windows_2003服务器各种服务如何设置
Windows2003服务器设置
Windows2003已经出现很久了,现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉,在这里,我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。
Win2003系统已经比Win2K系统增加了很多的安全性,所以现在选择Win2003系统作为服务器系统,将会是网络管理员的最佳选择。
本文假设你是一个服务器管理员,现在你的服务器使用Win2003服务器系统,你的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等)。
一、系统安装注意事项:首先,你得先把你的Win2003系统安装好,在安装系统时请选择使用NTFS文件系统分区,因为该分区可以对你的服务器资源进行加密、权限设置等,如果你的文件系统分区是使用FAT32的话,而你这台服务器作为一台虚拟主机,给客户提供空间,如果客户在空间里传了一个WebShell,如ASP木马等,而你使用的FAT32文件系统却不能为你的文件设置访问权限的话,那么黑客就能通过这个ASP木马取得你的服务器管理权了,那将是没有任何的安全性可言了。
为了系统的安全着想,系统安装好后,你还要给你的系统设置一个强壮的管理员口令,千万不要使用简单的口令,如123456等这样的简单登陆口令。
因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。
一个强壮的口令应该包括数字、英文字母、符号组成,如密码k3d8a^!ka76,设置好一个强壮的系统登陆口令后,我们就可以安装各种上面所述的组件服务支持了。
还是那句老话,最少的服务等于最大的安全,对于一切不须要的服务都不要安装,这样才能保证你服务器的安全性。
2服务器windows2003 服务设置
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
Computer Browser
服务名称:
服务名称:Browser
显示名称:
显示名称:Computer Browser
服务描述:
服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k LocalService
其他补充:
Telnet
服务名称:
TlntSvr
显示名称:
Telnet
服务描述:
允许远程用户登录到此计算机并运行程序,并支持多种TCP/IP Telnet客户端,包括基于UNIX和Windows的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
NetMeeting Remote Desktop Sharing
服务名称:
mnmsrvc
显示名称:
NetMeeting Remote Desktop Sharing
服务描述:
允许经过授权的用户用NetMeeting在公司intranet上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k LocalService
2003系统服务器基本设置
★directx加速:打开“开始”(start) -》 “运行”(run),键入“dxdiag”并回车打开“directx 诊断工具”(directx tools),在“显示”(display)页面,点击directdraw, direct3d and agp texture 加速三个按钮启用加速。把“声音的硬件加速级别”(hardware sound acceleration level)滚动条拉到“完全加速”( full acceleration);
win2003 手动设置,修改其中的一些功能,让其适合自己的习惯:
1、禁用internet explorer enhanced security 和禁止安全询问框的出现
在ie工具选项中自定义设置ie的安全级别。在”安全“(security)选项卡上拉动滚动条把internet区域安全设置为”中“(medium)或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用“;
8、禁用系统服务qos:
开始菜单→运行→键入 gpedit.msc ,出现“组策略”窗口, 展开 "管理模板”→“网络” , 展开 "qos 数据包调度程序", 在右边窗右键单击“限制可保留带宽" ,在属性中的“设置”中有“限制可保留带宽" ,选择“已禁用”,确定即可。当上述修改完成并应用后,用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"qos packet scheduler(qos 数据包调度程序)"。说明修改成功,否则说明修改失败;
右键点击“我的电脑”(my computer)--属性(properties)--高级(advanced)--点击“错误报告”(error reporting )按钮,在出现的窗口中把“禁用错误报告”(disable error reporting)选上并复选“但在发生严重错误时通知我”(but, notify me when critical errors occur.); 其实我觉得还是启用它好……
Windows Server2003配置WEB、FTP服务和DNS、DHCP服务器
Wang.bin@
2014-5-3
Inspur group
IIS安装和配置
2014年5月3日
3
一、IIS的安装
添加组件
添加程序
Inspur group 2014-5-3
4
IIS具体内容
服务管理 选择IIS
WWW服务
详细选择
完成
Inspur group 2014-5-3
Inspur group 2014-5-3
42
13. FTP>put 使用当前文件传送类型将本 地文件复制到远程计算机上。
14. FTP>pwd 显示远程计算机上的当前目录 16. FTP>rmdir 删除远程目录 15. FTP>quit 结束与远程计算机的 FTP 会话并退出 ftp 。
17. FTP>user 指定远程计算机的用户
5
二、IIS服务的属性
IIS服务(Internet信息服务)内置WWW(W3C)服务和FTP服务
启动IIS服务 管理工具 选择服务
带宽限制
Inspur group 2014-5-3
6
三、新建Web站点
站点说明
分配地址
分配端口
Inspur group 2014-5-3
7
WEB站点设置
权限设置
主目录路径
访问限制
修改
修改
Inspur group 2014-5-3
14
FTP简介(Demo 2)
创建FTP服务器
管理FTP服务器
多个FTP服务器的实现 FTP客户端程序
Inspur group 2014-5-3
15
Windows2003Server安全配置完整篇(3)服务器教程-电脑资料
Windows2003Server安全配置完整篇(3)服务器教程-电脑资料四、磁盘权限设置C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了,。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就能拿到system",这也的确是有可能的。
在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。
其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
另外,还将:net.exe NET命令cmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe ACL用户组权限设置,此命令可以在NTFS下设置任何文件夹的任何权限!format.exe大家都知道ASP木马吧,有个CMD运行这个的,这些如果都可以在CMD下运行..55,,估计别的没啥,format下估计就哭料~~~(:这些文件都设置只允许administrator访问。
win2003_文件服务器配置方法
win2003_文件服务器配置方法Windows Server 2003 是微软发布的一款经典的服务器操作系统,具备强大的文件服务器功能。
本文将为您介绍如何在 Windows Server 2003 中配置文件服务器。
一、安装 Windows Server 20031. 首先,将 Windows Server 2003 安装光盘插入服务器的光驱中,然后重启服务器。
2. 在开机过程中,按下指定的按键(通常是DEL、F2等)进入 BIOS 设置界面,在“Boot”选项中将光驱排在硬盘之前。
3.保存BIOS设置并退出,系统将从光驱启动,并开始安装程序的加载。
4.选择适当的语言、键盘布局等,然后点击“下一步”继续。
5.阅读并接受许可协议,然后点击“下一步”继续。
6.选择“新安装”选项,并点击“下一步”。
7.分区和格式化服务器的硬盘,可以选择默认分区方案,也可以自定义分区。
8.选择安装文件所在位置,通常默认为C:\WINDOWS,然后点击“下一步”继续。
9.系统将自动进行安装过程。
10.安装完成后,服务器将自动重启。
二、配置文件服务器1. 首先,登录到 Windows Server 2003 操作系统。
2.点击“开始”按钮,选择“管理工具”,然后打开“计算机管理”。
3.在计算机管理窗口中,选择“共享文件夹”。
4.右键点击“共享目录”,选择“新建共享”。
5.在共享向导中,选择要共享的文件夹,并设置共享的名称和描述,然后点击“下一步”继续。
6.在共享权限设置中,可以选择不同的权限级别,如完全控制、读取、写入等,根据需求选择,然后点击“下一步”继续。
7.在共享访问控制设置中,可以进一步设置共享的安全性,包括谁可以访问共享、是否需要密码等,然后点击“下一步”继续。
8.在共享最后确认界面中,点击“完成”完成共享设置。
9.在文件服务器上设置用户和组权限,以控制访问权限。
10.可以设置共享文件服务器的访问控制列表(ACL)和安全策略,以提高文件服务器的安全性。
Windows 2003 终端服务器设置详解
Windows 2003 终端服务器设置详解进入开始菜单——控制面板的,选择进入添加/删除组件界面组件的第一个不要选,如果打了√,要把√去掉选择下面的两个组件点击下一步,进行添加下一步选择宽松安全模式,下一步选择“使用自动搜索的许可证服务器”,下一步选择“每设备授权模式”下一步然后选择windows2003的i386文件夹路径进行安装完成重启电脑重启完之后进入开始菜单——所有程序——管理工具——终端服务器授权选择服务器,右键选激活服务器下一步选择电话激活,下一步选择地区——中国,下一步记住上面得到的产品ID,等会要用到/*****************************************************************************/ 这时候打开IE浏览器输入https:///打开网页语言那里选择Chinese(Simplified),然后点击啊旁边的图标,把语言换成中文点击下一步产品ID那里填入刚才得到的ID,姓、名、公司随便填,国家当然选中国啦,下一步下一步选“是”许可证程序那里选“Enterprise Agreement”,下一步产品类型选"Windows 2003终端服务“每设备”客户端访问许可证" 数量填100协议号码填4954438下一步下一步到此界面时,就得到了我们要的两组ID不要点结束,先记下这两组ID,回到刚刚“终端服务器授权”的界面,输入上面两组ID中下面的那组ID下一步下一步下一步填入两组ID中上面的那组ID,下一步点击完成。
激活完成进入开始菜单——运行,输入gpedit.msc,确定选择计算机配置——管理模板——windows组件——终端服务在“终端服务”的右边窗口选择“限制终端服务用户到一个远程会话”双击“限制终端服务用户到一个远程会话”,进入属性设置选择“已禁用”,点确定所有设置完成,关闭窗口。
win2003服务器配置(完全版)
更多教程
administrators 全部(该文件夹,子文件夹及文件) Power Users (该文件夹,子文件夹及文件) 读取和运行 列出文件夹目录 读取 SYSTEM 全部(该文件夹,子文件夹及文件) C:\Program Files administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) IIS_WPG (该文件夹,子文件夹及文件) 读取和运行 列出文件夹目录 读取 Power Users(该文件夹,子文件夹及文件) 修改权限 SYSTEM 全部(该文件夹,子文件夹及文件) TERMINAL SERVER USER (该文件夹,子文件夹及文件) 修改权限 2.网站及虚拟机权限设置(比如网站在 E 盘) 说明:我们假设网站全部在 E 盘 wwwsite 目录下,并且为每一个虚拟机创建了一 个 guest 用户,用户名为 vhost1...vhostn 并且创建了一个 webuser 组,把所有 的 vhost 用户全部加入这个 webuser 组里面方便管理。 E:\ Administrators 全部(该文件夹,子文件夹及文件) E:\wwwsite Administrators 全部(该文件夹,子文件夹及文件) system 全部(该文件夹,子文件夹及文件) service 全部(该文件夹,子文件夹及文件) E:\wwwsite\vhost1 Administrators 全部(该文件夹,子文件夹及文件) system 全部(该文件夹,子文件夹及文件) vhost1 全部(该文件夹,子文件夹及文件) 3.数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如 F 盘为数据 备份盘,我们只指定一个管理员对它有完全操作的权限。 4.其它地方的权限设置 请找到 c 盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。 下列这些文件只允许 administrators 访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
windows 2003服务器各种服务如何设置第一步:一、先关闭不需要的端口只开起3389 21 80 1433(MYSQL),由于3389不太安全,对此可以更改帐号并把密码设置为十五六位,这样可以大大提高了系统的安全性。
方法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上然后添加你需要的端口,重新启动即可!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。
如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。
同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。
如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
二、关闭不需要的服务打开相应的审核策略我关闭了以下的服务Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允许程序在指定时间运行Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库Remote Registry Service 允许远程注册表操作Print Spooler 将文件加载到内存中以便以后打印。
要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件Alerter 通知选定的用户和计算机管理警报Error Reporting Service 收集、存储和向Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的NET SEND 和警报器服务消息Telnet 允许远程用户登录到此计算机并运行程序把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败三、磁盘权限设置1.系统盘权限设置C:分区部分:c:\administrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER 全部(只有子文件来及文件)system 全部(该文件夹,子文件夹及文件)IIS_WPG 创建文件/写入数据(只有该文件夹)IIS_WPG(该文件夹,子文件夹及文件)遍历文件夹/运行文件列出文件夹/读取数据读取属性创建文件夹/附加数据读取权限c:\Documents and Settingsadministrators 全部(该文件夹,子文件夹及文件)Power Users (该文件夹,子文件夹及文件)读取和运行列出文件夹目录读取SYSTEM全部(该文件夹,子文件夹及文件)C:\Program Filesadministrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER全部(只有子文件来及文件)IIS_WPG (该文件夹,子文件夹及文件)读取和运行列出文件夹目录读取Power Users(该文件夹,子文件夹及文件)修改权限SYSTEM全部(该文件夹,子文件夹及文件)TERMINAL SERVER USER (该文件夹,子文件夹及文件)修改权限2.网站及虚拟机权限设置(比如网站在E盘)说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest 用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理。
E:\Administrators全部(该文件夹,子文件夹及文件)E:\wwwsiteAdministrators全部(该文件夹,子文件夹及文件)system全部(该文件夹,子文件夹及文件)service全部(该文件夹,子文件夹及文件)E:\wwwsite\vhost1Administrators全部(该文件夹,子文件夹及文件)system全部(该文件夹,子文件夹及文件)vhost1全部(该文件夹,子文件夹及文件)3.数据备份盘数据备份盘最好只指定一个特定的用户对它有完全操作的权限。
比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。
4.其它地方的权限设置请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。
下列这些文件只允许administrators访问net.exenet1.exetcmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述。
四、防火墙、杀毒软件的安装我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。
一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。
这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。
不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice防火墙五、SQL2000 SERV-U FTP安全设置SQL安全方面1.System Administrators 角色最好不要超过两个2.如果是在本机最好将身份验证配置为Win登陆3.不要使用Sa账户,为其配置一个超级复杂的密码4.删除以下的扩展存储过程格式为:use mastersp_dropextendedproc '扩展存储过程名'xp_cmdshell:是进入操作系统的最佳捷径,删除访问注册表的存储过程,删除Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvaluesXp_regread Xp_regwrite Xp_regremovemultistringOLE自动存储过程,不需要删除Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop5.隐藏SQL Server、更改默认的1433端口右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏SQL Server 实例,并改原默认的1433端口serv-u的几点常规安全需要设置下:选中"Block "FTP_bounce"attack and FXP"。
什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP 地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。
大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。
虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。
这就是FXP,也称跨服务器攻击。
选中后就可以防止发生此种情况。
六、IIS安全设置IIS的相关设置:删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。
配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。
对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。