WINDOWS (SERVER 2003) 服务器部署标准

Windows server 2003 安全配置向导部署安全配置向导 (SCW) 是一个工具，可减少Windows Server 2003 的计算机的攻击面。

它可确定服务器的一个或多个角色所需的最少功能，并且禁用不需要的功能。

特别是，SCW 有助于创建和部署具有如下功能的安全策略：∙禁用不需要的服务。

∙阻止不使用的端口。

∙允许保持打开状态的端口的其他地址或安全限制。

∙禁止不需要的 Internet 信息服务 (IIS) Web 扩展（如果适用）。

∙减少对于服务器消息块 (SMB)、LAN Manager 和轻型目录访问协议 (LDAP) 的协议暴露。

∙定义高信噪比审核策略。

SCW 会指导您完成基于选定的服务器角色创建、编辑、应用或回滚安全策略的过程。

本部署指南将指导您完成将 SCW 和 SCW 策略部署到运行带有 SP1 的 WindowsServer 2003 的计算机上的过程。

安装和运行 SCW 的要求SCW 随 Windows Server 2003 SP1 一起提供，但是仅用于运行带有 SP1 的 Windows Server 2003 的计算机。

它并非旨在用于 Microsoft Small Business Server 或Windows XP Professional 之类的客户端操作系统。

SCW 部署概述SCW即为Security Configuration Wizard，安全配置向导。

SCW主要功能：配置服务（Services）、网络安全（Network security）、审核（Auditing）、注册表（Registry）…. 使用全策略来完成这些目标。

SCW安装步骤：1．添加删除Windows组件2．添加“安全配置向导”SCW 部署打开- 开始- 所有程序管理工具–安全配置向导，启动SCW后，将会看到下图的这样一个欢迎界面：在这里，我们可以创建一个安全策略（Create）；编辑一个安全策略（Edit）；应用现有安全策略（Apply）；回滚（Rollback）。

Windows Server 2003服务器配置一、DNS服务器的安装与配置实训目的1.掌握DNS服务器的相关配置。

2.完成DNS客户端的域名解析设置。

3.完成DNS服务的验证。

实训设备与环境一台Windows 2003 Server 域控制器，一台Windows xp Professional客户机。

两台机器按如图1所示，完成相关的设置。

图1 DNS服务配置实例图有图有真相实训内容1.DNS服务器的安装2.DNS客户端设置3.DNS服务器的配置与管理实训步骤1.如果在安装域控制器时，已经选择安装DNS服务器，则不需要再进行二次安装，如果原来没有DNS服务器；也可以单独安装DNS。

主要包括以下步骤：(1)选择一台已经安装好Windows 2003的服务器（名称为），确认其已安装了TCP/IP协议，先设置服务器自己TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】，鼠标右键单击【本地连接】，选择【属性】/【Internet协议（TCP/IP）】/【属性】，设置IP地址为192.168.100.1，子网掩码为255.255.255.0，DNS服务器地址为192.168.100.1。

(3)运行【控制面板】中的【添加/删除程序】选项，选择【添加/删除Windows组件】。

(4)选择【网络服务】复选框，并单击【详细信息】按钮。

(5)在【网络服务】对话框中，选择【域名系统（DNS）】，单击【确定】按钮，系统开始自动安装相应服务程序。

除组件添加方式也可以采用网络服务管理器．．．．．．．实现添加DNS。

2.完成DNS客户端设置。

(1)选择一台装有Windows xp Professional的客户机（名称为work），确认其已安装了TCP/IP协议，设置TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】，鼠标右键单击【本地连接】，选择【属性】/【Internet协议（TCP/IP）】/【属性】，设置IP地址为192.168.100.2，子网掩码为255.255.255.0，DNS服务器地址为192.168.100.1。

应用环境配置：1．戴尔服务器两台（A为主服务器，B为备服务器）：操作系统为Windows Server 2003 Enterprise Edition或Windows Server 2003 Datacenter Edition2．共享阵列柜一个（DELL POWERV ANLT 220S，5块73G SCSI 硬盘）：置于cluster模式3．心跳线一根（交叉线）：服务器相同型号网卡互连4．与阵列柜相连阵列卡两块：分别插于戴尔服务器5．数据线两根：分别连接服务器与阵列柜6．每台服务器网卡至少两块：一块用于连接公共网络（Public），一块用于服务器直连（Private）安装步骤第一步、配置服务器1、将两台服务器A和B连起来。

两块网卡（连接公网）连到交换机上；两块网卡（服务器直连通讯用）用心跳线连接起来。

磁盘柜用DELL的数据线接到两台服务器上。

2、两台服务器都开机，在两台服务器A和B上分别安装Windows Server 2003 Enterprise Edition。

注意：如果您试图将一个节点加入一个具有空白的本地管理员帐户密码的群集，安装将会失败。

基于安全原因，Windows Server 2003禁止使用空白的管理员密码。

3、配置两块连接公网网卡的IP地址，服务器A的IP地址为：172.116.2.3，服务器B的IP地址为：172.116.2.4。

配置两块私有网卡的IP 地址，服务器A的IP地址为：10.1.1.3，服务器B的IP地址为：10.1.1.4。

在两台服务器上的C:\WINDOWS\system32\drivers\etc\hosts中增加相应的主机和IP地址记录。

Oa1 172.116.2.3Oa2 172.116.2.4Oacluster 172.116.2.5Oa1.oaserver.local 172.116.2.3Oa2.oaserver.local 172.116.2.4Oacluster.oaserver.local 172.116.2.54、将服务器A配置为域控制器，取域名为（OASERVER.LOCAL）。

辽宁工程技术大学上机实验报告课程名称网络操作系统实验题目Windows Server 2003网络服务器安装与配置院系专业班级姓名学号实验日期实验目的安装IIS组件，建立及配置Web、FTP、SMTP服务器。

实验准备1.Windows Server 2003网络服务器安装与配置2.安装IIS组件，建立及配置Web、Ftp、SMTP服务器。

实验进度本次共有 3 个练习，完成 3 个。

实验内容1．安装IIS信息服务器一般情况下，Windows Server 2003服务器的默认安装，没有安装IIS6.0组件。

因此，IIS6.0需要另外单独安装。

安装方法如下：第1步：依次选择【开始】→【设置】→【控制面板】→【添加/删除程序】，第2步：在“添加/删除程序”对话框中选择【添加/删除Windows组件】，就会弹出的“Windows组件向导”对话框，添加或者删除程序对话框成绩Windows 组件向导对话框第3步：在Windows 组件向导对话框中选择“应用程序服务器”，单击【详细信息】，在其中选择“Internet 信息服务（IIS）”，单击【确定】，如图所示。

应用程序服务器对话框第4步：回到“Windows 组件向导”对话框中，单击【下一步】。

这时，需要在光驱中放入Windows Server 2003的系统安装盘，如图所示。

Windows 组件向导安装对话框第5步：安装完毕后，依次选择【开始】→【设置】→【控制面板】→【管理工具】→【Internet信息服务（IIS）管理器】，就会出现如图所示的“Internet信息服务”对话框。

图7-6 Internet信息服务对话框第6步：在IE浏览器的地址栏中输入“http://localhost”或者“http://你的计算机名字”或者“http://127.0.0.1”。

回车后，如果出现“建设中”字样，表示IIS安装成功，如图所示。

图7-7 成功安装IIS2．IIS的配置与管理基本Web站点的配置，操作步骤如下：第1步：依次选择【开始】→【设置】→【控制面板】→【管理工具】→【Internet信息服务（IIS）管理器】，展开“TEST（本地计算机）”（其中TEST为服务器的名称），然后展开“网站”。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

Windows Server 2003 配置规范1. 概述 本文档规定了公司范围内安装有 Windows Server 2003 操作系 统的主机应当遵循的操作系统设置规范， 旨在指导系统管理人员进行 Windows Server 2003 操作系统的配置。

1.1 适用范围本规范的使用者包括： 服务器系统管理员、应用管理员、网络安全管理员。

本规范适用的范围包括： 公司运行的 Windows Server 2003 服务器系统。

1.2 实施 本规范的解释权和修改权属信息技术中心， 在本标准的执行过程 中若有任何疑问或建议，应及时反馈。

本标准一经颁布，即为生效。

1.3 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明 业务需求和原因，送交信息技术中心进行审批备案。

1.4 检查和维护 根据公司经营活动的需要，每年检查和评估本标准，并做出适当 更新。

如果在突发事件处理过程中，发现需对本标准进行变更，也需第 1 页 共 12 页要进行本标准的维护。

2. 事件日志配置 2.1. 系统日志大小设置 所有日志的覆盖方式都设置为：按需要覆盖事件 大小设置为：应用程序 16384KB 16384KB 2.2. 修改事件日志的存放路径 在 D 盘建立目录： D:\Sec\syslog，其权限设置为： Administrators、System 完全控制 Power Users、Users 列出文件夹目录 CREATOR OWNER 权限为空 然后修改以下键值： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Eventlog\Security] file  D:\Sec\SysLog\SecEvent.Evt [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Eventlog\System] file  D:\Sec\SysLog\SysEvent.Evt [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Eventlog\Application] file  D:\Sec\SysLog\AppEvent.Evt第 2 页 共 12 页安全 16384KB系统2.3.系统审计日志应用程序、 安全性和系统事件日志的设置都应在域策略中配置并应用 到域中的所有成员服务器。