windows server 2003安全管理实战的文档

湖南科技职业学院Windows Server 2003系统安全项目文档班级：网络3061指导老师：邓卫军组长：丁传华组员：刘宏谱曹伟李子霖严萌2008年12月目录一、配置域的基础结构 (2)1.1 创建一个用于管理的OU (2)1.2 组策略管理和安全模板的导入 (3)1.3 设置密码策略 (5)1.4 设置安全选项 (5)二、成员服务器基线 (7)2.1考察审核策略 (7)2.2考察用户权限 (9)2.3考察其他安全选项 (10)2.4统服务设置 (11)三、强化域控制器 (13)3.1重新部署数据― Active Directory 数据库和日志文件 (13)3.2配置使用Syskey保护帐户数据 (14)3.3禁用错误报告 (15)3.4用IPSec过滤器阻断端口 (15)四、强化IIS服务器 (19)4.1 Internet信息服务（IIS）6.0 (19)4.2 创建站点及访问设置 (19)4.3 配置DNS服务实现域名解析访问 (21)4.4 创建FTP站点及访问设置 (22)附一第九组项目任务分配 (25)一、配置域的基础结构1.1 创建一个用于管理的OU1)分别启动三台虚拟机Server、DC、RRAS。

依次在这三台虚拟机上安装DHCP服务、AD（）、WINS服务。

2)将三台服务器的ip改成同一网段（192.168.100.0/24）；将DHCP、WINS服务器的主机名改为DHCP、WINS，DNS指定为DC服务器的ip地址；将DHCP和WINS加入到域。

3)在DC上在打开Active Directory用户和计算机，创建两个组织单元和一个全局安全组分别定义为：基础结构、成员服务器、基础结构管理员。

4)点击域中的Computers，将DHCP、WINS移动到刚创建的组织单元“基础结构”。

如图1-1所示：图1-15)新建三个用户，名称分别为adminA、adminB、adminC；密码为list123/.,然后就这三用户添加到已建立的全局安全组—基础结构管理员。

最小的权限,请根据需要设置A.NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户.B.进入系统盘:权限如下C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改.其它目录删除Everyone用户，注意以下文件夹保留Everyone用户,C:\Documents and Settings 下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限,C:\WINDOWS\PCHealth、C:\windows\Installer 也是保留了Everyone权限.删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击.默认IIS错误页面已基本上没多少人使用了。

建议删除C:\WINDOWS\Help\iisHelp目录.删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500,这里可以删掉,下面设置将会杜绝因系统问题.C,打开C:\Windows 搜索(可以不做)net.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exeregsvr32.exexcopy.exewscript.execscript.exeftp.exetelnet.exearp.exeedlin.exeping.exeroute.exefinger.exeposix.exersh.exeatsvc.exeqbasic.exerunonce.exesyskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限D.关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1]禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareServer”数据值为“0”禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareWks”数据值为“0”禁止dump file的产生dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。

《Windows Server 2003管理》实训大纲
一、实训目的
本课程实践性强，为了加强工程实践，配合教学，安排课程设计，培养学生实际操作的能力，要求独立操作，熟练使用Windows server 2003网络操作系统的基本管理方法。

二、实训要求
通过一周的Windows Server 2003管理课程设计，学生应能针对小型网络进行管理，达到以下目标：
1、学会Windows Server 2003的安装，掌握不同版本的安装方法。

2、掌握本地用户帐户和域用户帐户的创建和管理
3、掌握域控制器的管理
4、掌握域安全策略的设置
5、掌握磁盘配额和脱机文件
6、掌握基本磁盘和动态磁盘之间的相互转换，理解各种卷的特点
7、掌握打印机的添加和管理
三、考核办法
每人独立完成所有实训项目，将个人所做的各项设置在学生机上保存，并完成各个实验的课程设计报告。

学生的保存设置和课程设计报告各占50%，并在期末考试中记入总成绩。

制订人：梁秀清
1。

Windows2003Server安全配置完整篇（3）服务器教程-电脑资料四、磁盘权限设置C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了，。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到system"，这也的确是有可能的。

在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

另外，还将：net.exe NET命令cmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！format.exe大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~（：这些文件都设置只允许administrator访问。

MMicrosoft 安全性解決方案Windows Server 2003資訊安全手冊目錄1. 簡介 Windows Server 2003 安全性手冊 (2)2. 設定網域基礎架構 (14)3. 建立成員伺服器基礎 (44)4. 補強網域控制站 (154)5. 補強基礎架構伺服器 (176)6. 補強檔案伺服器 (186)7. 補強列印伺服器 (193)8. 補強IIS伺服器 (201)9. 補強IAS伺服器 (224)10. 補強憑證服務伺服器 (229)11. 補強防禦主機 (243)12. 結論 (262)1. 簡介 Windows Server 2003 安全性手冊概觀歡迎閱讀這份 Microsoft Windows Server 2003 安全性手冊！這份手冊的設計，能提供給您最佳的資訊，以便您評估與了解在系統環境中 Microsoft® Windows Server TM 2003 所可能產生的安全性風險。

這份手冊中各章節都提供詳細的指引，並將重點放在在 Windows Server 2003 中各種可能的安全性設定組態與功能，使得您能夠處理在環境中所發現的安全性危機。

如果您是在 Windows Server 2003 環境中擔任顧問、設計師，或系統工程師，那麼本手冊可說是相當適合您。

這份指引的內容已經過 Microsoft 工程團隊、顧問、支援工程師，以及顧客和合作伙伴的檢閱與認可，因此它是：經證實的 – 以實戰經驗為基礎。

具權威性 – 提供可用的最佳意見。

具準確性 – 經過技術確認和測試。

可執行的 – 提供達到成功的步驟。

具相關性 – 提出真實世界的安全性考量。

與在各種不同的環境中導入Windows Server 2003、Windows® XP 和 Windows® 2000 的顧問及系統工程師一起工作，幫助我們能夠確立最新最佳的實施方針，來保護這些伺服器和用戶端的安全。

Windows Server 2003实训指导书Windows Server 2003实训指导书一、实训目的和要求目的：培养学生的动手能力，提高学生运用windows server 2003搭建应用服务器的能力，掌握windows server 2003关键技术的使用。

要求：掌握windows server 2003域模式的设计，E-MAIL、WEB服务器以及DNS、FTP 等服务器的正确配置及网络环境设计。

二、实训方式学生上机操作，教师指导。

三、实训报告要求认真填写实习鉴定表和实训报告，实训报告格式参照《实训报告规范格式》。

四、考核标准学生的实训成绩采用等级制，即：优：实训项目都完成无误，实训报告书写工整，无迟到早退现象。

良：实训项目基本完成，实训报告书写工整，无迟到早退现象五、实训内容1.场景描述现有一个单位，需要搭建一个网络环境。

具体如下：需要构建一web网站，提高对外形象宣传；内部搭建一个DNS服务器，提供对WEB站点的域名解析和对企业邮件服务器的域名解析。

单位计算机使用基于域模式的访问方式，每个职工按照其所属的部门分配不同的用户名和密码。

为了方便内部职工使用E-MAIL，单位搭建了一个E-MAIL服务器，给每个员工分配一个邮箱地址。

搭建一个FTP服务器，提供一个公共的文件交换平台和私有的网络硬盘。

2.具体要求●规划该单位网络环境。

●合理设计各台服务器的IP地址，正确安装相应windows组件和服务。

●WEB服务器首页要求包含学生的姓名、学号和专业班级，其它内容不限，可以自由发挥。

●搭建服务器，完成相关配置。

●进行调测，完成该企业需求。

●写出实训报告，报告中要写明详细的规划（包括网络拓扑结构，各服务器的配置和参数（提供截图），以及对各台服务器的测试界面截图等）。

严禁报告雷同，否则成绩按零分计。

报告要求详细的文字说明，不能只是相关的屏幕截图。

●三个人为一个单位进行实训。

●可以上网进行相关信息查询。

实验4.2 Windows Server 2003 实施系统安全的配置和定义实训目的熟练掌握Windows Server 2003 的文件及目录权限设置，能够管理共享目录。

实训环境WindowsServer 2003 Host（VMware7/Windows Server 2003/192RAM）实训内容及步骤一、系统安全设置系统安全设置是个全面、细致的配置，有效的安全配置可以提高系统的安全防范。

然而，网络服务的环境是复杂的，不能简单的认为下列操作可以彻底的防范系统的入侵、攻击，但可以明显提高防范的等级。

1.安装常用的软件✧配置杀毒软件✧扫描系统漏洞✧备份系统。

2.系统更新点击开始菜单—>所有程序—>Windows Update,按照提示进行补丁的安装，或使用第三方工具安装补丁。

3.开启防火墙，关闭不需要的端口在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙。

4.修改3389远程连接默认端口修改注册表开始--运行--regedit依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WINSTATIONS/RDP-TCP/右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) 注意：在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.步骤：打开“开始→运行”，输入“regedit”，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，看见PortNamber值，其默认值是3389，修改成所希望的端口即可，例如1111。

Windows Server 2003提供了诸多强大的网络服务功能，而且极易上手，网管不需要太多的培训即可配置和管理。

不过，要配置一个安全的Windows Server 2003服务器，需要有经验的网管手动配置很长时间：需要在提供各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和黑客的入侵，这是每个网管的基本追求。

随着Windows Server 2003 SP1的发布，网络安全随着进一步加强。

此次工具包中还增加了许多工具，网络安全配置向导（SCW）就是其中之一。

利用网络安全配置向导可以让网管轻松地配置服务器，使其安全性大大提高。

注意：在被认为“安全第一”的Windows Server 2003上，微软为增强其安全性，很多组件（服务）在默认情况下是不被安装的。

故此，如果要使用这些组件，就必须使用安装盘在“添加/删除Windows组件”中按需添加。

安全配置向导（SCW）也是一样。

1.启动安全配置向导在Windows Server 2003服务器中，可以通过以下两种方法之一启动。

方法一：单击“开始”→“运行”后，在运行对话框中执行“SCW.exe”命令。

方法二：单击“开始”→“程序”→“管理工具”→“安全配置向导”，启动“安全配置向导”对话框，开始安全策略配置过程。

2.建立安全策略在您第一次启用“SCW”时，先要为Windows Server 2003服务器创建一个安全策略。

我们可以根据实际需求为一个服务器配置多个“安全策略”文件，也可以对一个安全策略文件进行适当的编辑，以满足自己工作要求。

不过，一次只能加载一个策略文件。

在“欢迎使用安全配置向导”对话框中单击“下一步”按钮，进入到“配置操作”对话框。

因为是初次运行“SCW”，所以要选择“创建新的安全策略”选项。

单击“下一步”按钮，开始配置安全策略之旅。

3.基于角色服务器配置首先进入“选择服务器”对话框，在“服务器”栏中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址，单击“下一步”。

windows server 2003操作系统综合实训报告一、实训目的《Windows Server系统配置与管理实训》是网络工程专业的一门专业实践课程。

本课程介绍了网络操作系统的基础知识和常用操作，并以Windows2003server操作系统为例进行的具体应用的讲解。

通过本课程的学习，学生能较全面了解常用网络操作系统现状及发展趋势，掌握Windows系统的安装、配置、管理维护等技能，为Windows系统上其他应用奠定基础。

通过此设计，强化学生的实践意识、提高其实际动手能力，从而为后续课程的学习，毕业设计环节以及将来的实际工作打好坚实的基础。

二、实训要求1、认真查阅参考资料2、遵守实训时间安排3、按时上机，认真完成实训项目4、遵守机房规则和要求5、按要求认真书写实训报告三、实训内容及时间安排主要有Windows系统基础知识和Windows系统安装配置、Windows系统常用网络服务配置、Windows配置环境和磁盘管理、Windows网络操作系统中的用户、组和域的管理、Windows组策略与组策略应用、Windows网络操作系统对系统资源管理、Windows监测和优化服务器性能等部分组成。

四、实训报告要求实训报告是学生对本次实训与实践的全面总结，应该反映每个实训阶段的设计思路和实训内容。

该实训报告，应作为整个实训评分的书面依据和存档材料。

实训报告一般要以固定规格的纸张(如A4)书写或打印并装订，字迹及图形要清楚，工整，规范。

内容及要求如下:(1)实训任务、要求及所用软硬件环境或工具介绍。

(2)实训内容中要求的分析设计结果。

(3)实现过程和结果(4)验收情况，总结五、实训成绩评定成绩包括平时检查(包括出勤)、考试成绩和实训报告三个部分。

由实训指导教师科学评定成绩，各项成绩按比例累加得到实训总成绩。

成绩包括平时检查、出勤情况、分项测试、实训报告四部分组成。

最终成绩由以上各项成绩综合评定，以上四项占总成绩比例如下:平时检查:15%;出勤情况:15%;分项测试:30%:实训报告:40%;如平时出勤或者实训报告不合格则总成绩为不及格。