当前位置:首页 > 服务器 > 正文

win2003服务器安全设置教程(新服务器怎么安装win2003)

本篇文章给大家谈谈win2003服务器安全设置教程,以及新服务器怎么安装win2003对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。

本文目录一览:

操作Win2003注意事项讲解

不少玩家朋友已经体验到了windows 2003的无穷魅力,作为Windows XP的服务器版本,Windows 2003以其.NET的全新架构、更高的集成度、丰富的功能以及易用性成为新一代服务器操作系统。而对于个人玩家而言,优秀的稳定性和出色的多媒体性能,同样也是学习兼娱乐的最佳选择。那么,在使用如此优秀的操作系统时,有何注意事项呢?

Windows Server 2003分为4个版本:标准版、企业版、Datacenter 版和 Web版,对硬件系统的最小要求为:

最小CPU速度 133MHz,推荐CPU速度 550MHz

最小内存要求 128M,推荐最小内存 256M

安装所需要硬盘空间 1.5GB

经过几天的使用,对Windows Server 2003有了一些了解,下面是几个需要注意的地方:

Windows Server 2003必须要有128M以上的内存条才能够安装,像Intel 845GL那样集成了显卡的主板,只插128M内存条是不能安装Windows Server 2003的,安装程序会自动中断。

Windows Server 2003的安装同windows 2000/XP基本上一样,光盘启动后,可以对硬盘分区和格式化,然后是选择安装的路径,用户只需要输入简单的信息,安装程序很傻瓜化。

现在专用的For Windows server 2003的驱动程序还没有,我们可以用For Windows2000/XP的驱动程序来安装。

刚安装完以后,需要更改Windows Server 2003的设置,才可以打开IE上网和使用directx,具体的方法看下面的说明。

在关机和重启Windows Server 2003的时候,必须要输入原因,系统才会关机。

下面是具体的说明:

禁用Manager Your Server对话框

首先要做的事情就是禁用Manager Your Server对话框,如果不希望它每次在你启动系统后来烦你吧。只要点击选中“Don’t display this page at logon”复选框就可以了。以后你也可以通过Control Panel - Administrative Tools - Manage Your Server 访问到。

创建一个新帐户 在Windows Server 2003中是没有欢迎屏幕的,所以第一次启动的时候你不会被要求设置一个新的帐户。新建帐户是很容易的,依次点击Start - Run,然后输入lusrmgr.msc并按回车。会出现Local Users and Groups窗口,之后在左侧面板的Users上点击鼠标右键,并选择New User,并按照图中的示例填写相关的信息(Full Name和Description是可选的),然后选中相关的复选框,并点击Create。也可以在控制面版的计算机管理里面添加。

设置权限你新建的帐号已经可以使用了,但是在我们用它登录之前,你可能想给你的帐户“Administrator”权限。如果想这样做,在新建的帐户名称上点击鼠标右键,并点击Properties,打开Member of选项卡,点击Add...- Advanced - Find Now,然后双击列表顶端的Administrators。点击OK关闭窗口。现在你可以注销Administrator然后用新建的帐户登录了。

禁用IE的增强行安全设置

第一次打开IE是不能浏览网页的,原因在于Windows Server 2003的一个新的安全特性,就是在默认情况下设置了IE的安全性为高,因此你讲不能浏览任何站点(除非你把该站点添加到安全站点中)。可以用下面的方法来解决:

运行IE,你可以看见IE提示说Explorer Enhanced Security设置已经被启用,并且还显示了一个对话框,选中对话框中的“In the future, do not show this message”。

现在,依次打开Tools - Internet Options,打开Security选项卡,在“Security Level for this zone”中把Internet区域的安全性调整到Medium。之后你会看到一个对话框询问是否真的要修改安全等级,点击Yes。

通常工作站中设置为Medium就可以了,因此这个也是适合大部分人的。OK,现在上网还有问题吗?

安装Sun的JAVA虚拟机

Windows Server 2003中没有包含微软的JAVA虚拟机,而微软也不再提供JAVA虚拟机的下载,虽然还有很多地方可以下载到微软的JAVA虚拟机,不过还是不建议安装,因为:微软的JAVA虚拟机已经停止升级了,如果以后发现了什么新的安全漏洞也不会有任何的补丁程序。

禁用关机原因调查(Shutdown Event Tracker)

因为Windows Server 2003是一个“服务器”,因此知道它为什么要关闭和重启动是很重要的,所以在手动重启和关机的时候,系统会要求输入原因。也可以禁用这一特性。需要配置Group Policy Object Editor,在运行中输入gpedit.msc然后按回车,你应该可以看见图中的组策略编辑器。依次打开Computer Configuration - Administrative Templates -System,然后在右侧的面板中双击Display Shutdown Event Tracker这一策略。接着会出现图中的窗口,选择Disable然后点击OK。 现在关闭 Group Policy Object Editor窗口。以后你关机的时候就可以看到传统的窗口。

图形加速

为了保证最佳可用性和最高性能,默认情况下Windows Server 2003中的硬件图形加速和DirectX是被禁用的。如果你需要用到directx加速的程序你也可以按照下面的说明打开它们。

启用硬件图形加速

现在我们准备启用你的硬件图形加速。在桌面的空白处点击鼠标右键,依次点击Properties - Settings 选项卡 - Advanced -Troubleshoot 选项卡,然后把硬件图形加速的滑块拖动到 Full。点击OK退出。之后屏幕可能会变黑几秒钟。

启用directx

接着准备启用directx图形加速。在运行中输入dxdiag然后按回车,你会看到一个对话框询问你是否允许dxdiag访问Internet以检查有效的WHQL证书,点击Yes。

打开Display选项卡,然后点击其中的三个按钮启用DirectDraw,Direct3D和 AGP Texture Acceleration。

音频加速

现在我们已经启用了图形加速和directx加速,同样我们还要启用音频加速。

如果你用的是Windows Server 2003 Standard Edition,Windows Audio服务默认已经打开了,你可以跳过这一步。其他版本的用户可以继续看下去。

在运行中输入Services.msc然后按回车,会出现Services 窗口,找到Windows

Audio服务,双击打开,把启动类型设置为Automatic,点击Apply,然后点击Start启动该服务。

最后我们还要使用directx诊断工具,在运行中输入dxdiag并回车,打开Sound选项卡,把Hardware Sound Acceleration Level的滑块拖动到Full。好了,现在音频也已经全部设置好了。还有一点需要注意,如果是SB Live!声卡,你应该安装2003年3月10日发布的For Win2k/XP的LiveDrvUni-Pack。

设置主题Themes

主题在哪里?在下面我们将设置在Windows Server 2003中使用主题。

首先我们需要回到服务设置对话框启用Themes服务,在运行中输入Services.msc并按回车,找到并双击Themes这个服务,设置启动类型为Automatic,点击Apply后点Start打开这个服务。现在你已经可以使用windows xp中的Luna Blue,Silver和Olive Green三种主题。

如果你还想使用更多的主题,首先需要破解你的UXTheme.dll文件。

启用其他服务启用操作系统内建的IMAPI CD刻录服务

如果你想使用操作系统内建的IMAPI CD刻录服务,需要进行如下的操作:(但如果你想加快Nero Burring ROM的启动速度就不要起用这个服务)

在运行中输入Services.msc然后回车,找到并双击IMAPI CD-Burning COM Service服务,设置启动类型为Automatic,点击Apply后点击Start然后点击OK。

重启动系统后就可以在Send-To菜单中看到刻录CD的选项。

启用Windows Image Acquisition (为使用摄像头,扫描仪等设备) 如果你有摄像机,摄像头或者扫描仪等设备,进行如下操作:

在运行中输入Services.msc并回车,找到并双击Windows Image Acquisition (WIA)服务,设置启动类型为Automatic点击Apply后点击Start然后点击OK。之后就可以给你的摄像机和扫描仪安装驱动程序了。

安装directx 9.0a

在Windows Server 2003中安装DirectX 9.0a就跟以往在其他Windows中安装任何版本的DirectX一样,如果你还没有启用图形加速和directx加速,请在安装前先启用它们。

文件夹选项

默认情况下,所有的隐藏文件和文件夹都是显示的,你可以隐藏它们,这样资源管理器中就不会显示太多的隐藏文件。

打开任何一个文件夹,然后在Tools - Folder Options - View 选项卡下选中Do not show hidden files and folders,然后点击OK。

Windows Media Player 9

Windows Media Player 9默认已经安装好了。依次打开Start - Programs - Accessories - Entertainment - Windows Media Player。按照提示选择所有需要的复选框,然后就可以使用了。

你也可以这样把Media Player 9放置到任务栏:在任务栏上点击鼠标右键 ,然后在 Toolbars 菜单下选中Windows Media Player.

可用的杀毒软件

Symantec Norton Antivirus Corporate 8.x (请注意,家用版的2002/2003 不能在 Windows Server 2003上安装)

可用的防火墙

Zone Alarm 3.7.159

Norton Personal Firewall 2003

Windows Server 2003可以看作是代替windows 2000 Server家族的下一代服务器操作系统,是在 windows 2000经过考验的可靠性、可伸缩性和可管理性的基础上构建的,为加强联网应用程序、网络和 XML Web服务的功能(从工作组到数据中心)提供了一个高效的结构平台。

【拓展内容】

Win2003 Server手动设置攻略

1、禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现

在IE工具选项中自定义设置IE的安全级别。在”安全“(Security)选项卡上拉动滚动条把Internet区域安全设置为”中“(Medium)或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用“;

2、禁用关机*跟踪,即禁止关机时出现的关机理由选择项:

如果是中文版,则:开始 - 运行 - gpedit.msc-计算机配置 - 管理模板 - 系统 - 显示关机*跟踪 - 禁用。

如果是英文版,则:开始 - 运行 - gpedit.msc - Computer configuration - Administrative Templates - System - Display shutdown event tracker - 设置为 Disable;

3、启用硬件和DirectX加速

★硬件加速:桌面点击右键--属性(Properties) - 设置(Settings )--高级( Advanced )--疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保存退出。这期间可能出现一瞬的黑屏是完全正常。

★DirectX加速:打开“开始”(Start) - “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration);

4、启用声卡:

系统安装后,声卡是禁止状态,所以要在 控制面板 - 声音 - 启用,重启之后再设置它在任务栏显示。

现在我们还要启用音频加速。在运行中输入services.msc然后按回车,会出现services 窗口,找到windows audio服务,双击打开,把启动类型设置为automatic,点击apply,然后点击start启动该服务。

最后我们还要使用directx诊断工具,在运行中输入dxdiag并回车,打开sound选项卡,把hardware sound acceleration level的滑块拖动到full(见第三条);

Windows 2003使用技巧荟萃

一、我的时代 玩转win 2003

秘笈、宝典之类的dd通常只在武侠小说里露面,故事里的主角往往无意间练得绝世武功从此扬名立万。如今,想熟练使用软、硬件产品,多看大家整理出的使用技巧绝对是一条有效的捷径。在这之中,尤其又以windows操作系统的技巧类文章出现次数最为频繁。

去年5月22日,微软发布最新的windows server 2003(以下简称Windows 2003)操作系统。不少玩家朋友已经体验到了它无穷魅力,作为Windows XP的服务器版本,windows 2003以其.net的全新架构、更高的集成度、丰富的功能以及易用性成为新一代服务器操作系统。而对于个人玩家而言,优秀的稳定性和出色的多媒体性能,同样也是学习兼娱乐的最佳选择。我们在网上搜集了部分关于windows 2003的优化方法。不敢独享,希望能够对正在使用的朋友们有所帮助。大家也可以在文章评论里相互探讨,共同来玩转windows 2003。

几种取消Windows 2003关机提示的方法

1、编辑组策略

打开“开始-“运行,在“打开一栏中输入“gpedit.msc命令打开组策略编辑器,依次展开“计算机配置→“管理模板→“系统,双击右侧窗口出现的“显示‘关闭事件跟踪程序’,将“未配置改为“已禁用即可。

2、修改注册表

打开“开始→“运行,在“运行一栏中输入“Regedit命令打开注册表编辑器,依次打开HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT,新建一个项,将其取名为“Reliability,而后在右侧窗口中再新建一个DWORD值,取名为“ShutdownReasonOn,将它的值设为0就可以了。

3、电源巧设置

进行电源设置最为简便,只要依次打开“开始“控制面板“电源选项,在出现“电脑选项属性点选“高级选项卡,将“在按下计算机电源按钮时设置为“关机,然后按“确定完成。当您需要关机时,只要直接揿下电脑主机上的电源开关或键盘上的Power键(需主板支持)就可直接完成关机动作了。

BIOS设置让Windows 7运行速度快一倍

和以前使用Windows XP一样,很多用户都在设法提高Windows 7的系统运行速速,比较常见的方法大多是对系统服务进行优化,去掉一些可有可无的系统服务,还有就是优化资源管理器菜单等。除此之外,还有一些“不常见的偏方”,据说也可以让Windows 7的运行速度快上一倍。

如果你想尝试本文分享的方法,让你的Windows 7系统运行速度快起来,首先,你要保证你的主板支持AHCI。

如果你的'主板支持AHCI,那么请在安装Windows 7前进入Bios设置,在Advanced选项中将SATA controller Mode中默认的IDE调整为AHCI。

请大家注意,不同的主板的Bios可能不同,设置时,请大家找到对应的项。

AHCI,全称是Serial ATA Advanced Host Controller Interface(串行ATA高级主控接口),是在Intel的指导下,由多家公司联合研发的接口标准。在AHCI中,Intel引入了NCQ(Native Command Queue)功能和热插拔技术。支持NCQ技术的硬盘在接到读写指令后,会根据指令对访问地址进行重新排序,减少读取时间,使数据传输更为高效。

设置Vista缓存位置 释放系统盘空间

使用Windows Vista一段时间以后,我们会发现系统盘空间越来越紧张,这个时候应该怎么办呢?

原因分析: 由于VISTA系统中脱机文件的缓存就保存在系统盘,所以经常被脱机文件搞得系统盘空间紧张。

解决方法: 只要改变脱机文件的缓存位置该问题便迎刃而解。

具体操作

VISTA系统中脱机文件缓存的默认保存位置是:“c:\windows\csc,改变其默认保存位置的方法如下:

1、在管理员权限的命令提示行窗口中运行下列命令:

REG ADD "HKLM\System\CurrentControlSet\Services\CSC\Parameters" /v MigrationParameters /t REG_DWord /d 1 /f

2、使用本地管理员帐户运行下列命令:(按照实际情况替换其中的分区盘符)

c:\windows\system32\migwiz\migwiz.exe

3、在Windows轻松传送向导中,依次选择下列选项:

(1)、单击启动新的传输。

(2)、单击我的旧计算机。

(3)、单击使用CD、DVD或其他可移动介质。

(4)、单击外接硬盘或网络位置。

(5)、输入你希望Savedata.mig保存的位置,然后单击下一步。

(6)、单击高级选项。

(7)、在选择要传送的用户帐户、文件和设置页面上,进行下列操作:

i. 反选所有选中的复选框。

ii.在系统和程序设置(所有用户)选项下,展开Windows设置,展开网络和Internet,然后选择脱机文件。

iii. 为本页上列出的每个用户重复这一操作。

(8)、单击下一步开始传输。

4、在注册表的 HKLM\System\CurrentControlSet\Services\CSC\Parameters 键下新建一个名为 CacheLocation 的字符串值,然后将其数值设置为你希望缓存保存位置对应的NT格式名(NT format name)。例如, 如果你希望缓存保存在d:\csc目录下,就输入\??\d:\csc。

创建d:\csc目录(或者其他你指定的目录)。

5、重启动计算机,运行以下命令:

c:\windows\system32\migwiz\migwiz.exe ,然后,在向导中依次进行下列操作:

(1)、单击继续正在进行的传输。

(2)、单击否,我已将文件和设置复制到CD、DVD或其他可移动介质中。

(3)、单击在外接硬盘或网络位置上。

(4)、输入之前第三步创建的.mig文件的路径。

(5)、将旧计算机和新计算机上的用户帐户一一对应。

(6)、单击下一步,然后单击传输。

6、注销,重新登录,然后确认你是否可以正确访问脱机文件。

7、删除老的缓存.在管理员权限的命令提示行窗口中运行以下命令:

takeown /r /f c:\windows\csc

rd /s c:\windows\csc

正确设置让Windows Vista防火墙发挥作用

一、采用两种界面来满足不同需求;Vista防火墙有两种独立的图形配置界面: 一是基本的配置界面,可以通过“安全中心和“控制面板来访问; 二是高级配置界面,用户在创建自定义的MMC后,可作为插件来访问。

;这可以防止新手用户无意中的改变而导致连接中断,又为高级用户对防火墙设置进行更细化地定制以及控制出站和入站流量提供了一种方法。用户还可以在netsh advfirewall上下文中使用命令,从命令行对Vista防火墙进行配置; 也可以编写脚本,针对一组计算机自动对防火墙进行配置; 还可以通过组策略来控制Vista防火墙的设置。 二、默认设置下的安全;Vista中的 Windows防火墙在默认状态下采用安全配置,同时仍支持最佳易用性。默认状态下,大多数入站流量被阻挡,出站连接被允许。Vista防火墙可与 Vista的Windows服务加固这项新功能协同工作,所以如果防火墙检测到被Windows服务加固网络规则禁止的行为,它就会阻挡该行为。防火墙还完全支持纯IPv6的网络环境。 三、基本配置选项;利用基本配置界面,用户可以启动或者关闭防火墙,或者设置防火墙完全阻挡所有程序; 还可以允许有例外情况存在(可以指定不阻挡哪些程序、服务或者端口),并且指定每种例外情况的范围(是否适用于来自所有计算机的流量,包括互联网上的计算机、局域网/子网上的计算机,或者是你指定了IP地址或者子网的计算机); 还可以指定希望防火墙保护哪些连接,并且配置安全日志和ICMP设置。 四、ICMP消息阻挡;默认状态下,入站ICMP回应请求可以通过防火墙,而其他所有ICMP信息被阻挡在外。这是因为,Ping工具定期用来发送回应请求消息,用于故障诊断。不过,黑客也可以发送回应请求消息来锁定目标主机。用户可以通过基本配置界面上的“高级选项卡,阻挡回应请求消息。 五、多个防火墙配置文件;附带高级安全MMC插件的Vista防火墙可以让用户在计算机上创建多个防火墙配置文件,那样就可以针对不同环境使用不同的防火墙配置。这对便携式计算机来说特别有用。譬如说,当用户连接到公共无线热点时,可能需要比连接到家庭网络时更安全的配置。用户最多可以创建三个防火墙配置文件: 一个用于连接到Windows域、一个用于连接到专用网络,另一个用于连接到公共网络。 六、IPSec功能;通过高级配置界面,用户可以定制IPSec设置,指定用于加密和完整性的安全方法、确定密钥的生命周期按时间计算还是按会话计算,并且选择所需的Diffie-Hellman密钥交换算法。默认状态下,IPSec连接的数据加密功能是禁用的,但可以启用它,并且选择哪些算法用于数据加密和完整性。 七、安全规则;通过向导程序,用户可以逐步创建安全规则,从而控制单台计算机或者一组计算机之间如何及何时建立安全连接; 也可以根据域成员或者安全状况等标准来限制连接,但允许指定的计算机可以不符合连接验证要求; 还可以创建规则,要求两台特定的计算机(服务器到服务器)连接时需要验证,或者使用隧道规则对网关之间的连接进行验证。 八、自定义的验证规则;在创建自定义的验证规则时,要指定单台计算机或者一组计算机(通过IP地址或者地址范围)成为连接端点。用户可以请求或者要求对入站连接、出站连接或者两者进行验证。 九、入站和出站规则;用户可以创建入站和出站规则,从而阻挡或者允许特定程序或者端口进行连接; 可以使用预先设置的规则,也可以创建自定义规则,“新建规则向导可以帮用户逐步完成创建规则的步骤;用户可以将规则应用于一组程序、端口或者服务,也可以将规则应用于所有程序或者某个特定程序;可以阻挡某个软件进行所有连接、允许所有连接,或者只允许安全连接,并要求使用加密来保护通过该连接发送的数据的安全性; 可以为入站和出站流量配置源IP地址及目的地IP地址,同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。 十、基于活动目录的规则;用户可以创建规则来阻挡或者允许基于活动目录用户、计算机或者组账户的连接,只要连接通过带有Kerberos v5(包含活动目录账户信息)的IPSec来保护安全。用户还可以使用具有高级安全功能的Windows防火墙,执行网络访问保护(NAP)策略。;Windows Meeting Space(WMS)是Windows Vista内置的一个新程序,它便于最多10个协作者共享桌面、文件和演示文档,并通过网络传送个人消息给对方。

windows 2003服务器各种服务如何设置

第一步:

一、先关闭不需要的端口

我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改

了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!

当然大家也可以更改远程连接端口方法:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

"PortNumber"=dword:00002683

保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!

还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。

二、关闭不需要的服务 打开相应的审核策略

我关闭了以下的服务

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是:

登录事件 成功 失败

账户登录事件 成功 失败

系统事件 成功 失败

策略更改 成功 失败

对象访问 失败

目录服务访问 失败

特权使用 失败

三、磁盘权限设置

1.系统盘权限设置

C:分区部分:

c:\

administrators 全部(该文件夹,子文件夹及文件)

CREATOR OWNER 全部(只有子文件来及文件)

system 全部(该文件夹,子文件夹及文件)

IIS_WPG 创建文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹,子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:\Documents and Settings

administrators 全部(该文件夹,子文件夹及文件)

Power Users (该文件夹,子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹,子文件夹及文件)

C:\Program Files

administrators 全部(该文件夹,子文件夹及文件)

CREATOR OWNER全部(只有子文件来及文件)

IIS_WPG (该文件夹,子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹,子文件夹及文件)

修改权限

SYSTEM全部(该文件夹,子文件夹及文件)

TERMINAL SERVER USER (该文件夹,子文件夹及文件)

修改权限

2.网站及虚拟机权限设置(比如网站在E盘)

说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理。

E:\

Administrators全部(该文件夹,子文件夹及文件)

E:\wwwsite

Administrators全部(该文件夹,子文件夹及文件)

system全部(该文件夹,子文件夹及文件)

service全部(该文件夹,子文件夹及文件)

E:\wwwsite\vhost1

Administrators全部(该文件夹,子文件夹及文件)

system全部(该文件夹,子文件夹及文件)

vhost1全部(该文件夹,子文件夹及文件)

3.数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。

4.其它地方的权限设置

请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

t

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述。

四、防火墙、杀毒软件的安装

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice防火墙

五、SQL2000 SERV-U FTP安全设置

SQL安全方面

1.System Administrators 角色最好不要超过两个

2.如果是在本机最好将身份验证配置为Win登陆

3.不要使用Sa账户,为其配置一个超级复杂的密码

4.删除以下的扩展存储过程格式为:

use master

sp_dropextendedproc '扩展存储过程名'

xp_cmdshell:是进入操作系统的最佳捷径,删除

访问注册表的存储过程,删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程,不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

5.隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口

serv-u的几点常规安全需要设置下:

选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。

六、IIS安全设置

IIS的相关设置:

删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:

ASP的安全设置:

设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。

另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!

PHP的安全设置:

默认安装的php需要有以下几个注意的问题:

C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默认是on,但需检查一遍]

open_basedir =web目录

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]

MySQL安全设置:

如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:

删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo

ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。

Serv-u安全问题:

安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。

更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist.比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。

七、其它

1.隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

2.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器;

3.防止SYN洪水攻击:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名为SynAttackProtect,值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值,名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名为IGMPLevel 值为0

7.修改终端服务端口:

运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。

第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。

8.禁止IPC空连接:

cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9.更改TTL值:

cracker可以根据ping回的TTL值来大致判断你的操作系统,如:

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。

10. 删除默认共享:

有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接:

默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

12.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

13. 账户安全

首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理

14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样,出错了自动转到首页。

15.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值

打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old"

启动"安全配置和分析"MMC管理单元:"开始"-"运行"-"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上

右击"安全配置和分析"-"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开"

当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开",如果系统提示"拒绝访问数据库",不管他,你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件,安全数据库重建成功。

16.禁用DCOM:

运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

第二步:

尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助!

堵住自动保存隐患

Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:

1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;

2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,

3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。

完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。

堵住资源共享隐患

为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤:

1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;

2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;

3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;

4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。

堵住远程访问隐患

在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:

1、点击系统桌面上的“开始”按钮,打开开始菜单;

2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;

3、在该界面中,用鼠标单击“远程”标签;

4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。

堵住用户切换隐患

Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:

在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。

2003服务器安全设置请哪位高手详细指点一下,谢谢!

2003是一款凝聚了微软多年以来技术积累的全新操作系统。这是由于Windows Server

2003核心得到改进、各种设备管理获得进一步的优化,在性能方面有了长足发展。所以在相同硬件配置情况下,Windows Server

2003的启动速度和程序运行速度比Windows 2000

Server要快许多,尤其在低档硬件配置下和运行大型软件时表现得更加明显。其影响能力远比桌面操作系统中的Windows XP和Windows

98更加深远。但在其具体操作上与Windows 2000 Server

系列版本也有很大的不同,在系统安全上也存在着不同程度的隐患。为帮助各位尽快掌握和使用Win2003操作系统,特总结如下应用技巧,希望能给电脑新手带来一些帮助!

一、取消自动保存设置

Windows Server 2003作为新一代的网络操作系统具有自己独有的设备管理模式,在调用应用程序出现错误时,系统中的Dr.

Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看。但是这些信息随时也有被黑客窥视的可能,为了重要的调试信息的整体安全,我们应该取消Dr.

Watson自动保存调试信息的设置。具体步骤如下:首先打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;二是在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“office:smarttags"

/0”。三是打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All

Users文件夹、Shared

Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。在完成上面的设置后,只需重新启动一下系统即可。今后你不用再担心自动保存设置出现问题了。

二、取消对网站的安全设置

新安装好Windows Server

2003操作系统在默认状态下,会将IE的安全访问级别设置为“高”,当你打开IE后,会弹出提示窗口,提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;要是你不信任的话将无法对Internet进行浏览和文件下载,每次访问网页,都要经过这样的步骤。如此一来,不但会大大降低网页访问效率而且很麻烦,为此你可以按下面步骤,来取消安全提示:首先要依次执行“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,用鼠标双击“添加和删除程序”图标,将界面切换到“添加和删除Windows组件”页面中;二是用鼠标选中“Internet

Explorer增强的安全配置”选项,继续单击下一步按钮,就能将该选项从系统中删除了;最后再单击一下“完成”按钮,退出组件删除提示窗口。从今往后,你再上网的时候,IE就不会自动去检查网站的安全性了,重新设置以后你感觉是不是方便多了。

三、取消资源共享设置

Windows Server 2003在网络操作系统方面较Windows

2000有了很大增强,也为局域网用户在相互之间的传输信息方面带来极大方便,比如为用户提供了文件和打印共享功能等。但是不要忘了,在我们享受该功时的时候,也为黑客们提供了可乘之机,给服务器系统带来了潜在的危险。大家要注意,在用完文件或打印共享功能时,要随时将共享功能关闭—以防万一。具体步骤如下:首先执行控制面板菜单项下面的“网络连接”命令,在出现的窗口中,用鼠标右键单击“本地连接”图标;二是在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;三是在该界面中取消“Microsoft网络的文件和打印机共享”这个选项即可;完成以上设置以后,本地计算机就没有办法对外提供文件与打印共享服务了,实践证明这种方法是很有效果的。

四、取消用户切换设置

Windows

2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中。不过,在享受这种轻松时的背后,也给你的系统带来了安装上的隐患,例如我们在执行系统“开始”菜单中的“注销”命令,“切换用户”时,如果再使用传统的方式来登录系统的话,系统很有可能会把本次登录当作错误处理,Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,给我们带来了很多的麻烦;遇到这种情况,我们可以按如下步骤来避免系统产生的安全隐患:首先在Windows

2003系统桌面中,单击开始菜单下面的“控制面板”命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消即可。

五、取消关机原因的设置

每次需要关闭系统时,Win2003系统总是要你选择关机原因,对于个人用户来说,非常麻烦!而且也没有多么大的使用意义,可禁用该功能:(1)使用组策略法:在“开始→运行”中键入“gpedit.msc”打开组策略窗口,展开“‘本地计算机’策略→计算机配置→管理模板→系统”,接着双击“显示‘关闭事件跟踪程序’”项,在弹出窗口中勾选“已禁用”项即可。(2)使用注册表法:在“开始→运行”中键入“Regedit”打开“注册表编辑器”,展开分支“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindows

NT”,新建一个名为“Reliability”的项,接着新建一个名为“ShutdownReasonOn”的DWORD值,将它的值设为0即可。(3)使用系统设置法:打开“控制面板→电源选项”,进入“高级”选项卡,在其中的“电源按钮”设置区域中,将“在按下计算机电源按钮时”设置为“关机”,然后单击“确定”按钮即可。这样,以后在关机时,直接按下机箱上的电源按钮,计算机就会在保存配置后直接关闭了。经过以上设置以后,在你关闭系统的时候,不再会有麻烦了。

六、其它

Windows Server

2003作为新一代的网络操作系统具有自己独有的设备管理模式,在安装硬件驱动程序时一定要使用经微软认证获得数字签名的驱动程序,以确保系统的稳定性和兼容性。而且在管理性方面较Windows

2000有了很大增强,利用“配置您的服务器”和“管理您的服务器”向导,即可简单、方便、有效的进行服务器角色的安装和管理。

在windows2003系统中怎么设置管理我的服务器

一、先关闭不需要的端口 我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改 了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动! 还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。 二、关闭不需要的服务 打开相应的审核策略 把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。 在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。 在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。 推荐的要审核的项目是: 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 三、磁盘权限设置 1.系统盘权限设置 C:分区部分: c:\ administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) system 全部(该文件夹,子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹,子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:\Documents and Settings administrators 全部(该文件夹,子文件夹及文件) Power Users (该文件夹,子文件夹及文件) 读取和运行 列出文件夹目录 读取 SYSTEM全部(该文件夹,子文件夹及文件) C:\Program Files administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹,子文件夹及文件) 读取和运行 列出文件夹目录 读取 Power Users(该文件夹,子文件夹及文件) 修改权限 SYSTEM全部(该文件夹,子文件夹及文件) TERMINAL SERVER USER (该文件夹,子文件夹及文件) 修改权限 2.网站及虚拟机权限设置(比如网站在E盘) 3.数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。

Windows 2003 Server安全配置

windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。

第一招:正确划分文件系统格式,选择稳定的操作系统安装盘

为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。

第二招:正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:

1、系统盘权限设置

C:分区部分:

c:\

administrators 全部(该文件夹,子文件夹及文件)

CREATOR OWNER 全部(只有子文件来及文件)

system 全部(该文件夹,子文件夹及文件)

IIS_WPG 创建文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹,子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:\Documents and Settings

administrators 全部(该文件夹,子文件夹及文件)

Power Users (该文件夹,子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹,子文件夹及文件)

C:\Program Files

administrators 全部(该文件夹,子文件夹及文件)

CREATOR OWNER全部(只有子文件来及文件)

IIS_WPG (该文件夹,子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹,子文件夹及文件)

修改权限

SYSTEM全部(该文件夹,子文件夹及文件)

TERMINAL SERVER USER (该文件夹,子文件夹及文件)

修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理

E:\

Administrators全部(该文件夹,子文件夹及文件)

E:\wwwsite

Administrators全部(该文件夹,子文件夹及文件)

system全部(该文件夹,子文件夹及文件)

service全部(该文件夹,子文件夹及文件)

E:\wwwsite\vhost1

Administrators全部(该文件夹,子文件夹及文件)

system全部(该文件夹,子文件夹及文件)

vhost1全部(该文件夹,子文件夹及文件)

3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限

比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置

请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

t

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述

第三招:禁用不必要的服务,提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

第四招:修改注册表,让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名为SynAttackProtect,值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值,名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。

2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接:

cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统,如:

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦

10. 删除默认共享

有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

2. 账户安全

首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;"这样,出错了自动转到首页

4. 安全日志

我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略-审核策略中打开相应的审核,推荐的审核是:

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义

5. 运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice防火墙

6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码

7.设置ip筛选、用blackice禁止木马常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值.

打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".

启动"安全配置和分析"MMC管理单元:"开始"-"运行"-"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.

右击"安全配置和分析"-"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".

当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".

如果系统提示"拒绝访问数据库",不管他.

你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.

配置使用Win2003 Server web服务器SSL安全证书怎么弄

Gworg申请SSL证书后进入服务器使用对用服务器环境SSL安装即可。

另外Gworg提供IIS6服务器安装说明。

win2003服务器安全设置教程的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于新服务器怎么安装win2003、win2003服务器安全设置教程的信息别忘了在本站进行查找喔。

取消
扫码支持 支付码