win2008下连接EMC VNX5100及POWERPATH设置

这是您的自定义文档

您的配置是：

在数据块配置中连接服务器

型号-VNX5100

存储类型-VNX for Block(SAN)

连接类型-光纤通道交换机或从SAN启动

服务器操作系统-Windows Server2008

路径管理软件-PowerPath

文档ID-1353144291391

报告问题

要提交有关本文档的建议或报告相关问题，请发送电子邮件至：usercustomizeddocs@https://www.360docs.net/doc/3d5189727.html,。对于与本文档不相关的问题，请联系您的服务提供商。参考文档ID：1353144291391

内容创建日期2012年11月17日

验证PowerPath故障切换配置 (51)

Windows 2008 R2 远程桌面服务

Windows 2008 R2 远程桌面服务 （一）安装远程桌面服务 先说明一下：安装终端服务最好在域中的计算机上进行，一是可以方便的添加用于访问该服务的用户；二是可以方便的发布RemoteApp程序；三是可以减少用户的认证次数。但不要在域控制器上安装终端服务，这会造成很大的安全隐患，终端服务会打开服务器的3389端口，这个黑客最喜欢的端口会给你的域控制器带来很大的麻烦。微软的测试环境搭设：一台windows 2008域控制器，一台windows 2008终端服务器，一台windows 7客户端。 关于windows 2008的终端服务的解释，就不说了，微软的Technet上说的很详细。 https://www.360docs.net/doc/3d5189727.html,/zh-cn/library/dd640164(WS.10).aspx。 Windows 2008微软的终端服务比windows 2003强了很多。Windows 2008终端服务的角色服务有：Windows 2008 R2 64位的终端服务现在已改为远程桌面服务，其实功能还是差不多，只是换了个名称而已。 ●远程桌面会话主机（必选，用户使用该功能访问服务器资源） ●远程桌面虚拟化主机（RemoteApp功能） ●远程桌面授权（终端服务访问许可证，不申请最多可以使用120天） ●远程桌面连接代理（负载平衡） ●远程桌面网关（可以通过Internet访问RemoteApp程序） ●远程桌面Web访问（用户使用IE浏览器通过内网或外网访问RemoteApp 程序） 主要的改变在两点，多了RemoteApp和远程桌面Web访问。其实还有远程桌面网关，不过远程桌面网关也是为远程桌面Web访问服务的。远程桌面网关支持从Internet访问，我没有申请的域名，因此就不测试了。 使用域管理员帐号登录，开始安装 1、安装windows 2008终端服务 服务管理器—添加角色，下一步。选择“远程桌面服务”，下一步。

操作系统的安全策略基本配置原则(最新版)

操作系统的安全策略基本配置 原则(最新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0307

操作系统的安全策略基本配置原则(最新 版) 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安

全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务

WindowsServer2008配置远程桌面连接

WindowsServer2008 - 远程桌面连接－自定义远程连接数量 分为几大步： 一、安装终端服务(Terminal Services) "控制面板" －"管理工具" －"服务器管理器" －"角色" －右键添加角色(选择终端服务) 二、安装TS 授权管理器(TS Authorize Control Services) 类似步骤一，只不过，它是添加功能 三、许可证服务器激活参照下面许可证服务器激活 四、选择授权模式（每设备与每用户）参照下面两种模式的区别 五、修改远程连接数量"控制面板" －"管理工具" －"终端服务（文件夹）" －"终端服务配置" －"授权诊断" －右侧显示区域中的“RDP-Tcp”选项，并用鼠标右键单击“RDP-Tcp”选项，再点选快捷菜单中的“属性”命令，进入到“RDP-Tcp”选项设置界面;点选“RDP-Tcp”选项设置界面中的“网络适配器”选项卡，在对应的选项设置页面中，将最大连接数参数修改为适当的数值，该数值通常需要根据服务器系统的硬件性能来设置，一般情况下我们可以将该数值设置为“5”以下，最后单击“确定”按钮执行设置保存操作。 或使用注册表：系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行对话框中输入字符串命令“regedit”，单击回车键后，进入系统注册表控制台窗口;展开该控制台窗口中的“HKEY_LOCAL_MACHINE\SOFTWARE\Polic ies\Microsoft\Windows NT\Terminal Services”注册表子项(如图2所示)，在目标注册表子项下面创建好“MaxInstanceCount”双字节值，同时将该键值数值调整为“10”，最后单击“确定”按钮保存好上述设置操作。 一、终端服务(T erminal Services)简介 终端服务是在Windows NT中首先引入的一个服务。终端服务使用RDP协议(远程桌面协议)客户端连接，使用终端服务的客户可以在远程以图形界面的方式访问服务器，并且可以调用服务器中的应用程序、组件、服务等，和操作本机系统一样。这样的访问方式不仅大大方便了各种各样的用户，而且大大地提高了工作效率，并且能有效地节约企业的成本。 终端服务的目的是为了实现集中化应用程序的访问。终端服务主要应用于以下几种环境中： 应用程序集中部署：在客户端-服务器网络体系中，如果客户端需要使用相同的应用程序，比如都要使用相同版本的邮件客户端、办公软件等，而客户端部署的操作系统又不尽相同，如Win2000、WinXP、Vista等，这时候如果网络规模很大，分别向这些客户端部署相同版本的应用软件是件让管理员非常头痛的事情，需要大量重复的工作而且需要考虑软件版本的兼容性问题。这时候如果采用终端服务可以很好的解决这个问题，客户端需要使用的应用软件只需在终端服务器上部署一次，无论客户端安装什么版本的操作系统，都可以连接到终端服务器使用特定版本的应用软件。 终端服务简单图解

winserver2008远程桌面开启

win server 2008远程桌面开启操作 凭借无与伦比的安全优势，Windows Server 2008系统让不少朋友在不知不觉中加入了使用行列。不过，这并不意味着Windows Server 2008系统的安全性就能让人高枕无忧了；这不，当我们开启了该系统自带的远程桌面功能后，Windows Server 2008系统的安全问题随即就凸显出来了，如果我们不对远程桌面功能进行合适设置，那么Windows Server 2008服务器系统受到非法攻击的可能性就会加大。为了让Windows Server 2008系统更安全，本文特意总结几则远程桌面功能的安全设置技巧，希望大家能从中获得启发！强迫执行网络级身份验证尽管传统操作系统也具有远程桌面功能，不过Windows Server 2008系统对远程桌面功能的安全性能进行了强化，它允许网络管理员通过合适设置来强迫远程桌面连接用户执行网络级身份验证，以防止一些非法用户也趁机使用远程桌面功能来入侵Windows Server 2008服务器系统。要实现强迫远程桌面连接用户执行网络级身份验证操作时，我们必须按照如下步骤来设置Windows Server 2008系统的远程桌面连接参数：首先以超级用户的身份登录进入Windows Server 2008服务器系统，打开对应系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，打开本地服务器系统的服务器管理器控制台窗口；其次将鼠标定位于服务器管理器控制台窗口左侧显示区域中的“服务器管理”节点选项上，在对应“服务器管理”节点选项的右侧显示区域，单击“服务器摘要”设置区域中的“配置远程桌面”链接，打开服务器系统远程桌面功能的设置对话框； 在该设置对话框的“远程桌面”处，服务器系统共为我们提供了三个设置选项，如果我们想让局域网中的任何一台普通计算机都能顺利使用远程桌面连接来远程控制Windows Server 2008服务器系统时，那应该将“允许运行任意版本远程桌面的计算机连接”功能选项选中，当然这种功能选项容易对Windows Server 2008服务器系统的运行安全性带来麻烦。 为了让我们能够安全地使用远程桌面功能来远程控制服务器，Windows Server 2008系统推出了“只允许运行带网络级身份验证的远程桌面的计算机连接”这一控制选项（如图1所示），我们只要将该控制选项选中，再单击“确定”按钮保存好设置操作，日后Windows Server 2008系统就会自动强制对任何一位远程桌面连接用户执行网络级身份验证操作了，这样的话非法用户自然也就不能轻易通过远程桌面连接功能来非法攻 击 Windows Server 2008服务器系统了。 只许特定用户使用远程桌面要是开通了Windows Server 2008服务器系统的远程桌面功能，本地服务器中也就多开了一扇后门，有权限的用户能进来，没有权限的用户同样也能进来，如此一来本地服务器系统的运行安全性自然就容易受到威胁。事实上，我们可以对Windows Server 2008服务器系统的远程桌面功能进行合适设置，让有远程管理需求的特定用户能从远程桌面这扇后门中进来，其他任何用户都不允许自由进出，那样的 话 Windows Server 2008服务器系统受到非法攻击的可能性就会大大降低了；要想让特定用户使用远程桌面功能，我们可以按照如下操作来设置Windows Server 2008服务器系统：首先打开Windows Server 2008服务器系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，进入本地服务器系统的服务器管理器控制台窗口； 其次单击服务器管理器控制台窗口右侧区域中的“配置远程桌面”链接选项，打开服务器系统远程桌面功能的设置对话框，单击该对话框中的“选择用户”按钮，系统屏幕上将会出现如图2所示的设置窗口； 将该设置窗口中已经存在的用户账号一一选中，并单击“删除”按钮；之后，再单击“添加”按钮，在其后出现的用户账号浏览对话框中，找到有远程管理需求的特定用户账号，并将该账号选中添加进来，再单击“确定”按钮退出设置操作，这样的话任何一位普通用户日后

修改Windows Server 2008R2远程桌面连接端口号

修改Windows Server 2008R2远程桌面连接端口号 引言： 默认状态下，Windows Server 2008 R2 远程桌面端口号为3389，这一端口最好不要开，也就是说不要开启远程桌面，因为，HACKER会通过这一端口进入您的计算机，种植木马，但有时为了维护的需要，不得不开启远程桌面连接，为了系统安全性，建议修改远程桌面连接端口号。 修改远程桌面端口需要两个步骤： 1、打开注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，修改右边PortNamber的值，其默认值是3389，修改成所希望的端口即可，例如3309 2、再打开注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp]，修改右边PortNamber的值，其默认值是3389，修改成所希望的端口即可，例如3309

3、修改完后需要重启生效，注意防火墙的问题(远程桌面开启基于防火墙开启的情况下，默认先打开 远程桌面，然后在关闭防火墙，最后修改远程桌面连接端口号)! 4、在cmd下输入”tasklist /svc”验证远程桌面端口号 tasklist /svc --显示每个进程中主持的服务。 5、查看进程的PID，有几个svchost.exe我们要看的是有termservice服务那个(此为远程桌面服务 进程)，它对应的PID为1912 6、下面就是查看PID为1912对应的端口，可以看到PID-1912对应的端口后为3309，即为我们之前 设置的远程桌面的端口号

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

Windows Server 2008远程桌面设置

Windows server 2008设置远程桌面 凭借无与伦比的安全优势，Windows Server 2008系统让不少朋友在不知不觉中加入了使用行列。不过，这并不意味着Windows Server 2008系统的安全性就能让人高枕无忧了；这不，当我们开启了该系统自带的远程桌面功能后，Windows Server 2008系统的安全问题随即就凸显出来了，如果我们不对远程桌面功能进行合适设置，那么Windows Server 2008服务器系统受到非法攻击的可能性就会加大。为了让Windows Server 2008系统更安全，本文特意总结几则远程桌面功能的安全设置技巧，希望大家能从中获得启发！ 强迫执行网络级身份验证 尽管传统操作系统也具有远程桌面功能，不过Windows Server 2008系统对远程桌面功能的安全性能进行了强化，它允许网络管理员通过合适设置来强迫远程桌面连接用户执行网络级身份验证，以防止一些非法用户也趁机使用远程桌面功能来入侵Windows Server 2008服务器系统。要实现强迫远程桌面连接用户执行网络级身份验证操作时，我们必须按照如下步骤来设置Windows Server 2008系统的远程桌面连接参数：首先以超级用户的身份登录进入Windows Server 2008服务器系统，打开对应系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，打开本地服务器系统的服务器管理器控制台窗口； 其次将鼠标定位于服务器管理器控制台窗口左侧显示区域中的“服务器管理”节点选项上，在对应“服务器管理”节点选项的右侧显示区域，单击“服务器摘要”设置区域中的“配置远程桌面”链接，打开服务器系统远程桌面功能的设置对话框； 在该设置对话框的“远程桌面”处，服务器系统共为我们提供了三个设置选项，如果我们想让局域网中的任何一台普通计算机都能顺利使用远程桌面连接来远程控制Windows Server 2008服务器系统时，那应该将“允许运行任意版本远程桌面的计算机连接”功能选项选中，当然这种功能选项容易对Windows Server 2008服务器系统的运行安全性带来麻烦。 为了让我们能够安全地使用远程桌面功能来远程控制服务器，Windows Server 2008系统推出了“只允许运行带网络级身份验证的远程桌面的计算机连接”这一控制选项（如图1所示），我们只要将该控制选项选中，再单击“确定”按钮保存好设置操作，日后Windows Server 2008系统就会自动强制对任何一位远程桌面连接用户执行网络级身份验证操作了，这样的话非法用户自然也就不能轻易通过远程桌面连接功能来非法攻击Windows Server 2008服务器系统了。

Windows安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 根据系统的要求，设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令： 删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 缺省帐户－>属性－> 更改名称

Win2008远程桌面设置及远程控制

Windows Server 2008远程桌面设置 启远程桌面后，Windows Vista（或Windows 2008）下默认只支持一个administrator用户登陆，一个登录后另一个就被踢掉了，下面提供允许同一个用户名同时多个用户登录的配置方法 （是pcbeta论坛的skyskai的方法）： 首先要启用远程桌面这一功能：右击“我的电脑”→属性→远程配置→远程桌面，就可以配置相应的远程桌面功能了。下面是配置多用户登陆的方法： 打开控制面板→ 管理工具→ 终端服务（Terminal Services）→ 终端服务配置（Terminal Services Configuration） 1、（修改可以同时登陆的人数，包括自己，默认为2个，如果只需要另外一个人远程登陆你的电脑的话，比如mm或gg，那么这一步就不用做了，直接跳到第二步）连接（Connections）：RDP-tcp 点右键→ 属性→ 网络适配器（Network Adapter）→ 最大连接数→ 自己修改数目。 2、配置（Edit settings）：终端服务器授权模式（Terminal Services licensing mode）→ 点右键→ 属性→ 常规→ 限制每个用户只能使用一个会话（Restrict each user to a single session），去掉前面的勾→ 确定。到这里就可以多用户登录了。如果设置没有生效，重启一下（试过了，生效d）。 3、为防止恶搞，阻止远程用户终止控制台管理员。开始→ 运行→ gpedit.msc → 计算机配置→ 管理模板→ Win dows组件（Windows Components）→ 终端服务（Terminal Services）→ 终端服务器（Terminal Server）→ 连接（Connections）→ 拒绝将已经登录到控制台会话的管理员注销（Deny logoff of an administrator logged in to the console session），右击→ 属性→ 启用。（重启生效） （1）开始—运行，输入tsconfig.msc，打开远程桌面主机会话配置。右键RDP-Tcp，属性。

Windows 2008 R2实现远程桌面Web连接

Windows 2008 R2实现远程桌面Web连接 我们在之前的文章中实现了RemoteApp服务器的部署，配置及测试。RemoteApp服务器使用的协议是大家非常熟悉的RDP协议，RDP协议使用的是3389端口。一般情况下在内网使用3389端口是没问题的，但有些企业的防火墙对3389端口会限制使用，甚至有些电信部门也会限制3389端口的连接。如果遇到限制3389端口的环境，我们可以考虑把RDP协议封装在HTTPS协议中。这样我们在互联网上使用RemoteApp会更加方便，不用担心遭到封杀；而且我们可以使用浏览器作为客户端工具，这样对特定环境的要求就降低了很多，毕竟在当前的互联网环境下浏览器是一个非常容易获取的通用工具。 想让客户机通过浏览器访问RemoteApp服务器，我们可以通过远程桌面Web访问组件来实现。远程桌面Web访问组件其实是IIS7中的一个虚拟目录，用户通过访问这个虚拟目录就可以重定向到RemoteApp服务器。实验拓扑如下图所示，我们准备在TSERVER上部署远程桌面Web访问组件，实验步骤如下。 一部署远程桌面Web访问组件 我们首先在TSERVER上部署远程桌面Web访问组件。在TSERVER上打开服务器管理器，如图1所示，点击左侧的“角色”，在右侧操作栏中可以看到远程

桌面的角色服务。从图中可以看到，远程桌面Web访问尚未安装，点击“添加角色服务”，准备添加远程桌面Web服务。 图1 如图2所示，在角色服务中勾选“远程桌面Web访问”，角色向导提示我们这个角色服务需要IIS组件的支持，点击“添加所需的角色服务”，这样在安装远程桌面Web访问时就可以自动安装所需的IIS组件。

Windows Server 2008 R2 之二十一远程桌面服务(二)

一、远程桌面授权 远程桌面授权（RD 授权）以前称为终端服务授权（TS 授权），它能够管理每个设备或用户与远程桌面会话主机（RD 会话主机）服务器连接所需的远程桌面服务客户端访问许可 (RDS CAL)。使用 RD 授权在远程桌面授权服务器上安装、颁发 RDS CAL 并跟踪其可用性。 客户端（用户或设备）连接到RD 会话主机服务器时，RD 会话主机服务器将确定是否需要 RDS CAL。然后，RD 会话主机服务器代表尝试连接到RD 会话主机服务器的客户端向远程桌面授权服务器请求 RDS CAL。如果许可证服务器中有适合的 RDS CAL，则将该 RDS CAL 颁发给客户端，客户端将能够连接到RD 会话主机服务器。 尽管在授权宽限期内不需要任何许可证服务器，但是在宽限期结束之后，必须先由许可证服务器为客户端颁发有效的 RDS CAL，客户端才能登录到RD 会话主机服务器。 若要使用远程桌面服务，必须在的环境中部署至少一台许可证服务器。对于小型部署，可以在同一台计算机上同时安装RD 会话主机角色服务和RD 授权角色服务。对于较大型部署，建议将RD 授权角色服务与RD 会话主机角色服务安装在不同的计算机上。 只有正确配置 RD 授权，RD 会话主机服务器才能接受来自客户端的连接。为了使您有足够的时间部署许可证服务器，远程桌面服务为RD 会话主机服务器提供授权宽限期，在此期限内不需要任何许可证服务器。在此宽限期内，RD 会话主机服务器可接受来自未经授权的客户端的连接，不必联系许可证服务器。宽限期的开始时间以RD 会话主机服务器接受客户端的时间为准。只要下列任一情况先发生，宽限期即结束：许可证服务器向连接到RD 会话主机服务器的客户端颁发了永久的 RDS CAL。 宽限期的长度取决于RD 会话主机服务器上运行的操作系统。宽限期如下： Windows Server 2008、2008 R2 、Windows Server 2003：宽限期120 天；Windows 2000 宽限期90 天默认情况下，在以RD 会话主机服务器上的本地管理员身份登录之后，桌面右下角会出现一条消息，注明在RD 会话主机服务器的授权宽限期过期之前的天数。 在 RD 授权宽限期结束之前，必须为每个需要连接到RD 会话主机服务器的设备或用户购买并安装适当数量的 RDS CAL。此外，必须确认在RD 会话主机服务器上指定的远程桌面授权模式与许可证服务器上提供的 RDS CAL 类型匹配。远程桌面授权模式能够确定RD 会话主机服务器代表连接到RD 会话主机服务器的客户端向许可证服务器请求的 RDS CAL 的类型。 二、安装远程桌面授权

本地安全策略

本地安全策略 任务: 基于服务器安全要求,做为网络管理员,进行安全策略设置。 任务目的： 1．掌握Windows Server 2003账户策略使用方法。 2．掌握Windows Server 2003审核策略的使用方法。 3．掌握本地策略的使用方法。 任务要求: 根据安全策略特性,制定本地安全策略, 写出方案,并进行实施,实施步骤进行抓屏做为作业上交。 任务具体内容： 一、备份本地安全策略 依次打开“开始”、“程序”、“管理工具”、“本地安全策略”，右键“安全设置”，“导出策略”，输入文件名bak.inf，确定。文件名可以任选，只要你知道是它是最原始的安全策略便可。 二、恢复本地安全策略 1．在做恢复本地安全策略以前，先建立一个用户，不给口令， 应该顺利建成。 2．进入本地安全策略，右键“安全设置”，“导入策略”可以看到许多安全模板，包括你上面备份的那一个，这些安全模板是 Server 2003自带的几套，系统管理员可以不作任何更改将其

应用到系统中来，不同模板安全级别不同，作用网管员应该熟 悉这些模板，在具体工作时，你可以在这些模板的基础上，自 定义出适合具体工作场合的模板。 3．导入hisecde.inf策略，重新建一个用户，如同（1）一样，不给口令，结果？不能建用户，原因：因为本地安全策略与原 来的不同了，它使用了另外一个系统已经设置好的要求用户口 令的安全策略。 4．导入备份的本地安全策略bak.inf，导入结束后，你再从新建一个用户，结果？说明了什么？ 三、帐户策略 1.用管理员登录，新建一个user1用户，不输入密码，是否能建成？ 进入本地安全策略，再进入帐户策略，再进入密码策略，双击密码 长度最小值，输入4，退出。这时新建一个用户user2，不输入密 码，是否能建成？有什么提示？输入3位密码，结果如何？输入4 位密码，结果如何？再进入本地策略中的帐户策略，双击密码必须 符合复杂性要求，先已启用，退出。这时再新建一个用户user3， 输入密码abcd，1234，a1b2，a1b:，哪个能建成用户？从而说明密 码必须符合复杂性要求是指：该密码必须由字母、数字、符号三种 组成，缺一不可。最后复原：取消密码必须符合复杂性要求和把密 码长度最小值设为0。 2.用管理员登录，新建一个user4用户，只选下次登录时改变密码， 再建一个用户user5，输入密码：user5，只选用户不能修改密码。 分别用user4和user5登录，是否都能登录？用管理员登录，进入 安全策略，再进入密码策略，把密码最长保存期改为30天，再修 改系统时间，向后延长30天，分别用user4和user5登录，有什 么提示？能否登录？为什么？用user4用户登录，能否自己修改密 码？用管理员登录，进入安全策略，再进入密码策略，把密码最短 存留期改为60天，用user4用户登录，能否自己修改密码？用管

WindowsR位启用远程桌面详细设置

W i n d o w s2008R264位启用远程桌面详细设置一、安装Windows2008终端服务 先说明一下：安装终端服务最好在域中的计算机上进行，一是可以方便的添加用于访问该服务的用户；二是可以方便的发布RemoteApp程序；三是可以减少用户的认证次数。但不要在域控制器上安装终端服务，这会造成很大的安全隐患，终端服务会打开服务器的3389端口，这个黑客最喜欢的端口会给你的域控制器带来很大的麻烦。微软的测试环境搭设：一台windows2008域控制器，一台windows2008终端服务器，一台windows7客户端。 关于windows2008的终端服务的解释，就不说了，微软的Technet上说的很详细。。Windows2008微软的终端服务比windows2003强了很多。Windows2008终端服务的角色服务有： Windows2008R264位的终端服务现在已改为远程桌面服务，其实功能还是差不多，只是换了个名称而已。 ?远程桌面会话主机（必选，用户使用该功能访问服务器资源） ?远程桌面虚拟化主机（RemoteApp功能） ?远程桌面授权（终端服务访问许可证，不申请最多可以使用120天） ?远程桌面连接代理（负载平衡） ?远程桌面网关（可以通过Internet访问RemoteApp程序） ?远程桌面Web访问（用户使用IE浏览器通过内网或外网访问RemoteApp程序） 主要的改变在两点，多了RemoteApp和远程桌面Web访问。其实还有远程桌面网关，不过远程桌面网关也是为远程桌面Web访问服务的。远程桌面网关支持从Internet访问，我没有申请的域名，因此就不测试了。 使用域管理员帐号登录，开始安装 1、安装windows2008终端服务 服务管理器—添加角色，下一步。选择“远程桌面服务”，下一步。

Windows Server 2008远程桌面策略

Windows Server 2008远程桌面策略 远程桌面是管理员对Windows系统实施远程管理和维护的首先工具，当然也是攻击者窥视和企图接管的对象。因此，一个有经验的系统管理员在客户端或者服务器上开启远程桌面后定会进行一定的安全部署。对于Windows Server 2008来说，远程桌面是终端服务的一个功能，Windows Server 2008的安全特性和相关细节，为用户进行远程桌面管理以及提升其安全性提供了更多选项。本文将和大家一道挖掘Windows Server 2008远程桌面管理中的相关技术细节。 1、启用远程桌面时应注意的细节 在Windows Server 2008中开启远程桌面的操作是非常简单的，但不同于此前的系统它提供了更多的安全选项，这些选项是我们应用注意的。另外，因为Windows Server 2008的安全特性，大家在开启远程桌面前或者开启之后还应用注意有关事项。 (1).慎重选择限制远程连接系统的版本 依次点击“控制面板”→“系统和维护”→“系统”进入系统管理页面，单击左窗格中的“远程设置”链接打开“系统属性”对话框，点击“远程”选项卡来到启用远程桌面窗口。对于启用远程桌面大家可谓轻车熟路，但该页面中启用Windows Server 2008远程桌面的两个选项希望引起大家的注意。首先是“允许运行任意版本远程桌面的计算机连接(较不安全)”选项，如果选择该项那么任意版本的Windows都可以通过远程桌面连接到该主机，毫无疑问，这是不安全的。在此，管理员应该做考量是否限制远程连接的系统版本以提升远程桌面的安全，一般情况下管理员应该以自己平时使用的系统版本为依据进行选择。另外一个选项是“只允许运行带网络身份验证的远程桌面的计算机连接(更 安全)”，如果选择该项，那么将只允许安装了Windows Vista、Windows Server 2008、Windows 7的计算机进行远程连接。如果条件允许，笔者当然建议大家选择该项，毕竟安全第一嘛。(图1)

网络安全报告 本地安全策略

计算机工程系实验报告 课程名称：网络安全与管理 实验项目名称：Windows 操作系统的安全设置 班级：计科15-3 姓名： 学号： 实 验 目 的: 掌握Windows 操作系统的常用基本安全设置； 1、 Windows 账户与密码的安全设置； 2、 文件系统的加密和保护； 3、 安全策略与安全模板的使用； 4、 审核和日志的启用； 5、 数据的备份和还原 实验环境：一台安装Windows XP 操作系统的计算机，磁盘格式配置为NTFS 。 实验一 关闭端口 实 验 内 容 及 过 程: 1、 开始/运行，输入cmd/在命令行输入netstat-a ，可以查看已开发的端口。如图一 图1 2、 关闭自己的139端口，IPC 和RPC 漏洞存于此处。 网络连接/本地连接/本地连接属性/internet 协议（tcp/ip ）属性/高级/WINS 选项卡中，禁 用TCP/IP 上的NetBIOS 。如图2

图2 3、关闭445端口。修改注册表，添加一个键值“HKEY_LOCAL_MACHINE\System \CurrentControlSet \Services\NetBT\Parameters”在右面的窗口建立一个“SMBDeviceEnabled”DWORD值，类型为REG_DWORD，键值为“0”。如图3 图3 4、禁止终端服务远程控制和远程协助 右键我的电脑/属性/远程/取消允许用户远程连接到此计算机、允许从这台计算机发送远程协助邀请。这两个选项正是“冲击波”病毒所要攻击的RPC在XP上的表现形式。如图4

图4 5、屏蔽闲置端口 a、“控制面板”“系统和安全”“Windows防火墙” b、“高级设置”“入站规则”或“出站规则” c、点击“新建规则”,选择“端口”，并点击“下一步”,这里就可以选择协议类型TCP或UDP，以及需要筛选的端口，设置完成后，点击“下一步”,选择需要的操作，并点击“下一步”,选择此规则应用的区域，并点击“下一步”,最后填写此规则的名称和描述（可选），点击“完成”。 d、设置出站规则（同入站规则） 如图5，6 图5

本地安全策略设置

实验本地安全策略设置 【实验目的】 1)掌握帐户策略的设置。 2)掌握本地策略的设置。 【实验环境】 具有Windows xp的计算机、局域网环境。 【实验重点及难点】 重点：掌握帐户策略、本地策略的设置。 难点：实验过程中，切实理学会如何实际应用XP本地安全策略。 【实验内容】 一、帐户策略的设置。 1、设置密码策略（使我们的系统密码相对安全，不易破解）。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”密 码策略”(截图),设置密码长度最小值为2个字符，密码最短存留期为2天，密码最长存留期为50天。启用密码必须符合复杂性要求(截图)。 更改密码，设置Administrator帐号密码为空，或者设置密码为单一数字，则弹出如下对话框（截图）。 1）完成。 2、设置帐户锁定策略（可以抵御网络用户通过枚举入侵自己计算机）。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”帐户锁定策略”(截图)。 2）设置”复位账户锁定计数器”为2分钟之后，“账户锁定时间”为2分钟，”账户锁定阈值”为5次无效登陆。（截图）。 3)此时，注销自己计算机，连续5次输入密码错误，此时自己电脑被锁定，禁 止输入密码，并且锁定时间为2分钟。 4）完成。 二、本地策略的设置。 1、设置审核策略（可以获取用户对本计算机的操作历史进行审核）。 审核登陆事件：用户在本机的登陆。 审核对象访问：用户对对象的访问（如文件、文件夹控制面板等）。 审核系统事件：系统的启动、注销和关机，以及涉及到安全性的一些事件。 审核帐户登陆事件：用户在其他计算机上登陆，在本计算机上进行验证。 审核帐户管理：涉及到帐户的管理，如新建用户和组，修改密码、重命名用户和组等。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”审核策略”(截图)。 2）设置审核登陆事件和审核系统事件都为成功和失败（截图）。

配置windows 2008 R2远程桌面授权,激活授权许可服务器

微软的终端服务客户端访问许可证 (TS CAL)有下面两种： TS 每设备 CAL TS 每用户 CAL 如果使用每设备授权模式，并且客户端计算机或设备初次连接到终端服务器，默认情况下，向该客户端计算机或设备颁发一个临时证书。在客户端计算机或设备第二次连接到终端服务器时，如果许可证服务器已激活，并且有足够的 TS 每设备 CAL 可用，许可证服务器将向该客户端计算机或设备颁发一个永久 TS 每设备 CAL。 TS 每用户 CAL 为一个用户授予通过无限数目的客户端计算机或设备访问终端服务器的权限。TS 授权不强制使用 TS 每用户 CAL。因此，无论许可证服务器上安装了多少个 TS 每用户 CAL，均可以建立客户端连接。但这并未使管理员免于考虑 Microsoft 软件许可条款对每个用户都需要有效的 TS 每用户 CAL 的要求。如果使用每用户授权模式，并且不是每个用户都有 TS 每用户 CAL，则违反了许可条款。 我们将使用TS 每用户 CAL来配置。 （1）首先，检查Remote Desktop Users组和TS Web Acess Computers的成员，如果没有“Domain Users”,则添加。把Domain Admins组添加到TS Web Administrators组中。 注意：TS Web Acess Computers的成员就是组，而微软的帮助文件和官方网站的说明中都是加入计算机，显然是错误的。

（2）开始—运行，输入control system，选择“远程控制”。

选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接（更安全）”。“应用”。 （3）在角色服务中添加“远程桌面授权”服务器角色

windows server 2008 配置本地安全策略

第六章配置本地安全策略 一、账户策略的应用 1、以管理员账户Administrator登录到服务器 2、单击“开始”→“管理工具”→“本地安全策略”（或者“开始”→“运行”→输入“secpol.msc”）,打开本地安全策略。 3、选择“账户策略”→“密码策略”→设置密码长度最小值为7，启用密码必须符合复杂性要求，密码使用最长期限为30天

4、选择“账户策略”→“账户锁定策略”，设置账户锁定阈值为3. 5、单击“开始”→“运行”→，输入“gpupdate”，刷新策略。

6、管理员administrator打开“服务器管理器”控制台。 7、展开“配置”→“本地用户和组”→“用户”，右击账户UserA，选择“重设密码”，输入新密码和确认密码“aaa”，单击“确定”按钮，提示密码不符合密码策略的要求。 8、输入旧密码，输入新密码和确认新密码“aaa”，单击“确定”同样提示密码不符合密码策略要求。

9、以账户UserA在计算机上登录，故意输错3次密码，提示账户被锁定 10、以administrator登录没有被锁定的提示。 对计算机解锁。 11、以管理员账户登录服务器解锁UserA账户。 12、在“服务器管理器”中，展开“配置”→“本地用户和组”→“用户”，右击账户UserA，选择“属性”→“常规”，可以看到账户以锁定的。

13、清除“账户以锁定”的复选框。 14、以UserA账户登录服务器，输入正确的密码可以正常登陆。

审核策略的应用 1、以管理员账户登录到服务器，在D盘创建一个名字为“sss”的文件夹。 2、单击“开始”→“程序”→“管理工具”→“本地安全策略”，打开本地安全策略。 3、选择“本地策略”→“审核策略”→，双击“审核对象访问”策略，选择“成功”和“失 败” 4、刷新策略。 5、右击文件夹sss，选择“属性”→“安全”→“高级”→“审核”，添加“everyone”