Windows_Server_2008安全配置需要注意的几点
第二章WindowsServer2008安装和配置
实验案例1:安装Windows Server 2008
需求描述
Benet公司新购置了一批服务器,网络管理员需要为这 些服务器安装Windows Server 2008企业版,用于在 网络中提供文件和打印服务
文件服务器
打印服务器
20
实验案例1:安装Windows Server 2008
40分钟完成
22
实验案例2:配置Windows Server 2008
需求描述
Benet公司网络管理员安装好操作系统后,需要:
查看系统属性 查看硬件信息 添加文件服务角色 添加远程协助功能
23
实验案例2:配置Windows Server 2008
实现思路
查看系统属性 使用设备管理器查看硬件信息 通过服务器管理器添加服务和功能 以管理员身份运行服务器管理器
XP Professional、Windows Vista
服务器(Server)
在网络中为客户机提供各种服务的专用计算机,如提供Web、 邮件服务的计算机
通常硬件配置比普通PC要高 常用操作系统如Windows 2000 Server、Windows Server
2003、Windows Server 2008
安装Windows Server 2008
配置Windows Server 2008
硬件要求 安装步骤 注意事项
初始配置 角色和功能
使用帮助
3
网络管理方式
对等网模式
无统一集中的管理 适用于小型网络
4
网络管理方式
客户机/服务器模式
客户机(Client)
终端用户所使用的计算机 常用操作系统如Windows 2000 Professional、Windows
Windowsserver2008服务器配置知识点总结
Windowsserver2008服务器配置知识点总结1. 系统内部使⽤安全标识符来识别⽤户的⾝份。
(SID)2. 系统内置账户Administartor 管理⽤户和来宾⽤户(Guest)3. 账户类型分为本地⽤户,域⽤户,组账户。
根据服务器⼯作模式分为⼯作组和域。
4. ⼯作组模式下,本地⽤户的账户信息存储在SAM中。
域模式下,⽤户账户存储在DC中。
5. 活动⽬录中,组按照能够接受的范围分为本地域组,全局组和通⽤组。
6. ⼯作组(计算机之间是平等的,⼯作组可以跨⼯作组访问)和域环境(必须有DC)本地⽤户和域⽤户。
7. Win2008的三种⾓⾊域控制器,成员服务器,独⽴服务器。
安装win2008内存不低于512MB,硬盘可⽤空间不低于10GB,只⽀持64位版本。
8. AD是活动⽬录,域(逻辑单位)就是共享同⼀份AD数据库(DC(域控制器)⾥边)的计算机所组成的集合。
AD数据库⽂件保存在%systemRoot%中。
9. AD数据库中包含⽤户账户,⽤户密码,计算机账户,权限设定。
10. 每⼀个window域都需要⼀个唯⼀的域名与之对应。
(DNS域名和LDAP域名两种格式)DNS服务器是⽤来解析DNS域名。
域名空间连续的称为⼀个域树,两个域树形成域森林。
信任关系:双向可传递的。
11. 站点代表⽹络的物理结构或拓扑,是⼀组有效连接的⼦⽹,站点和域不同,站点代表⽹络的物理结构,⽽域代表组织的逻辑结构。
12. Ou组织单位也是⼀个容器,⽐喻⼩⼀个规模的容器。
⼀个⽤户账号只能属于⼀个Ou⽽⽤户账号可以加⼊多个组中,所以OU是管理模型,⽽组是权限和权⼒的划分。
13. OU是活动⽬录的⼀种对象,可以将安全策略应⽤域OU,ou是AD的容器,在其中存放⽤户,组,计算机和其他OU14. 特殊规则:读,写,取得所有权。
15. 拒绝优先,组规则⽆冲突时,执⾏累加规则。
16. ⽂件移动复制规则继承:同⼀磁盘移动将会保留⽂件原有权限,其它都是随着⽬标地址的规则⽽改变。
win2008配置要求以及详细优化
win2008配置要求以及详细优化MS公布了全新SERVER OS 2008以来,反响强烈。
经过在下亲自使用过后感觉不错,现将自己的心得体会整理后发表出来供大家参考。
安装WINDOWS SERVER 2008前请确认你已经做好了以下准备:1.你的硬件必须满足下列要求处理器:最小: 1GHz 建议: 2GHz 最佳: 3GHz 或者更快速的内存:最小: 512MB RAM建议: 1GB RAM最佳: 2GB RAM (完整安装) 或者1GB RAM (Server Core 安装) 或者最大(32位系统): 4GB (标准版) 或者64GB (企业版以及数据中心版)最大(64位系統): 32GB (标准版) 或者2TB (企业版, 数据中心版, 以及Itanium-based 系統) 允许的硬盘空间:最小: 8GB建议: 40GB (完整安装) 或者10GB (Server Core 安装)最佳: 80GB (完整安装) 或者40GB (Server Core 安装) 或者其他要开启AERO,显卡硬件必须支持DX9.0和PS2.0(因为AERO会用到DX9和PS2.0的特效),最好有128MB以上显存2.下载WINDOWS SERVER 2008 ISO安装文件2008安装文件目前有RC0,RC1的32位和64位各5个版本,由于RC1没有官方的中文版,因此偶推荐下载RC0的官方简体中文版。
考虑到做为家用,因此推荐安装32位的RC0企业完整版。
3.到这个网址去申请官方正版的KEY,/zh-cn/bb383572.aspx最多一次可以申请到5个激活KEY,应该足够你用了。
做好以上准备后,我们来开始安装吧。
安装方法(以安装RC0 32位X86企业版为例,):A.将ISO文件用DVD刻录机刻成启动盘用光盘启动安装,安装过程和安装XP没什么区别,大家应该都很熟了,就不再重复了。
B.在现有操作系统上安装,这个或许不太为人熟知。
确保Server2008账户安全性的技巧
问 帐 号 的 具体 操 作 步 骤 : 首 先 以 特 权 帐 号 进 入 W id w nos S re 2 0 系 统 .打 开 该 系 统 桌 面 e r 08 v 中的“ 始” 单 , 中点选“ 行” 开 菜 从 运 命 令 .在 其 后 出 现 的 系 统 运 行 文 本 框 中 , 入 “ rd i ” 符 串 命 令 , 输 ce w z 字 单 击 回 车 键 后 。 系 统 将 会 自 动 弹 出 备
丢 失 现 象 , 网 络 管 理 员 只 要 借 助 W id ws e e 2 0 n o S r r 0 8服 务 器 系 统 的 v 账 号 还 原 功 能 ,就 可 以 快 速 地 将 丢
中的“ 始” 单 , 中点选 “ 行 ” 开 菜 从 运 命 令 ,在 其 后 出 现 的 系 统 运 行 对 话 框 中 , 输 入 字 符 串 命 令 “ p dt g e i.
2. 防 未 经 允 许 的 系 统 登 录 谨
偷 偷 登 录 系统 的 恶意 用 户帐 号 了 。
首 先 以 特 权 帐 号 进 入 W id ws no Sr e 2 0 系 统 , 打 开 该 系 统 桌 面 e r 08 v
个 用 户 账 号 备 份 功 能 。 来 在 用 户 账 号 正 常 运 行 的 时 候 , 将 存 储 在 服 务 器 系 统 中 的 所 有 用 户 账 号 数 据 备 份 转 移 到 其 他 存 储 介 质 中 , 以 后 即 使 系 统 遭 遇 了 瘫 痪 现 象 或 帐 号 发 生 了
单 位 或 自 己 的 隐 私 内 容 , 同 时 这 些
辑 窗 口左 侧 列 表 区域 中 的 “ 算 机 计
配 置 ” 支 选 项 上 , 依 次 点 选 该 分 分 再 支 选 项 下 面 的 “管 理 模 板 ”、 W i— “ n d ws组 件 ”、 W id ws登 录 选 项 ”子 o “ no 项 , “ id ws登 录 选 项 ” 项 对 在 W no 子 应 的 右 侧 显 示 区 域 中 用 鼠 标 双 击
Windows2008管理9--配置系统安全
最短密码长度 此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字 符之间,或者将字符数设置为 0 以确定不需要密码。 密码最短使用期限 此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以 设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。 密码最短使用期限必须小于密码最长使用期限, 除非将密码最长使用期限设置为 0, 指 明密码永不过期。 如果将密码最长使用期限设置为 0, 则可以将密码最短使用期限设置为介 于 0 和 998 之间的任何值。 如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。如 果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设 置没有遵从此建议, 以便管理员能够为用户指定密码, 然后要求用户在登录时更改管理员定 义的密码。如果将密码历史设置为 0,用户将不必选择新密码。因此,默认情况下将“强制 密码历史”设置为 1。 密码最长使用期限 此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间 ( 以天为单 位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指 定密码永不过期。 如果密码最长使用期限介于 1 和 999 天之间, 密码最短使用期限必须小 于密码最长使用期限。 如果将密码最长使用期限设置为 0, 则可以将密码最短使用期限设置 为介于 0 和 998 天之间的任何值。 注意: 安全最佳操作是将密码设置为 30 到 90 天后过期, 具体取决于您的环境。 这样, 攻击者用来破解用户密码以及访问网络资源的时间将受到限制。 默认值: 42。 强制密码历史
实验四WindowsServer2008系统安全配置(最新整理)
实验报告院系:信息与工程学院班级:学号姓名:实验课程:《网络安全技术实验》实验名称:实验四 Windows Server2008系统安全配置指导教师:实验四Windows Server 2008系统安全配置实验学时 2一、实验目的与要求1、了解Windows Sever 2008 操作系统的安全功能、缺陷和安全协议;2、熟悉Windows Sever 2008 操作系统的安全配置过程及方法;二、实验仪器和器材计算机一台VMware workstation 10 Windows Sever 2008操作系统三、实验原理网络防火墙及端口安全管理在“深层防御”体系中,网络防火墙处于周边层,而Windows防火墙处于主机层面。
和Windows XP和Windows 2003的防火墙一样,Windows Server 2008的防火墙也是一款基于主机的状态防火墙,它结合了主机防火墙和IPSec,可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护,可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。
与以前Windows版本中的防火墙相比,Windows Server 2008中的高级安全防火墙(WFAS)有了较大的改进,首先它支持双向保护,可以对出站、入站通信进行过滤。
其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。
使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。
而且WFAS还可以实现更高级的规则配置,你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
传入数据包到达计算机时,具有高级安全性的Windows防火墙检查该数据包,并确定它是否符合防火墙规则中指定的标准。
如果数据包与规则中的标准匹配,则具有高级安全性的Windows防火墙执行规则中指定的操作,即阻止连接或允许连接。
WindowsServer2008系统安全系统配置大全
Windows 2008服务器安全设置技术实例目录Windows 2008服务器安全设置技术实例 (1)一、服务器安全设置之--硬盘权限篇 (2)二、服务器安全设置之--系统服务篇(设置完毕需要重新启动) (13)三、服务器安全设置之--组件安全设置篇 (18)四、服务器安全设置之--本地安全策略设置(重要) (20)A、策略——>密码策略 (20)B、策略——>锁定策略 (20)D、本地策略——>用户权限分配 (21)E、本地策略——>安全选项 (21)五、服务器安全设置之--本地安全策略-IP安全策略 (22)六、服务器安全设置之--高级安全windows防火墙(掌握好很重要) (23)七、服务器安全设置之--本地安全策略-高级审核策略配置 (24)a. 系统审核策略——>登录 (24)b. 系统审核策略——>管理 (24)c. 系统审核策略——>详细跟踪 (25)d. 系统审核策略——>DS访问 (25)e. 系统审核策略——>登陆/注销 (25)f. 系统审核策略——>对象访问 (25)g. 系统审核策略——>策略更改 (25)h. 系统审核策略——>特权使用 (25)八、服务器安全设置之--远程桌面服务策略 (26)九、服务器安全设置之--组策略配置(掌握好很重要) (26)十、服务器安全设置之--用户安全设置 (28)十一、选配—防御PHP木马攻击的技巧 (30)一、服务器安全设置之--硬盘权限篇这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。
本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了(注:红色背景为主要审查配置对象)。
注:其他应用程序相关权限,除主要的权限访问继承上一级文件夹以外,需对指定的文件夹或文件进行单独的权限设置,规则按最小权限给予。
Windows_Server_2008安全配置
Windows Server 2008安全配置基础一、及时打补丁,不要安装系统的自带的更新,盗版软件是不支持此更新的,可以使用第三方软件进行系统更新,打漏洞补丁二、阻止恶意Ping攻击,严禁外网ping 次服务器我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。
为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击:首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;协议类型列表中选中“ICMPv4”,之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。
完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。
WindowsServer2008配置系统安全策略
WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略,密码策略,密码过期默认42天服务账户设置成永不过期,帐户锁定策略,本地策略,审核策略,计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。
1.在⼯作组中的安全策略,打开本地安全策略。
2.打开本地安全策略之后选择密码策略,可以看到有很多的策略,先看第⼀个密码复杂性要求。
3.打开密码必须符合复杂性要求,默认是打开的,我们在设置密码的时候,不能设置纯数字或者纯字母,必须要有数字加⼤⼩写。
4.密码长度最⼩值,这个是设置密码最低⼩于⼏位数,默认是0,这⾥修改为6位,在设置密码的时候必须满⾜6位,包括数字字母⼤⼩写或者特殊符号。
5.密码最短使⽤期限,默认是0天这⾥设置为30天,在30天不会提⽰你修改密码,必须要使⽤30天才能改密码。
6.密码最长使⽤期限,默认是42天,这⾥修改为60天超过60天之后会提⽰让你修改密码。
7.强制密码历史,这个选项是你修改密码时不能⼀样,默认是0,这⾥设置为3次,修改3次密码之后才能修改回第⼀次使⽤的密码。
8.打开账户锁定策略,账户锁定值默认是0次,可以设置5次超过5次就会把这个账户锁定,为了防⽌别⼈⼊侵你的电脑,等待半个⼩时之后就会⾃动解锁,或者联系管理员⾃动解锁。
9.账号锁定时间,默认是30分钟⾃动解锁,也可以⾃⼰修改,这⾥修改为3分钟⾃动解锁。
10.现在lisi这个⽤户输错五次密码,就算输⼊正确的密码,提⽰账户已锁定,⽆法登录。
11.打开服务器管理器,选择本地⽤户和组,可以查看lisi这个⽤户,输错5次密码之后账户已锁定,管理员可以⼿动把这个勾去掉,然后确定就能登⼊了,或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。
12.打开本地策略,选择审核登录事件,默认是⽆审核,这⾥我勾选成功跟失败,然后确定。
13.打开事件查看器,选择安全把⾥⾯的事件先全部删除,然后使⽤lisi远程登录到这台计算机。
9种方式打造安全的Win Server 2008
1.在系统安装过程中进行安全性设置要创建一个强大并且安全的服务器必须从一开始安装的时候就注重每一个细节的安全性。
新的服务器应该安装在一个孤立的网络中,杜绝一切可能造成攻击的渠道,直到操作系统的防御工作完成。
在开始安装的最初的一些步骤中,你将会被要求在FAT(文件分配表)和NTFS(新技术文件系统)之间做出选择。
这时,你务必为所有的磁盘驱动器选择NTFS格式。
FAT是为早期的操作系统设计的比较原始的文件系统。
NTFS是随着Windows NT的出现而出现的,它能够提供了一FAT不具备的安全功能,包括存取控制清单(Access Control Lists 、ACL)和文件系统日志(File System Journaling),文件系统日志记录对于文件系统的任何改变。
接下来,你需要安装最新的Service Pack ( SP2 )和任何可用的热门补丁程序。
虽然Service Pack中的许多补丁程序相当老了,但是它们能够修复若干已知的能够造成威胁的漏洞,比如拒绝服务攻击、远程代码执行和跨站点脚本。
2.配置安全策略安装完系统之后,你就可以坐下来做一些更细致的安全工作。
提高Windows Server 2003免疫力最最简单的方式就是利用服务器配置向导(Server Configuration Wizard 、SCW),它可以指导你根据网络上服务器的角色创建一个安全的策略。
SCW与配置服务向导(Configure Your Server Wizard)是不同的。
SCW不安装服务器组件,但监测端口和服务,并配置注册和审计设置。
SCW并不是默认安装的,所以你必须通过控制面板的添加/删除程序窗口来添加它。
选择“添加/删除Windows组件”按钮并选择“安全配置向导”,安装过程就自动开始了。
一旦安装完毕,SCW就可以从“管理工具”中访问。
通过SCW创建的安全策略是XML文件格式的,可用于配置服务、网络安全、特定的注册表值、审计策略,甚至如果可能的话,还能配置IIS。
合理设置windows server 2008系统及SQL Server的安全权限
详细图文内容见附件凭借新鲜超强的功能以及更胜一筹的安全优势,Windows Server 2008系统吸引了许多网络管理员在不知不觉中前来试用尝鲜。
可是,这并不能说明Windows Server 2008系统在安全方面就可以高枕无忧了,因为在不同的使用环境下,Windows Server 2008系统表现出来的安全防范能力是不一样的,甚至该系统在某些方面没有一点安全抵抗能力,这时就需要我们自己动手来保护Windows Server 2008系统的运行安全了。
下面,本文就为各位朋友总结几则保护Windows Server 2008系统安全的技巧,希望大家能从中获得一些帮助!Windows2008 安装后的初始配置安全设置取消登录时要按Ctrl+Alt+Delete组合键登录的方法点桌面任务栏的“开始-->运行”在弹出的窗口中输入gpedit.msc,输入gpedit.msc后,点击确定即打开了组策略编辑器。
在组策略编辑器的左框内依次序展开(点前面的“+”号)-->计算机配置-->Windows设置-->安全设置-->本地策略,这时在本地策略下面可见到有“安全选项”,点击“安全选项”在右侧的框内找到“交互式登录:不要按CTRL+ALT+DEL右键点击“交互式登录:不要按CTRL+ALT+DEL”,在弹出的菜单中点“属性”,在属性选项卡中点击“已启用”前的圆圈以选取它。
确认“已启用”前面的圆圈中在一黑色小点后,点击“确定”,然后关闭窗口。
这样以后启动计算机时就不必按“CTRL+ALT+DEL”组合键登陆了取消关机原因的提示gpedit.msc,计算机配置-> 管理模板-> 系统-> 显示关机事件跟踪-> 禁用。
取消必须输入密码登录系统的方法gpedit.msc,计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。
在这个路径下找到“密码必须符合复杂性要求”设置为禁用,“密码长度最小值”设置为0。
Win2008 Server组策略安全设置整理
1. 启用internet进程在运行里输入gpedit.msc->计算机配置->管理模板->windows组件->internet explorer->安全功能->限制文件下载->internet进程->选择已启用,日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示,单击提示对话框中的“确定”按钮,恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。
(作用:防止恶意代码直接下载到本机上)2. 对重要文件夹进行安全审核、打开组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核对象访问,右键单击该项目,执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选中该属性设置窗口中的“成功”和“失败”复选项,再单击“确定”按钮,如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败,都会被Windows Server 2008系统自动记录保存到对应的日志文件中,我们只要及时查看服务器系统的相关日志文件,就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了,一旦发现系统存在安全隐患的话,我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。
3. 禁止改变本地安全访问级别打开组策略->用户配置->管理模板->Windows组件->InternetExplorer->Internet控制模板->禁用安全页,右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选择已启用4. 禁用internet选项打开组策略->用户配置->管理模板->Windows组件->Internet Explorer->浏览器菜单->禁用“Internet选项”组策略的属性设置窗口打开,然后选中其中的“已启用”选项,最后单击“确定”按钮就能使设置生效了。
WindowsServer2008系统安全系统配置大全
Windows 2008服务器安全设置技术实例目录Windows 2008服务器安全设置技术实例 (1)一、服务器安全设置之--硬盘权限篇 (2)二、服务器安全设置之--系统服务篇(设置完毕需要重新启动) (13)三、服务器安全设置之--组件安全设置篇 (18)四、服务器安全设置之--本地安全策略设置(重要) (20)A、策略——>密码策略 (20)B、策略——>锁定策略 (20)D、本地策略——>用户权限分配 (21)E、本地策略——>安全选项 (21)五、服务器安全设置之--本地安全策略-IP安全策略 (22)六、服务器安全设置之--高级安全windows防火墙(掌握好很重要) (23)七、服务器安全设置之--本地安全策略-高级审核策略配置 (24)a. 系统审核策略——>登录 (24)b. 系统审核策略——>管理 (24)c. 系统审核策略——>详细跟踪 (25)d. 系统审核策略——>DS访问 (25)e. 系统审核策略——>登陆/注销 (25)f. 系统审核策略——>对象访问 (25)g. 系统审核策略——>策略更改 (25)h. 系统审核策略——>特权使用 (25)八、服务器安全设置之--远程桌面服务策略 (26)九、服务器安全设置之--组策略配置(掌握好很重要) (26)十、服务器安全设置之--用户安全设置 (28)十一、选配—防御PHP木马攻击的技巧 (30)一、服务器安全设置之--硬盘权限篇这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。
本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了(注:红色背景为主要审查配置对象)。
注:其他应用程序相关权限,除主要的权限访问继承上一级文件夹以外,需对指定的文件夹或文件进行单独的权限设置,规则按最小权限给予。
WindowsServer2008R2常规安全设置与基本安全策略
Windows Server 2008 R2 惯例安全设置及基本安全策略比较重要的几部1.改正默认administrator用户名,复杂密码2.开启防火墙3.安装杀毒软件1)新做系统必定要先打上补丁2)安装必需的杀毒软件3)删除系统默认共享4)改正当地策略—— > 安全选项交互式登岸:不显示最后的用户名启用网络接见:不同意SAM 帐户和共享的匿名列举启用网络接见 : 不同意储存网络身份考证的凭证或.NET Passports启用网络接见:可远程接见的注册表路径和子路径所有删除5)禁用不用要的服务TCP/IP NetBIOS Helper、Server、Distributed Link Tracking Client、Print Spooler、Remote Registry 、Workstation6) 禁用 IPV6server 2008 r2交互式登录:不显示最后的用户名一、系统及程序1、屏幕保护与电源桌面右键-- 〉个性化-- 〉屏幕保护程序,屏幕保护程序选择无,改正电源设置选择高性能,选择封闭显示器的时间封闭显示器选从不保留改正2、配置IIS7 组件、FTP7 、、、、、ISAPI_Rewrite环境。
在这里我给大家能够介绍下阿里云的服务器一键环境配置,全自动安装设置很不错的。
点击查察地点二、系统安全配置1、目录权限除系统所在分区以外的所有分区都给予Administrators和SYSTEM有完整控制权,以后再对其下的子目录作独自的目录权限2、远程连结我的电脑属性-- 〉远程设置-- 〉远程 -- 〉只同意运转带网络超级身份考证的远程桌面的计算机连结,选择同意运转随意版本远程桌面的计算机连结(较不安全 )。
备注:方便多种版本Windows远程管理服务器。
windows server 2008的远程桌面连结,与2003 对比,引入了网络级身份考证( NLA , network level authentication),XP SP3不支持这类网络级的身份考证,vista 跟 win7 支持。
(完整版)WindowsServer2008R2WEB服务器安全设置指南(四)之禁用不必要的服务和关闭端口
Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口安全是重中之重,以最少的服务换取最大的安全。
通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。
作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。
当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。
网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。
那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。
禁用不必要的服务控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。
TCP/IP NetBIOS HelperServer 这个服务器需要小心。
天翼云主机需要用到这个服务,所以在天翼云主机上不能禁用。
Distributed Link Tracking ClientMicrosoft Search 如果有,则禁用Print SpoolerRemote Registry因为我们使用的是云主机,跟单机又不一样,所以有些服务并不能一概而论,如上面的Server服务。
例如天翼云的主机,上海1和内蒙池的主机就不一样,内蒙池的主机需要依赖Server服务,而上海1的不需要依赖此服务,所以上海1的可以禁用,内蒙池就不能禁用了。
所以在禁用某一项服务时必须要小心再小心。
删除文件打印和共享本地连接右击属性,删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。
打开防火墙,入站规则,所的“网络发现”和“文件和打印机共享”的规则全部禁用。
关闭端口关闭139端口本地连接右击属性,选择“TCP/IPv4协议”,属性,在“常规”选项卡下选择“高级”,选择“WINS”选项卡,选中“禁用TCP/IP 上的NetBIOS”,这样即关闭了139端口。
Windows Server2008远程桌面的应用及安全设置
远程桌面的应用及安全设置“远程桌面”本质上是一个单用户的终端服务会话,它使用RDP协议与运行“Windows Server2008”的主机进行通讯,远程用户访问的应用程序在这个主机系统上运行,只有键盘和鼠标的输入信号及视频的输出信号在主机系统之间进行传递。
由于“远程桌面”会话传递的数据量非常有限,所以它可以有效地利用网络带宽并应用于各类网络环境,包括拨号连接和广域网连接。
使用“远程桌面连接”,可以很容易地连接到网络服务器或其他运行远程桌面的计算机,操作远程的电脑为你收发邮件、查看报表、传送文件、安装及删除软件、进行用户管理、系统维护更新等等,就像实际操作自己面前那台计算机一样,可以大大提高工作的效率。
Windows XP/Windows Server 2003/Windows Server2008系统集成有远程桌面连接工具,其它Windows平台(Windows 2000、Windows Me、Windows NT及Windows 9X等)可以通过运行“远程桌面”的客户端软件——“远程桌面连接”来实现远程管理网络服务器。
1.远程管理设置网络管理员要对网络中的服务器进行远程管理的控制,必须在服务器端启用“远程桌面”功能,在客户端通过“远程桌面连接”来登录网络服务器。
实现远程管理。
1.1服务器设置只有启用服务器上的“远程桌面”功能,才能从其他计算机上对其进行远程控制。
以管理员或Administrators组成员的身份进行登录到WindowsServer 2008服务器,接着用鼠标右键单击“计算机”,打开“系统属性”窗口,选择“远程”选项卡。
在“远程桌面”选项框中,选中“允许运行任意版本远程桌面的计算机连接”或“只允许运行带网络级身份验证的远程桌面的计算机连接(更安全)”。
选择“允许运行任意版本远程桌面的计算机连接”可以允许使用任意版本的远程桌面或TS RemoteApp的人连接到服务器。
选择“只允许运行带网络级身份验证的远程桌面的计算机连接”,可以允许运行Windows?Vista或Windows Server 2008的计算机连接到服务器。
2.1.4 Windows Server 2008安装的注意 事项[共2页]
网络操作系统—Windows Server 2008篇为了确保可以顺利安装Windows Server 2008,开始安装之前应该做好如下准备工作。
(1)切断非必要的硬件连接:如果计算机与打印机、扫描仪、UPS等非必要外设连接,则在运行安装程序之前请将其断开,因为安装程序会自动监测连接到计算机串行端口的所有设备。
(2)查看硬件和软件兼容性:升级启动安装程序时,执行的第一个过程是检查计算机硬件和软件的兼容性。
安装程序在继续执行前将显示报告,使用该报告以及Relnotes.htm(位于安装光盘的\Docs文件夹)中的信息来确定在升级前是否需要更新硬件、驱动程序或软件。
可以通过访问网址http///windows/catalog/,来检查Windows Catalog中的硬件和软件兼容性信息,从而判断是否兼容。
(3)检查系统日志错误:如果计算机以前安装有Windows操作系统,建议使用“事件查看器”查看系统日志,寻找可能在升级期间引发问题的最新错误或重复发生的错误。
(4)备份文件:如果从其他操作系统升级到Windows Server 2008,建议在升级前备份当前的文件,包括含有配置信息(例如系统状态、系统分区和启动分区)的所有内容,以及所有的用户和相关数据。
建议将文件备份到各种不同的介质,例如,备份到磁带驱动器或网络上其他计算机的硬盘,尽量不要保存在本地计算机的其他非系统分区。
(5)重新格式化硬盘:虽然Windows Server 2008在安装过程中可以进行分区和格式化,但是,如果在安装之前就完成这项工作,那么在执行新的安装时,磁盘的效率有可能得到提高(与不执行重新格式化相比)。
另外,重新分区和格式化时,还可以根据自己的需要调整磁盘分区的大小或数量,以便更好地满足需求。
2.1.4 Windows Server 2008安装的注意事项了解Windows Server 2008的安装注意事项是非常有必要的,由于服务器网络操作系统毕竟不同于个人计算机系统,因此无论是安全性还是稳定性都要仔细考虑。
win2008安全设置
Windows Server 2008 设置2009年08月09日一、取消必须输入密码登录系统的方法“运行”中输入:“gpedit.msc“,“计算机配置”→“WINDOWS设置”→“”→“帐户策略”→“密码策略”。
在这个路径下找到“密码必须符合复杂性要求”设置为禁用,“密码长度最小值”设置为0。
这样你就可以创建空密码的用户帐户了。
二、安装桌面体验安装完毕后,看到桌面了,这和VISTA一点都不一样,由于是服务器系统,默认是没有华丽的效果的。
开启方法如下:“开始”→“服务器管理”→“服务器管理器”在右边一栏找到“功能摘要”,然后点击“添加功能”,滑动找到“桌面体验” 当然如果是无线使用笔记本的话,无线功能也要加上。
之后应该是重启。
三、开启Aero 要开启Aero效果需要启动相关服务。
“开始”--运行(或者Win+R键)services.Msc找到Themes 右键开启服务。
然后右键属性,把启动方式改为自动。
注意:开启Aero,显卡硬件必须要支持DX9.0和PS2.0,128M以上显存。
四:关闭IE SEC 服务器系统要求很高性,所以微软给ie添加了安全增强。
这就使得ie在Internet区域级别一直是最高的,而且无法进行整体调整。
点击快速运行栏的“服务器管理器”,开启服务器管理器。
1.勾选“登录时不要显示此控制台” 2.点击“配置IE ESC”,将对“管理员”和“用户”设置成“禁用”五、去掉关机事件跟踪每次关机都要求给出原因,用起来很烦人。
去掉的方法不难。
“开始”“运行”键入gpedit.Msc 打开“开始”->运行->输入“gpedit.msc”,在出现的窗口的左边部分,选择“计算机配置”->“管理模板”->“系统”,在右边窗口双击“关机事件跟踪”,在出现的对话框中选择“禁止”.六、让计算机直登陆而无须按ctrl+alt+del 方法1:在运行框中键入“gpedit.msc”进入主策略编辑器。
windowsServer2008知识点
windows server 2008知识点总结(一)(服务器架设与配置实战指南)第一章Windows server 2008安装与配置1.windows server2008 的十大创新亮点:①虚拟化②IIS7.0③服务器管理器④增强的终端服务⑤windows powershell⑥Bitlocker驱动器加密⑦网络访问保护(NAP)⑧制度与存储器(RODC)⑨服务器核心(server core)⑩windows防火墙高级安全功能。
2.安装前的注意事项:①切断与硬件设备的链接②断开网络链接③检查硬件和软件的兼容性④检查系统日志寻找错误⑤备份数据⑥加载驱动器⑦使用DVD 光驱第二章AD DS域服务(活动目录)1.活动目录分为逻辑结构和物理结构。
逻辑结构包括组织单元(OU)、域、域树、域林。
物理结构包括站点和域控制器。
2.安装完ADDS角色后,并没有安装域,必须运行活动目录安装导向工具将独立服务器安装(Dcpromo.exe)为与服务器。
如果遗忘密码,可以通过Ntdsutil工具还原目录服务密码,并重新设置。
第三章DNS(域名系统)服务1.DNS的作用是用于命名组织到域层次结构中的计算机和网络服务。
DNS服务可以将DNS名称解析为IP地址。
DNS系统的核心是DNS服务器,DNS服务器保存了包含主机名和相应IP地址的数据库,其作用是为局域网和Internet中的用户提供域名查询服务。
2.DNS系统包括DNS域命名空间,DNS资源记录,DNS服务器,DNS客户端。
3.DNS资源记录用于答复DNS客户端请求的DNS客户端请求的DNS数据库记录,将DNS域名映射到特定类型的资源信息,以供在命名空间中注册户解析名称时使用。
常见的资源类型有:①起始授权结构(SOA)②主机(A)③别名(CNAME)④邮件交换器⑤名称服务器4.查询模式:递归查询和逻辑查询、反向查询。
查询过程:用户将域名提交给DNS服务器,先在本地缓存正查询,如果查询不到,则向上一级DNS服务器查询,如果查询不到,则再向上查询,直到查到根域,再由根域向其下的子域查询,直到查询到最佳结果,将其返回给用户。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows Server 2008安全配置基础一、及时打补丁二、阻止恶意Ping攻击我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。
为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击:首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;协议类型列表中选中“ICMPv4”,之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。
完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。
小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。
为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作:首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallR ules注册表子项,该子项下面保存有很多安全规则;其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“确定”按钮执行设置保存操作,如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。
三、加强系统安全提示为了防止在Windows Server 2008服务器系统中不小心进行了一些不安全操作,我们建议各位还是将该系统自带的UAC功能启用起来,并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作,下面就是具体的启用步骤:首先以系统管理员身份进入Windows Server 2008系统,在该系统桌面中依次点选"开始"、"运行"命令,在弹出的系统运行文本框中,输入"msconfig"字符串命令,单击"确定"按钮后,进入对应系统的实用程序配置界面;其次在实用程序配置界面中单击"工具"标签,进入如图4所示的标签设置页面,从该设置页面的工具列表中找到"启用UAC"项目,再单击"启动"按钮,最后单击"确定"按钮并重新启动一下Windows Server 200 8系统,如此一来用户日后在Windows Server 2008服务器系统中不小心进行一些不安全操作时,系统就能及时弹出安全提示。
四、不让恶意插件偷袭当我们使用Windows Server 2008系统自带的IE浏览器访问Internet网络中的站点内容时,经常会看到有一些恶意插件程序偷偷在系统后台进行安装操作,一旦安装完毕后,我们往往很难将它们从系统中清除干净,并且它们的存在直接影响着Windows Server 2008系统的工作状态以及运行安全。
为了不让恶意插件程序偷袭Windows Server 2008系统,我们可以通过下面的设置操作,来阻止任何来自Internet网络中的下载文件安装保存到本地系统中:首先以系统管理员身份进入Windows Server 2008系统,在该系统桌面中依次点选"开始"、"运行"命令,在弹出的系统运行文本框中,输入"gpedit.msc"字符串命令,单击"确定"按钮后,进入对应系统的组策略编辑窗口;其次将鼠标定位于组策略编辑窗口左侧的"计算机配置"节点选项上,再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Internet Explorer"、"安全功能"、"限制文件下载"组策略子项,在对应"限制文件下载"子项下面找到"Internet Explorer进程"目标组策略,并用鼠标双击该选项,进入如图5所示的属性设置界面;在该属性设置界面中检查"已启用"选项是否处于选中状态,如果发现该选项还没有被选中时,我们应该将它重新选中,最后单击"确定"按钮保存上述设置操作,这样的话日后要是有恶意插件程序想偷偷下载保存到本地系统硬盘中时,我们就能看到对应的系统提示,单击提示窗口中的"取消"按钮就能阻止恶意插件程序下载安装到Windows Server 2008系统硬盘中了。
五、拒绝网络病毒藏于临时文件现在Internet网络上的病毒疯狂肆虐,一些“狡猾”的网络病毒为了躲避杀毒软件的追杀,往往会想方设法地将自己隐藏于系统临时文件夹,那样一来杀毒软件即使找到了网络病毒,也对它无可奈何,因为杀毒软件对系统临时文件夹根本无权“指手划脚”。
为了防止网络病毒隐藏在系统临时文件夹中,我们可以按照下面的操作设置Windows Server 2008系统的软件限制策略:首先打开Windows Server 2008系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入对应系统的组策略控制台窗口;图2 将“安全级别”参数设置为“不允许”其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新建路径规则”命令,打开如图2所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入Windows Server 2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。
六、断开远程连接恢复系统状态(需要时操作)很多时候,一些不怀好意的用户往往会同时建立多个远程连接,来消耗Windows Server 2008服务器系统的宝贵资源,最终达到搞垮服务器系统的目的;为此,在实际管理Windows Server 2008服务器系统的过程中,一旦我们发现服务器系统运行状态突然不正常时,可以按照下面的办法强行断开所有与Windows Server 2008服务器系统建立连接的各个远程连接,以便及时将服务器系统的工作状态恢复正常:首先在Windows Server 2008服务器系统桌面中依次点选“开始”、“运行”选项,在弹出的系统运行对话框中,输入“gpedit.msc”命令,单击回车键后,进入目标服务器系统的组策略控制台窗口;图5 删除所有用户远程访问连接其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支,并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项,之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项,在弹出的如图5所示的选项设置对话框中,选中“已启用”选项,再单击“确定”按钮保存好上述设置,这样一来Windows Server 2008服务器系统中的的各个远程连接都会被自动断开,此时对应系统的工作状态可能会立即恢复正常。
七、巧妙实时监控系统运行安全为了能够在第一时间发现潜藏在本地系统中的安全威胁,相信很多人都安装了专业的监控工具,来对系统的运行状态进行全程监控。
其实,Win2008系统也自带有实时监控程序Windows Defender,只是该程序并不像其他应用程序那样会在系统托盘区域处出现一个控制图标,不过该程序一旦看到Win2008系统遭遇间谍程序的攻击时,它往往会立即发挥作用来帮助用户解决问题。
尽管Windows Defender程序平时并不显现出来,不过该程序实际上在系统后台启动了一个服务,通过该系统服务默默地保护Win2008系统的安全;我们可以按照下面的操作,确认Windows Defender程序的服务状态是否正常:首先依次点选Win2008系统桌面中的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“services.msc”,单击回车键后,打开系统服务列表窗口;其次从系统服务列表窗口的左侧位置处,找到目标系统服务选项“Windows Defender”,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开Windows Defender 服务的属性设置窗口,在该窗口的“常规”标签页面中,我们可以非常清楚地看到目标系统服务的运行状态是否正常,要是发现该服务已经被关闭运行时,我们必须及时单击“启动”按钮将它重新启动起来,同时将它的启动类型参数修改为“自动”,最后单击“确定”按钮保存好上述设置操作,这么一来我们就能确保Windows Defender服务时刻来保护Win2008系统的安全了。