检查"Enable security"是否被选中，如果没有，选择它们。

3.可修改Serv-U的默认管理员名字和密码，默认端口也可以修改，详情见附录。

第四节win2003系统安全设置

1、将一些危险的服务禁止，特别是远程控制注册表服务及无用和可疑的服务。

2、关闭机器上开启的共享文件，设置一个批处理文件删除默认共享。

3、封锁端口

黑客大多通过端口进行入侵，所以你的服务器只能开放你需要的端口以下是常用端口：

80为Web网站服务；21为FTP服务；25 为E-mail SMTP服务；110为Email POP3服务。其他还有SQL Server的端口1433等，不用的端口一定要关闭！

关闭这些端口，我们可以通过Windows 2003的IP安全策略进行。

借助它的安全策略，完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入，右击“IP安全策略”，选择“创建IP安全策略”，点[下一步]。输入安全策略的名称，点[下一步]，一直到完成，你就创建了一个安全策略：

接着你要做的是右击“IP安全策略”，进入管理IP筛选器和筛选器操作，在管理IP筛选器列表中，你可以添加要封锁的端口，这里以关闭ICMP和139端口为例说明。

关闭了ICMP，黑客软件如果没有强制扫描功能就不能扫描到你的机器，也Ping不到你的机器。关闭ICMP的具体操作如下：点[添加]，然后在名称中输入“关闭ICMP”，点右边的[添加]，再点[下一步]。在源地址中选“任何IP地址”，点[下一步]。在目标地址中选择“我的IP 地址”，点[下一步]。在协议中选择“ICMP”，点[下一步]。回到关闭ICMP属性窗口，即关闭了ICMP。

下面我们再设置关闭139，同样在管理IP筛选器列表中点“添加”，名称设置为“关闭139”，点右边的“添加”，点[下一步]。在源地址中选择“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“TCP”，点[下一步]。在设置IP协议端口中选择从任意端口到此端口，在此端口中输入139，点[下一步]。即完成关闭139端口，其他的端口也同样设置

然后进入设置管理筛选器操作，点“添加”，点[下一步]，在名称中输入“拒绝”，点[下一步]。选择“阻止”，点[下一步]。

然后关闭该属性页，右击新建的IP安全策略“安全”，打开属性页。在规则中选择“添加”，点[下一步]。选择“此规则不指定隧道”，点[下一步]。在选择网络类型中选择“所有网络连接”，点[下一步]。在IP筛选器列表中选择“关闭ICMP”，点[下一步]。在筛选器操作中选择“拒绝”，点[下一步]。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法，你可以将“关闭139”等其他筛选器加入进来。

最后要做的是指派该策略，只有指派后，它才起作用。方法是右击“安全”，在菜单中选择“所有任务”，选择“指派”。IP安全设置到此结束，你可根据自己的情况，设置相应的策略。

第五节IIS安全设置

1、删掉c:/inetpub目录，删除iis不必要的映射。

2、使用虚拟主机的每个web站点都应该新建单独的IIS来宾用户。

3、IIS为每个虚拟主机设置来宾帐号，这样即使一个网站由于后台漏洞被入侵也不会波及整台服务器,整个服务器管理权限不会沦陷。

4、IIS管理后台设置限定IP地址访问,仅仅开放需要进入后台的IP。

5、IIS管理器内一些文件夹内只有图片并没有程序（例如image、pic），可将其运行权限设置为无（默认可运行脚本）。

6、将IIS日志默认保存位置修改至其它分区，防止黑客入侵后删除安全事件及web日志。

7、防止ASP木马程序入侵的三种办法：

1）上传目录的权限选择无执行权限，即使上传木马也会因无执行权限而入侵失败。

访问时可执行文件的ASP显示：

2）上传的文件加上IP地址限制，只允许信息员机器IP地址访问。

a.目录限定：

b.文件限定：

3）在上传文件中增加验证程序，比如：

这样打开页面即提示：

4）加入防注入代码，在上传文件入口处或关键程序中增加一行代码调用防注入程序，可以登陆后台对防注入程序进行管理，查看入侵扫描信息。代码不要放在首页，这样影响网站打开速度，网站首页的ASP代码要尽可能少，最好已经是HTML，调用数据库内容太多会影响网站速度。

登陆后台页面

入侵信息记录

在防注入系统后台系统设置中推荐采用“直接关闭网页”。锁定IP可以封扫描IP，但不推荐使用，以防误操作一个局域网段的internet出口地址全部被封。这个自己在使用中可以慢慢体会。

5）使用从网上摘抄的源代码后台需要对其进行改动，尤其是上传文件名，比如upfile.asp改为jxic-upfile.asp。

第六节设置安全的虚拟主机访问权限

由于公网IP数量紧张，多个站点在一台服务器已经很普遍，对于拥有虚拟站点的主机，我们要设置好用户的访问权，同时对于有子网站的用户，单列出一个主机头，使用自己的虚拟目录，这样在子网站存在漏洞被黑客入侵时也很难跨站入侵。

一、新建web网站访问用户组和用户。

原理涉及到用户权限和组的权限，我们的目的的是新建一个组，这个组的权限是由用户的权限来决定。只给予用户必要的权限即可。同时也为了避免网站访问出现500内部错误问题，这个是由于IUSER帐号（默认的web访问用户）的三个系统文件内部时间不协调引起的。

1、首先右键点击“我的电脑”图标-“管理”-“本地用户和组”。

2、左边栏目中选择“组”，点击右键，选择“新建组”，新建一个组名，加上描述。

3、左边栏目中选择“用户”，点击右键，选择“新建用户”，新建一个用户名，加上描述，设

置密码（后面IIS设置中需要此密码），将用户下次登陆时需更改密码前的勾去除，同时勾选用户不能更改密码和密码永不过期。

4、在右边栏目中选中刚创建的用户“jxdpc-webguest”，右键选择“属性”-“隶属于”，选择“Users”组后点击“删除”，在点击“添加”。

5、点击“高级”，再点击“立即查找”。

6、双击新建的组“webguestgroup”,添加到下图所示方框后-点击确定完成。

二、设置目录的权限，我们把web网站放在D盘jxjw文件夹（基于安全考虑）.

1、进入网站所在目录，点右键选择“属性”。

2、选择“安全”，将除Administrators,CREATOR OWNER,SYSTEMS的用户组删除。有些组提示不能删除，是因为继承权限的原因，可以点击上图中的“高级”，将“允许父项的继承项传播到该对象和所有子对象”勾去除-选择“应用”。

3、添加新建的用户”jxdpc-webguest”。

4、给予“用户修改、读取和运行、列出文件夹目录、读取、写入”这些权限，去除“完全控制”权限。

三、IIS设置。

1、依次打开“开始”-“设置”-“控制面板”-“管理工具-Internet 信息服务(IIS)管理器”。

2、左边栏目中选择网站，点右键选择“属性”-“目录安全性”。

3、身份验证和访问机制中选择“编辑”。

4、选择“浏览”-“选择用户”-“高级”-“立即查找”-选择“jxdpc-webguest”用户。

5、输入网站访问用户密码，需要输入两次，选择“确定”。

四、修改所有盘符的权限，将除Administrators, SYSTEM的用户组删除，尤其是删除Users 组、Everyone组。删除了EVERYONE用户组，含义是使普通用户不能越权，而且ASP还可以正常使用。

总结:到此结束，谢谢大家！

疑问一、有些人认为只需要建立新用户，将新用户放在guest组下即可，我自己认为建立一个单独的组很有必要，这个组的权限是由用户的权限的集合，guest组仍然具有一定的权限。疑问二、完全控权限与下面所有的权限勾上是否相等，完全控制权限包括下面所有权限，我

们只需要给予必要的权限，因此网站访问来宾用户不需要勾上完全控制权限。

windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法来提高我们服务器的安全性。

第一招：正确划分文件系统格式，选择稳定的操作系统安装盘

为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符/FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。

第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点：

1、系统盘权限设置

C:分区部分：

c:\

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER 全部(只有子文件来及文件)

system 全部(该文件夹，子文件夹及文件)

IIS_WPG 创建文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹，子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:\Documents and Settings

administrators 全部(该文件夹，子文件夹及文件) Power Users (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹，子文件夹及文件)

C:\Program Files

administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹，子文件夹及文件)

修改权限

SYSTEM全部(该文件夹，子文件夹及文件)

TERMINAL SERVER USER (该文件夹，子文件夹及文件)

修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理

E:\

Administrators全部(该文件夹，子文件夹及文件)

E:\wwwsite

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

service全部(该文件夹，子文件夹及文件)

E:\wwwsite\vhost1

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

vhost1全部(该文件夹，子文件夹及文件)

3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限

比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

https://www.wendangku.net/doc/ab1638029.html,

5.删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述

第三招：禁用不必要的服务，提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的NET SEND 和警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

第四招:修改注册表，让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOW ALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\i nterface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

10. 删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS 设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

2. 账户安全

首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级账户，看你崩溃不？

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用“ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样，出错了自动转到首页

4. 安全日志

我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理成功失败

登录事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

账户登录事件成功失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义

5. 运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree 杀毒软件+blackice防火墙

6.sql server数据库服务器安全和serv-u ftp服务器安全配置，更改默认端口，和管理密码

7.设置ip筛选、用blackice禁止木马常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了，可以这样恢复成它

的默认值.

打开%SystemRoot%\Security文件夹,创建一个"OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".

启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.

右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".

当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".

如果系统提示"拒绝访问数据库",不管他.

你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重，以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务，这样最大程度来提高安全性。 作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务都可以禁用。当然了，你的系统补丁也需要更新到最新，一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多，而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢，因为我们要防患于未然，万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务，所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有，则禁用

Print Spooler Remote Registry 因为我们使用的是云主机，跟单机又不一样，所以有些服务并不能一概而论，如上面的Server服务。例如天翼云的主机，上海1和内蒙池的主机就不一样，内蒙池的主机需要依赖Server服务，而上海1的不需要依赖此服务，所以上海1的可以禁用，内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性，删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。

Windows 2003系统配置iSCSI存储

Windows Server 2003 模拟IP-SAN图文教程 用Windows Server模拟IP-SAN 测试操作系统版本：windows 2003 server sp2, 软件：MS_iSCSI_Target 配置步骤: 1. 首先下载MS_iSCSI_Target，可从微软官方网站下载。Windowows 2003 对应MS_iSCSI_Target 3.1版本，windows 2008 对应MS_iSCSI_Target 3.2版本； 2. 将下载的MS_iSCSI_Target安装包解压，解压后打开MS-dos命令行，进入到MS_iSCSI_Target目录，运行MSiSCSITarget.bat Install；（注意Install第一个字母大写） 3. 安装完成后，打开mmc控制台，添加管理单元。选择Microsoft iSCSI Software 单元。 用Windows Server模拟IP-SAN 测试操作系统版本：windows 2003 server sp2, 软件：MS_iSCSI_Target 配置步骤: 1. 首先下载MS_iSCSI_Target，可从微软官方网站下载。Windowows 2003 对应MS_iSCSI_Target 3.1版本，windows 2008 对应MS_iSCSI_Target 3.2版本； 2. 将下载的MS_iSCSI_Target安装包解压，解压后打开MS-dos命令行，进入到MS_iSCSI_Target目录，运行MSiSCSITarget.bat Install；（注意Install第一个字母大写） 3. 安装完成后，打开mmc控制台，添加管理单元。选择Microsoft iSCSI Software 单元。

Windows2003服务器配置

选择题 1.Windows Server 2003中IE浏览器默认安全级别为（）。 A．低B．中C．高D．中低 2.DNS属于（）层协议。 A．传输层B．应用层C．互联网层D．网络接口层 3.指定系统在5分钟后关机，需要使用（）命令。 A．shutdown -s B．shutdown -a C．shutdown -s -t 5 D．shutdown -s -t 300 4.在（）命令行中，按协议的种类显示统计数据。 A．ipconfig B．netstat –s C．netstat –a D．netstat –e 5.在Windows 9X/2000/XP/2003中，（）是最小运行单位。 A．进程B．线程C．服务D．程序 6.（）表示显示当前用于映射打开文件的页面的物理内存。 A．物理内存B．系统缓存C．未分页内存D．分页内存 7.磁盘管理支持（）基本磁盘还是动态磁盘。 A．动态磁盘B．基本磁盘和动态磁盘C．基本磁盘D．以上都不对 8.存储在硬盘上的虚拟内存文件的文件名是（）。 A．visual.sys B．win.ini C．pagefile.sys D．boot.ini 9.某公司计划建设网络系统，该网络有两台服务器，安装Windows Server 2003操作系 统；40台工作站，安装Windows XP，则Windows Server 2003的许可协议应选择何种模式比较合理？（） A．选择每服务器模式B．选择每客户模式C．选择混合模式D．忽略该选项10.现要在一台装有Windows 2000 Server操作系统的机器上安装Windows Server 2003， 并做成双引导系统。此计算机硬盘的大小是10.4GB，有两个分区：C盘4GB，文件系统是FAT；D盘6.4GB，文件系统是NTFS。为使计算机成为双引导系统，下列那个选项是最好的方法？（） A．安装时选择全新安装，并选择D盘作为安装盘。 B．安装时选择全新安装，并且选择C盘上与Windows作为Windows Server 2003的安装目录 C．安装时选择升级安装，并且选择C盘上与Windows不同的目录作为Windows Server 2003的安装目录 D．安装时选择升级选项，并选择D盘作为安装盘。 11.有一台服务器的操作系统是Windows 2000 Server，文件系统是NTFS，无任何分区， 现要求对该服务进行Windows Server 2003的安装，保留原数据，但不保留操作系统，应使用下列（）种方法进行安装才能满足需求。 A．在安装过程中进行全新安装并格式化磁盘 B．对原操作系统进行升级安装，不格式化磁盘 C．做成双引导，不格式化磁盘 D．重新分区并进行全新安装 12.要启用磁盘配额管理，Windows Server 2003驱动器必须使用（）文件系统。 A．FAT16或FAT32 B．只使用NTFS C．NTFS或FAT 32 D．只使用FAT32 13.对于NTFS权限描述错误的是（） A. 没有文件和文件夹级的安全性 B. 内置文件加密和压缩功能

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名；——启动 交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问：可匿名访问的共享；——清空 网络访问：可匿名访问的命名管道；——清空 网络访问：可远程访问的注册表路径；——清空 网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

win2003服务器操作系统

win2003服务器操作系统下载地址列表请大家用迅雷下载 https://www.wendangku.net/doc/ab1638029.html,/WindowsServer2003SP2EnterpriseEdition.iso或http://58.51.84.54/WindowsServer2003SP2EnterpriseEdition.iso 更多win2003下载地址https://www.wendangku.net/doc/ab1638029.html,/os/windows/Win2003/1904.html 迅雷地址：thunder://QUFodHRwOi8vcy5zYWZlNS5jb20vV2luZG93c1NlcnZlcjIwMDNTUDJFbnRlcnBya XNlRWRpdGlvbi5pc29aWg== 快车地址：flashget://W0ZMQVNIR0VUXWh0dHA6Ly9zLnNhZmU1LmNvbS9XaW5kb3dzU2VydmVyMj AwM1NQMkVudGVycHJpc2VFZGl0aW9uLmlzb1tGTEFTSEdFVF0=&abc 旋风地址：qqdl://aHR0cDovL3Muc2FmZTUuY29tL1dpbmRvd3NTZXJ2ZXIyMDAzU1AyRW50ZXJwcml zZUVkaXRpb24uaXNv 请复制下载地址用迅雷下载！！！(有部分网友反映安装不上) 通用性好的win2003序列号: (推荐先用这个里面的) FJ8DH-TQPYG-9KFHQ-88CB2-Y7V3Y GRD4P-FTQQF-JCDM8-4P6JK-PFG7M JD7JX-KCDTH-7WH4X-DM98R-GD73Y GM34K-RCRKY-CRY4R-TMCMW-DMDHM BRBJB-B7HQF-YW93Y-RVJVB-K6PMB F9389-7TWW4-88YYH-RKPFJ-6PV3Y F947R-VPGDF-RTDK7-WTMBY-PP67M D4Q7H-MPPR2-23PMH-HQGBG-6X8YB KW8GQ-DJH7F-6XH6Y-WG3BH-FK8YB DG473-GKX4K-XVPDY-FCCWH-29G7M DKDT4-PFCVX-FJ4CR-7W9D6-C7JYB GPTJB-VMDRP-XCG6H-KGW32-8KMQY J47YP-KMK8W-FR76X-KFVB6-FJ3HM KPM7R-RY44D-PVQYG-JFRH9-WKG7M FMQBH-FRQWB-DRF3T-VT2JF-WR8YB CMPC2-HBVHC-73BD6-V6PG2-BYH3Y HXGJH-3J4GY-JMCJQ-DK4MW-99TBB Windows2003的序列号： JB88F-WT2Q3-DPXTT-Y8GHG-7YYQY windows2003序列号： cky24-q8qrh-x3kmr-c6bcy-t847y win2003 Server 有三种版本：

Windows Server 2003详细安装与配置

Windows Server 2003作为微软的服务器操作系统具有强大的功能和较好的安全性，在实际网络环境中被很多大、中、小型企业所应用。微软为了针对不同的商业需求，对Windows Server 2003制作了Windows Server 2003 Web Edition 、Windows Server 2003 Standard Edition 、Windows Server 2003 Enterprise Edition 、Windows 2003 Datacenter Edition四个版本。 其中Windows Server 2003 Enterprise Edition（2003企业版）是大中小型企业选用最多的版本，下面以Windows Server 2003 Enterprise Edition（2003企业版）为例来介绍Windows Server 2003系统的安装。 一、安装Windows Server 2003所需硬件 1、你选择做服务器的主机最低配置要求：Pentium IV、256MB内存、8G硬盘、10/100M自适应网卡 2、Windows Server 2003安装光盘或镜像文件 二、安装主机的BIOS设置 1、启动计算机，按“Del”或“Esc”键进入计算机主板BIOS界面，进行boot 启动设置，设置第一启动项为“CDROM”。如图1.1所示： 2、按“F10”键保存并退出BIOS设置。如图1.2所示：

三、安装Windows Server 2003 1、完成上述过程后，将系统光盘放入光驱中重启电脑，进入Windows Server 2003安装界面，开始运行Windows Server 2003安装程度。如图1.3所示：

web服务器的安全配置(以windows为例)

6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。（具体见本文附件1） ３、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 ４、备份系统 用GHOST备份系统。 ５、安装常用的软件 例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份

修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )

windows2003服务器配置

Web服务是目前网络用户应用最为广泛网络服务之一。用户平时上网最普遍的活动就是浏览信息、查询资料，而这些上网活动都是通过访问Web服务器来完成的。通过在局域网内部搭建Web服务器，就可以向局域网内部发布Web 站点，从而创建单位内部网站。用户可以通过多种方式在局域网中搭建Web服务器，其中，使用Windows Server 2003（SP1）系统自带的IIS 6.0是最常用也是最简便的方式。 IIS（Internet Information Services，Internet信息服务）是一个功能完善的服务器平台，可以提供Web服务、FTP服务等常用网络服务。借助IIS 6.0，可以轻松实现要求不是很高的Web服务器。IIS 6.0集成在Windows Server 2003系统中。 Web服务器组件是Windows Server 2003系统中IIS 6.0的服务组件之一，默认情况下并没有被安装，用户需要手动安装Web服务组件。在Windows Ser ver 2003系统中安装Web服务器组件的步骤如下所述： 第1步，打开“控制面板”窗口，双击“添加/删除程序”图标，打开“添加或删除程序”窗口。单击“添加/删除Windows组件”按钮，打开“Windows 组件安装向导”对话框。 第2步，在“Windows组件”对话框中双击“应用程序服务器”选项，打开“应用程序服务器”对话框。在“应用程序服务器的子组件”列表中双击“Int ernet 信息服务（IIS）”复选框，如图2008111421所示。

图2008111421 双击“Internet 信息服务（IIS）”复选框第3步，打开“Internet 信息服务（IIS）”对话框，在“Internet 信息服务（IIS）的子组件”列表中选中“万维网服务”复选框。依次单击“确定”→“确定”按钮，如图2008111422所示。 图2008111422 选中“万维网服务”复选框 第4步，系统开始安装IIS 6.0和Web服务组件。在安装过程中需要提供W indows Server 2003系统安装光盘或指定安装文件路径。安装完成后单击“完成”按钮即可，如图2008111423所示。 图2008111423 要求指定安装文件路径 使用IIS6.0配置静态Web网站

服务器硬件配置和服务器安全配置信息(全能)

WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案： 备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。 二、顶级服务器配置方案

备注： 1，系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80% 无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95% 无冷凝 3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 １、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。 ２、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.wendangku.net/doc/ab1638029.html,（可选） |——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选） |——公用文件（必选） |——万维网服务———Active Server pages（必选） |——Internet 数据连接器（可选） |——WebDAV 发布（可选） |——万维网服务（必选） |——在服务器端的包含文件（可选） 然后点击确定—>下一步安装。 ３、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 ４、备份系统 用GHOST备份系统。 ５、安装常用的软件 例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。 二、系统权限的设置 １、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 ２、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组 通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——>安全选项 交互式登陆：不显示上次的用户名启用 网络访问：不允许SAM帐户和共享的匿名枚举启用 网络访问：不允许为网络身份验证储存凭证启用 网络访问：可匿名访问的共享全部删除

Windows Server 2003系统管理知识点

安装和配置Windows 2003 1．客户机与服务器 对等网模式：对等网中所有计算机地位相同，不超过10台计算机。 C/S(Client/Server)客户机/服务器模式：客户机称为工作站。服务器是专门为客户机提供服务的计算机。 2．Windows产品介绍 常用的用户操作系统：Windows 98、Windows Me、Windows 2000 Professional、Windows XP。 常用的服务器操作系统：Windows NT、Windows 2000 Server、Windows Server 2003。 Win2003有4个版本：WEB版、标准版、企业版、数据中心版。 Win2000的4个版本：专业版、服务器版、高级服务器版、数据中心版。 Windows版本对应表：4.9=Me；5.0=2000；5.1=XP；5.2=2003；6.0=Vista/2008 3．虚拟机：虚拟机是建立在操作系统上的软件，它可以在操作系统上独立安装很多其他新的操作系统。 虚拟技术：①硬件虚拟模式②逻辑分区模式③软件虚拟模式④应用虚拟模式 虚拟机的好处：①费用减少②利用空闲系统资源 虚拟机快捷键：①鼠标脱离虚拟机界面Ctrl+Alt ②虚拟机切换全屏Ctrl+Alt+Enter ③虚拟机内任务管理器Ctrl+Alt+Insert 4．安装注意事项：1.不要在正在运行的服务器上安装 2.安装前做好备份 3.注意多系统共存 XP不可以升级到2003，2000可以升级到2003，在DOS下安装WIN2003，需要执行I386\Winnt.exe。安装Windows Server 2003企业版的最低系统要求：处理器733Mhz，内存128M，支持最多8颗处理器。 安装时C盘分区不小于2G，选用NTFS分区，第一次登陆的用户是Administrator。 5．安装2003系统时的CAL模式选择： 每服务器模式：当网络中只有一台服务器时，选择每服务器模式。 每设备或每用户模式：当网络中多于一台服务器，用每用户模式。 例1：某公司有20个员工，1台服务器。这时的访问模式应该选择每服务器模式，20×1=20只需要买20个授权即可。 例2：某公司有20个员工，5台服务器。这时的访问模式应该是每用户模式，20×1=20只需要买20个授权即可，若选择每服务器模式就要买20×5=100，这样就不划算了。 6．部署多台Windows客户机：安装好Windows后，使用NewSID更换系统SID信息，重启后用带有Ghost工具的光盘引导，制作Gho镜像文件。 配置Windows Server 2003网络 Windows网络的条件： 1．网络适配器：就是网卡，分10Mbps、100Mbps、1000Mbps，又分为双绞线网卡、光纤网卡、无线网卡。 2．协议：协议是计算机与计算机之间、计算机与网络设备之间的通讯语言，两者之间需要使用相同的协议才能直接通讯和访问。Win2003默认安装的通讯协议是TCP/IP。 3．网络服务和客户端：只有安装相应的网络服务组件，才能为其他客户端提供相应的服务。 计算机名称：计算机名称就像人的名字，又称NetBIOS名。NetBIOS用于标识网络上的NetBIOS资

在 Windows Server 2003 中配置打印机和打印服务器设置

在 Windows Server 2003 中配置打印机和打印服务器设置 本文介绍了如何在 Windows Server 2003 中配置打印机和打印服务器设置。还讲述了如何执行某些比较常见的管理性任务，例如，如何配置分隔页和打印通知。 配置打印机设置是在该打印机的打印机属性中进行，配置打印服务器设置是在打印服务器属性中进行。您必须以管理员或管理员组的成员身份登录，才能执行这些步骤。 如何配置打印机设置 请注意，对于不同的打印机，您可以配置的选项可能也不同。本节说明了如何配置在大多数打印机中都可用的一般设置。 单击开始，然后单击“打印机和传真机”。 右键单击要配置的打印机，然后单击属性。 使用下列任意方法（如何合适的话）都可配置您想要的选项：配置分隔页: 单击高级选项卡，然后单击分隔页。 要添加分隔页，请在“分隔页”框中键入您要用作分隔页的文件的路径，然后单击确定。或者，单击浏览，找到您要使用的文件，单击打开，然后单击确定。

要删除分隔页，请删除“分隔页”框中的条目，然后单击确定。 配置打印处理器: 单击高级选项卡，然后单击打印处理器。 在“默认数据类型”框中，单击您要使用的数据类型，然后单击确定。添加用于 Windows 其他版本的打印机驱动程序： 单击共享选项卡，然后单击其他驱动程序。 单击要添加的驱动程序旁边的复选框，将其选中，然后单击确定。 修改用户访问权限： 单击安全性选项卡，然后执行下列xx作之一： 要更改现有用户或组的权限，请在“组或用户名称”列表中单击您要修改其权限的组或用户。 要为新用户或组配置权限，请单击添加。在“选择用户或组”对话框中，键入您要为其设置权限的用户或组的名称，然后单击确定。 在用户或组的权限列表中，单击您要允许的权限旁边的允许复选框，将其选中，或者单击要拒绝的权限旁边的拒绝复选框，将其选中。或者，要从“组或用户名称”列表删除用户或组，请单击删除。 单击确定。 如何配置打印机服务器设置 本节介绍了您可以进行配置的某些常见打印服务器设置。 单击开始，然后单击“打印机和传真机”。 在文件菜单上，单击服务器属性。 使用下列任意方法（根据需要）都可配置您想要的选项：

最新最新版本服务器系统安全配置

2003服务器系统安全配置-中级安全配置 08-06-16 05:27 发表于：《玉色主流空间》分类：未分类 [作者：墨鱼来源：互联网时间：2008-6-14QQ书签搜藏]【大中小】 2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般 入侵，需要高级服务器安全维护，请联系我。我们一起交流一下！做为一 个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者 代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的 密码一定要强壮！ 服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去 除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和 Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.

4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.

5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户. 6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.

7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。) 8.在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享 ; 网络访问:可匿名访问的命名管道 ; 网络访问:可远程访问的注册表路径 ; 网络访问:可远程访问的注册表路径和子路径 ; 以上四项清空.

Windows Server 2003 操作系统介绍

Windows Server 2003 操作系统介绍 发布日期：2002-07-24 | 更新日期：2006-01-24 Windows Server 2003 操作系统利用Windows 2000 Server 技术中的精华，并且使其更加易于部署、管理和使用。其结果是：实现了一个非常高效的基础架构，使网络成为企业的战略资产。自2005 年 3 月28 日起，Windows Server 服务软件包 1 (SP1) 将随全部Windows Server 2003 操作系统发布。Windows Server 2003 SP1 为各个行业的企业客户提供了增强的安全性、可靠性和简化的管理。 此外，随着Windows Server 2003 R2 的标准版、企业版和数据中心版在2005 年12 月发布，为客户带来了活动目录、存储和分支机构方面的增强功能。 本页内容 Windows 2000 操作系统的改进 服务器角色 Windows Server 2003 操作系统的优点 Windows Server 2003 核心技术 特性软件包 Windows Server 2003 操作系统包括哪些产品？ Windows 2000 操作系统的改进 Windows Server 2003 包括客户需要的、Windows Server 操作系统的全部功能，如安全性、可靠性、可用性和可伸缩性，从而实现多快好省。此外，Microsoft 已经改善和扩展了Windows Server 操作系统，从而涵盖了Microsoft .NET 的优点，用以连接信息、人、系统和设备的。 返回页首 服务器角色 Windows Server 2003 是一个多任务操作系统，它能够按照您的需要，以集中或分布的方式处理各种服务器角色。其中的一些服务器角色包括： ?文件和打印服务器。 ?Web 服务器和Web 应用程序服务器。 ?邮件服务器。

windowsserver2003全套教案完整版

XXXX学院 教案 任课班级 XXX班班 课程名称Windows2003网络操作系统任课教师 授课2016-2017学年一学期

说明 1、本教案册是根据教育部《高等职业学校、高等专科学校和成人高等学校教学管理要点》及我院教学管理的有关规定设计的。凡我院开设的课程（包括必修课和选修课）的所有任课教师（包括专兼职教师和外聘教师）均需填写，每门课程每学期一册。 2、教案是教师课前对一次课的总体设计和安排，应于每次课前认真设计，全面填写。理论教学以2节课为一个单元填写；实践教学一天以内的以一个项目为一个单元填写，2天以上则以一个子项目为一个单元填写。 3、本教案册是教学进度检查、教学质量评定的重要内容之一，也是教师教学工作考核的重要依据。期中及期末教学检查时，任课教师应提交本教案册。学期结束时，任课教师应对所任课程进行全面客观的总结，认真填写授课总结，并将本教案册与教学记录册交学院教务部。

XXXX职业技术学院教案

一、导入 如同人们离不开电话一样，现在的人已经离不开计算机网络了。互联网是世界上最大的网。它由很多的小网络互联而成。本书将侧重于如何用Windows Server 2003构建小型的网络，即局域网的构建。在开始使用Windows Server 2003之前，先介绍局域网的一些基本知识，包括局域网的基本组成、网络设备和传输介质等。 二、讲授新课 第1章局域网基础 1.1.1 什么是计算机网络 计算机网络就是把一群计算机用通信线路和通信设备连接起来，达到资源的共享、实时通信等目的。 1.1.2 网络的分类 如果按照网络所覆盖的范围分: 1. 局域网:1KM以下，高速率，不收费 2. 城域网:同一城市，低速率，收费 3. 广域网:不同城市，低速率，收费 教学设计 1.1.3 网络的组成 硬件部分：资源子网：服务器、客户 通信子网：线路、网络设备等等 软件部分：操作系统：Windows…… 通信协议：TCP/IP…… 1.1.4 网络服务 文件服务、打印服务、邮件服务、其他服务 1.1.5 对等网与主从式网络 1. 对等网 资源是分布存放于各台计算机中 资源的管理也是分布进行的 对等式网络安装比较容易 不需要专门的服务器和专门的网络管理人员 适用于计算机数量小于15台的小型网络 2. 主从式网络 资源集中存放在服务器上 网络管理主要集中在服务器上进行 对服务器的硬件要求较高，也需要专门的网络管理员 比较适用于较大的网络 3. 混合式网络 在实际的网络中常常不是采用单纯的对等网或者主从式网络，而是两者的结合 1.2.1 双绞线 双绞可以减小这一对线对其他对线的电磁干扰，同时也可以减少别的线对产生的电磁干扰对它的影响。 双绞线有屏蔽双绞线(STP，Shielded Twisted Pair)和非屏蔽双绞线(UTP，Unshielded Twisted Pair)之分。 1.2.2网络线的制作 ?直通线用于: ?计算机和集线器、计算机和交换机、路由器和集线器、路由器和交换机之间的连接

Windows2003 证书服务器配置

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘 添加IIS组件： 点击‘确定’，安装完毕后，查看IIS管理器，如下： 添加‘证书服务’组件：

如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口： 由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：

Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’： 填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。 点击‘下一步’：

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口： 单击‘是’，继续安装，可能再弹出如下窗口： 由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS 的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP 功能，点击‘是’继续安装：

‘完成’证书服务的安装。 开始》》》管理工具》》》证书颁发机构，打开如下窗口： 我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器（CA）的IIS下多出以下几项：

Apache服务器配置安全规范以及其缺陷

Apache服务器配置安全规范以及其缺陷！正如我们前言所说尽管Apache服务器应用最为广泛，设计上非常安全的程序。但是同其它应用程序一样，Apache也存在安全缺陷。毕竟它是完全源代码，Apache服务器的安全缺陷主要是使用HTTP 协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行拒绝服务(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷。主要安全缺陷（1）使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增，最终造成Apache系统变慢甚至完全瘫痪。（2）缓冲区溢出的安全缺陷该方法攻击者利用程序编写的一些缺陷，使程序偏离正常的流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出。（3）被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程)，攻击者会通过它获得root权限，进而控制整个Apache系统。（4）恶意的攻击者进行拒绝服务(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞，它主要是存在于Apache的chunk encoding中，这是一个HTTP协议定义的用于接受web用户所提交数据的功能。所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性，由于Apache服务器其庞大的项目，难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题：（1）Apache服务器配置文件Apache Web服务器主要有三个配置文件，位于 /usr/local/apache/conf目录下。这三个文件是：httpd.conf-----主配置文件srm.conf------填加资源文件access.conf---设置文件的访问权限（2）Apache服务器的目录安全认证在Apache Server中是允许使用 .htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案，档名为.htaccss。AuthName 会员专区 AuthType BasicAuthUserFile /var/tmp/xxx.pw -----把password放在网站外 require valid-user 到apache/bin目录，建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 -----第一次建档要用参数-c % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容，进入要用合法的用户。注：采用了Apache内附的模组。也可以采用在httpd.conf中加入：options indexes followsymlinks allowoverride authconfig order allow,deny allow from all （3）Apache服务器访问控制我们就要看三个配置文件中的第三个文件了，即access.conf文件，它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令，再使用allow from指令打开访问权限。order deny,allowdeny from allallow from https://www.wendangku.net/doc/ab1638029.html, 设置允许来自某个域、IP地址或者IP段的访问。（4）Apache服务器的密码保护问题我们再使 用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打开目录的访问控制。如：AuthName PrivateFilesAuthType BasicAuthUserFile /path/to/httpd/usersrequire Phoenix# htpasswd -c /path/to/httpd/users Phoenix设置Apache服务器的WEB和文件服务器我们在Apache服务器上存放WEB 服务器的文件，供用户访问，并设置/home/ftp/pub目录为文件存放区域，用

某世界500强公司的服务器操作系统安全配置标准

某世界500强公司的服务器操作系统安全配置标准－Windows 中国××公司 服务器操作系统安全配置标准－Windows V 1.1 2006年03 月30 日 文档控制 拟制: 审核: 标准化: 读者： 版本控制 版本提交日期相关组织和人员版本描述 V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用 8.3 格式文件名的自动生成 8 4.5 禁用 LMHASH 创建 8 4.6 配置 NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11 6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16

8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用NTFS文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 18 1 概述 本文档规定了中国××公司企业围安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用围 本规的使用者包括： 服务器系统管理员、应用管理员、网络安全管理员。 本规适用的围包括： 支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施 本规的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准一经颁布，即为生效。 1.3 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护 根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。 任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制 基本策略：用户被赋予唯一的用户名、用户ID（UID）。 3.1 密码策略 默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。 策略默认设置推荐最低设置 强制执行密码历史记录记住 1 个密码记住 4 个密码 密码最长期限 42 天 42 天 密码最短期限 0 天 0 天 最短密码长度 0 个字符 8 个字符 密码必须符合复杂性要求禁用启用