怎样配置和管理Win2003系统服务

WIN2003服务器安全和配置完整教程一、硬盘分区与操作系统的安装∙硬盘分区总的来讲在硬盘分区上面没什么值得深入剖析的地方，无非就是一个在分区前做好规划知道要去放些什么东西，如果实在不知道。

那就只一个硬盘只分一个区，分区要一次性完成，不要先分成FAT32再转成NTFS。

一次性分成NTFS格式，以我个人习惯，系统盘一般给12G。

建议使用光盘启动完成分区过程，不要加载硬盘软件。

∙系统安装以下内容均以2003为例安装过程也没什么多讲的，安装系统是一个以个人性格为参数的活动，我建议在安装路径上保持默认路径，好多文章上写什么安装路径要改成什么呀什么的，这是没必要的。

路径保存在注册表里，怎么改都没用。

在安装过程中就要选定你需要的服务，如一些DN S、DHCP没特别需要也就不要装了。

在安装过程中网卡属性中可以只保留TCP/IP 这一项，同时禁用NETBOIS。

安装完成后如果带宽条件允许可用系统自带在线升级。

二、系统权限与安全配置前面讲的都是屁话，润润笔而已。

（俺也文人一次）话锋一转就到了系统权限设置与安全配置的实际操作阶段系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。

此句基本上是个人都看过，但我好像没有看到过一篇讲的比较详细稍具全面的文章，下面就以我个人经验作一次教学尝试！2.1 最小的权限如何实现？NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Def ault User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Every one用户权限C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Inst aller也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.print ers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

Windows2003已经出现很久了，现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉，在这里，我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。

Win2003系统已经比Win2K系统增加了很多的安全性，所以现在选择Win2003系统作为服务器系统，将会是网络管理员的最佳选择。

本文假设你是一个服务器管理员，现在你的服务器使用Win2003服务器系统，你的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等）。

一、系统安装注意事项：首先，你得先把你的Win2003系统安装好，在安装系统时请选择使用NTFS文件系统分区，因为该分区可以对你的服务器资源进行加密、权限设置等，如果你的文件系统分区是使用FAT32的话，而你这台服务器作为一台虚拟主机，给客户提供空间，如果客户在空间里传了一个WebShell，如ASP木马等，而你使用的FAT32文件系统却不能为你的文件设置访问权限的话，那么黑客就能通过这个ASP木马取得你的服务器管理权了，那将是没有任何的安全性可言了。

为了系统的安全着想，系统安装好后，你还要给你的系统设置一个强壮的管理员口令，千万不要使用简单的口令，如123456等这样的简单登陆口令。

因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。

一个强壮的口令应该包括数字、英文字母、符号组成，如密码k3d8a^!ka76，设置好一个强壮的系统登陆口令后，我们就可以安装各种上面所述的组件服务支持了。

还是那句老话，最少的服务等于最大的安全，对于一切不须要的服务都不要安装，这样才能保证你服务器的安全性。

Windows 2003 server配制与管理Windows Server 2003提供了诸多强大的网络服务功能，而且极易上手，网管不需要太多的培训即可配置和管理。

不过，要配置一个安全的Windows Server 2003服务器，需要有经验的网管手动配置很长时间：需要在提供各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和黑客的入侵，这是每个网管的基本追求。

一、Windows Server2003的安装1、安装系统最少需要2个分区，分区格式都采用NTFS格式2、在断开网络的情况安装好2003系统3、安装IIS，仅安装必要的IIS 组件（禁用不需要的如FTP 和SMTP 服务）。

默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：Internet 信息服务管理器；公用文件；后台智能传输服务(BITS) 服务器扩展；万维网服务。

如果你使用FrontPage 扩展的Web 站点再勾选：FrontPage 2002 Server Extensions4、安装MSSQL及其它所需要的软件然后进行Update。

5、使用Microsoft 提供的MBSA（Microsoft Baseline Security Analyzer）工具分析计算机的安全配置，并标识缺少的修补程序和更新。

下载地址：见页末的链接二、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

项目一网络操作系统的安装与配置任务描述某高校组建了校园网，需要架设WEB服务器、FTP服务器、DNS 服务器、DHCP服务器和电子邮件服务器来为校园网用户提供服务，现需要选择一种既安全又易于管理的网络操作系统。

所需知识点1、网络服务器的概念2、常见的网络操作系统3、网络服务器的部署方案4、磁盘分区和文件系统5、用户和用户组以及权限的概念6、对等网的部署网络拓扑图项目工作过程拆分工作任务1 课程介绍及实验环境的搭建工作任务2 安装Windows server 2003系统工作任务3 管理磁盘工作任务4 管理用户及权限工作任务5 组建并配置对等网工作任务6 对系统安全性进行设置任务实施工作单任务序号 2 任务名称安装Windows server 2003系统任务描述规划安装Windows server 2003 网络操作系统★使用系统镜像在虚拟机下进行安装★安装分区大小C盘为10G ，D盘为10G，使用的文件系统是NTFS★确定授权模式，每服务器100个★计算机名为server+自己的机器号，密码123456★设置IP地址192.168.小组号.机器号子网掩码255.255.255.0 网关192.168.x.254★为服务器创建工作组student知识准备1、了解系统需求2、检查硬件兼容性3、选择安装方式4、规划磁盘空间5、确定文件系统格式6、确定授权模式7、确定计算机名和账户密码操作步骤安装Windows server 2003 网络操作系统1、启动虚拟机后，正式开始安装，首先出现蓝色安装界面，这时系统是在检测计算机的各个硬件是否正常，并安装硬件的一些基本驱动。

2、进入安装界面进行选择，有三个选项，选择“现在安装windows”按enter键3、弹出微软的安装许可协议，只有同意才能继续进行，按F8同意。

4、进入到硬盘分区界面，第一次安装系统时磁盘（硬盘）没有分区，要先进行分区，把光标放在“未划分的空间”上，按C在箭头处输入这个分区的容量后按enter，（按照任务要求进行输入）注意容量的单位是MB（注意MB和GB之间的换算，1GB = 1024MB）箭头所指的地方就是我们刚才创建的分区，这时可以直接在这个分区上安装系统了。

Windows2003Server安全配置完整篇（3）服务器教程-电脑资料四、磁盘权限设置C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了，。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到system"，这也的确是有可能的。

在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。

其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

另外，还将：net.exe NET命令cmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！format.exe大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~（：这些文件都设置只允许administrator访问。

Win2003操作系统服务器安全配置步骤如是老系统重做系统，做好以下工作：1、IIS资料备份如安装有RmHost被控端，运行备份/恢复工具，备份IIS数据；如没有，打开Internet信息服务管理器，在“网站”或“应用程序池”上点右键，将配置保存到一个文件；2、Serv-U资料备份将Serv-U所在目录下ServUDaemon.ini文件复制到备份文件夹；3、IMail资料备份如服务器安装了IMail，运行regedit.exe，在注册表中找到IMail所在路径，右键导出备份到备份文件夹；如Imail 安装在C盘，则需同时转移Imail下所有文件；4、MySQL资料备份以root用户进入PHPMyAdmin或MySQL命令行，备份mysql数据库内的user和db表，导出为sql脚本；5、MsSQL资料备份在安全性-登录中导出帐号列表；如MsSQL数据在C盘下，需要将SQLData下所有文件备份到其他盘6、PHP备份可根据情况备份C:\Windows\PHP.ini文件如是新服务器初次安装，做好以下工作：1、组建磁盘阵列如果磁盘支持Raid5，并决定配置磁盘阵列，则应该首先在CMOS中设置好阵列模式，并在启动后进入Raid配置界面配置Raid5模式；安装Win2003时，按F6加载Raid驱动程序；2、配置NCQ支持如果不打算配置Raid5或不支持磁盘阵列，但支持NCQ，同样需要首先在CMOS中设置好AHCI模式，并在安装Win2003时，按F6加载AHCI驱动程序；3、划分磁盘分区●双硬盘通常按照下列模式划分：第一硬盘：C:\ System 10G 安装系统文件D:\ Webroot 视磁盘大小存放站点文件、数据库等在D:\建立Webroot、PHP、PHP\Tmp、MySQL、FTPRoot、Temp等文件夹；F:\ Log 10G 存放站点日志、FTP日志、临时文件和系统缓存在E:\建立IISLog、FTPLog、Temp等文件夹；第二硬盘：E:\ Data 总容量15%以上存放MsSQL数据库在E:\建立SQLData文件夹G:\ BAK 视磁盘大小存放各种备份文件在F:\建立MySQLBAK、MsSQLBAK、WebBAK、SysBAK等目录H:\ Soft 6G 存放各类常用软件及系统备份、驱动在G:\建立I386、Drivers、Soft、常用组件、常用工具等目录●单硬盘通常按照下列模式划分：C:\ System 10G 安装系统文件D:\ Webroot 总容量50%以上存放站点文件、数据库等在D:\建立Webroot、PHP、PHP\Tmp、MySQL、FTPRoot、SQLData、Temp等文件夹；E:\ Log 10G 存放站点日志、FTP日志、临时文件和系统缓存在E:\建立IISLog、FTPLog、Temp等文件夹；F:\ BAK 视磁盘大小存放各种备份文件在F:\建立MySQLBAK、MsSQLBAK、WebBAK、SysBAK等目录G:\ Soft 6G 存放各类常用软件及系统备份、驱动在G:\建立I386、Drivers、Soft、常用组件、常用工具等目录一、系统安装工作1、格式化C盘用CD启动，格式化C盘。