图解 Windows 2003 证书服务配置

WIN2003服务器安全和配置完整教程一、硬盘分区与操作系统的安装∙硬盘分区总的来讲在硬盘分区上面没什么值得深入剖析的地方，无非就是一个在分区前做好规划知道要去放些什么东西，如果实在不知道。

那就只一个硬盘只分一个区，分区要一次性完成，不要先分成FAT32再转成NTFS。

一次性分成NTFS格式，以我个人习惯，系统盘一般给12G。

建议使用光盘启动完成分区过程，不要加载硬盘软件。

∙系统安装以下内容均以2003为例安装过程也没什么多讲的，安装系统是一个以个人性格为参数的活动，我建议在安装路径上保持默认路径，好多文章上写什么安装路径要改成什么呀什么的，这是没必要的。

路径保存在注册表里，怎么改都没用。

在安装过程中就要选定你需要的服务，如一些DN S、DHCP没特别需要也就不要装了。

在安装过程中网卡属性中可以只保留TCP/IP 这一项，同时禁用NETBOIS。

安装完成后如果带宽条件允许可用系统自带在线升级。

二、系统权限与安全配置前面讲的都是屁话，润润笔而已。

（俺也文人一次）话锋一转就到了系统权限设置与安全配置的实际操作阶段系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。

此句基本上是个人都看过，但我好像没有看到过一篇讲的比较详细稍具全面的文章，下面就以我个人经验作一次教学尝试！2.1 最小的权限如何实现？NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Def ault User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Every one用户权限C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Inst aller也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.print ers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

漏洞发现：老寒组织名称:[[Kingdom China Team-中华帝盟安全小组]厂商名字：microsoft厂商地址：漏洞程序：windows2003服务器版漏洞类型：安全配置影响版本：Standard Edition，Enterprise Edition，Web Edition程序介绍: windos2003服务器安全配置我在写文章的时候查阅了不少资料不经常写文章重点我分不清楚大家就凑合着看吧总的来说还算是好文章（：一、安装篇1.win2003版本区别1）Windows Server 2003, Standard Edition （标准版）针对中小型企业的核心产品，他也是支持双路处理器，4GB的内存。

它除了具备 Windows Server 2003 Web Edition 所有功能外，还支持像证书服务、UDDI服务、传真服务、IAS 因特网验证服务、可移动存储、RIS、智能卡、终端服务、WMS和 Services for Macintosh。

支持文件和打印机共享。

提供安全的网络联接。

2）Windows Server 2003, Enterprise Edition （企业版）这个产品被定义为新一带高端产品，它最多能够支持8路处理器，32 GB内存，和28个节点的集群。

它是 Windows Server 2003 Standard Edition 的扩展版本，增加了Metadirectory Services Support、终端服务会话目录、集群、热添加（ Hot-Add）内存和 NUMA非统一内存访问存取技术。

这个版本还另外增加了一个支持64位计算的版本。

全功能的操作系统支持多达8个处理器。

提供企业级的功能例如8节点的集群，支持32GB 内存。

支持英特尔安腾Itanium 处理器。

将推出支持64位计算机的版本，可以支持8个64位处理器以及64GB的内存。

3）Windows Server 2003, Datacenter Edition （数据中心）像以往一样，这是个一直代表微软产品最高性能的产品，他的市场对象一直定位在最高端应用上，有着极其可靠的稳定性和扩展性能。

终端服务器授权配置右键选中“激活服务器”；点击“下一步”；激活方法列表中，选中“Web浏览器”后，点击“下一步”；点击https:///连接地址索取“许可证服务器ID”；选中“简体中文”点击“go”；填写信息后，点击“下一步”；点击“下一步”；点击“下一步”；将此“许可证服务器ID”填入下图页面中；成功激活许可证服务器，点击“下一步”；点击“下一步”；点击“下一步”；点击https:///连接地址索取“许可证密钥包ID”；点击“是”，选中“Enterprise agreement”后，点击“下一步”；产品类型选中“windows Server 2003 终端服务器“每用户”客户端访问许可证”后，手动键入数量“500”后，同时键入“协议号码”后（协议号码即产品ID），点击“下一步”；点击“下一步”；将获取的“许可证密钥包ID”，填入下图；点击“下一步”；配置完成。

/space.php?uid=7937560&do=blog&id=2545374如何破解win2003“终端服务器授权”激活许可证终端服务器的安装就不介绍了，网上文章很多，下面说一下激活授权服务器。

1）点击”开始”->”程序”->”管理工具”->”终端服务器授权”,选择未激活的服务器名称,选择”属性”, 请记下对话框中出现的产品ID,我们要用这20位的ID号到网上注册。

2）打开Internet Explorer浏览器,在地址栏中输入https://（http也可）这个地址，此时是英文界面。

在左上角的下拉框中选中"Chinese(Simplified)"（简体中文）项，再按"GO"图标。

3)现在便得到的是中文网页了。

确保已选中"启用许可证服务器"项，再单击"下一步"按钮。

4)在随后要求提供的信息界面中，"产品ID"处输入刚才抄下的那个20位数字,再填入自己的其他基本资料，然后再选"下一步"继续。

Windows Server 2003服务器配置一、DNS服务器的安装与配置实训目的1.掌握DNS服务器的相关配置。

2.完成DNS客户端的域名解析设置。

3.完成DNS服务的验证。

实训设备与环境一台Windows 2003 Server 域控制器，一台Windows xp Professional客户机。

两台机器按如图1所示，完成相关的设置。

图1 DNS服务配置实例图有图有真相实训内容1.DNS服务器的安装2.DNS客户端设置3.DNS服务器的配置与管理实训步骤1.如果在安装域控制器时，已经选择安装DNS服务器，则不需要再进行二次安装，如果原来没有DNS服务器；也可以单独安装DNS。

主要包括以下步骤：(1)选择一台已经安装好Windows 2003的服务器（名称为），确认其已安装了TCP/IP协议，先设置服务器自己TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】，鼠标右键单击【本地连接】，选择【属性】/【Internet协议（TCP/IP）】/【属性】，设置IP地址为192.168.100.1，子网掩码为255.255.255.0，DNS服务器地址为192.168.100.1。

(3)运行【控制面板】中的【添加/删除程序】选项，选择【添加/删除Windows组件】。

(4)选择【网络服务】复选框，并单击【详细信息】按钮。

(5)在【网络服务】对话框中，选择【域名系统（DNS）】，单击【确定】按钮，系统开始自动安装相应服务程序。

除组件添加方式也可以采用网络服务管理器．．．．．．．实现添加DNS。

2.完成DNS客户端设置。

(1)选择一台装有Windows xp Professional的客户机（名称为work），确认其已安装了TCP/IP协议，设置TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】，鼠标右键单击【本地连接】，选择【属性】/【Internet协议（TCP/IP）】/【属性】，设置IP地址为192.168.100.2，子网掩码为255.255.255.0，DNS服务器地址为192.168.100.1。

独立CA可向Windows2003网络外部的用户颁发证书，并且不需要活动目录的支持。

选择CA模式在建立认证服务之前，选择一种适应需要的认证模式是非常关键的，安装认证服务时可选择4种CA模式，每种模式都有各自的性能和特性。

企业根CA企业根CA是认证体系中最高级别的证书颁发机构。

它通过活动目录来识别申请者，并确定该申请者是否对特定证书有访问权限，。

如果只对组织中的用户和计算机颁发证书，则需建立一个企业的根CA。

一般来讲，企业的根CA只对其下级的CA颁发证书，而下级CA再颁发证书给组织中的用户和计算机。

安装企业根CA需要如下支持：1．活动目录证书服务的企业策略信息存放在活动目录中。

2．DNS名称解析服务在Windows2003中活动目录与DNS紧密集成。

3．对DNS活动目录和CA服务器的管理权限。

企业下级CA企业下级CA是组织直接向用户和计算机颁发证书的CA。

企业下级CA在组织中不是最受信任的CA，它还要有上一级CA来确定自己的身份。

独立根CA独立根CA是认证体系中最高级别的证书颁发机构，独立CA不需活动目录，因此即使是域中的成员也可不加入到域中。

独立根CA可从网络中断开放置到安全的地方。

独立根CA可用于向组织外部的实体颁发证书，同企业根CA一样，独立根CA通常只向其下一级的独立CA颁发证书。

独立CA独立CA将直接组织外部的实体颁发证书。

建立独立CA需要以下支持：1．上一级CA：比如组织外部的第三方商业性的认证机构。

2．因为独立CA不需要加入到域中，因此要有对本机操作的管理员权限。

安装证书服务认证服务不是Windows2003的默认服务，需要在Windows2003安装完毕后手工添加。

要在一台服务器上安装企业根CA，需要以下操作步骤。

1．从“控制面板”，双击“添加/删除程序”，单击“添加/删除Windows组件”，选中“证书服务”，单击“下一步”。

如图5－3所示。

图6－3 添加证书服务2．选中“企业根CA”，并选中“高级选项”，单击“下一步”。

windows2003服务---证书服务在访问Web站点时，如果没有较强的安全措施，用户访问的数据是可以使用网络工具捕获并分析出来的。

在Web站点的身份验证中，有一种基本身份验证，要求用户访问输入用户名和密码时，是以明文形式发送密码的，蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。

那我们该如果避免呢？可利用SSL通信协议，在Web服务器上启用安全通道以实现高安全性。

试验拓扑在安装证书服务之前，我已经在服务器上建了WEB站点，并配置了DNS服务器。

一：安装证书服务·打开“控制面板”---“添加/删除windows组件”。

勾选“证书服务”复选框·企业根CA：需要AD服务，即计算机在活动目录中才可以。

企业从属CA：域中的另一台证书服务器上独立根CA：服务器可以在AD中，也可以不在AD中。

·在此CA的公用名称中输入CA的名称，一般是域名称。

·设置证书数据库以及日志的路径。

（如果要卸载证书服务，必须删除证书数据库，否则无法再次安装证书服务）·安装完成后，会在IIS管理器“默认站点”中添加一虚拟目录。

并在浏览器中输入http:// /certsrv时出现microsoft证书服务页面二：生成证书申请·打开“IIS管理器”右击“默认网站”选择“属性”，在“目录安全性”选项卡下单击“服务器证书”按钮，开始证书的申请。

注：如果可以直接联系到网络中的CA（一般是企业CA），则可以选择“立即将证书请求发送到联机证书颁发机构”，此后就不需要生成证书申请这步了·输入单位信息、部门，单击下一步·公用名称中输入Web站点的域名·填写国家、地区等详细资料·输入“证书请求的文件名”三：申请、下载证书·上一步已经生成了证书的申请，此时我们需要申请证书（如果在生成证书申请中选择“立即将证书请求发送到联机证书颁发机构”，不需要这一步。