windows server 2003配置权限

Windows Server 2003 系统配置方案

2009年9月13日

分享 |

发表评论阅读评论

一、系统的安装

１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

２、IIS6.0的安装

开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件

应用程序———https://www.360docs.net/doc/565537154.html,（可选）

|——启用网络 COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）

|——万维网服务———Active Server pages（必选）

|——Internet 数据连接器（可选）

|——WebDAV 发布（可选）

|——万维网服务（必选）

|——在服务器端的包含文件（可选）

然后点击确定—>下一步安装。

３、系统补丁的更新

点击开始菜单—>所有程序—>Windows Update

按照提示进行补丁的安装。

４、备份系统

用GHOST备份系统。

５、安装常用的软件

例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。

二、系统权限的设置

１、磁盘权限

系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录只给 Administrators 组和SYSTEM 的完全控制权限

系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和 SYSTEM 的完全控制权限

２、本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组

通过终端服务允许登陆：只加入Administrators组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐户

帐户：重命名系统管理员帐户重命名一个帐户

３、禁用不必要的服务

开始菜单—>管理工具—>服务

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Server

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

４、启用防火墙

桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>（选中）Internet 连接防火墙—>设置

把服务器上面要用到的服务端口选中

例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号

如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

ASP虚拟主机安全检测探针V1.5

走出Windows权限迷魂阵

在电脑应用中经常会看到”权限”这个词，特别是Windows 2000/XP被越来越多的朋友装进电脑后，常常会有读者问，什么是权限呢?它到底有什么用?下面我们将用几个典型实例为大家讲解windows中的权限应用，让你不仅可以在不安装任何软件的情况下，限制别人访问你的文件夹、指定用户不能使用的程序，而且还有来自微软内部的加强系统安全的绝招。——————————————————————————–

初识Windows的权限

首先，要完全使用windows权限的所有功能，请确保在应用权限的分区为NTFS 文件系统。本文将以windowsXP简体中文专业版+SP2作为范例讲解。

1．什么是权限?

举个形象的例子，windows就像一个实验室，其中有导师A、导师B；学生A、学生B．大家都能在实验室里面完成实验。但在这里又是分等级的．两位导师可以指定学生能使用什么样的实验工具，不能碰什么工具，从而使得实验室不会因为学生乱用实验工具．而出现问题。同时．两位导师又能互相限制对方对实验工具的使用。因此．windows中的权限就是对某个用户或同等级的用户进行权力分配和限制的方法。正是有了它的出现，windows中的用户要遵循这种”不平等”的制度，而正是这个制度，才使得windows可以更好地为多个用户的使用创造了良好，稳定的运行环境。

2．权限都包含有什么?

在以NT内核为基础的Windows 2000/XP中，权限主要分为七大类完全控制、修改，读取和运行、列出文件夹目录、读取、写入、特别的权限(见图1)。

其中完全控制包含了其他六大权限．只要拥有它，就等同于拥有了另外六大权限，其余复选框会被自动选中．属于”最高等级”的权限。

而其他权限的等级高低分别是：特别的权限>读取和运行>修改>写入>读取。

默认情况下，Windows XP将启用”简单文件共享”，这意味着安全性选项卡和针对权限的高级选项都不可用．也就不能进行本文所述的那些权限应用操作了。请现在就右击任意文件或文件夹．选择”属性”，如果没有看到”安全”选项卡，你可以通过如下方法打开它。

打开”我的电脑”，点击”工具→文件夹选项→查看”，接着在然后单击取消”使用简单文件共享(推荐)”复选框即可。

实战权限”正面”应用

以下应用的前提，是被限制的用户不在Administrators组，否则将可能发生越权访问，后面”反面应用”会讲到。执行权限设置的用户至少需要为Power Users 组的成员，才有足够权限进行设置。

实例1：我的文档你别看－保护你的文件或文件夹

假设A电脑中有三个用户，用户名分别为User1、User2、User3。Userl不想让User2和User3查看和操作自己的”test”文件夹。

第一步：右击”test”文件夹并选择”属性”，进入”安全”选项卡，你将会看到”组或用户名称”栏里有Administrators(A\Administrators)、CREATOR OWNER、SYSTEM Users(A\Users)、User1(A\ User1)。他们分别表示名为A电脑的管理员组，创建、所有者组，系统组，用户组以及用户User1对此文件夹的权限设置。当然，不同的电脑设置和软件安装情况，此栏里的用户或用户组信息不一定就是和我描述的一样．但正常情况下最少将包含3项之一：Administrators、SYSTEM、Users或Everyone(见图2)。

第二步：依次选中并删除Administrators、CREATOR OWNER、SYSTEM、Users，仅保留自己使用的Userl账户。在操作中可能会遇到如图3的提示框。

其实只要单击”高级”按钮，在”权限”选项卡中，取消”从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”的复选框，在弹出对话框中单击”删除”即可。该操作使此文件夹清除了从上一级目录继承来的权限设置，仪保留了你使用的User1账户。

就这么轻松，你就实现了其他用户，甚至系统权限都无法访问”test”文件夹的目的。

★需要注意的是，如果这个文件夹中需要安装软件，那么就不要删除”SYSTEM”，不然可能引起系统访问出错

★Administrator并不是最高指挥官：你可能会问，为什么这里会有一

个”SYSTEM”账户呢?同时许多朋友认为windows2000/XP中的Administrator

是拥有权限最高的用户，其实不然，这个”SYSTEM”才具有系统最高权限，因为它是”作为操作系统的一部分工作”，任何用户通过某种方法获取了此权限，就能凌驾一切。

——————————————————————————–

实例2：上班时间别聊天－禁止用户使用某程序

第一步：找到聊天程序的主程序，如QQ，其主程序就是安装目录下的QQ.exe，打开它的属性对话框，进入”安全”选项卡，选中或添加你要限制的用户，如User3。

第二步：接着选择”完全控制”为”拒绝”，”读取和运行”也为”拒绝”。

第三步：单击”高级”按钮进入高级权限没置，选中User3，点”编辑”按钮，进入权限项目。在这里的”拒绝”栏中选中”更改权限”和”取得所有权”的复选框。

也可以使用组策略编辑器来实现此功能，但安全性没有上面方法高。点击”开始→运行”，输入”gpedit.msc”，回车后打开组策略编辑器，进入”计算机设置→windows设置→安全设置→软件限制策略→其他规则”，右击，选择”所有任

务→新路径规则”，接着根据提示设置想要限制的软件的主程序路径，然后设定想要的安全级别，是”不允许的”还是”受限制的”。

——————————————————————————–

实例3：来者是客-－微软内部增强系统安全的秘技

本实战内容将需要管理员权限。所谓入侵，无非就是利用某种方法获取到管理员级别的权限或系统级的权限，以便进行下一步操作，如添加自己的用户。如果想要使入侵者”进来”之后不能进行任何操作呢?永远只能是客人权限或比这个权限更低，就算本地登录，连关机都不可以。那么，他将不能实施任何破坏活动。注意：此法有较高的危险性．建议完全不知道以下程序用途的读者不要尝试．以免误操作引起系统不能进入或出现很多错误。

第一步：确定要设置的程序

搜索系统目录下的危险程序，它们可以用来创建用户夺取及提升低权限用户的权限，格式化硬盘，引起电脑崩溃等恶意操作：cmd.exe、regedit.exe、

regsvr32.exe、regedt32.exe、gpedit.msc、https://www.360docs.net/doc/565537154.html,、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、https://www.360docs.net/doc/565537154.html,、comsdupd.exe 第二步：按系统调用的可能性分组设置

按照下面分组．设置这些程序权限。完成一组后，建议重启电脑确认系统运行是否一切正常，查看”事件查看器”，是否有错误信息(“控制面板→管理工具→事件查看器”)。

(1)cmd.exe、net.exe gpedit.msc telnet.exe https://www.360docs.net/doc/565537154.html,

(仅保留你自己的用户，SYSTEM也删除)

(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe

(仅保留你自己的用户，SYSTEM也删除)

(3)regedit.exe、regedt32.exe、https://www.360docs.net/doc/565537154.html,、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe

(保留你自己的用户和SYSTEM)

(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe

(保留你自己的用户和SYSTEM)

第三步：用户名欺骗

这个方法骗不了经验丰富的入侵者，但却可以让不够高明的伪黑客们弄个一头雾水。

打开”控制面板一管理工具一计算机管理”，找到”用户”，将默认的Administrator和Guest的名称互换，包括描述信息也换掉。完成后，双击假的”Administrator”用户，也就是以前的Guest用户．在其”属性”窗口中把隶属于列表里的Guests组删除．这样．这个假的”管理员”账号就成了”无党派人士”，不属于任何组，也就不会继承其权限。此用户的权限几乎等于0，连关机都不可以，对电脑的操作几乎都会被拒绝。如果有谁处心积虑地获取了这个用户的权限，那么他肯定吐血。

第四步：集权控制，提高安全性

打开了组策略编辑器，找到”计算机设置→windows设置→安全设置→本地策略→用户权利指派”(见图4)，接着根据下面的提示进行设置。

(1)减少可访问此计算机的用户数，减少被攻击机会

找到并双击”从网络访问此计算机”，删除账户列表中用户组，只剩

下”Administrators”；

找到并双击”拒绝本地登录”，删除列表中的”Guest”用户，添加用户

组”Guests”。

(2)确定不想要从网络访问的用户，加入到此”黑名单”内

找到并双击”拒绝从刚络访问这台计算机”，删除账户列表中的”Guest”用户，添加用户组”Guests”；

找到并双击”取得文件或其他对象的所有权”，添加你常用的账户和以上修改过名称为”Guest”的管理员账户，再删除列表中”Administrators”。

(3)防止跨文件夹操作

找到并双击”跳过遍历检查”，添加你所使用的账户和以上修改过名称

为”Guest”的管理员账户，再删除账户列表中

的”Administrators”、”Everyone”和”Users”用户组。

(4)防止通过终端服务进行的密码猜解尝试

找到并双击”通过终端服务拒绝登录”，添加假的管理员账

户”Administrator”；找到”通过终端服务允许登录”，双击，添加你常用的账户和以上修改过名称为”Guest”的管理员账户，再删除账户列表中

的”Administrators”，”Remote Desktop User”和”HelpAssistant”(如果你不用远程协助功能的话才可删除此用户)。

(5)避免拒绝服务攻击

找到并双击”调整进程的内存配额”，添加你常用的账户，再删除账户列表中的”Administrators”

——————————————————————————–

实例4：”你的文档”别独享——突破文件夹”私有”的限制

windows XP安装完成并进入系统时，会询问是否将”我的文档”设为私有(专用)，如果选择了”是”，那将使该用户下的”我的文档”文件夹不能被其他用户访问，删除，修改。其实这就是利用权限设置将此文件夹的访问控制列表中的用户和用户组删除到了只剩下系统和你的用户，所有者也设置成了那个用户所有，Administrators组的用户也不能直接访问。如果你把这个文件夹曾经设置为专用，但又在该盘重装了系统，此文件夹不能被删除或修改。可按照下面步骤解决这些问题，让你对这个文件夹的访问，畅通无阻。

第一步：登录管理员权限的账户，如系统默认的Administrator，找到被设为专用的”我的文档”，进入其”属性”的”安全”选项卡，你将会看到你的用户不在里面，但也无法添加和删除。

第二步：单击”高级”按钮，进入高级权限设置，选择”所有者”选项卡，在”将所有者更改为”下面的列表中选中你现在使用的用户，

如”Userl(A\Userl)”，然后再选中”替换子容器及对象的所有者”的复选框，然后单击”应用”，等待操作完成。

第三步：再进入这个文件夹看看，是不是不会有任何权限的提示了?可以自由访问了?查看里面的文件，复制、删除试试看．是不是一切都和”自己的”一样了?嘿嘿。如果你想要删除整个文件夹，也不会有什么阻止你了。

SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 改3389 的

Windows2003基本的web服务器安全设置

栏目： | 作者：青鳥南飛 | 点击：164 | 回复：0 | 2006-6-26 14:40:39

基本的服务器安全设置

1、安装补丁

安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。

2、安装杀毒软件

至于杀毒软件目前我使用有两款，一款是瑞星，一款是诺顿，瑞星杀木马的效果比诺顿要强，我测试过病毒包，瑞星要多杀出很多，但是装瑞星的话会有一个问题就是会出现ASP动态不能访问，这时候需要重新修复一下，具体操作步骤是：

关闭杀毒软件的所有的实时监控，脚本监控。

╭═══════════════╮╭═══════════════╮

在Dos命令行状态下分别输入下列命令并按回车（Enter）键：

regsvr32 jscript.dll （命令功能：修复Java动态链接库）

regsvr32 vbscript.dll （命令功能：修复VB动态链接库）

╰═══════════════╯╰═══════════════╯

不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

3、设置端口保护和防火

2003的端口屏蔽可以通过自身防火墙来解决，这样比较好，比筛选更有灵活性，桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>（选中）Internet 连接防火墙—>设置

把服务器上面要用到的服务端口选中

例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）

在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号

如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

权限设置

权限设置的原理

?WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

?NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。

?IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

权限设置

磁盘权限

系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录只给 Administrators 组和SYSTEM 的完全控制权限

系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和 SYSTEM 的完全控制权限

4、禁用不必要的服务

开始菜单—>管理工具—>服务

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Server

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

改名或卸载不安全组件

不安全组件不惊人

在阿江探针1.9里加入了不安全组件检测功能（其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的），这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。

其实，只要做好了上面的权限设置，那么FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。

最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

谨慎决定是否卸载一个组件

组件是为了应用而出现的，而不是为了不安全而出现的，所有的组件都有它的用处，所以在卸载一个组件之前，你必须确认这个组件是你的网站程序不需要的，或者即使去掉也不关大体的。否则，你只能留着这个组件并在你的ASP程序本身上下工夫，防止别人进来，而不是防止别人进来后SHELL。

比如，FSO和XML是非常常用的组件之一，很多程序会用到他们。WSH组件会被一部分主机管理程序用到，也有的打包程序也会用到。

5、卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT 文件，( 以下均以 WIN2000 为例，如果使用2003，则系统文件夹应该是

C:\WINDOWS\ )

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

然后运行一下，WScript.Shell, Shell.application, https://www.360docs.net/doc/565537154.html,work就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。

改名不安全组件

需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以

Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为

13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_ajiang

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码（两个文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

@=”Shell Automation Service”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InPro cServer32]

@=”C:\\WINNT\\system32\\shell32.dll”

“ThreadingModel”=”Apartment”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgI D]

@=”Shell.Application_ajiang.1″

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeL ib]

@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Versi on]

@=”1.1″

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Versi onIndependentProgID]

@=”Shell.Application_ajiang”

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]

@=”Shell Automation Service”

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]

@=”{13709620-C279-11CE-A49E-444553540001}”

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]

@=”Shell.Application_ajiang.1″

你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

6、防止列出用户组和系统进程

在阿江ASP探针1.9中结合7i24的方法利用getobject(“WINNT”)获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：

【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

防止Serv-U权限提升

其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和

#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防范

一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。

作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

QUOTE:

c:\

administrators 全部

system 全部

iis_wpg 只有该文件夹

列出文件夹/读数据

读属性

读扩展属性

读取权限

c:\inetpub\mailroot

administrators 全部

system 全部

service 全部

c:\inetpub\ftproot

everyone 只读和运行

c:\windows

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改，读取和运行，列出文件夹目录，读取，写入system 全部

IIS_WPG 读取和运行，列出文件夹目录，读取

Users 读取和运行(此权限最后调整完成后可以取消)

C:\WINDOWS\https://www.360docs.net/doc/565537154.html,

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改，读取和运行，列出文件夹目录，读取，写入system 全部

Users 读取和运行，列出文件夹目录，读取

C:\WINDOWS\https://www.360docs.net/doc/565537154.html,

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改，读取和运行，列出文件夹目录，读取，写入system 全部

Users 读取和运行，列出文件夹目录，读取

C:\WINDOWS\https://www.360docs.net/doc/565537154.html,\temporary https://www.360docs.net/doc/565537154.html, Files administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改，读取和运行，列出文件夹目录，读取，写入system 全部

Users 全部

c:\Program Files

Everyone 只有该文件夹

不是继承的

列出文件夹/读数据

administrators 全部

iis_wpg 只有该文件夹

列出文件/读数据

读属性

读扩展属性

读取权限

c:\windows\temp

Administrator 全部权限

System 全部权限

users 全部权限

c:\Program Files\Common Files

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改，读取和运行，列出文件夹目录，读取，写入system 全部

TERMINAL SERVER Users(如果有这个用户)

修改，读取和运行，列出文件夹目录，读取，写入Users 读取和运行，列出文件夹目录，读取

如果安装了我们的软件：

c:\Program Files\LIWEIWENSOFT

Everyone 读取和运行，列出文件夹目录，读取administrators 全部

system 全部

IIS_WPG 读取和运行，列出文件夹目录，读取

c:\Program Files\Dimac(如果有这个目录) Everyone 读取和运行，列出文件夹目录，读取administrators 全部

c:\Program Files\ComPlus Applications (如果有) administrators 全部

c:\Program Files\GflSDK (如果有) administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改，读取和运行，列出文件夹目录，读取，写入

system 全部

TERMINAL SERVER Users

修改，读取和运行，列出文件夹目录，读取，写入

Users 读取和运行，列出文件夹目录，读取

Everyone 读取和运行，列出文件夹目录，读取

c:\Program Files\InstallShield Installation Information (如果有) c:\Program Files\Internet Explorer (如果有)

c:\Program Files\NetMeeting (如果有)

administrators 全部

c:\Program Files\WindowsUpdate

Creator owner

不是继承的

只有子文件夹及文件

完全

administrators 全部

Power Users

修改，读取和运行，列出文件夹目录，读取，写入

system 全部

c:\Program Files\Microsoft SQL(如果SQL安装在这个目录) administrators 全部

Service 全部

system 全部

c:\Main (如果主控端网站放在这个目录)

administrators 全部

system 全部

IUSR_*，默认的Internet来宾帐户(或专用的运行用户)

读取和运行

d:\ (如果用户网站内容放置在这个分区中)

administrators 全部权限

d:\FreeHost (如果此目录用来放置用户网站内容)

administrators 全部权限

SERVICE 读取与运行

system 读取与运行(全部权限，如果安装了一流信息监控)

F:\ (如果此分区用来放置SQL2000用户数据库)

administrators 全部权限

System 全部权限

SQL2000的运行用

只有该文件夹

列出文件夹/读数据

读属性

读扩展属性

读取权限

F:\SQLDATA (如果此目录用来放置SQL2000用户数据库)

administrators 全部权限

System 全部权限

SQL2000的运行用户全部权限

从安全角度，我们建议WebEasyMail(WinWebMail)安装在独立的盘中，例如E: E:\(如果webeasymail安装在这个盘中)

administrators 全部权限

system 全部权限

IUSR_*，默认的Internet来宾帐户(或专用的运行用户)

只有该文件夹

列出文件夹/读数据

读属性

读扩展属性

读取权限

E:\WebEasyMail (如果webeasymail安装在这个目录中)

administrators 全部

system 全部权限

SERVICE 全部

IUSR_*，默认的Internet来宾帐户 (或专用的运行用户)

全部权限

C:\php\uploadtemp

C:\php\sessiondata

everyone

全部

C:\php\

administrators 全部

system 全部权限

SERVICE 全部

Users 只读和运行

c:\windows\php.ini

administrators 全部

system 全部权限

SERVICE 全部Users 只读和运行

Windows Server 2012 从入门到精通系列 之 DNS服务器

Windows Server 2012 从入门到精通系列之 DNS服务器2013-04-02 14:22:25 标签：DNS Windows2012添加标签>> 原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。https://www.360docs.net/doc/565537154.html,/12728/1169181 首先，我先来问问大家在平常上网时，访问网站用的是IP地址还是域名？大家一般都会回答是域名，因为域名要比IP地址好记忆。但大家知道吗？最终访问服务器时都是需要IP 地址的，那么怎么能够把用户输入的域名相应的解析成IP地址呢？那就是DNS服务器的作用了！今天我们就来学习一下在Windows Server 2012服务器中如何搭建管理DNS服务器。 早期使用Hosts文件解析域名，它的缺点是：1）主机名称重复。2）主机维护困难。DNS（Domain Name System域名系统）的优点：1）分布式。2）层次性。 DNS服务主要起到两个作用： 1）可以把相对应的域名解析为对应的IP地址，这叫正向解析。 2）可以把相对应的IP地址解析为对应的域名，这叫反向解析。

域名空间采用分层结构： 1、根域(root) 2、顶级域 组织域

国家或地区域 3、二级域 4、主机名 FQDN（full qualified domain name 完全合格域名）=主机名.DNS后缀，如https://www.360docs.net/doc/565537154.html,,其中www为主机名，https://www.360docs.net/doc/565537154.html,为DNS后缀名。DNS的区域，DNS的管理是按照区域进行管理的。 1.域名空间树形结构的一部分 2.将域名空间根据需要划分为较小区域

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重，以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务，这样最大程度来提高安全性。 作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务都可以禁用。当然了，你的系统补丁也需要更新到最新，一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多，而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢，因为我们要防患于未然，万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务，所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有，则禁用

Print Spooler Remote Registry 因为我们使用的是云主机，跟单机又不一样，所以有些服务并不能一概而论，如上面的Server服务。例如天翼云的主机，上海1和内蒙池的主机就不一样，内蒙池的主机需要依赖Server服务，而上海1的不需要依赖此服务，所以上海1的可以禁用，内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性，删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。

Windows 2003系统配置iSCSI存储

Windows Server 2003 模拟IP-SAN图文教程 用Windows Server模拟IP-SAN 测试操作系统版本：windows 2003 server sp2, 软件：MS_iSCSI_Target 配置步骤: 1. 首先下载MS_iSCSI_Target，可从微软官方网站下载。Windowows 2003 对应MS_iSCSI_Target 3.1版本，windows 2008 对应MS_iSCSI_Target 3.2版本； 2. 将下载的MS_iSCSI_Target安装包解压，解压后打开MS-dos命令行，进入到MS_iSCSI_Target目录，运行MSiSCSITarget.bat Install；（注意Install第一个字母大写） 3. 安装完成后，打开mmc控制台，添加管理单元。选择Microsoft iSCSI Software 单元。 用Windows Server模拟IP-SAN 测试操作系统版本：windows 2003 server sp2, 软件：MS_iSCSI_Target 配置步骤: 1. 首先下载MS_iSCSI_Target，可从微软官方网站下载。Windowows 2003 对应MS_iSCSI_Target 3.1版本，windows 2008 对应MS_iSCSI_Target 3.2版本； 2. 将下载的MS_iSCSI_Target安装包解压，解压后打开MS-dos命令行，进入到MS_iSCSI_Target目录，运行MSiSCSITarget.bat Install；（注意Install第一个字母大写） 3. 安装完成后，打开mmc控制台，添加管理单元。选择Microsoft iSCSI Software 单元。

Windows2003服务器配置

选择题 1.Windows Server 2003中IE浏览器默认安全级别为（）。 A．低B．中C．高D．中低 2.DNS属于（）层协议。 A．传输层B．应用层C．互联网层D．网络接口层 3.指定系统在5分钟后关机，需要使用（）命令。 A．shutdown -s B．shutdown -a C．shutdown -s -t 5 D．shutdown -s -t 300 4.在（）命令行中，按协议的种类显示统计数据。 A．ipconfig B．netstat –s C．netstat –a D．netstat –e 5.在Windows 9X/2000/XP/2003中，（）是最小运行单位。 A．进程B．线程C．服务D．程序 6.（）表示显示当前用于映射打开文件的页面的物理内存。 A．物理内存B．系统缓存C．未分页内存D．分页内存 7.磁盘管理支持（）基本磁盘还是动态磁盘。 A．动态磁盘B．基本磁盘和动态磁盘C．基本磁盘D．以上都不对 8.存储在硬盘上的虚拟内存文件的文件名是（）。 A．visual.sys B．win.ini C．pagefile.sys D．boot.ini 9.某公司计划建设网络系统，该网络有两台服务器，安装Windows Server 2003操作系 统；40台工作站，安装Windows XP，则Windows Server 2003的许可协议应选择何种模式比较合理？（） A．选择每服务器模式B．选择每客户模式C．选择混合模式D．忽略该选项10.现要在一台装有Windows 2000 Server操作系统的机器上安装Windows Server 2003， 并做成双引导系统。此计算机硬盘的大小是10.4GB，有两个分区：C盘4GB，文件系统是FAT；D盘6.4GB，文件系统是NTFS。为使计算机成为双引导系统，下列那个选项是最好的方法？（） A．安装时选择全新安装，并选择D盘作为安装盘。 B．安装时选择全新安装，并且选择C盘上与Windows作为Windows Server 2003的安装目录 C．安装时选择升级安装，并且选择C盘上与Windows不同的目录作为Windows Server 2003的安装目录 D．安装时选择升级选项，并选择D盘作为安装盘。 11.有一台服务器的操作系统是Windows 2000 Server，文件系统是NTFS，无任何分区， 现要求对该服务进行Windows Server 2003的安装，保留原数据，但不保留操作系统，应使用下列（）种方法进行安装才能满足需求。 A．在安装过程中进行全新安装并格式化磁盘 B．对原操作系统进行升级安装，不格式化磁盘 C．做成双引导，不格式化磁盘 D．重新分区并进行全新安装 12.要启用磁盘配额管理，Windows Server 2003驱动器必须使用（）文件系统。 A．FAT16或FAT32 B．只使用NTFS C．NTFS或FAT 32 D．只使用FAT32 13.对于NTFS权限描述错误的是（） A. 没有文件和文件夹级的安全性 B. 内置文件加密和压缩功能

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名；——启动 交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问：可匿名访问的共享；——清空 网络访问：可匿名访问的命名管道；——清空 网络访问：可远程访问的注册表路径；——清空 网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

windows-server-的基本设置试题教学内容

第二单元测试题 一、填空题 (1)Windows Server 2008 中的角色和功能，相当于Windows Server 2003 中的Windows组件，其中重要的组件划分成了角色，不太重要的服务和增加服务器的功能被划分成了功能。 (2)系统变量中，Path 变量定义了系统搜索可执行文件的路径， Windir定义了Windows的目录。 (3)用户配置文件其实是一个文件夹，这个文件夹位于 “\Documents and Settings”下，并且以用户名来命名。 (4)通过 MMC，用户可以将常用的管理工具集中到一个窗口界面中， 从而通过一个窗口就可以管理不同的管理工具。 (5) 一般情况下，建议用户将显示刷新频率设置为75Hz以上。 (6)Windows Server 2008 系统登录成功后将显示“初始配置任务” 窗口，通过此窗口用户可以根据需要对系统进行初始配置，包括3个任务：提供计算机信息、更新服务器、自定义服务器。 (7)页面文件夹的最大值可以设置得越大越好，通常建议将它设置为 最小值的2~3倍。 (8)set命令不仅可以显示当前的环境变量，也可以删除和修改变量。 (9)“自定义服务器“包括启用添加角色、添加功能、启用远程桌面、 配置Windows防火墙4个方面。 (10)管理员添加功能不会作为服务器的只要功能，但可以增强安装 的角色的功能。 (11)如果列表中没有75Hz及其以上的刷新频率，则需要先适当调低 显示器分辨率，然后再进行刷新的设置。

(12)MMC由分成两个窗格的窗口组成，左侧窗格为控制台树，显示 控制台中可以使用的项目；右侧窗格则列出左侧项目的详细信息和有个功能，包括网页、图形、图表、表格和列。 二、选择题 (1)在Windows Server 2008 系统中，如果要输入DOS命令，则在 “运行”对话框中输入（A）。 A . CMD B . MMC C . AUTOEXE D . TTY (2)Windows Server 2008 系统安装时生成的 Documents and Settings、Windows 以及Windows\System32文件夹是不能随意更改的，因为它们是（D） A . Windows的桌面 B . Windows正常运行时所必需的应用软件文件夹 C . Windows 正常运行时所必需的用户文件夹 D . Windows正常运行时所必需的系统文件夹 (3)启用Windows自动更新和反馈功能，不能进行手动配置设置的是 （C） A . Windows自动更新 B . Windows 错误报告 C . Windows激活 D . 客户体 验改善计划 (4)远程桌面被启用后，服务器操作系统被打开的端口为（B） A . 80 B . 3389 C . 8080 D . 1024

win2003服务器操作系统

win2003服务器操作系统下载地址列表请大家用迅雷下载 https://www.360docs.net/doc/565537154.html,/WindowsServer2003SP2EnterpriseEdition.iso或http://58.51.84.54/WindowsServer2003SP2EnterpriseEdition.iso 更多win2003下载地址https://www.360docs.net/doc/565537154.html,/os/windows/Win2003/1904.html 迅雷地址：thunder://QUFodHRwOi8vcy5zYWZlNS5jb20vV2luZG93c1NlcnZlcjIwMDNTUDJFbnRlcnBya XNlRWRpdGlvbi5pc29aWg== 快车地址：flashget://W0ZMQVNIR0VUXWh0dHA6Ly9zLnNhZmU1LmNvbS9XaW5kb3dzU2VydmVyMj AwM1NQMkVudGVycHJpc2VFZGl0aW9uLmlzb1tGTEFTSEdFVF0=&abc 旋风地址：qqdl://aHR0cDovL3Muc2FmZTUuY29tL1dpbmRvd3NTZXJ2ZXIyMDAzU1AyRW50ZXJwcml zZUVkaXRpb24uaXNv 请复制下载地址用迅雷下载！！！(有部分网友反映安装不上) 通用性好的win2003序列号: (推荐先用这个里面的) FJ8DH-TQPYG-9KFHQ-88CB2-Y7V3Y GRD4P-FTQQF-JCDM8-4P6JK-PFG7M JD7JX-KCDTH-7WH4X-DM98R-GD73Y GM34K-RCRKY-CRY4R-TMCMW-DMDHM BRBJB-B7HQF-YW93Y-RVJVB-K6PMB F9389-7TWW4-88YYH-RKPFJ-6PV3Y F947R-VPGDF-RTDK7-WTMBY-PP67M D4Q7H-MPPR2-23PMH-HQGBG-6X8YB KW8GQ-DJH7F-6XH6Y-WG3BH-FK8YB DG473-GKX4K-XVPDY-FCCWH-29G7M DKDT4-PFCVX-FJ4CR-7W9D6-C7JYB GPTJB-VMDRP-XCG6H-KGW32-8KMQY J47YP-KMK8W-FR76X-KFVB6-FJ3HM KPM7R-RY44D-PVQYG-JFRH9-WKG7M FMQBH-FRQWB-DRF3T-VT2JF-WR8YB CMPC2-HBVHC-73BD6-V6PG2-BYH3Y HXGJH-3J4GY-JMCJQ-DK4MW-99TBB Windows2003的序列号： JB88F-WT2Q3-DPXTT-Y8GHG-7YYQY windows2003序列号： cky24-q8qrh-x3kmr-c6bcy-t847y win2003 Server 有三种版本：

Windows Server 2003详细安装与配置

Windows Server 2003作为微软的服务器操作系统具有强大的功能和较好的安全性，在实际网络环境中被很多大、中、小型企业所应用。微软为了针对不同的商业需求，对Windows Server 2003制作了Windows Server 2003 Web Edition 、Windows Server 2003 Standard Edition 、Windows Server 2003 Enterprise Edition 、Windows 2003 Datacenter Edition四个版本。 其中Windows Server 2003 Enterprise Edition（2003企业版）是大中小型企业选用最多的版本，下面以Windows Server 2003 Enterprise Edition（2003企业版）为例来介绍Windows Server 2003系统的安装。 一、安装Windows Server 2003所需硬件 1、你选择做服务器的主机最低配置要求：Pentium IV、256MB内存、8G硬盘、10/100M自适应网卡 2、Windows Server 2003安装光盘或镜像文件 二、安装主机的BIOS设置 1、启动计算机，按“Del”或“Esc”键进入计算机主板BIOS界面，进行boot 启动设置，设置第一启动项为“CDROM”。如图1.1所示： 2、按“F10”键保存并退出BIOS设置。如图1.2所示：

三、安装Windows Server 2003 1、完成上述过程后，将系统光盘放入光驱中重启电脑，进入Windows Server 2003安装界面，开始运行Windows Server 2003安装程度。如图1.3所示：

Windows Server 2008的基本配置

实验二Windows Server 2008的基本配置 一、实验目的 1、掌握Windows Server 2008的基本配置 2、掌握MMC控制台的使用 二、实验环境 1、安装有Windows Server 2008虚拟机软件的计算机 三、实验作业 将操作结果数据保存到WORD文档中，名称为班级-姓名-学号.doc，例如1班张三1号的文件名为：1-张三-01.doc。 操作结束将实验作业文档提交。 四、实验内容 1、修改计算机名 在桌面中选择【计算机】图标右击选择【属性】，单击【高级系统设置】，打开【系统属性】对话框，选择【计算机名】选项卡，单击【更改】按钮，更改计算机名称，命名为student班级学号，例如1班一号的计算机名称为：student101。 将修改后计算机名的【系统属性】的【计算机名】选项卡截图到实验作业中。 2、配置TCP/IP参数 （1）查看当前计算机的TCP/IP参数 右键单击桌面上的【网络】，选择【属性】，或者在桌面右下角单击【网络连接】图标，选择【网络和共享中心】，则打开【网络和共享中心】

对话框。 单击【查看状态】，显示【本地连接状态】对话框

单击【详细信息】，可以查看当前计算机TCP/IP的配置信息，截图记录到实验作业中。 （2）设置静态IP地址 在上图中选择【属性】单击，打开【本地连接属性】对话框

双击Internet协议版本4（TCP/IPV4）或单击后选择【属性】

自己设置静态IP信息：IP地址：192.168.0.XXX（XXX为本人的班级学号，例如1班1号为192.168.0.101）；子网掩码：255.255.255.0。设置结束，再次查看当前计算机的TCP/IP参数，并将查看结果截图到实验作业中。 3、设置网络发现和共享 （1）打开【网络和共享中心】，设置网络发现、文件共享的启用。

web服务器的安全配置(以windows为例)

6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。（具体见本文附件1） ３、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 ４、备份系统 用GHOST备份系统。 ５、安装常用的软件 例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份

修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )

windows2003服务器配置

Web服务是目前网络用户应用最为广泛网络服务之一。用户平时上网最普遍的活动就是浏览信息、查询资料，而这些上网活动都是通过访问Web服务器来完成的。通过在局域网内部搭建Web服务器，就可以向局域网内部发布Web 站点，从而创建单位内部网站。用户可以通过多种方式在局域网中搭建Web服务器，其中，使用Windows Server 2003（SP1）系统自带的IIS 6.0是最常用也是最简便的方式。 IIS（Internet Information Services，Internet信息服务）是一个功能完善的服务器平台，可以提供Web服务、FTP服务等常用网络服务。借助IIS 6.0，可以轻松实现要求不是很高的Web服务器。IIS 6.0集成在Windows Server 2003系统中。 Web服务器组件是Windows Server 2003系统中IIS 6.0的服务组件之一，默认情况下并没有被安装，用户需要手动安装Web服务组件。在Windows Ser ver 2003系统中安装Web服务器组件的步骤如下所述： 第1步，打开“控制面板”窗口，双击“添加/删除程序”图标，打开“添加或删除程序”窗口。单击“添加/删除Windows组件”按钮，打开“Windows 组件安装向导”对话框。 第2步，在“Windows组件”对话框中双击“应用程序服务器”选项，打开“应用程序服务器”对话框。在“应用程序服务器的子组件”列表中双击“Int ernet 信息服务（IIS）”复选框，如图2008111421所示。

图2008111421 双击“Internet 信息服务（IIS）”复选框第3步，打开“Internet 信息服务（IIS）”对话框，在“Internet 信息服务（IIS）的子组件”列表中选中“万维网服务”复选框。依次单击“确定”→“确定”按钮，如图2008111422所示。 图2008111422 选中“万维网服务”复选框 第4步，系统开始安装IIS 6.0和Web服务组件。在安装过程中需要提供W indows Server 2003系统安装光盘或指定安装文件路径。安装完成后单击“完成”按钮即可，如图2008111423所示。 图2008111423 要求指定安装文件路径 使用IIS6.0配置静态Web网站

Windows Server 2008学习笔记

●Server 2008下安装“安装增强功能”的方法：保持虚拟光驱为空，鼠标单击 “安装增强功能”，然后操作如下： 进行增强功能插件的安装即可。 ●Server 2008 R2可扮演很多角色，如：DNS、DHCP服务器等，当你安装这 些角色后，系统会自动创建用来管理这些角色的工具（即：开始/管理工具/下的“服务器管理器”）； ●Win 7同样也有这个功能，但要求下载安装工具：Remote Server Administrator Tools for Windows 7(Windows 7的远程服务器管理工具)，安装完成之后：开始/控制面版/程序/打开或关闭Windows功能，即可正常使用。 ●若安装Server 2008时是采用.iso的镜像文件分别进行安装，则不存在Mac 地址冲突的可能性，但该方法较慢；若是先安装好一台机器，再进行“导出” 后再“导入”的方法得到另一台机器，会比较快，但由于两台机器的“Mac 地址”相同(虚拟机环境下不会报错，就如同实际当中的“机器名相同”、“IP 地址冲突”时导致两台机器不能相互通讯一样)，会导致这两台机器不能通信，则必须进行“Mac地址”的刷新才行，具体如下图：

要保证两台虚拟机能正常通讯，必须满足下列几个条件： １、Mac地址不能相同； ２、机器名不能重名； ３、IP地址不能相同； ４、虚拟机的网卡模式：Bridge(桥椄)； ５、防火墙处于关闭状态； ６、Routing and Remote Access服务处于开启状态(不是必需的)，如下：

●DNS主服务器(Primary Server)可直接在该管辖区域内添加、删除和修改记录， 存储着区域数据资源的主副本(Master copy)，而辅助服务器(Secondary Server)则只能从主服务器复制数据，且对这些记录无修改权限，存储着副本记录(replica)。 一般了解：主机服务器(Master Server) 可能是存储该区域主副本的主服务器，也可能是存储副本数据的辅助服务器。 唯缓存服务器(Caching-only Server)：无任何新建区域，当它接收到dns客户端的查询请求时，它会帮助dns客户端向其它dns服务器来查询，然后将查询到的记录存储到缓存区，并将该记录提供给客户端。当再次有客户查询该记录时，能够快速地提供给客户。适于远端分公司的安装。 ●递归查询发生在dns客户端向dns服务器提出查询请求时； 迭代查询发生在dns服务器与dns服务器之间的查询； ●使用Hosts文件进行解析：一般用于客户端。该文件用来存储主机名与IP的 对应数据。事实上DNS客户端在查找主机的IP地址时，它会先检查自己计算机内的HOSTS文件，看看文件内是否有该主机的IP地址，若找不到数据，才会向DNS服务器提交查询。 如：在hosts文件末加了一条记录“113.92.32.12 https://www.360docs.net/doc/565537154.html,” 验证方法： C:\Users\Administrator>ping https://www.360docs.net/doc/565537154.html, 正在Ping https://www.360docs.net/doc/565537154.html, [113.92.32.12] 具有32 字节的数据: 来自192.168.10.130 的回复: 目标主机无法访问。 来自192.168.10.130 的回复: 目标主机无法访问。 来自192.168.10.130 的回复: 目标主机无法访问。 来自192.168.10.130 的回复: 目标主机无法访问。 113.92.32.12 的Ping 统计信息: 数据包: 已发送= 4，已接收= 4，丢失= 0 (0% 丢失) ●客户端在进行域名解析时，若使用TCP/IP程序（如：浏览器、telnet程序、

服务器硬件配置和服务器安全配置信息(全能)

WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案： 备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。 二、顶级服务器配置方案

备注： 1，系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80% 无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95% 无冷凝 3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 １、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。 ２、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.360docs.net/doc/565537154.html,（可选） |——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选） |——公用文件（必选） |——万维网服务———Active Server pages（必选） |——Internet 数据连接器（可选） |——WebDAV 发布（可选） |——万维网服务（必选） |——在服务器端的包含文件（可选） 然后点击确定—>下一步安装。 ３、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 ４、备份系统 用GHOST备份系统。 ５、安装常用的软件 例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。 二、系统权限的设置 １、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 ２、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组 通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——>安全选项 交互式登陆：不显示上次的用户名启用 网络访问：不允许SAM帐户和共享的匿名枚举启用 网络访问：不允许为网络身份验证储存凭证启用 网络访问：可匿名访问的共享全部删除

Windows Server 2003系统管理知识点

安装和配置Windows 2003 1．客户机与服务器 对等网模式：对等网中所有计算机地位相同，不超过10台计算机。 C/S(Client/Server)客户机/服务器模式：客户机称为工作站。服务器是专门为客户机提供服务的计算机。 2．Windows产品介绍 常用的用户操作系统：Windows 98、Windows Me、Windows 2000 Professional、Windows XP。 常用的服务器操作系统：Windows NT、Windows 2000 Server、Windows Server 2003。 Win2003有4个版本：WEB版、标准版、企业版、数据中心版。 Win2000的4个版本：专业版、服务器版、高级服务器版、数据中心版。 Windows版本对应表：4.9=Me；5.0=2000；5.1=XP；5.2=2003；6.0=Vista/2008 3．虚拟机：虚拟机是建立在操作系统上的软件，它可以在操作系统上独立安装很多其他新的操作系统。 虚拟技术：①硬件虚拟模式②逻辑分区模式③软件虚拟模式④应用虚拟模式 虚拟机的好处：①费用减少②利用空闲系统资源 虚拟机快捷键：①鼠标脱离虚拟机界面Ctrl+Alt ②虚拟机切换全屏Ctrl+Alt+Enter ③虚拟机内任务管理器Ctrl+Alt+Insert 4．安装注意事项：1.不要在正在运行的服务器上安装 2.安装前做好备份 3.注意多系统共存 XP不可以升级到2003，2000可以升级到2003，在DOS下安装WIN2003，需要执行I386\Winnt.exe。安装Windows Server 2003企业版的最低系统要求：处理器733Mhz，内存128M，支持最多8颗处理器。 安装时C盘分区不小于2G，选用NTFS分区，第一次登陆的用户是Administrator。 5．安装2003系统时的CAL模式选择： 每服务器模式：当网络中只有一台服务器时，选择每服务器模式。 每设备或每用户模式：当网络中多于一台服务器，用每用户模式。 例1：某公司有20个员工，1台服务器。这时的访问模式应该选择每服务器模式，20×1=20只需要买20个授权即可。 例2：某公司有20个员工，5台服务器。这时的访问模式应该是每用户模式，20×1=20只需要买20个授权即可，若选择每服务器模式就要买20×5=100，这样就不划算了。 6．部署多台Windows客户机：安装好Windows后，使用NewSID更换系统SID信息，重启后用带有Ghost工具的光盘引导，制作Gho镜像文件。 配置Windows Server 2003网络 Windows网络的条件： 1．网络适配器：就是网卡，分10Mbps、100Mbps、1000Mbps，又分为双绞线网卡、光纤网卡、无线网卡。 2．协议：协议是计算机与计算机之间、计算机与网络设备之间的通讯语言，两者之间需要使用相同的协议才能直接通讯和访问。Win2003默认安装的通讯协议是TCP/IP。 3．网络服务和客户端：只有安装相应的网络服务组件，才能为其他客户端提供相应的服务。 计算机名称：计算机名称就像人的名字，又称NetBIOS名。NetBIOS用于标识网络上的NetBIOS资

在 Windows Server 2003 中配置打印机和打印服务器设置

在 Windows Server 2003 中配置打印机和打印服务器设置 本文介绍了如何在 Windows Server 2003 中配置打印机和打印服务器设置。还讲述了如何执行某些比较常见的管理性任务，例如，如何配置分隔页和打印通知。 配置打印机设置是在该打印机的打印机属性中进行，配置打印服务器设置是在打印服务器属性中进行。您必须以管理员或管理员组的成员身份登录，才能执行这些步骤。 如何配置打印机设置 请注意，对于不同的打印机，您可以配置的选项可能也不同。本节说明了如何配置在大多数打印机中都可用的一般设置。 单击开始，然后单击“打印机和传真机”。 右键单击要配置的打印机，然后单击属性。 使用下列任意方法（如何合适的话）都可配置您想要的选项：配置分隔页: 单击高级选项卡，然后单击分隔页。 要添加分隔页，请在“分隔页”框中键入您要用作分隔页的文件的路径，然后单击确定。或者，单击浏览，找到您要使用的文件，单击打开，然后单击确定。

要删除分隔页，请删除“分隔页”框中的条目，然后单击确定。 配置打印处理器: 单击高级选项卡，然后单击打印处理器。 在“默认数据类型”框中，单击您要使用的数据类型，然后单击确定。添加用于 Windows 其他版本的打印机驱动程序： 单击共享选项卡，然后单击其他驱动程序。 单击要添加的驱动程序旁边的复选框，将其选中，然后单击确定。 修改用户访问权限： 单击安全性选项卡，然后执行下列xx作之一： 要更改现有用户或组的权限，请在“组或用户名称”列表中单击您要修改其权限的组或用户。 要为新用户或组配置权限，请单击添加。在“选择用户或组”对话框中，键入您要为其设置权限的用户或组的名称，然后单击确定。 在用户或组的权限列表中，单击您要允许的权限旁边的允许复选框，将其选中，或者单击要拒绝的权限旁边的拒绝复选框，将其选中。或者，要从“组或用户名称”列表删除用户或组，请单击删除。 单击确定。 如何配置打印机服务器设置 本节介绍了您可以进行配置的某些常见打印服务器设置。 单击开始，然后单击“打印机和传真机”。 在文件菜单上，单击服务器属性。 使用下列任意方法（根据需要）都可配置您想要的选项：

最新最新版本服务器系统安全配置

2003服务器系统安全配置-中级安全配置 08-06-16 05:27 发表于：《玉色主流空间》分类：未分类 [作者：墨鱼来源：互联网时间：2008-6-14QQ书签搜藏]【大中小】 2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般 入侵，需要高级服务器安全维护，请联系我。我们一起交流一下！做为一 个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者 代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的 密码一定要强壮！ 服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去 除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和 Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.

4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.

5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户. 6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.

7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。) 8.在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享 ; 网络访问:可匿名访问的命名管道 ; 网络访问:可远程访问的注册表路径 ; 网络访问:可远程访问的注册表路径和子路径 ; 以上四项清空.

Windows Server 2003 操作系统介绍

Windows Server 2003 操作系统介绍 发布日期：2002-07-24 | 更新日期：2006-01-24 Windows Server 2003 操作系统利用Windows 2000 Server 技术中的精华，并且使其更加易于部署、管理和使用。其结果是：实现了一个非常高效的基础架构，使网络成为企业的战略资产。自2005 年 3 月28 日起，Windows Server 服务软件包 1 (SP1) 将随全部Windows Server 2003 操作系统发布。Windows Server 2003 SP1 为各个行业的企业客户提供了增强的安全性、可靠性和简化的管理。 此外，随着Windows Server 2003 R2 的标准版、企业版和数据中心版在2005 年12 月发布，为客户带来了活动目录、存储和分支机构方面的增强功能。 本页内容 Windows 2000 操作系统的改进 服务器角色 Windows Server 2003 操作系统的优点 Windows Server 2003 核心技术 特性软件包 Windows Server 2003 操作系统包括哪些产品？ Windows 2000 操作系统的改进 Windows Server 2003 包括客户需要的、Windows Server 操作系统的全部功能，如安全性、可靠性、可用性和可伸缩性，从而实现多快好省。此外，Microsoft 已经改善和扩展了Windows Server 操作系统，从而涵盖了Microsoft .NET 的优点，用以连接信息、人、系统和设备的。 返回页首 服务器角色 Windows Server 2003 是一个多任务操作系统，它能够按照您的需要，以集中或分布的方式处理各种服务器角色。其中的一些服务器角色包括： ?文件和打印服务器。 ?Web 服务器和Web 应用程序服务器。 ?邮件服务器。

windowsserver2003全套教案完整版

XXXX学院 教案 任课班级 XXX班班 课程名称Windows2003网络操作系统任课教师 授课2016-2017学年一学期

说明 1、本教案册是根据教育部《高等职业学校、高等专科学校和成人高等学校教学管理要点》及我院教学管理的有关规定设计的。凡我院开设的课程（包括必修课和选修课）的所有任课教师（包括专兼职教师和外聘教师）均需填写，每门课程每学期一册。 2、教案是教师课前对一次课的总体设计和安排，应于每次课前认真设计，全面填写。理论教学以2节课为一个单元填写；实践教学一天以内的以一个项目为一个单元填写，2天以上则以一个子项目为一个单元填写。 3、本教案册是教学进度检查、教学质量评定的重要内容之一，也是教师教学工作考核的重要依据。期中及期末教学检查时，任课教师应提交本教案册。学期结束时，任课教师应对所任课程进行全面客观的总结，认真填写授课总结，并将本教案册与教学记录册交学院教务部。

XXXX职业技术学院教案

一、导入 如同人们离不开电话一样，现在的人已经离不开计算机网络了。互联网是世界上最大的网。它由很多的小网络互联而成。本书将侧重于如何用Windows Server 2003构建小型的网络，即局域网的构建。在开始使用Windows Server 2003之前，先介绍局域网的一些基本知识，包括局域网的基本组成、网络设备和传输介质等。 二、讲授新课 第1章局域网基础 1.1.1 什么是计算机网络 计算机网络就是把一群计算机用通信线路和通信设备连接起来，达到资源的共享、实时通信等目的。 1.1.2 网络的分类 如果按照网络所覆盖的范围分: 1. 局域网:1KM以下，高速率，不收费 2. 城域网:同一城市，低速率，收费 3. 广域网:不同城市，低速率，收费 教学设计 1.1.3 网络的组成 硬件部分：资源子网：服务器、客户 通信子网：线路、网络设备等等 软件部分：操作系统：Windows…… 通信协议：TCP/IP…… 1.1.4 网络服务 文件服务、打印服务、邮件服务、其他服务 1.1.5 对等网与主从式网络 1. 对等网 资源是分布存放于各台计算机中 资源的管理也是分布进行的 对等式网络安装比较容易 不需要专门的服务器和专门的网络管理人员 适用于计算机数量小于15台的小型网络 2. 主从式网络 资源集中存放在服务器上 网络管理主要集中在服务器上进行 对服务器的硬件要求较高，也需要专门的网络管理员 比较适用于较大的网络 3. 混合式网络 在实际的网络中常常不是采用单纯的对等网或者主从式网络，而是两者的结合 1.2.1 双绞线 双绞可以减小这一对线对其他对线的电磁干扰，同时也可以减少别的线对产生的电磁干扰对它的影响。 双绞线有屏蔽双绞线(STP，Shielded Twisted Pair)和非屏蔽双绞线(UTP，Unshielded Twisted Pair)之分。 1.2.2网络线的制作 ?直通线用于: ?计算机和集线器、计算机和交换机、路由器和集线器、路由器和交换机之间的连接