Windows server 2003 安全配置向导部署
关于Windows Server 2003安全配置再设置的探讨
【 关键词 】 n o s e r 0 3 特 点; Wid w  ̄e 0 ; S 2 安全配置的再设 置
Th s u so fW i o e ve 0 3 S f s sto sI t l Ag e Dic s i n o nd wsS r r 2 0 a e Dipo ii n nsa l mn SHICh n u
一
、
三 年 以 后 , 一 个 时 代 英 雄 也 已 闪 亮 登 场— — 它 就 是 W idw e e 无 漏 洞 。 其次 , 确 设 置 磁 盘 的 安 全性 。 另 no sSr r v 正 具 体 如下 ( 虚拟 机 的安 全 设 置 , 我们 以 ap程 序 为例 子 ) 点 : s 重 20 。 果 你认 为 它 只足 Widw 00的 一个 简 单 升 级 版 本 , 就 错 03 如 n o s2 0 那 了 。微 软 在 Widw 0 0推 出 后 就对 这个 产 品 进行 过 多 次 彻 底 的修 n o s20 订 。 现 在 人们 对 Widw e e 0 3的 最 大 印 象 应 该 是 它 固若 金 汤 n o sS r r 0 v 2 的 安 全性 。 一 次 , 软在 安 全 性 能 上 大 作 文 章 , 却 丝 毫 没 有 影 响 到 这 微 但 系 统 的 可操 作 性 。 可 以 这 么 说 , n o s e e 0 3的 可 操 作 性 比 其 Wid w r r20 Sv 前 辈 的都 高 。l 1 I 微 软 在 Widw e e 0 3中 添加 了许 多 全 新 的 特 性 。 比如 , n o sSr r 0 v 2 类 似 于 Noel 的 “ av g i ” 的 “ 影 复 制 服 务 ” V l m h d w vl中 S a eB n l 卷 ( o eSa o u Cp e ie oySr c )就 是 其 中之 一 。管 理 人 员 一 旦 在 驱 动 器 中启 用 该 项 服 v 务, 服务 器 就 会 定 期对 驱 动器 进 行 快 照 记 录 。终 端 用 户 可 以利 用 这一
Windows2003server Internet 信息服务 (IIS) 6.0使用教程
单击“文档”选项卡。
选中“启用默认内容文档”复选框。
单击“添加”将新的默认文档添加到列表。
单击要从列表中删除的文档,然后单击“删除”。
单击列表中的文档,然后单击“上移”或“下移”以更改默认文档响应客户请求的次序。
单击“确定”。
三、建立FTP站点共享文件资源
(1)安装FTP服务
单击所需的用户隔离选项,然后单击“下一步”。
在“路径”框中,键入或浏览到包含或将要包含共享内容的目录,然后单击“下一步”。
选中与要指定给用户的 FTP 站点访问权限相对应的复选框,然后单击“下一步”。
单击“完成”。
要在以后更改这些设置和其他设置,请右键单击 FTP 站点,然后打击“属性”。
在默认文档名称中不能使用逗号(例如 my,file.html)。逗号只用于在配置数据库中分隔多个默认文档。如果您在默认文档的名称中使用了逗号,IIS 会认为这表示有两个默认文档。
· 设置或更改默认文档的步骤
在 IIS 管理器中,展开本地计算机,展开“网站”目录,右键单击所需的网站,然后单击“属性”。
· 设置目录输出样式
windows 2003 server 配置大全
1.开始—运行—键入“gpedit.msc”,然后点击“确实”打开“组策略”窗口。在“组策略”窗口的左框内依次序展开∶计算机配置-->Windows设置-->安全设置-->本地策略-->安全;点击“安全”选项后,在窗口的右框中找到“帐户∶重命名系统管理员帐户”,然后双击它,在出现的对话框中输入你用来取代Administrator的帐户名称,如∶Abc
1、在开始菜单中,依次执行“程序”-->“附件”-->“命令提示符”命令,将界面切换到DOS命令行状态下;
2、在DOS命令行状态下直接输入“CHKNTFS/T:0”命令,单击回车键后,系统就能自动将检查磁盘的等待时间修改为0了。下次遇到异常情况,重新启动计算机后,系统再调用磁盘扫描程序时,就不需要等待了。
2、用鼠标右键单击桌面空白处,从快捷菜单中执行“属性”命令,再打开“外观”标签页面,在其中的“窗口和按钮”处,选中WindowsXP样式。
3.右键点击“我的电脑”-->“属性”-->高级-->性能-->视觉效果-->调整为最佳外观。至此,系统中的工具栏菜单、窗口等样式就会按照指定的风格来显示了。
十一、解决运行大型软件时系统反应缓慢
右键点击“我的电脑”-->属性-->高级-->性能-->设置-->高级,把“处理器计划”和内存使用分配给“程序”使用。然后点击“确定”
十二、禁用错误报告
右键点击“我的电脑”-->属性-->高级-->点击“错误报告”按钮,在出现的窗口中把“禁用错误报告”选上并复选“但在发生严重错误时通知我”
第6章 Windows Server 2003操作系统安全
RFC2408:密钥管理功能规范
12
6.2 Windows Server 2003的安全机制
IP安全体系结构
(3)安全联系
IP的认证机制和机密性机制中都包含一个关键的概念,即安全联盟 (Security Association,SA),安全联系是一个发送者和接收者之间的单向的 连接关系,该连接为其上传输的数据提供了安全服务。如果需要维护一 个对等关系,为了保证双向的安全交换,就需要建立两个安全联系。
8
6.2 Windows Server 2003的安全机制
Kerberos Kerberos V4
Kerberos 的V4版本中使用DES算法,在协议中提供了认证服务,通过安全认证来确 保Windows Server 2003的安全,具体协议内容如书中表6-1所示。
Kerberos域和多重Kerberos
– – – – Kerberos; IPSec; PKI; NT局域网管理器(NT LAN Manager,NTLM)。这是一个遗留协 议,Microsoft在Windows Server 2003中保留它是为了支持过去 的Windows客户端和服务器。
6
6.2 Windows Server 2003的安全机制
9
6.2 Windows Server 2003的安全机制
IPSec
IP安全概述
在现有的网络攻击方式中,最严重的攻击类型包括IP欺骗和各种形式 的报文窃听攻击。 (1)IPSec的应用 IPSec提供了跨保障局域网、跨私有/公共广域网以及跨Internet的安全通 信的能力,有很广泛的应用范围,如通过Internet 进行的企业部门之间 的安全连接、通过Internet进行安全的远程访问、合作伙伴之间外网和 内网的连接以及安全的电子商务等。 IPSec之所以能够应用于许多不同的应用领域,主要是因为IPSec可以 加密和/或认证IP层的所有数据流。因此,所有的分布式应用,包括远 程登录、客户/服务器系统、电子邮件、文件传输、Web访问等,都可 以通过应用IPSec机制来增强安全性。
Windows Server 2003服务器配置
Windows Server 2003服务器配置一、DNS服务器的安装与配置实训目的1.掌握DNS服务器的相关配置。
2.完成DNS客户端的域名解析设置。
3.完成DNS服务的验证。
实训设备与环境一台Windows 2003 Server 域控制器,一台Windows xp Professional客户机。
两台机器按如图1所示,完成相关的设置。
图1 DNS服务配置实例图有图有真相实训内容1.DNS服务器的安装2.DNS客户端设置3.DNS服务器的配置与管理实训步骤1.如果在安装域控制器时,已经选择安装DNS服务器,则不需要再进行二次安装,如果原来没有DNS服务器;也可以单独安装DNS。
主要包括以下步骤:(1)选择一台已经安装好Windows 2003的服务器(名称为),确认其已安装了TCP/IP协议,先设置服务器自己TCP/IP协议的属性。
(2)运行【开始】/【设置】/【网络和拨号连接】,鼠标右键单击【本地连接】,选择【属性】/【Internet协议(TCP/IP)】/【属性】,设置IP地址为192.168.100.1,子网掩码为255.255.255.0,DNS服务器地址为192.168.100.1。
(3)运行【控制面板】中的【添加/删除程序】选项,选择【添加/删除Windows组件】。
(4)选择【网络服务】复选框,并单击【详细信息】按钮。
(5)在【网络服务】对话框中,选择【域名系统(DNS)】,单击【确定】按钮,系统开始自动安装相应服务程序。
除组件添加方式也可以采用网络服务管理器.......实现添加DNS。
2.完成DNS客户端设置。
(1)选择一台装有Windows xp Professional的客户机(名称为work),确认其已安装了TCP/IP协议,设置TCP/IP协议的属性。
(2)运行【开始】/【设置】/【网络和拨号连接】,鼠标右键单击【本地连接】,选择【属性】/【Internet协议(TCP/IP)】/【属性】,设置IP地址为192.168.100.2,子网掩码为255.255.255.0,DNS服务器地址为192.168.100.1。
Windows Server 2003 Service Pack 1 部署
Windows Server 2003 Service Pack 1 自述文件(Readmesp)Service Pack 1 (SP1) 简介本文档提供有关Microsoft® Windows Server™ Service Pack 1 (SP1) 的重要信息。
SP1 中包含的更新有助于提高操作系统的安全性、可靠性以及性能。
我们建议您安装SP1,因为其中包含的更新可以改善某些程序在Windows Server 2003 操作系统上的运行效率。
在安装SP1 之前,请务必阅读此文档。
文档中描述了如何安装SP1,并且提供了可能适用于您的安装的某些特定信息。
您可以安装SP1 来更新下列Windows Server 2003 操作系统版本:•Windows Server 2003, Standard Edition•Windows Server 2003, Enterprise Edition•Windows Server 2003, Datacenter Edition•Windows Server 2003, Web Edition•基于Itanium 的Windows Server 2003 版本注意如果您运行的是Windows Server 2003, Datacenter Edition,那么在安装SP1 之前,请与您的OEM 联系。
OEM 应负责对带有service pack(例如SP1)的Windows Server 2003, Datacenter Edition 进行测试。
如果您向OEM 订阅了更新,那么他们应该为您提供SP1,同时为您提供或指导您获取经过更新的适配器驱动程序和实用程序。
如果系统需要自定义的HAL,OEM 也应提供这样的额外项目。
您无法更新Windows Server 2003 的x64 版本。
有关此类产品的支持信息,请与OEM 联系,并查看Windows Server 2003 x64 网站。
Windows 2003安全配置向导(SCW)
易用性和安全性的平衡——Windows 2003安全配置向导(SCW)作者:“在试图发现并利用网络或计算机系统中的每一个开放的端口,每一个细小的漏洞的过程中,黑客们对各种复杂的技术进行了细致的解剖。
在做这些事情的时候,他们就像神经外科专家做手术时那么精确。
”——JoelScambray微软公司在设计和开发产品时是以最大限度的易用性为出发点的,正是因为这一点,它们才会如此地受到欢迎。
很多人都忽略了一个这样的事实:安全问题是一种“零和”游戏——越是容易使用的东西,对它进行安全防护所需花费的时间和努力也就越多。
如果把100%的安全性和100%易用性看做信息安全问题的两个极端,那么,100%的安全性就意味着0的易用性,而100%的易用性则相当于0安全性。
我相信微软不会一直玩着这个游戏,下面我们就用Windows 2003安全配置向导(SCW)来这一游戏规则吧。
剖析了解SCW近日微软终于发布Windows Server 2003中文补丁包SP1,除了对系统中存在的漏洞进行修补外,还新增了一些实用功能,特别是安全配置向导(Security Configuration Wizard,简称SCW)功能,它成为Windows 2003 SP1新增功能中的亮点。
安全配置向导(SCW)是一个新增的安全配置功能,它可以最大限度地缩小服务器的受攻击面。
其实做安全管理的人士都明白一个原则,已知的远程攻击手段都与系统中运行的服务有关,因此,只要阻断有关的访问通道或者禁用有关的服务,就不会给相关的攻击手段留下可乘之机。
利用SCW所提供的功能,网管能非常轻松地完成服务器角色的指定,禁用不需要的服务和端口,配置服务器的网络安全,配置审核策略、注册表和IIS服务器等工作,对巩固服务器的安全有极大的帮助。
同时,由于整个配置过程都是在向导对话框中完成的,无需繁琐的手工设置,非专业的安全管理人员一样可以顺利完成服务器加固工作。
开启SCW要使用SCW功能集成到Windows 2003系统的SP1补丁包,但做到这一步还暂时不能使用,我们要手动的开启SCW服务功能。
Windows20002003服务器配置
3. 创建额外域控制器
目 的:为配置额外域控制器,同步AD
要 点:DNS,额外域控制器(额外域控制器,也有人叫辅助域,或者备份域)
--------------------------------------------------------------------------------------------------
4.6 出来一个界面,让填域名,上面是父域的名字(),中间填入son,下面自动完成,显示全名为
4.7 完成其他选项
4.8 完成后,在server3的 ad user and computer中的domain controller ou中可以找到server3的计算机帐号
5.4 在位置集区,新增排除范围192.168.10.100-192.168.10.200供保留区使用
5.5 保留区,为要指定Ip的电脑配置保留地址,如,mac地址为0c12312300,IP地址为192.168.10.101
5.6 在领域选项,路由器选项可以指定网关,DNS服务器指定DNS,名称服务器制定Wins服务器
4.9 在dns的这个zone中可以找到关于server3的srv记录
5. 安装DHCP服务
目 的: 在server1上安装DHCP服务
要 点: DHCP、领域、地址保留、AD授权、地址分配
Windows 2003 Server安全配置技术技巧
Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
功能还可以!Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。
实验5-Windows-2003-WWW、FTP服务器的配置与管理
实验5-Windows-2003-WWW、FTP服务器的配置与管理实验目的本实验旨在让学生通过实现Windows 2003服务器上的WWW、FTP服务的配置和管理,掌握Windows Server的基本操作方法,提高对服务器基本概念的理解。
实验环境•虚拟机软件:VMware Workstation 14 Pro•操作系统:Windows Server 2003 Enterprise Edition实验步骤配置WWW服务1.打开“服务器管理器”,打开“管理控制台”选项卡,选择“添加或删除组件”。
2.在“组件向导”中,选择“Internet 信息服务(IIS)”选项,并确定。
3.在“Searching for Required Files”对话框中,如果需要,可以插入Windows 2003安装光盘。
4.点击“完成”后,IIS将被安装和配置为Windows 2003服务器上的WWW服务。
管理WWW服务1.进入IIS管理界面,在“目录树”中选择“默认网站”。
2.在右侧选择“属性”选项卡,可以设置该网站的基本属性和默认文档。
3.点击“主页”选项卡,可以设置网站的主页信息。
4.点击“虚拟目录”选项卡,可以管理和创建虚拟目录。
5.该网站在IIS中的WWW服务的默认端口为80,修改该端口可以在“WWW服务扩展”中设置。
配置FTP服务1.打开“服务器管理器”,选择“角色”选项卡,点击“添加角色”。
2.在“添加角色向导”中,选择“应用程序服务器”选项,并确定。
3.选择“Internet 信息服务(IIS)”和“FTP服务器”选项,并完成向导。
4.在“FTP站点向导”中,选择“新建FTP站点”,并完成创建。
5.可以在IIS管理界面的“FTP站点”中修改FTP服务的基本设置。
管理FTP服务1.进入IIS管理界面,在“目录树”中选择“默认FTP站点”。
2.在右侧选择“属性”选项卡,可以设置FTP站点的基本属性和连接信息。
Windows 2003 Server 服务器安全配置(完全版)
Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services 中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
Windows_Server_2003服务器配置与管理(实验课件)
Windows Server 2003服务器配置与管理7.1 IIS服务器配置与管理IIS 6.0和Windows Server 2003在网络应用服务器的管理、可用性、可靠性、安全性与可扩展性方面提供了许多新的功能,增强了网络应用的开发与国际性支持,同时提供了可靠的、高效的、完整的网络服务器解决方案。
本节对IIS(Internet Information Server,互联网信息服务器)服务进行了概述,并在此基础上分别对WWW服务和FTP服务的工作原理进行了简要介绍。
7.1.1 IIS服务概述IIS是一种Web网页服务组件。
它是微软公司主推的服务器,最新的版本是Windows Server 2003里面包含的IIS 6.0。
IIS支持HTTP协议、FTP协议以及SMTP协议等。
IIS的一个重要特性是支持活动服务器网页(Active Server Pages,ASP)。
自从IIS 3.0版本以后引入了ASP,就可以很容易地发布动态Web网页内容和开发基于Web网页的应用程序。
对于诸如VBScript、JavaScript等开发的软件,或者由Visual Basic、Java、Visual C++等开发的系统,以及现有的公用网关接口(Common Gateway Interface,CGI)和WinCGI 脚本开发的应用程序,IIS都提供强大的本地支持。
7.1.2 WWW服务工作原理万维网(World Wide Web,WWW)是一个基于超文本(Hypertext)方式的信息查询工具,其最大特点是拥有非常友善的图形界面、非常简单的操作方法以及图文并茂的显示方式。
WWW系统采用客户机/服务器结构。
在客户端,WWW系统通过Netscape Navigator 或者Internet Explorer等工具软件提供了查阅超文本的方便手段。
在服务器端,定义了一种组织多媒体文件的标准——超文本标记语言(HyperText Markup Language,HTML),按HTML格式储存的文件被称作超文本文件。
windows2003server域服务器配置说明
把一台成员服务器提升为域控制器目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows 组件”,则可以看到如下画面:向下搬运右边的滚动条,找到“网络服务”,选中:默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。
在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。
然后点击“下一步”:在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:既然是第一台域控,那么当然也是选择“在新林中的域”:在这里我们要指定一个域名,我在这里指定的是,这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。
Windows server 2003服务器配置
一.Windows2000 server 的安装,配置安装活动目录(Active Directory):选择“开始”→“程序”→“管理工具”→“配置服务器”,单击“下一步”。
单击对话框中的“Active Directory”,出现安装向导并由此配置直到安装成功。
创建工作组:启动WIN2000 SERVER,并以系统管理员(administrator)的身份登陆服务器。
选择“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”,并在其中创建组,在组中加入用户。
添加IIS (Internet信息服务)操作:控制面板→添加/删除程序→添加/删除Windows组件→Internet信息服务→全选二.DNS服务器的配置DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。
用户可以在该向导的指引下创建区域。
第1步,在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮,打开“选择配置操作”向导页。
在默认情况下适合小型网络使用的“创建正向查找区域”单选框处于选中状态。
第2步,打开“主服务器位置”向导页,如果所部署的DNS服务器是网络中的第一台DNS服务器,则应该保持“这台服务器维护该区域”单选框的选中状态,将该DNS服务器作为主DNS服务器使用,并单击“下一步”按钮第3步,打开“区域名称”向导页,在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“”),单击“下一步”按钮第4步,在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。
该文件是一个ASCII文本文件,里面保存着该区域的信息,默认情况下保存在“windowssystem32dns”文件夹中。
保持默认值不变,单击“下一步”按钮第5步,在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。
允许动态更新可以让系统自动地在DNS中注册有关信息,在实际应用中比较有用,因此点选“允许非安全和安全动态更新”单选框,单击“下一步”按钮第6步,打开“转发器”向导页,保持“是,应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。
windowsserver2003系统的管理和配置
项目工作过程拆分任务实施工作单进入安装界面进行选择,有三个选项,选择“现在安装弹出微软的安装许可协议,只有同意才能继续进行,按F8进入到硬盘分区界面,第一次安装系统时磁盘(硬盘)没有分区,要先进行分区,把光在箭头处输入这个分区的容量后按enter,(按照任务要求进行输入)注意容量的单位是MB(注意MB和GB之间的换算,1GB = 1024MB)箭头所指的地方就是我们刚才创建的分区,这时可以直接在这个分区上安装系统了。
另一种情况是如果硬盘上已经有分区,这时你要自己决定在哪个分区上安装系统格式化硬盘进行中……系统正在从系统光盘往硬盘里复制重要的系统文件。
系统首次启动,需要几分钟的时间等待。
进入到窗口化的安装界面,这个过程还需要设置一些选项,大概需要、输入你的姓名和单位名称,按照任务要求进行输入。
、输入微软授权的序列号,如果你购买的是正版系统,会有一个序列号。
、输入计算机的名字和系统管理员的密码(系administrator )按照任务要求进行输入。
、设置系统的日期和时间以及所在的时区。
、设置系统的工作组名称,如果要加入域,则要设置域的名称,入。
、经过短暂的等待,整个系统已经安装完毕。
通过组合键任务工作单选择虚拟硬盘的类型。
硬盘添加成功后,power on启动虚拟机。
进入系统后,打开我的电脑查看硬盘的信息。
、把刚才添加的四个硬盘都选上,都升级为动态磁盘,为架设磁盘阵列(准备。
这时系统已经识别了这四块硬盘,每块硬盘的容量是2GB 硬盘还没有分区,还不能正常使用。
弹出新建卷的向导,点击“下一步”选择动态磁盘的类型,我们首先创建RAID 1磁盘1已经添加到镜像卷阵列当中,我们再把磁盘2添加进去,需要对卷进行格式化,文件系统必须要选择NTFS,把执行快速格式化查看磁盘阵列创建的结果删除卷的操作删除前一定要备份卷上的数据,否则删除卷以后,原来卷上的数据就会全部丢失,删除RAID5 至少选择三个或三个以上磁盘,我们四个磁盘都选上来组建配置成功,查看磁盘阵列的信息。
在Windows Server 2003系统安装“安全配置向导”组件
在Windows Server 2003系统安装“安全配置向导”组件
对于使用Windows Server2003系统的服务器,用户可以借助“安全配置向导”功能通过创建“安全策略”来最大限度地增强服务器的安全性能。
默认情况下“安全配置向导”并没有被安装,用户需要通过Windows组件向导手动安装。
操作步骤如下所述:
第1步,在“控制面板”窗口中双击“添加或删除程序”图标,打开“添加或删除程序”窗口。
然后单击左窗格中的“添加/删除Windows组件”按钮。
第2步,打开“Windows组件向导”。
在“组件”列表中选中“安全配置向导”复选框,并单击“下一步”按钮。
在安装过程中需要插入系统安装光盘,如图2008123101所示。
图2008123101 选中“安全配置向导”复选框。
Windows Server 2003服务器配置总结
Windows Server 2003服务器配置总结Windows Server 2003服务器配置总结Author:flymorn Source:flymornCategories:电脑技术PostTime:2011-5-11 1:10:19正文:由于需要,飘易目前有在使用美国服务器/vps,系统为Windows Server 2003英文企业版,由于配置win2003涉及很多细节,为了以后方便,飘易就在这篇文章里做个汇总总结。
1、如何汉化Windows Server 2003英文系统?英文的win2003如果想使用汉化版,需要下载中文语言包MUI。
中文语言包:MUI_Windows_server_2003_r2_cd2.iso,2003的语言包大小486M。
以下下载包含German、Japanese、Korean、Chinese (Simplified)、Chinese (Traditional),下载后运行解压缩后的文件夹里的0804.MSI 进行安装即可。
下载地址:ed2k://|file|MUI_Windows_server_2003_r2_cd2.iso|509810 688|B34258BEAD3E4B51106689A1B3479884|(请用电驴下载,网址:/ 或者/,迅雷也可以下载)另外补充win2003下载信息:中文名称:Windows Server 2003 R2 VL 简体中文企业版英文名称:Windows Server 2003 R2, Enterprise Edition - VL资源类型:ISOCD1、2是中文企业版,CD3、4是英文企业版。
下载地址:CD1:ed2k://|file|sc_win_srv_2003_r2_enterprise_vl_cd1.iso|609 118208|579CDAD487A1A26EF056D855729B3F24|CD2:ed2k://|file|sc_win_srv_2003_r2_enterprise_vl_cd2.iso|140 273664|B30D6817136C93AA18BDBAE13DD70C58|CD3:ed2k://|file|en_win_srv_2003_r2_enterprise_vl_cd1.iso|594 524160|4671274F8DD811086AD07662F2B3BCAC|CD4:ed2k://|file|en_win_srv_2003_r2_enterprise_vl_cd2.iso|126 810112|B49ACBB474A0752*******CF21484C0B|-----------------------------2、如何安装IIS 6.0?因为win2003服务器没有集成iis,所有需要手动安装iis6。
第3章 Windows Server 2003基本设置
3.1 桌面、显示类型、控制面板
3.1.2 文件夹选项
设置文件夹选项步骤如下: 设置文件夹选项步骤如下: 打开“我的电脑”窗口,选择“ (1)打开“我的电脑”窗口,选择“工 文件夹选项”命令,弹出“文件夹选项” 具”→“文件夹选项”命令,弹出“文件夹选项” 对话框。 “常规”选项卡的“任务”选项区域。 对话框设置 常规”选项卡的“任务”选项区域。 。 (2)设置“ 设置“浏览文件夹”选项。 (3)设置“浏览文件夹”选项。 设置“打开项目的方式” (4)设置“打开项目的方式” 。 设置“查看”选项卡。 (5)设置“查看”选项卡。 设置“高级设置” 中文件和文件夹视图。 (6)设置“高级设置” 中文件和文件夹视图。
Windows Server 2003 网络操作系统
3.1 桌面、显示类型、控制面板
3.1.3 控制面板
• 鼠标 • 添加或删除程序 • 添加硬件 • 网络连接 • 文件夹选项 • 系统 • 显示 • 游戏控制器 • 语音 • 字体
Windows Server 2003 网络操作系统
• 管理工具 • 键盘 • 区域和语言选项 • 任务计划 • 日期和时间 • 扫描仪和照相机 • 声音和音频设备 • 授权
Windows Server 2003 网络操作系统
3.3 硬件管理
3.3.3 硬件配置文件
硬件配置文件”对话框。 (1)选择 “硬件配置文件”对话框。 (2)在列表框中删除某个硬件配置文件。 在列表框中删除某个硬件配置文件。 (3)要复制硬件配置文件。 要复制硬件配置文件。 (4)从列表选择硬件配置文件。 从列表选择硬件配置文件。 (5)设定系统等待用户选定硬件配置文件的 时间。 时间。 (6)保存在当前的硬件配置文件。 保存在当前的硬件配置文件。
Windows_Server_2003_服务器安全配置整理
二、用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。
为了保险起见,最好给Guest加一个复杂的密码。
你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户去掉所有的Duplicate User用户、测试用户、共享用户等等。
用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。
尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
这样可以让那些Hacker 们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
三、系统权限的设置1、磁盘权限系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给Administrators 组和SYSTEM 的完全控制权限另将<systemroot>\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows server 2003 安全配置向导部署安全配置向导 (SCW) 是一个工具,可减少Windows Server 2003 的计算机的攻击面。
它可确定服务器的一个或多个角色所需的最少功能,并且禁用不需要的功能。
特别是,SCW 有助于创建和部署具有如下功能的安全策略:∙禁用不需要的服务。
∙阻止不使用的端口。
∙允许保持打开状态的端口的其他地址或安全限制。
∙禁止不需要的 Internet 信息服务 (IIS) Web 扩展(如果适用)。
∙减少对于服务器消息块 (SMB)、LAN Manager 和轻型目录访问协议 (LDAP) 的协议暴露。
∙定义高信噪比审核策略。
SCW 会指导您完成基于选定的服务器角色创建、编辑、应用或回滚安全策略的过程。
本部署指南将指导您完成将 SCW 和 SCW 策略部署到运行带有 SP1 的 WindowsServer 2003 的计算机上的过程。
安装和运行 SCW 的要求SCW 随 Windows Server 2003 SP1 一起提供,但是仅用于运行带有 SP1 的 Windows Server 2003 的计算机。
它并非旨在用于 Microsoft Small Business Server 或Windows XP Professional 之类的客户端操作系统。
SCW 部署概述SCW即为Security Configuration Wizard,安全配置向导。
SCW主要功能:配置服务(Services)、网络安全(Network security)、审核(Auditing)、注册表(Registry)…. 使用全策略来完成这些目标。
SCW安装步骤:1.添加删除Windows组件2.添加“安全配置向导”SCW 部署打开- 开始- 所有程序管理工具–安全配置向导,启动SCW后,将会看到下图的这样一个欢迎界面:在这里,我们可以创建一个安全策略(Create);编辑一个安全策略(Edit);应用现有安全策略(Apply);回滚(Rollback)。
选择创建安全策略的话,安全策略将以XML格式文件保存,使用.xml扩展名,默认的安全模板存储位于C:\Windows\security\msscw\policies,最好是为每一个策略提供一个描述,这样对于拥有多策略的情况下是非常有用的。
在这里我们要创建一新的策略,选取第一选项然后点击Next,然后会便开始进行处理,(如果使用的系统是R2的服务器必须打上SP2补丁)首先它将生成一个安全配置数据库,在这里我们可以选择“查看配置数据库”,里面显示了所有的角色设置,包括已经安装和未安装以及启用与禁用的。
这个数据库就是一个参考,为我们后面的选择配置提供参照了简介。
继续下一步,再次出现一个Welcome界面,在这里,便开始进入到另一个阶段了,创建SCW 安全策略文件如何创建SCW 安全策略文件。
创建安全策略1.依次单击“开始”、“管理工具”,然后单击“安全配置向导”。
2.阅读“欢迎”页,然后单击“下一步”。
3.选择“创建新的安全策略”,然后单击“下一步”。
4.键入原型服务器的名称,然后单击“下一步”。
5.等待安全配置数据库处理完毕,然后单击“下一步”。
6.对于接下来的五个向导页的每一页,只需单击“下一步”即可:∙“基于角色的服务配置”页。
∙“选择服务器角色”页。
∙“选择客户端功能”页。
∙“选择管理和其他选项”页。
∙“选择其他服务”页。
7.在“处理未指定的服务”页上,单击“下一步”。
8.对于接下来的20 个向导页的每一页,只需单击“下一步”即可:∙“确认服务更改”页。
∙“网络安全”页。
∙“打开端口并确认应用程序”页。
∙“确认服务更改”页。
∙“确认端口配置”页。
∙“注册表设置”页。
∙“要求SMB 安全签名”页。
∙“要求LDAP 签名”页。
∙“出站身份验证方法”页。
∙“使用域帐户的出站身份验证方法”页。
∙“注册表设置摘要”页。
∙“审核策略”页。
∙“系统审核策略”页。
∙“审核策略摘要”页。
∙“Internet 信息服务”页。
∙“选择动态内容的Web 服务扩展”页。
∙“选择一个要保留的虚拟路径”页。
∙“阻止匿名用户访问内容文件”页。
∙“IIS 设置摘要”页。
∙“保存安全策略”页。
9.在“安全策略文件名”页上,键入原型策略的名称,然后单击“下一步”。
不要使用原型计算机的名称命名安全策略,因为scwcmd.exe 使用computername.xml保存分析结果,而您也不希望安全策略与分析结果具有相同的名称。
这样会造成混乱或覆盖的风险。
10.在“正在完成安全配置向导”页上,单击“完成”。
部署SCW 安全策略文件使用SCW 创建的安全策略文件将生成为 .XML 文件,这些文件默认保存到%systemdir%\security\msscw\Policies 中。
可以使用SCW 用户界面或SCW 中随附的scwcmd.exe 命令行工具部署这些文件。
使用SCW 用户界面此方法最适合于单个服务器。
要将SCW 安全策略应用到多个服务器,请改用命令行方法或组策略。
将SCW 安全策略应用到服务器1.依次单击“开始”、“管理工具”,然后单击“安全配置向导”。
2.阅读“欢迎页”,然后单击“下一步”。
3.在“配置操作”页上,选择“应用现有安全策略”,键入该策略的完整路径和文件名,然后单击“下一步”。
4.在“选择服务器”页上,键入要应用策略的服务器的名称,然后单击“下一步”。
5.在“应用安全策略”页上,单击“下一步”。
6.在“正在应用安全策略”页上,等待处理完成,然后单击“下一步”。
7.在“正在完成安全配置向导”页上,单击“完成”。
SCW 安全策略文件到组策略对象(GPO) 的转换SCW 安全策略文件转换为GPO。
SCW 将其安全策略保存为 .xml 文件,并且Scwcmd.exe 命令行工具允许使用scwcmd transform命令转换这些文件并将其保存为GPO。
SCW 用户界面本身不支持GPO。
Scwcmd transform。
创建新的GPO 并定义这些组策略扩展的设置:∙安全设置。
包含服务设置、注册表值、审核策略和已导入到SCW XML 策略的安全模板设置。
∙IP 安全策略。
包含SCW 策略中定义的IPsec 配置。
∙Windows 防火墙。
包含SCW 策略中定义的Windows 防火墙设置。
所有在SCW 策略中定义的Internet 信息服务(IIS) 设置都会在scwcmd transform操作期间丢失,因为组策略不支持配置IIS 设置。
创建GPO 之后,管理员必须使用“Active Directory 用户和计算机”或“组策略管理控制台(GPMC)”将GPO 手动链接到目标组织单位(OU)。
以本地组策略格式保存SCW 安全策略在命令提示符下,键入scwcmd transform /p:PathAndPolicyFileName /g:GPODisplayName其中,PathAndPolicyFileName是您先前使用SCW 创建的策略,包括它的 .xml 文件扩展名,而GPODisplayName是组策略对象(GPO) 在组策略对象编辑器或组策略管理控制台(GPMC) 中出现时所使用的名称。
将组策略和Active Directory 与SCW 一起使用SCW 并非组策略中可用安全设置的替代;它是一个补充Active Directory 及其策略结构的安全工具,增强常见Active Directory 工具(例如,Active Directory 用户和计算机管理单元)对您的功用。
Active Directory 最佳操作包括使用“Active Directory 用户和计算机”将计算机对象分为多个组织单位(OU) 以便于管理。
这样有助于使用组策略对象(GPO) 部署SCW 策略。
您可以通过使用SCW 用户界面将服务器变为原型服务器来创建SCW 安全策略,然后使用scwcmd.exe 将其转换为GPO,最后将GPO 链接到OU。
如果OU 中的所有服务器在功能上都相似,那么这些服务器都会接收SCW 创建的安全策略。
组策略对象编辑器组策略对象编辑器是随Active Directory 一起提供的用户和计算机配置管理工具。
组策略设置包括组策略对象编辑器中的安全设置,尽管这些安全设置在显示和处理上与多数其他组策略设置不同。
例如,安全设置在注册表中持久有效,但是每当刷新策略时,都会重新写入组策略管理模板设置。
组策略对象编辑器用于编辑所有组策略对象,包括那些从SCW 格式转换来的对象。
因此,SCW 通过提供适合于服务器类型的GPO,使得组策略对象编辑器更加有用。
组策略管理控制台组策略管理控制台(GPMC) 满足了在Active Directory 环境中易于分析、规划和备份策略的需求,在这种环境中,经常将多个GPO 应用到同一个系统,并且自定义的OU 排列会影响继承。
可以通过免费下载来获得GPMC。
它支持所有企业范围的组策略任务,但不支持编辑单个GPO,该操作仍由组策略对象编辑器执行。
GPMC 专门用于将GPO 链接到OU。
链接是一种机制,GPO 通过这种机制应用到OU 内的用户和计算机。
如果使用组策略对象编辑器编辑包含SCW 安全策略的GPO,则请注意在组策略对象编辑器中手动创建的安全设置优先于使用SCW 应用的相同设置。
如果SCW 创建的设置转换为GPO,则按照一般GPO 继承规则做出优先使用哪类设置的决策。
安全模板和优先顺序除了使用SCW 创建安全策略之外,您还可以使用安全模板来应用安全设置。
安全模板是一些 .inf 文件,例如,默认位于%systemroot%\security\templates\ 中的securedc.inf。
您可以在以下位置查看组策略对象编辑器和GPMC 中的安全模板设置:GPO 名称\计算机配置\Windows 设置\安全设置\使用SCW 用户界面(而不使用安全模板)执行的配置更改与单独使用安全模板执行的配置更改部分重叠。
每个配置更改集都不能完全包含另一个配置更改集。
例如,SCW 用户界面包括并未包括在任何安全模板中的IIS 设置。
相反,安全模板可以包括诸如软件限制策略之类的项目,这些项目不能通过SCW 用户界面进行配置。
有些配置更改[例如,IP 安全(IPsec) 策略] 可以使用以下三种方法设置:使用SCW 用户界面;将安全模板附加到本地SCW 策略文件(.xml 文件);或同时使用上述两种方法。
但是,如果同时使用这两种方法,便可使用本部分稍后说明的优先顺序规则来解决冲突的策略设置。
此外,scwcmd.exe 命令行工具及其转换选项支持通过SCW 策略创建新的、未链接的GPO。