服务器NT的配置

合集下载

南京科远NT6000快速入门

目录1、概述 (1)2、使用说明 (2)2.1 eNet网络搭建 (2)2.2 操作站配置 (8)2.2.1硬件性能指标配置 (8)2.2.2 NT6000系统软件安装 (8)2.3 eBus及其IO模件说明 (15)2.4 网络时间服务器 (19)2.5 远程及现场总线 (21)2.5.1 远程通讯 (21)2.4.2 现场总线 (25)3、典型案例 (26)3.1硬件环境搭建 (26)3.2 NT6000系统软件安装 (31)3.3 NT6000系统配置 (31)3.3.1 安全区配置 (33)3.3.2 报警区配置 (34)3.3.3 日志及数据库配置 (35)3.3.4 用户权限配置 (35)3.3.5 网络配置 (36)3.3.6 控制组态软件配置 (37)3.3.7 画面配置 (38)3.3.8 SyncBase历史数据库配置 (41)3.3.9 工程备份 (42)3.4 NT6000系统应用 (43)3.4.1 数据查看 (43)3.4.2 日志查询 (44)3.4.3 曲线查看 (44)3.4.4 SOE查询 (46)4、常见问题分析处理方法 (49)1、概述1-图1 NT6000系统配置图NT6000分散控制系统的主要组成部分有：系统软件、eNet网络、分散处理单元DPU、eBus网络、本地及远程IO等。

系统软件面用于对整个NT6000系统进行管理和控制。

eNet网络协议是基于标准以太网的专有协议，eNet网络通过交换机实现控制器与操作站之间的网络通讯。

eBus网络用于实现NT6000系统的控制器与IO模件之间的通讯。

2、使用说明2.1 eNet网络搭建2.1-图1 eNet网络连接图eNet网络由冗余的A网和B网构成，A网和B网的交换机设备物理上相互隔离；将网络中的服务器、客户端的A网接口通过网线接到A网络交换机上、B网接口通过网线接到B网络交换机上。

以HMI8001为例，介绍IP配置方法，采用C类IP地址分配，网络地址前两个八位字节固定为192.168，机器A网络的网络域地址=8×2-1=15，B网络的网络域地址=8×2=16。

HP ProLiant DL380 G5服务器配置手册

HP ProLiant DL380G5Data Protection Storage Server 安装指南本指南提供有关在Microsoft®Windows®Storage Server2003R2中使用HP ProLiant DL380G5Data Protection Storage Server的安装和配置信息。

434185-AA1部件号：434185-AA1第一版：2006年9月法律和声明信息©版权2006Hewlett-Packard Development Company,L.P.对于本材料，Hewlett-Packard公司不做任何担保，包括（但不限于）对特定用途的适销性和适用性的暗示性保证。

对于此处包含的错误，或是与此材料的供应、性能或使用相关的偶发性或继发性损坏，Hewlett-Packard公司均不承担任何责任。

本文档包含受版权保护的所有权信息。

未经Hewlett-Packard公司事先书面许可，不得影印、复制本文档的任何部分或将其翻译成其它语言。

本文档包含的信息可能随时更改，恕不另行通知。

HP产品和服务的明示担保声明中说明了对此类产品和服务的仅有担保。

不应将此处的任何内容视作附加担保。

HP公司对本文档包含的技术性或编辑性错误或遗漏之处不承担任何责任。

Microsoft®，Windows®和Windows NT®是Microsoft Corporation在美国的注册商标。

UNIX®是The Open Group的注册商标。

Hewlett-Packard公司对本文档包含的技术性或编辑性错误或遗漏之处不承担任何责任。

信息按“原样”提供，不附有任何形式的保证。

如有更改，恕不另行通知。

Hewlett-Packard公司产品的明示性有限担保声明中说明了对此类产品的担保。

不应将此处的任何内容视作附加的担保。

目录关于本指南 (7)适用读者 (7)获得帮助 (7)相关文档资料 (7)约定 (8)文档约定和标记 (8)文本标记 (8)HP技术支持 (9)HP Subscriber’s Choice (9)HP授权经销商 (10)其他有用的网站 (10)HP硬件支持服务 (10)1安装概述 (11)安装规划 (11)规划网络配置 (14)配置清单 (14)2安装服务器 (17)检查工具箱中的物品 (18)熟悉前面板/后面板 (18)查找并记下序列号 (21)完成导轨工具箱的安装 (21)用电缆连接服务器 (22)打开服务器电源 (23)3访问HP Data Protection Storage Server管理控制台 (25)使用直接连接法 (25)使用远程浏览器法 (26)使用远程桌面法 (28)使用Integrated Lights-Out2法 (29)4配置网络服务器 (33)HP ProLiant DL380G5Data Protection Storage Server3准备工作 (33)运行快速启动向导 (35)运行DPM迷你安装 (36)5完成系统配置 (39)其他配置任务 (39)A针对Web访问配置存储服务器（可选）.41设置Internet连接 (41)索引 (43)4图一览1确定网络访问方法 (12)2工具箱中的物品 (18)3前面板 (19)4后面板 (20)5电缆连接 (22)6电源开启按钮 (23)7“Internet选项”屏幕 (27)8iLO2接口端口 (30)9快速启动向导 (35)10“自动配置”设置 (41)11“代理服务器”设置 (42)HP ProLiant DL380G5Data Protection Storage Server5表一览1文档约定 (8)2网络访问方法 (13)3安装和配置清单 (15)4服务器配置工作表 (33)6关于本指南本指南提供有关设置并配置HP ProLiant DL380G5Data ProtectionStorage Server的信息。

附录B 创建NT服务程序

附录B创建NT服务程序服务程序通常运行在后台，它可以使计算机更加有用。

有用是相对于特定的个人或组织而言的。

服务程序最好的例子是IIS服务器。

当在一台高性能的服务器或PC上安装了IIS后，IIS就作为后台服务运行并向浏览您的Web站点的人们提供Web页面。

同一领域的其他服务还包括FTP、SMTP以及Telnet服务器。

事件日志和Windows Installer也都作为服务运行。

实际的程序中服务的候选者可能具有如下特征：运行时没有活动的用户输入，无论是否有人登录都需要运行。

IIS是一个很好的例子。

在实际开发环境中，我曾经将不断的传输并验证事务的程序作为服务来开发。

注意：Visual Basic .NET支持建立NT服务程序。

Delphi直接地支持建立Windows NT（包括Windows 2000或Windows NT 5.0）服务程序。

建立NT服务的功能并非对所有工具都是固有的。

例如，Microsoft Visual Basic 6.0及更早的版本无法直接建立服务程序。

附录B通过示范一个自动发送IIS日志文件的程序，讨论了建立Windows NT服务程序的基本概念。

B.1 创建服务程序建立服务程序最容易的方法是从New Items对话框中启动Service Application。

可以注意到还有一个Service项。

Service可以向已有的程序添加一个TService模块，但定义新的服务时，需要选择Service Application。

当单击Service Application后，Delphi将创建一个新的工程。

在新工程的.DPR源文件的uses子句中，首先引用了SvcMgr。

另外，工程中还添加了一个包含TService类的单元。

TService类继承了TDataModule，可以在其中添加非可视化控件和服务程序代码。

不要在工程源文件中包括Forms和HttpApp单元。

SvcMgr、Forms和HttpApp都定义了一个全局的Application对象，这会导致服务程序中出现冲突。

ST-NT200HS-A(3512)系列设备说明书V1.0

2
前言
NT200HS-A(3512)系列列视频服务器是基于网络传输的数字化产品。采用嵌入式实时多任务操作系统（RTOS）和嵌入式 CPU 处理器，具有视频信号和音频信号的同步压缩功能。压缩数据通过网络进行传输，通过网络可进行实时视频预览和音频收听，系统调度效率高。代码固化在 FLASH 中，使系统运行更加稳定可靠。优良的 H.264 算法保证了更小数据冗余，更适合网络传输，内置 Web 服务器功能用户可直接用 IE 浏览图像。该系列视频服务器支持 WiFi、3G 网络功能，多种无线网络功能方便产品多种应用场合，因此可以彻底摆脱对有线网络接口的依赖，提供更灵活的安装方式。WiFi 支持无线加密功能，从而又为 WiFi 网络传输提供有效的保障。提供 RS-485 接口可用于控制云台，场景报警器的无源输出可接入视频服务器的报警输入接口，视频服务器的报警输出接口可作为开关去控制场景的设备，实现场景的设备动作。
1
NT200HS-A(3512)系列设备说明书
目录
前言 .......................................................................................................................3 第一章产品简介 .......................................................................................................4
2.2 WEB 浏览 ...................................................................................................................... 17 2.2.1 局域网内的 WEB 浏览........................................................................................................17 2.2.2 ADSL 的 WEB 浏览...............................................................................................................17 2.2.3 路由器拔号的 WEB 浏览 ...................................................................................................17 2.2.4 静态 IP 的 WEB 浏览..........................................................................................................20 2.2.5 平台浏览...............................................................................................................................21

网络接口IP地址设置

三、服务器配置‎说明1 网络接口I‎P地址设置‎1.1 网络接口n‎t p1默认‎网络地址为‎：192.168.0.254，网络接口n‎t p2默认‎网络地址为‎：192.168.1.254，网络接口n‎t p3默认‎网络地址为‎：192.168.2.254子网‎掩码都为2‎55.255.255.0。

注意：ntp1，ntp2，ntp3的‎I P地址不‎能重复1.2要进行有效‎校时，首先要设置‎网络时间服‎务器的IP‎地址。

首先把控制‎计算机的网‎络地址设置‎为和网络接‎口1同一网‎段内的有效‎地址，如：192.168.0.21，子网掩码为‎255.255.255.0。

1.3采用tel‎n et远程‎程序登录网‎络时间服务‎器，用户名默认‎为：times‎e rver‎，密码为：times‎e rver‎。

1.4命令格式如‎下：telne‎t 192.168.0.254 2300 ，2300为‎自定义端口‎号，以避免无关‎人员登录。

1.5出现如下画‎面：键入用户名‎times‎e rver‎和密码times‎e rver‎。

出现下面画‎面：1.6运行net‎s h命令，再运行in‎t erfa‎c e ip 出现如下画‎面：1.7再键入“set add ntp1 stati‎c 192.168.0.22 255.255.255.0 192.168.0.1 1”其中ntp‎1为网络接‎口1的连接‎名称（注意为小写‎字母），192.168.0.22是你要‎设置的IP‎地址，255.255.255.0是子网掩‎码，192.168.0.1是要设置‎的网关地址‎，1为到网关‎的跃点数。

注意：如果要跨局‎域网应用，必须设置网‎关地址。

设置网关地‎址，必须设置完‎I P地址重‎启服务器后‎才能设置对‎应的网关地‎址。

1.8回车后，关机重启网‎络时间服务‎器，网络接口地‎址设置完毕‎，可用“PING”命令验证是‎否设置好。

工程合同中的ntp

工程合同中的nt标题：关于网络时间协议（NT）的条款1. 甲方责任a. 甲方应确保项目现场的网络环境支持NT服务，并负责部署和维护NT服务器，以便所有参与方能够同步其设备和系统时间。

. 甲方需提供NT服务的相关配置信息给乙方，包括但不限于NT服务器的地址、端口号以及使用的加密方式（如果有）。

2. 乙方责任a. 乙方必须确保其所有涉及工程项目的设备和系统均配置为自动与甲方提供的NT服务器同步时间。

. 乙方应在项目开始前测试时间同步功能，确保无误差，并在发现任何与时间同步相关的问题时及时通知甲方。

3. 时间同步的准确性a. 双方应认可NT提供的时间同步服务可能存在的微小误差，并同意该误差范围在±100毫秒内为可接受。

. 若时间同步的误差超出了可接受范围，影响到了工程项目的正常进行，责任方应立即采取措施纠正。

4. 数据记录与证据a. 所有基于时间戳的数据记录应采用经过NT同步的时间，以确保记录的准确性和一致性。

. 在发生争议时，经过NT同步的时间戳将作为重要的证据之一。

5. 违约责任a. 如一方未能遵守本条款规定，导致另一方损失的，违约方应承担相应的赔偿责任。

. 如因NT服务故障或时间同步问题导致的项目延误或损失，应由责任方承担。

6. 条款的解释与修改a. 对本条款的解释权归甲乙双方共同拥有。

. 如需对本条款进行修改，应由甲乙双方协商一致后，以书面形式确认。

7. 法律适用与争议解决a. 本条款受中华人民共和国法律管辖并依其解释。

. 因本条款引起的任何争议，双方应首先通过友好协商解决；协商不成时，可提交至甲方所在地人民法院诉讼解决。

NT6000-1、系统及硬件

KM221S为模拟量输入模件，用于采集工业现场的模拟量输入信号。输入信号类型：4mA～20mA、0～10mA、0～20mA。具有过流保护功能。可向两线制变送器供电（24V）。
* 运行指示灯绿色：工作状态。灭：工作异常。 N 通道指示灯：红色：通道输入电流超过21mA。灭：通道输入电流小于21mA。 C 通讯指示灯：绿色：冗余IO网络工作正常。闪烁：其中1路IO网络故障。灭： 2路IO网络同时故障。 F 故障指示灯：灭：模件工作正常。闪烁：模件存在故障。
NT6000 eNet网络连接示意图
控制模件（DPU）
技术参数： 1、电源
电压：两路冗余输入，宽范围 DC18V～36V，额
定24V
2、控制网络
单网络域可连接冗余DPU节点数目: ≤64
网络域最大数目：8
3、I/O网络可连接模块数: ≤96 4、冗余特性控制器主从切换时间: ＜5ms 5、工作环境
1.6m的IO网络预制电缆只适用于在扩展柜位于主机柜两侧的情况下DPU与E、F、G、H、I、J、 K、L八个IO分支的网络连接。
IO转接板
主要用于为IO模件提供两路冗余的DC24V供电；为IO模件提供两路冗余的IO通讯接口；为IO模件提供时钟同步接口；
本地型号：BM124-S 远程型号：BM124-E。
I、J分支 I/O网络1
I、J分支 I/O网络2
K、L分支 I/O网络1
K、L分支
I/O网络2 24V
4
I C、 /
DO 网
分支络
2
I C、 /
DO 网
分络
支 1
DPU面板指示灯
控制器的地址分配：网络地址前两个字节固定为192.168 例如：名称为DPU1001的DPU逻辑节点： DPU_L: IPa = 192.168.1.101 IPb = 192.168.2.101 DPU_R: IPa = 192.168.1.102 IPb = 192.168.2.102 名称为DPU1002的DPU逻辑节点：

安装NT Server服务器

安装NT Server服务器
在组建Intranet时，首先必须安装一台Windows NT Server服务器。安装过程十分简单，只需要按照屏幕的提示做就行了，值得注意的有：
* 强烈建议在安装的时候把服务器硬盘格式化为NTFS,因为NTFS是专为Windows NT设计的，它具有许多新特性来保证可靠的存储和数据检索：支持热修补(hot fixing)，可以在运行中修复硬盘故障；支持基于目录和文件的权限和审核制;支持存储长度达到16EB字节的文件，运行效率要比FAT16高得多。
D:\i386↙
D:\i386＞
⑸调用光盘中的winnt.exe程序进行安装，即输入：
D :\i386＞winnt/b↙
⑹此时屏上出现Windows NT Server 4.0的Setup画面，并出现要求输入安装程序的源路径，可采用屏上给出的源路径名：（ D：\i386）当按ENTER键后,屏上出现请等待的提示,此时在屏的右下方白条栏内动态地显示着拷贝文件的过程,并用黄条的增长实时显示文件拷贝到硬盘的百分比.这个过程将用较长的时间。
“每服务器方式”是指与该服务器连接的每个客户均要购买“客户访问许可协议”，而且与该服务器连接的客户数有数量限制，即一个服务器可以带多少个持有访问该服务器许可协议的客户。
“每客户方式”是指客户访问Windows NT网中的服务器，均要持有“独立的客户访问许可协议”，它可访问网中的任一服务器。而不像每服务器方式，只允许客户访问许可协议“数，要大于每客户方式中总的“客户访问协议”数目，为节约费用，可选用每客户方式。一般情况下，如小型网可选每服务器方式，但要求填入要连接的客户数。
输入计算机名，这是为了标识该计算机而起的名字，在网络中，客户要访问该计算机，便要用该名字来指明，该名必须是唯一的，不能和网上其它计算机重名，也不肥和域名相重。

无盘工作站设置详解

DRV BBLOCK\NDIS\NE.DOS ~ ~ ~。
5. 拷贝PROTOCOL.INI文件
将网卡驱动盘上的PROTOCOL.INI文件拷贝到C:\WINNT\RPL\BBLOCK\NETBEUI\NE目录下,如网卡驱动盘上无此文件，可将C:\WINNT\RPL\BBLOCK\NETBEUI\NE2000目录下的PROTOCOL.INI文件拷贝到C:\WINNT\RPL\BBLOCK\NETBEUI\NE目录下。
Adapter Boot Config Profile Vender Wksta [Quit] C
Add Del Enum: A
ConfigName=DOS622NE （自定义的ConfigName，不能与已有的同名）
BootName=DOSNE （与上一步BootName对应）
8. 重新启动该工作站，以普通无盘站用户帐号登录，执行WIN即可进入Windows。
B）添加网卡BOOK BLOCK 记录
C:\WINNT\RPLCMD
Adapter Boot Config Profile Vender Wksta [Quit] B
Add Del Enum:A
BootName=DOSNE （与下一步BootName对应）
VenderName=52544C (网卡ID号的前6位)
其中，computername为远程启动服务器的计算机名。在程序运行后有下面几个命令：
A：用于修改不完整的网卡记录。
B：用于修改BOOK BLOCK 记录，可设置F文件路径。
C：修改配置记录，可用来指出系统目录映射关系文件（DOS622.FIT、DOS622P.FIT、WIN95.FIT、WIN95P.FIT）的路径。

AIX AIX配置时间服务器(NTP)

2.1. 启动timed服务器
a. 在局域网内，以timed 主服务器的系统时钟为标准，来完成时钟的同步。
# startsrc -s timed -a " -M -c "
b. 在局域网内，以所有运行 timed 的主、辅服务器的系统时间平均值为标准，来完成时钟的同步。
# startsrc -s timed -a " -M “
----------------------------
其中的 server 192.168.5.2 表明, 此客户端与IP地址为 192.168.5.2 的NTP服务器进行时间同步.
1.2.2 在NTP客户端启动xntpd守护进程
# startsrc -s xntpd
也可通过调用smitty , 使 xntpd 在以后重启服务器时能自动启动.
完成上述操作后 ntp 客户端与 ntp 服务器系统时钟完成同步，ntp 客户端得到了新的系统时间。
查看同步的时间间隔（poll）
# xntpdc -c peers
remote local st poll reach delay offset disp
#ntpdate -d 192.168.5.2
...
18 Jan 15:49:57 ntpdate[98462]: adjust time server 192.168.5.2 offset -0.000868
2 sec
若时间间隔大于1000秒，使用ntpdate 进行手工调整, 如：
#date
Thu Jan 18 15:52:00 BEIST 2007
#ntpdate 192.168.5.2
18 Jan 15:49:57 ntpdate[23832]: step time server 9.185.43.189 offset 23.40260

ntlmv2 身份验证客户机的要求

ntlmv2 身份验证客户机的要求NTLMv2（NT LAN Manager version 2）是一种安全协议，用于在客户机和服务器之间进行身份验证。

它是NTLMv1的升级版本，提供更强大的安全性和更高的性能。

本文将详细介绍NTLMv2身份验证客户机的要求，并逐步讨论其实现过程。

首先，要理解NTLMv2身份验证客户机的要求，了解以下三个主要方面很重要：客户机操作系统、客户机硬件要求和配置选项。

1. 客户机操作系统：NTLMv2身份验证要求客户机运行Windows操作系统。

目前，广泛使用的版本包括Windows 7、Windows 8、Windows 10和Windows Server系列操作系统。

确保客户机上安装了最新的操作系统补丁和更新以确保系统的安全性。

2. 客户机硬件要求：NTLMv2身份验证客户机的硬件要求与运行Windows操作系统的硬件要求相同。

这包括处理器、内存、硬盘空间等。

建议确保客户机满足操作系统的最低硬件要求，以获得最佳性能。

3. 配置选项：为了使用NTLMv2身份验证，客户机需要进行一些配置。

以下是一些常见的配置选项：a. 安全策略：在客户机上，安全策略是控制身份验证的重要设置之一。

可以通过本地安全策略编辑器或组策略管理器来配置安全策略。

关于NTLMv2身份验证的具体设置包括启用NTLMv2身份验证、拒绝旧式（LM和NTLM）身份验证等。

确保将安全策略设置为符合组织的安全要求。

b. 密码策略：密码策略也是NTLMv2身份验证中关键的配置选项之一。

通过密码策略，可以定义密码的复杂性要求、密码的最长和最短长度等。

确保设置强密码要求，以增加系统的安全性。

c. 防火墙设置：在使用NTLMv2身份验证时，确保适当配置防火墙设置以允许来自服务器的身份验证请求。

根据组织的网络架构和安全要求，可能需要在防火墙上设置相应的入站和出站规则。

以上是NTLMv2身份验证客户机的一般要求和配置选项。

NTP网络时间服务器

Ⅲ .时间跳变问题当出现异常情况下，某一台时间服务器提
供的时间发生跳变。应对措施： 1. NTSM 监控软件在第一时间可以发现并告
警时间服务器时间跳变情况。 2. 时间服务器采用冗余配置模式，只有当两
台服务器时间一致时，标准 NTP 客户端才确认并完成时间同步。 3. NTP 协议支持微调（slew）同步模式，采用 slew 方式慢慢调整，每秒调整为 0.5ms，不会产生大的时间跳变。
1
智能管理软件
■风险控制方案
Ⅰ .时间参考源安全隐患时间服务器参考源来源于美
国 GPS 系统，存在一定的安全隐患，如发生战争期间时间不准确等情况。应对措施： NTSM 监控软件在第一时间可以发现并告警时间服务器时间变化情况。
Ⅱ .授时服务软件异常问题应对措施： NTSM 监控软件在第一时间可以发现并告警相应异常。
SS H /SC P (Inte rnet D raft)
SN M P v1,v2、 MI B II (R FC 1 21 3)
RSA非对称加密
I PV4、 IP V 6、 IPv4 /IPv6 Hybri d
服务器性能
‥ GPS时钟参考模式，一级网络时间服务器，同步精度 1µ s
日老化率5E-10
秒稳定度优于2E-11
日平均准确度优于1E- 12
选件铷原子钟(Rb)
守时精度<3ms（年）
日平均准确度优于1E- 12
日漂移率优于3E-12
秒稳定度优于1E-11
相位噪声≤ -160dBc/Hz@10 kHz
物理及环境参数
‥尺寸：1U机箱 447×44.5×300mm

HJ210 NTP网络时间服务器

主要特点■高精度，服务器优于2µs 、客户端优于2ms■大容量，支持14000次/秒、在线支持＞40000台套设备同步■高性能工业级服务器主板，嵌入式Linux 操作系统 ■高可靠性，MTBF 可达80000小时■显示信息丰富，可显示GPS 、网络、系统等状态信息 ■GPS 时钟参考模式，一级网络时间服务器 ■支持四路相互独立的100/1000Base-T 以太网端口 ■支持MD5安全加密协议 ■支持RSA 证书加密协议■USB 端口可实现备份、恢复、升级功能■支持SNMP 网管功能、可实时监控CPU 、内存、服务等系统状态■支持干接点报警■选件支持恒温晶振、铷原子钟守时■选件支持CDMA 时间参考源、北斗卫时间星参考源北京泰福特电子科技有限公司 Beijin g T im e&Frequency T echnology Co.,LtdHJ210 NTP 网络时间服务器1主要功能■可同步数万台服务器、工作站、网络计算机等设备 ■四路NTP 网络端口，授时和管理可以独立配置■网络时间参考源，可选件支持北斗、GLONASS 、CDMA 、 IRIG-B 等外参考信号■直观的Web 界面及NTPM 管理软件，可以轻松实现对服务器组远程网络登录、管理、配置和维护 ■支持芯跳检测功能，两台设备网卡可设为同一IP ，互为冗余备份■支持Bonding 功能，同一设备四网卡可设为同一IP ，单机即可实现网卡故障备份概述HJ210 网络时间服务器是为网络设备提供精确、标准、安全、可靠时间服务的最佳解决方案，能提供精确的同步时钟信号，支持标准的NTP 和SNTP 网络对时协议，采用安全的MD5协议和证书加密方式，具有完整的日志记录功能和USB 端口下载功能，可支持NTP 网络对时、串口授时、1PPS 脉冲信号输出，干接点报警信号等功能。

HJ210 网络时间服务器提供的高精度的网络同步时钟直接来自于GPS 系统中各自卫星的原子钟（也可以根据用户的要求选择其他卫星授时系统作为时间的基准源），设备由高精度高灵敏度授时型GPS 接收机、高可靠性工业级服务器主板、高亮度VFD 液晶显示屏和高品质1U 工业机箱等部件组成，采用高效的嵌入式Linux 操作系统，配合泰福特电子自主知识产权的卫星授时、网络同步、频率测控等技术，该产品系统整体功耗小，采用无风扇设计，运行可靠稳定，可以为计算机网络、计算机应用系统、流程控制管理系统、电子商务系统、网上B2B 系统以及数据库的保存及维护等系统需要提供精密的标准时间信号和时间戳服务，已经被成功应用于政府金融、移动通信、公安、石油、电力、交通、工业以及国防等领域。

在Windows NT 网站上建立WWW 服务器,建立和管理FTP 站点

第三章在Windows NT 网站上建立 WWW 服务器，建立和管理FTP 站点
——《电子商务网站建设与维护》
《电子商务网站建设与维护》，谭建中、张淑蕴主编高等教育出版社2002年出版，ISBN：7-040-10838-0
在Windows NT 网站上建立WWW 服务器，建立和管理FTP 站点

4．WS-FTP的使用 WS-FTP 是一个图形化界面的FTP 工具，界面友好，非常易于使用并且可以免费从Internet上下载。（1）WS-FTP 的用户主窗口界面 WS-FTP的主窗口界面分为左、右两个区域，分别代表本地的和远程的主机系统。左侧的Local System 指的是本地主机，目录窗口和文件窗口分别显示的是当前目录下的子目录和文件。旁边的三个按钮ChgDir、MkDir 和 RmDir 分别实现切换当前目录、建立子目录和删除目录的功能。右侧的Remote Site 指的是远程主机，一旦FTP 连接成功，右侧窗口中显示远程主机的目录和文件，按钮的功能是针对远程主机的。在文件窗口下方有三个单选按钮:ASCII、Binary 和Auto，分别对应于FTP 传输时的文件类型。窗口最下方是一排命令按钮，分别是Connect （连接）、Cancel（放弃）、LogWnd（日志）、Help （帮助）、Options（选项）、About（关于）、Exit （退出）。
④设置“文档”。确保“启用默认文档”一项已选中，再增加需要的默认文档名并相应调整搜索顺序即可。此项作用是，当在浏览器中只输入域名（或 IP 地址）后，系统会自动在“主目录”中按 “次序”（由上到下）寻找列表中指定的文件名，如能找到第一个则调用第一个；否则再寻找并调用第二个、第三个……如果“主目录”中没有此列表中的任何一个文件名存在，则显示找不到文件的出错信息。

windows2003服务器详解设置大全

Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统，它基于 Windows NT 的架构，具有非常好的稳定性、可靠性和安全性，适用于企业实施各种应用解决方案。

本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。

安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤：1.选择安装语言和安装选项，例如安装 Windows Server 2003 标准版或企业版等。

2.选择安装位置，可以选择已有分区上进行安装，也可以新建分区。

3.设置管理员密码，以保证服务器的管理安全。

4.完成安装后，系统会自动重启，启动时将进入 Windows Server 2003配置向导。

配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术：配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。

2.双击“Internet 协议(TCP/IP)”选项卡，进入“属性”对话框。

3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。

配置域名和 DNS1.在“控制面板”中选择“管理工具”，然后单击“DNS”。

2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名，也可以直接在“区域”下输入域名。

3.单击“新建区域”，输入相应的域名和 IP 地址。

可以在“区域域名”下找到设置的域名。

配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务)，并选择“FTP站点”。

2.选择“FTP 站点”，点击“属性”按钮。

3.在“FTP 站点属性”对话框中，单击“高级”选项卡，随后将 FTP 主目录配置为指定目录。

配置防火墙1.在“控制面板”中找到“安全中心”，单击“Windows 防火墙”进行防火墙的配置。

局域网管理(Windows NT 平台)4

例题分析

38、网络中首台安装Windows NT时，应将之设为( )。 A、主域控制器 B、后备域控制器 C、域服务器 D、都可以 A
例题分析

39、将下列安装Windows NT 4.0的关键步骤进行排序( )。 A、a→b→c→d→e→f→g B、 b→a→c→e→d→f→g C、c→b→a→d→e→g→f D、 a→b→c→e→d→g→f a. 创建引导盘/b. 确认基本的系统信息 c. 标识用户、公司名称、接受许可权条款 d. 选择域控制器类型/e. 选择场所 f. 设置管理员口令/g. 重新启动计算机 A
例题分析

36、在Windows NT服务器设置双重引导是危险的，原因是( )。 A、用户可以绕过Windows NT的安全屏障。 B、容易造成死机 C、容易感染病毒 D、容易造成文件系统破坏 A
例题分析

37、Windows NT域控制器与域服务器的主要区别是( )。 A、域控制器具有域帐户数据库，而域服务器没有。 B、域服务器具有域帐户数据库，而域控制器没有。 C、域控制器可以管理用户，而域服务器不能。 D、域服务器可以管理用户，而域控制器不能。 A
例题分析

46、为了能够恢复Windows NT Server 4.0安装过程中出现的故障和错误，应该采取的措施是( )。 A、制作安装引导盘 B、制作紧急修复盘 C、使用功能键F1 D、使用功能键F3 B
例题分析

47、Windows NT 4.0安装过程中要检测大容量存储设备，它们包括( )。 A、a,b B、 b,c C、c,d D、 a,d a. SCSI适配器 b. IDE适配器 c. PCI适配器 d. ISA适配器 A

计算机网络安全管理课件第3章 Windows NT网络操作系统的安全管理

Байду номын сангаас
§3.2.8 可管理性
很难管理的安全机制通常会降低系统安全性,不管底层机制实际上是多么安全.安全性事故通常不是由于缺少安全性控制而是由于安全性控制没有被正确配置-导致把机密信息放在不安全的系统上. 有许多因素决定了操作系统的可管理性.最重要的一个因素当然是系统管理员能力和操作系统之间的匹配.经验丰富,有才能的IT管理职员能够增强系统安全. 在所管理的特定系统上积累经验同样也很重要.但是,特定系统会在短时间内升级或换代,所以不断的学习和认识也很重要. 在本节的下面部分描述了操作系统安全方面的可管理性的非常关键的几个因素. 1. 缺省配置操作系统的缺省配置通常用作部署的基线.除非应用程序开发人员或者 IT组织进行专门的安全性推荐,否则在操作系统上运行的易感服务都不能完全阻止恶意攻击.考虑到应用程序开发和升级的周期缩短,操作系统的缺省安全配置就成为一个非常重要的考虑.
§3.2.4 审核
从安全的观点看,审核是重现安全相关事件以支持对事件的原因和影响的检查.审核跟踪或者系统日志信息可以被用来判断是否有违反政策的事情发生或者是否有值得怀疑的事情.老练的侵入探测产品使用操作系统的审核踪迹作为分析的基础.审核踪迹还提供了跟踪复杂的安全性事故的来源和提供任何补救行动可能需要的证据的能力. 可以根据下面的原则评估操作系统的安全审核能力: 支持的安全相关事件的宽度和深度. 可以用来保护审核踪迹的机制强度(黑客在闯入系统以后的第一步往往是关闭审核功能或者删除审核日志.) 对处理大量由操作系统产生的审核数据的支持. 一,Windows NT审核服务 Windows NT提供了事件日志(EveNTLogging).事件日志可以被配置在系统级别和对象级别纪录安全相关事件.系统事件包括登录和退出登录,文件和对象访问,用户权利的使用,用户和组管理,安全政策改变 ,重新启动和关机,系统错误,以及进程跟踪.文件和对象审核可以被控制在单个文件,目录,或者如果需要的话,也可以是驱动器.

在NT上安装和设置WINS服务器详解

B. 接受(Positive)。如果WINS工作站请求登记的名字还未登记的话，WINS服务器便会接受登记，并返回一个包含TTL(Time to Live)时间(见下面)的Positive信号；
C. 不接受(Negative)。如果WINS工作站请求登记的名字已经登记的话，则WINS服务器便会向拥有该名字的工作站发送一个询问(Challenge)信息。如果WINS服务器收到拥有该名字的工作站的回答的话，WINS服务器将不会接受WINS工作站的注册请求，并给它发送一个Negative信号。
图2 安装“Windows网际名字服务” (tp02.tif)
C. 在出现的“Windows NT安装程序”对话框中，输入NT Server安装程序所在的源路径，一般是位于光盘根目录下的\i386，再单击“继续”按钮，见图3；
图3 指定NT Server安装程序的路径 (tp03.tif)
2. WINS工作站如何更新(Renew)其注册数据
WINS工作站登记的名字都有一个使用期限(即TTL时间)，该期限可以在后面提到的“更新间隔”中设置。WINS工作站必须在期满前更新其注册数据，以便继续使用该名字。更新之后，已注册的名字的使用时间便会重新设置为“更新间隔”中所设置的时间。WINS工作站一般是在“更新间隔”过一半时自动向WINS服务器发出更新请求。
2. WINS名字服务的优势
在各种名字解析方式之中，WINS名字服务具有一些优点。首先，WINS名字服务是以点对点的方式直接进行通信的，并可以跨越路由器访问其他子网中的计算机，这便克服了广播查询无法跨越路由器和加重网络负担的不足；其次，与静态处理域主机名(Host Name)的DNS服务器不同，WINS名字服务还是一种很少人工干预的动态名字服务；第三，WINS名字服务不仅能够用于NetBIOS名字查询，而且还可以辅助域主机名(Host Name)的查询，我们可以结合DNS和WINS服务器的好处进行Internet域名查询，因此WINS又被称为Windows 网际名称服务(Windows Internet Name Service)。有关DNS服务器的内容将在下一篇文章中进行说明。

Octopus配置技术参数

OCTOPUS FOR NT配置参数一．WINDOWS 基本配置要求：1.主从服务器最好安装相同的windows NT 版本和语言.2.主从服务器最好安装PACK 4以上, 因为她对服务器名字切换的工作性能有很大帮助。

3.主从服务器最好有相同大小的数据区（硬盘空间）。

4.主从服务器容错方式：PDC->BDC, BDC->PDC, BDC->BDC, STAND ALONE->STAND ALONE.5.主从服务器根据需要安装TCP/IP,NETBIOS,NETBEUI,IPX/SPX 协议。

6.TCP/IP 地址设置：A: 1-126 SUBNET: 255.0.0.0B: 128-191 SUBNET: 255.255.0.0C: 192-223 SUBNET: 255.255.255.07.主从服务器必须是在同一域内，在同一子网内，即相同的子网掩码。

8.在主从服务器的hosts 文件内加入对方的IP 地址和服务器名（可选）9.用cmd:Ping ping 对方和本机的IP地址和名称，应能PING 通。

10.安装OCTOPUS软件前必须把病毒检测软件关闭。

11.病毒检测软件设置时不要对OCTOPUS的data directory 检测。

12.应用数据库系统如：SQL SERVER SYBASE 等须在从机上安装其服务，安装时有关参数必须与主机上的参数相同，并且用相同的service name（用IPX协议时用）。

13.所有主机上本机的用户须在从机上创建。

14.主从机的管理员和密码须一样.二．OCTOPUS 参考配置表：1.注册OCTOPUS 源（Log on to OCTOPUS source ）:Specification: 当WINDOWS 用NTFS格式时，在输入源或目标数据文件数据目录后必须选择“set perm”以加载其属性，源和目标的名称路径必须相同，同步之前必须关闭所有应用该数据的服务。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

目前服务器常用的操作系统有三类:-Unix-Linux-Windows NT/2000/2003 Server.这些操作系统都是符合C2级安全级别的操作系统.但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者.BJFU Info Department, QiJd第七章操作系统安全配置方案UNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户,多任务的通用操作系统.诞生于1969年,在GE645计算机上实现一种分时操作系统的雏形1970年给系统正式取名为Unix操作系统.到1973年,Unix系统的绝大部分源代码都用C语言重新编写过,大大提高了Unix系统的可移植性,也为提高系统软件的开发效率创造了条件.BJFU Info Department, QiJd第七章操作系统安全配置方案主要特色UNIX操作系统经过20多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5个方面.-(1)可靠性高-(2)极强的伸缩性-(3)网络功能强-(4)强大的数据库支持功能-(5)开放性好BJFU Info Department, QiJd第七章操作系统安全配置方案Linux系统Linux是一套可以免费使用和自由传播的类Unix操作系统,主要用于基于Intel x86系列CPU的计算机上.Linux是在GPL(General PublicLicense)保护下的自由软件,版本有:Redhatlinux,Suse,Slackware,Debian等;国内有:XteamLinux,红旗Linux.Linux流行的原因是免费并且功能强大.BJFU Info Department, QiJd第七章操作系统安全配置方案Linux典型的优点(1)完全免费(2)完全兼容POSIX 1.0标准(3)多用户,多任务(4)良好的界面(5)丰富的网络功能(6)可靠的安全,稳定性能(7)支持多种平台BJFU Info Department, QiJd第七章操作系统安全配置方案Windows系统Windows NT(New Technology)是微软公司第一个真正意义上的网络操作系统,发展经过NT3.0,NT40,NT5.0(Windows 2000)和NT6.0(Windows2003)等众多版本,并逐步占据了广大的中小网络操作系统的市场.Windows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便.与Windows 9X相比,Windows NT的网络功能更加强大并且安全.BJFU Info Department, QiJd第七章操作系统安全配置方案Windows NT系列操作系统Windows NT系列操作系统具有以下三方面的优点.(1)支持多种网络协议-由于在网络中可能存在多种客户机,如Windows 95/98,Apple Macintosh,Unix,OS/2等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协议,IPX/SPX等.Windows NT系列操作支持几乎所有常见的网络协议.(2)内置Internet功能-内置IIS(Internet Information Server),可以使网络管理员轻松的配置WWW和FTP等服务.(3)支持NTFS文件系统-NT同时支持FAT和NTFS的磁盘分区格式.使用NTFS的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件,目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性.BJFU Info Department, QiJd第七章操作系统安全配置方案安全配置方案初级篇安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:(1)物理安全,(2)停止Guest帐号,(3)限制用户数量(4)创建多个管理员帐号,(5)管理员帐号改名(6)陷阱帐号,(7)更改默认权限,(8)设置安全密码(9)屏幕保护密码,(10)使用NTFS分区(11)运行防毒软件,(12)确保备份盘安全.BJFU Info Department, QiJd第七章操作系统安全配置方案1,物理安全服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录.另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方.2,停止Guest帐号在计算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest帐号登陆系统.为了保险起见,最好给Guest 加一个复杂的密码,包含特殊字符,数字,字母的长字符串.用它作为Guest帐号的密码.并且修改Guest帐号的属性,设置拒绝远程访问,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案3 限制用户数量去掉所有的测试帐户,共享帐号和普通部门帐号等等.用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户.帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大.对于Windows NT/2000主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个.BJFU Info Department, QiJd第七章操作系统安全配置方案4 多个管理员帐号虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的.创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用.因为只要登录系统以后,密码就存储再WinLogon进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少Administrator登录的次数和时间.5 管理员帐号改名Windows 2000中的Administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码.把Administrator帐户改名可以有效的防止这一点.不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone.具体操作的时候只要选中帐户名改名就可以了,如图所示.6 陷阱帐号所谓的陷阱帐号是创建一个名为"Administrator"的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码.这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图.可以将该用户隶属的组修改成Guests组,如图所示.7 更改默认权限共享文件的权限从"Everyone"组改成"授权用户"."Everyone"在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料.任何时候不要把共享文件的用户设置成"Everyone"组.包括打印共享,默认的属性就是"Everyone"组的,一定不要忘了改.设置某文件夹共享默认设置如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案8安全密码一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码.这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码.9屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个屏障.还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码.将屏幕保护的选项"密码保护"选中就可以了,并将等待时间设置为最短时间"1秒",如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案10 NTFS分区把服务器的所有分区都改成NTFS格式.NTFS文件系统要比FAT,FAT32的文件系统安全得多.11防毒软件Windows 2000/NT服务器一般都没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序.要经常升级病毒库.BJFU Info Department, QiJd第七章操作系统安全配置方案12备份盘的安全一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径.备份完资料后,把备份盘防在安全的地方.把资料备份放在多台服务器上.BJFU Info Department, QiJd第七章操作系统安全配置方案安全配置方案中级篇安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:(1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁1 操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的.BJFU Info Department, QiJd第七章操作系统安全配置方案2 关闭不必要的服务Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务.有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and RemoteAccess在局域网以及广域网环境中为企业提供路由Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序Distributed Link TrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+ Event System提供事件的自动发布到订阅COM组件3 关闭不必要的端口关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统所开放的端口,在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考.该文件用记事本打开如图所示.设置本机开放的端口设置本机开放的端口和服务,在IP地址设置窗口中点击按钮"高级",如图所示.设置本机开放的端口在出现的对话框中选择选项卡"选项",选中"TCP/IP筛选",点击按钮"属性",如图所示.设置本机开放的端口设置端口界面如图所示.一台Web服务器只允许TCP的80端口通过就可以了.TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能.4 开启审核策略安全审核是Windows 2000最基本的入侵检测方法.当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来.必须开启的审核如下表:策略设置审核系统登陆事件成功,失败审核帐户管理成功,失败审核登陆事件成功,失败审核对象访问成功审核策略更改成功,失败审核特权使用成功,失败审核系统事件成功,失败审核策略默认设置审核策略在默认的情况下都是没有开启的,如图所设置审核策略双击审核列表的某一项,出现设置对话框,将复选框"成功"和"失败"都选中,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案5 开启密码策略密码对系统安全非常重要.本地安全设置中的密码策略在默认的情况下都没有开启.需要开启的密码策略如表所示策略设置密码复杂性要求启用密码长度最小值6位密码最长存留期15天强制密码历史5个设置密码策略设置选项如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案6 开启帐户策略开启帐户策略可以有效的防止字典式攻击,设置如表所示.策略设置复位帐户锁定计数器30分钟帐户锁定时间30分钟帐户锁定阈值5次BJFU Info Department, QiJd第七章操作系统安全配置方案设置帐户策略设置的结果如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案7 备份敏感文件把敏感文件存放在另外的文件服务器中;把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们8 不显示上次登录名默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样.黑客们可以得到系统的一些用户名,进而做密码猜测.修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改子键:Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont DisplayLastUserName,将键值改成1,如图所示.9 禁止建立空连接默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测密码.可以通过修改注册表来禁止建立空连接.在HKEY_LOCAL_MACHINE主键下修改子键:System\CurrentControlSet\Control\LSA\RestrictAnonymous,将键值改成"1"即可.如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案10 下载最新的补丁很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用.经常访问微软和一些安全站点,下载最新的Service Pack和漏洞补丁,是保障服务器长久安全的唯一方法.BJFU Info Department, QiJd第七章操作系统安全配置方案安全配置方案高级篇高级篇介绍操作系统安全信息通信配置,包括十四条配置原则:(1)关闭DirectDraw,(2)关闭默认共享(3)禁用Dump File,(4)文件加密系统(5)加密Temp文件夹(6)锁住注册表,(7)关机时清除文件(8)禁止软盘光盘启动(9)使用智能卡,(10)使用IPSec(11)禁止判断主机类型,(12)抵抗DDOS(13)禁止Guest访问日志(14)数据恢复软件1 关闭DirectDrawC2级安全标准对视频卡和内存有要求.关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏),但是对于绝大多数的商业站点都是没有影响的.在HKEY_LOCAL_MACHINE主键下修改子键:SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeo ut,将键值改为"0"即可,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案2 关闭默认共享Windows 2000安装以后,系统会创建一些隐藏的共享,可以在DOS提示符下输入命令Net Share 查看,如图所示.停止默认共享禁止这些共享,打开管理工具>计算机管理>共享文件夹>共享,在相应的共享文件夹上按右键,点"停止共享"即可,如图所示.3 禁用Dump文件在系统崩溃和蓝屏的时候,Dump文件是一份很有用资料,可以帮助查找问题.然而,也能够给黑客提供一些敏感信息,比如一些应用程序的密码等需要禁止它,打开控制面板>系统属性>高级>启动和故障恢复,把写入调试信息改成无,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案4 文件加密系统Windows2000强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护.这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据.微软公司为了弥补Windows NT 4.0的不足,在Windows 2000中,提供了一种基于新一代NTFS:NTFS V5(第5版本)的加密文件系统(Encrypted File System,简称EFS).EFS实现的是一种基于公共密钥的数据加密方式,利用了Windows 2000中的CryptoAPI结构.BJFU Info Department, QiJd第七章操作系统安全配置方案5 加密Temp文件夹一些应用程序在安装和升级的时候,会把一些数据拷贝到Temp文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除Temp文件夹的内容.所以,给Temp文件夹加密可以多一层保护.6 锁住注册表在Windows2000中,只有Administrators和Backup Operators 才有从网络上访问注册表的权限.当帐号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上的时候,一般需要锁定注册表.修改Hkey_current_user下的子键Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值该为0,类型为DWORD,如图所示.7 关机时清除文件页面文件也就是调度文件,是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件.一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料.要在关机的时候清除页面文件,可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键:-SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management-把ClearPageFileAtShutdown的值设置成1,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案8 禁止软盘光盘启动一些第三方的工具能通过引导系统来绕过原有的安全机制.比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码.如果服务器对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法.BJFU Info Department, QiJd第七章操作系统安全配置方案9 使用智能卡对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写.如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法.BJFU Info Department, QiJd第七章操作系统安全配置方案10 使用IPSec正如其名字的含义,IPSec提供IP数据包的安全性.IPSec提供身份验证,完整性和可选择的机密性.发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据.利用IPSec可以使得系统的安全性能大大增强.11 禁止判断主机类型黑客利用TTL(Time-To-Live,生存时间)值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型.Ping的用处是检测目标主机是否连通.许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据对方的操作系统,是Windows还是Unix.如过TTL值为128就可以认为你的系统为Windows 2000,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案TTL值-判断主机类型从表中可以看出,TTL值为128,说明改主机的操作系统是Windows 2000操作系统.下表给出了一些常见操作系统的对照值.操作系统类型TTL返回值Windows 2000128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 240BJFU Info Department, QiJd第七章操作系统安全配置方案修改TTL的值修改TTL的值,入侵者就无法入侵电脑了.比如将操作系统的TTL值改为111,修改主键HKEY_LOCAL_MACHINE的子键:SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAME TERS新建一个双字节项,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案修改TTL的值在键的名称中输入"defaultTTL",然后双击改键名,选择单选框"十进制",在文本框中输入111,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案修改TTL的值设置完毕重新启动计算机,再用Ping指令,发现TTL的值已经被改成111了,如图所示.12 抵抗DDOS添加注册表的一些键值,可以有效的抵抗DDOS的攻击.在键值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加响应的键及其说明如表所示.增加的键值键值说明"EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000000 "KeepAliveTime"=dword:00000000 "PerformRouterDiscovery"=dword:00000000基本设置"EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击"SynAttackProtect"=dword:00000002防止SYN洪水攻击"TcpMaxHalfOpenRetried"=dword:00000080 "TcpMaxHalfOpen"=dword:00000100仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施"IGMPLevel"=dword:00000000不支持IGMP协议"EnableDeadGWDetect"=dword:00000000禁止死网关监测技术"IPEnableRouter"=dword:00000001支持路由功能BJFU Info Department, QiJd第七章操作系统安全配置方案13 禁止Guest访问日志在默认安装的Windows NT和Windows 2000中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,修改注册表来禁止Guest访问事件日志.禁止Guest访问应用日志-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1.系统日志:-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\System下添加键值名称为: RestrictGuestAccess,类型为:DWORD,将值设置为1.安全日志-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Security下添加键值名称为: RestrictGuestAccess,类型为:DWORD,将值设置为1.14 数据恢复软件当数据被病毒或者入侵者破坏后,可以利用数据恢复软件可以找回部分被删除的数据,在恢复软件中一个著名的软件是Easy Recovery.软件功能强大,可以恢复被误删除的文件,丢失的硬盘分区等等.软件的主界面如图所示.Easy Recovery比如原来在E盘上有一些数据文件,被删除了,选择左边栏目"Data Recovery",然后选择左边的按钮"Advanced Recovery",如图所示.Easy Recovery进入Advanced Recovery对话框后,软件自动扫描出目前硬盘分区的情况,分区信息是直接从分区表中读取出来的,如图所示.Easy Recovery现在要恢复E盘上的文件,所以选择E盘,点击按钮"Next",如图所示.Easy Recovery软件开始自动扫描该盘上曾经有哪些被删除了文件,根据硬盘的大小,需要一段比较长的时间,如图所示.Easy Recovery扫描完成以后,将该盘上所有的文件以及文件夹显示出来,包括曾经被删除文件和文件夹,如图所示.Easy Recoery选中某个文件夹或者文件前面的复选框,然后点击按钮"Next",就可以恢复了.如图所示.Easy Recovery在恢复的对话框中选择一个本地的文件夹,将文件保存到该文件夹中,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案Easy Recovery选择一个文件夹后,点击按钮"Next",就出现了恢复的进度对话框,如图所示.BJFU Info Department, QiJd第七章操作系统安全配置方案本章总结本章分成三部分介绍Windows 2000的安全配置.三部分共介绍安全配置三十六项,如果每一条都能得到很好的实施的话,该服务器无论是在局域网还是广域网,即使没有网络防火墙,已经比较安全了.需要重点理解三大部分中的每一项设置, 并掌握如何设置.。