2003服务器安全设置教程

商业版本安装及服务器安全配置指南

首先感谢您选用我们的Oblog博客建站产品.为使您更为安全高效的使用我们的产品.特制作此帮助.希望对您能有所帮助.

在这里我们以2003服务器为例.

设置步骤分为两部分,系统安全设置和针对Oblog程序的安全设置两部分.在这里我们只谈最最必要和最需要特别注意的部分.一般的设置都可以在网上搜索的到.在这里就不再一一赘述.

服务器安全设置

1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.

2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.

3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.

4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.

5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.

组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.

7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数

设为30分钟”。)

8.在安全设置里本地策略-安全选项将

网络访问:可匿名访问的共享 ;

网络访问:可匿名访问的命名管道 ;

网络访问:可远程访问的注册表路径 ;

网络访问:可远程访问的注册表路径和子路径 ;

以上四项清空.

9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入

ASPNET

Guest

IUSR_*****

IWAM_*****

NETWORK SERVICE

SQLDebugger

(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了.)

10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000

"AutoSharewks"=dword:00000000

11. 禁用不需要的和危险的服务,以下列出服务都需要禁用.

Alerter 发送管理警报和通知

Computer Browser:维护网络计算机更新

Distributed File System: 局域网管理共享文件

Distributed linktracking client 用于局域网更新连接信息

Error reporting service 发送错误报告

Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)

Remote Registry 远程修改注册表

Removable storage 管理可移动媒体、驱动程序和库

Remote Desktop Help Session Manager 远程协助

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Messenger 消息文件传输服务

Net Logon 域控制器通道管理

NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的

PrintSpooler 打印服务

telnet telnet服务

Workstation 泄漏系统用户名列表

12.更改本地安全策略的审核策略

账户管理成功失败

登录事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

账户登录事件成功失败

13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.

net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

https://www.sodocs.net/doc/064436031.html,

c.exe 特殊文件有可能在你的计算机上找不到此文件.

在搜索框里输入

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe", "cacls.exe","https://www.sodocs.net/doc/064436031.html,","c.exe" 点击搜索然后全选右键属性安全

以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.

14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。

以上是设置安全服务器必要的步骤.下面我们来说说数据库安装.

1.在企业管理器内建立一个空的数据库名为oblog4,打开查询分析器,将data目录的oblog4.sql导入查询分析器.找到oblog4数据库执行.

2.将初始数据库oblog4.mdb导入我们刚刚建立好的数据库.

好了数据库装好了,下面我们来说说IIS的安全设置.

1.在计算机管理中设定一个新的用户组 iis guest 这个用户组来将我们的站点使用的匿名用户归类.方

便管理.

2.新建一个用户已 U_开头以后站点的匿名用户就都是以U_开头方便识别和管理当然你可以自己设定,

只要方便识别即可.然后去掉其所归属的user用户组添加入 iis guest用户组.比如新建的站点是https://www.sodocs.net/doc/064436031.html, 那么我我们就新建一个

U_https://www.sodocs.net/doc/064436031.html,用户,然后将它除去user组的隶属关系,然后将其加入iis guest组.(这一段我们可以看视频教程演示.)

3.在发布盘上新建一个文件夹作为网站目录.再这里我们新建E:\wwwroot为我们的站点文件夹

4.将从官方下载的oblog4.rar解压到此文件夹下.

5.设置iis发布此站点.站点的主机头设为您的域名.如果您购买了二级域名组件的话,请添加一个空的

主机头进去.

6.设置iis匿名用户访问权限为刚刚我们新建的U_https://www.sodocs.net/doc/064436031.html,用户.

7.设置发布目录文件夹权限所有为U_https://www.sodocs.net/doc/064436031.html,用户读取运行权限.

8.设置目录U(用户日志生成静态目录),目录 Uploadfiles(上传目录) skin下的skin.mdb 根目录下的

index.html 等目录或文件权限为可以修改.

9.在iis上设置Uploadfiles文件夹为不可执行脚本.

10.修改conn.asp和config.asp文件.适应我们的设置.

11.访问您设定的网址安装完成.

https://www.sodocs.net/doc/064436031.html, 2007

蓝色

blue0net@https://www.sodocs.net/doc/064436031.html,

服务器安全设置

目前流行的挂木马的基本步骤（可能有个别地方不准确）： 1、利用杰奇系统的漏洞，上传具有一定危险功能的文件，表现为：zh.php、cmd.exe、*.asp， 这几个文件都具有不同的目的，只要被上传了这几个文件，相应的js文件就会被修改，然后就被挂马了。 2、上传了文件后，如果你的权限设置的不对，比如多给了运行权限，该黑客就可以利用这 几个文件进行提权，直接可以创建管理员账号，然后通过*.asp文件获得你的远程连接的端口，然后利用注入的管理员账号登录系统，进入系统了，那就随便改啦。 所以针对上面的步骤，我们可以这样做： 1、权限一定要设置好，大部分网站目录只给读取权限即可，个别的多给写入权限。 2、所有的js文件都改成只读的 3、删除系统的以下三个文件，执行脚本如下：（开始-运行里面就可以直接执行） regsvr32 /u %SystemRoot%\System32\wshom.ocx regsvr32 /u %SystemRoot%\System32\shell32.dll regsvr32 /u %SystemRoot%\System32\wshext.dll 4、修改远程链结默认的3389端口，改成12345 12323等等类似的。群共享里有软件直接修改重启机器生效。 设置好了以上的几步后，针对杰奇的漏洞产生的木马，基本上就能防止了。当然，其他的漏洞还是得需要好好设置，可以参考群共享里的一篇word文档，服务器安全设置 贴一下这次挂马的代码，请大家仔细检查自己的js文件中是否有下面的代码： 晕，我的都被我删除了，没了。谁能提供我一个被修改过的js文件。 已经中木马的人的找马步骤： 1、在杰奇网站的所有目录下寻找这样的文件zh.php、zp.php、*.asp、cmd.exe等文件，直 接删除即可。 2、检查你的所有js文件，如果发现下面这样的代码，那就是木马代码。删除这些木马代码。 本文档的服务器安全设置分三个部分 （一）服务器的基本安全设置 本配置仅适合Win2003，部分内容也适合于Win2000。很多人觉得3389不安全，其实只要设置好，密码够长，攻破3389也不是件容易的事情，我觉得别的远程软件都很慢，还是使用了3389连接。

2003服务器安全设置

一、先关闭不需要的端口 我比较小心，先关了端口。只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。PS一句：设置完端口需要重新启动！

当然大家也可以更改远程连接端口方法： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002683 保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！

还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。 做FTP下载的用户看仔细，如果要关闭不必要的端口，在 \system32\drivers\etc\services中有列表，记事本就可以打开的。如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以！

如何搭建一个数据库服务器平台

玩Oracle也有2年的时间了，从接触Oracle 到现在，一直没有停止过学习。要学的东西太多，刚入门的时候是这样的感觉，现在还是这样的感觉。有时候也在想，还要学多长时间才能感觉自我良好了，有十足的自信心了。很多朋友都想做DBA，因为他们觉得这一个高薪的行业。但是并不是所有都明白为什么DBA是个高薪的行业。高薪意味着压力大，责任大。 现代化的程度越高，对数据库的依赖性越大。数据安全性和系统的安全性也就越大。比如公司业务系统。数据库是直接的存储地方的，他的重要性是不言而喻的，宕机带来的损失可能是按分钟或者秒算的。而谁对这些数据库负责--DBA。所以很多公司，企业都是找有经验的DBA ，他们也是在为他们的系统买保险。这也是为什么企业不愿意招一个没有实战经验的DBA来管理自己的数据库。 试想某个省移动的数据库出了问题，造成数据丢失，在比如银行数据库挂了。他们带来的损失不光是影响正常的业务运行，还有可能是数据错误。假如你在银行存了100万，结果银行一不小心，在数据库里少了几个0. 这个是谁也不愿意看到的。当然以上都是假设的情况。因为像这些数据重要性极高的单位，他们都有一整套数据的保护机制。是不会发生这种情况的。 下面就来总结一下如何的来搭建一个数据库平台。主要从参数和一些特性的配置上来说明。当然我玩Oracle也才2年，经验不足，可能对与这些参数的设置也不是很合理。 从网上看到过一句话：每个DBA心中对重要的参数都有一个标准。我想这也是经验的价值。 就是要健康http:/https://www.sodocs.net/doc/064436031.html, 一．Linux 系统 说明，在安装操作系统之前，现在服务器上做个RAID。一般都用RAID5. 1．LINUX磁盘划分： a．对于内置2块磁盘（146GB）的系统，/目录20GB，SW AP与内存大小相当（8GB以下内存机器SW AP配置8GB），/boot 100MB。如果作为应用服务器，那么其余空间建立/apps文件系统，mke2fs –j 命令；如果作为数据库平台，那么建立/dba文件系统20GB,其余建立/u01文件系统。 b．对于内置4-6块磁盘的系统，/目录60GB，SWAP与内存大小相当（8GB以下内存机器SW AP配置8GB），/boot 100MB。如果作为应用服务器，那么其余空间建立/apps文件系统，mke2fs –j 命令；如果作为数据库平台，那么建立/dba文件系统40GB,其余建立/u01文件系统。 c．对于oracle数据文件目录文件系统使用mke2fs –j –T largefiles命令建立 2．对于非外接存储情况下： a．ORACLE目录标准：ORACLE_HOME=/dba/app/oracle/product/10.2.0.4(按版本指定) ORACLE_BASE=/dba (dump目录为/dba/admin/sid/) Datafile目录为/u01/oradata/sid 归档空间目录/u01/oradata/archive_sid b．对于有外接存储(/u02…)情况下： ORACLE目录标准：ORACLE_HOME=/dba/app/oracle/product/10.2.0.4(按版本指定) ORACLE_BASE=/u01 (dump目录为/u01/admin/sid/)

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名；——启动 交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问：可匿名访问的共享；——清空 网络访问：可匿名访问的命名管道；——清空 网络访问：可远程访问的注册表路径；——清空 网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

数据库服务器对硬件配置的五个要求

数据库服务器对硬件配置 的五个要求 LELE was finally revised on the morning of December 16, 2020

数据库服务器对硬件配置的五个要求 【来源：小鸟云计算】 小鸟云 - 企业级云服务器、虚拟主机、服务器租用托管服务提供商 说了这么多数据库的重要性，那么如何挑选一款可靠的，稳定的数据库服务器呢？我们从五个方面入手，帮助您系统的了解数据库服务器对服务器硬件有哪些要求。 选择数据库服务器的五个原则： 1)高性能原则 保证所选购的服务器，不仅能够满足运营系统的运行和业务处理的需要，而且能够满足一定时期业务量的增长。一般可以根据经验公式计算出所需的服务器TpmC值(Tpmc是衡量计算机系统的事务处理能力的程序)，然后比较各服务器厂商和TPC组织公布的TpmC值，选择相应的机型。同时，用服务器的市场价/报价除去计算出来的TpmC值得出单位TpmC值的价格，进而选择高性能价格比的服务器。 结论：服务器处理器性能很关键，CPU的主频要高，要有较大的缓存 2)可靠性原则 可靠性原则是所有选择设备和系统中首要考虑的，尤其是在大型的、有大量处理要求的、需要长期运行的系统上。考虑服务器系统的可靠性，不仅要考虑服

务器单个节点的可靠性或稳定性，而且要考虑服务器与相关辅助系统之间连接的整体可靠性，如：网络系统、安全系统、远程打印系统等。在必要时，还应考虑对关键服务器采用集群技术，如：双机热备份或集群并行访问技术，甚至采用可能的完全容错机。 结论：服务器要具备冗余技术，同时像硬盘、网卡、内存、电源此类设备要以稳定耐用为主，性能其次。 3)可扩展性原则 保证所选购的服务器具有优秀的可扩展性原则。因为服务器是所有系统处理的核心，要求具有大数据吞吐速率，包括：I/O速率和网络通讯速率，而且服务器需要能够处理一定时期的业务发展所带来的数据量，需要服务器能够在相应时间对其自身根据业务发展的需要进行相应的升级，如：CPU型号升级、内存扩大、硬盘扩大、更换网卡、增加终端数目、挂接磁盘阵列或与其他服务器组成对集中数据的并发访问的集群系统等。这都需要所选购的服务器在整体上具有一个良好的可扩充余地。一般数据库和计费应用服务器在大型计费系统的设计中就会采用集群方式来增加可靠性，其中挂接的磁盘存储系统，根据数据量和投资考虑，可以采用DAS、NAS或SAN等实现技术。 结论：服务器的IO要高，否则在CPU和内存都是高性能的情况下，会出现瓶颈。除此之外，服务器的扩展性要好，为的是满足企业在日后发展的需要。 4)安全性原则

Windows_Server_2003_安全设置手册

Windows Server 2003安全设置 一、用户账户安全 1.Administrator账户的安全性 a)重命名adminstrator，并将其禁用 b)创建一个用户账户并将其加入管理员组，日常管理工作使 用这个账户完成 2.启用账户锁定策略 开始——程序——管理工具——本地安全策略——账户 策略——账户锁定策略——设置“账户锁定阈值为3” 3.创建一个日常登录账户 通过Runas或者鼠标右键“运行方式”切换管理员权限 4.修改本地策略限制用户权限 开始——程序——管理工具——本地安全策略——本地策略 ——用户权限分配——设置“拒绝从网络访问这台计算机”， 限制从网络访问该服务器的账户

二、服务器性能优化，稳定性优化 1.“我的电脑”右键属性——高级——性能——设置——设置 为“性能最佳” 2.“我的电脑”右键属性——高级——性能——设置——高级 页面为如图设置

3.停止暂时未用到的服务 a)在开始运行中输入:services.msc b)停止并禁用以下服务 https://www.sodocs.net/doc/064436031.html,puter Browser 2.Distributed Link Tracking Client 3.Print Spooler（如果没有打印需求可以停止该服务） 4.Remote Registry 5.Remote Registry（如果没有无线设备可以停止该服 务） 6.TCP/IP NetBIOS Helper 三、系统安全及网络安全设置 1.开启自动更新 我的电脑右键属性——自动更新 Windows Server 2003会自动下载更新，无须人为打补丁。

2.关闭端口，减少受攻击面（此处以仅提供HTTP协议为例） a)开始运行中输入cmd，运行命令提示符 b)在命令提示符中输入netstat -an命令察看当前打开端 口 图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。 c)禁用TCP/IP 上的NetBIOS 1.从“开始”菜单，右键单击“我的电脑”，然后 单击“属性”。 2.点选“硬件”选项卡后，单击“设备管理器”按 钮。

(完整版)WindowsServer2008R2WEB服务器安全设置指南(四)之禁用不必要的服务和关闭端口

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重，以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务，这样最大程度来提高安全性。 作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务都可以禁用。当然了，你的系统补丁也需要更新到最新，一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多，而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢，因为我们要防患于未然，万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务，所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有，则禁用

Print Spooler Remote Registry 因为我们使用的是云主机，跟单机又不一样，所以有些服务并不能一概而论，如上面的Server服务。例如天翼云的主机，上海1和内蒙池的主机就不一样，内蒙池的主机需要依赖Server服务，而上海1的不需要依赖此服务，所以上海1的可以禁用，内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性，删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。

详解Windows_Server_2003_Web服务器安全设置

一、Windows 2003安全配置 确保所有磁盘分区为NTFS分区、操作系统、Web主目录、日志分别安装在不同的分区不要安装不需要的协议，比如IPX/SPX, NetBIOS? 不要安装其它任何操作系统 安装所有补丁（用瑞星安全漏洞扫描下载） 关闭所有不需要的服务

二、IIS的安全配置

三、删除Windows Server 2003默认共享

以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat，存放到系统所在文件夹下的 system32GroupPolicyUserScriptsLogon目录下。然后在开始菜单→运行中输入gpe dit.msc…回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本（登录/注销）→登录在出现的“登录属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了，这样就能将系统安全隐患降低到最低限度。 2、禁用IPC连接 IPC$(Internet Process Connection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能，但它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享 （c$,d$,e$……）和系统目录winnt或windows（admin$）共享。所有的这些，微软的初衷都是为了方便管理员的管理，但也为简称为IPC入侵者有意或无意的提供了方便条件，导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接：net use\ipipc$ password /user:usernqme。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。 四、清空远程可访问的注册表路径 大家都知道，Windows 2003操作系统提供了注册表的远程访问功能，只有将远程可访问的注册表路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。 打开组策略编辑器，依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可。 五、关闭不必要的端口 对于个人用户来说安装中默认的有些端口确实是没有什么必要的，关掉端口也就是关闭无用的服务。139端口是NetBIOS协议所使用的端口，在安装了TCP/IP 协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。但在Windows Server 2003中，只这样做是不行的。 如果想彻底关闭139端口，具体步骤如下：鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页，然后去掉“Microsoft网络的文件和打印共享”前面的

服务器安全防护措施

随着网络技术的发展，服务器面临着越来越多的安全威胁。因此，加强服务器的安全防护成为一项迫切需要解决的问题。那么到底该怎么做才能使服务器更安全呢？今天，我们来谈一谈具体的防护措施，可以从以下五大方面入手： 一、安全设置 1、加强服务器的安全设置 以Linux为操作平台的服务器安全设置策略，能够有效降低服务器的安全隐患，以确保它的安全性。安全设置主要包括：登录用户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置服务器有关目录的权限等。 2、加强内网和外网的安全防范 服务器需要对外提供服务，它既有域名,又有公网IP，显然存在着一些安全隐患。因此，可以给服务器分配私有的IP地址，并且运用防火墙来做NAT （网络地址转换），可将其进行隐藏。 有些攻击来源于内网，如果把内网计算机和服务器放置在相同的局域网之内，则在一定程度上会增加很多安全隐患，所以必须把它划分为不同的虚拟局域网。运用防火墙的“网络地址转换”来提供相互间的访问，这样就能极大提

高服务器的安全性和可靠性。 把服务器连接至防火墙的DMZ（隔离区）端口，将不适宜对外公布的重要信息的服务器，放在内部网络，进而在提供对外服务的同时，可以最大限度地保护好内部网络。 3、网络管理员，要不断加强网络日常安全的维护与管理 要对“管理员用户名与密码”定期修改；要对服务器系统的新增用户情况进行定时核对，并且需要认真仔细了解网络用户的各种功能；要及时更新服务器系统的杀毒软件以及病毒数据库，必要时，可针对比较特殊的病毒，安装专门的杀毒程序，同时要定期查杀服务器的系统病毒，定期查看CPU的正常工作使用状态、后台工作进程以及应用程序等。如若发现异常情况，需要及时给予妥当处理。因为很多“病毒与木马程序”，都是运用系统漏洞来进行攻击的，所以需要不断自动更新服务器系统，以及定期扫描服务器系统的漏洞。 很多服务器已经成为了“病毒、木马程序”感染的重灾区。不但企业的门户网站被篡改、资料被窃取，而且本身还成为了“病毒与木马程序”的传播者。有些服务器管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作“肉鸡”，来传播“病毒、恶意插件、木马程序”等等。这很大一部分原因是，网络管理员在网站安全的防护上太被动。他们只是被动的防御，而没有进行主动防御和检测。为了彻底提高服务器的安全等级，网站安全需要主动出击。、

如何为数据库服务器配置存储和内存

服务器管理,本文介绍在设计数据库服务器系统地存储与内存时应该注意地一些基本原则. 随着服务器硬件地功能变得越来越强大，而价格一路急剧下跌，许多公司（尤其是小公司）发现如今购买数据库服务器面临众多选择.这意味着，经验相对欠缺地数据库管理员们也被要求设计功能越来越强大地系统.在为大型系统设计数据库系统时，能够买到有许多硬盘和充足内存地大型数据库服务器.以下是在设计系统时应当遵守地一些基本原则.文档来自于网络搜索 存储系统 人们在设计磁盘阵列时最常犯下地错误就是，只计算所需地闲置容量.闲置容量只是设计存储子系统时要考虑地一部分而已；另一个部分就是存储系统需要支持地输入输出操作次数.文档来自于网络搜索 应当遵守地一条基本原则就是，写操作频繁地数据库最好使用阵列，而读操作频繁地数据库通常最好使用阵列.原因在于，如果把数据写到阵列，性能会受到影响.由于把数据写到阵列上，存储系统必须在写数据之前计算出奇偶检验位，而算出奇偶检验位需要相当长地时间，这意味着写到阵列上地性能会降低.文档来自于网络搜索 由于这种性能影响，我们总是建议你应当把事务日志放到阵列上.事务日志是写操作始终很频繁地文件，不管数据库是以读操作为主地数据库，还是以写操作为主地数据库.数据库也应当放在阵列上，具体来说放在与事务日志文件所在阵列不同地另一个阵列上.文档来自于网络搜索 对每个磁盘阵列进行分区时，应当确保分区正确对齐.默认情况下，及以下版本没有正确对齐分区，这会导致磁盘子系统地性能达不到最理想水平.可以通过使用实用程序（中地）创建分区来解决这个问题.这样创建地每个分区其对齐偏移量应为；在默认情况下，创建地每个分区其对齐偏移量为. 在默认情况下创建地分区其对齐偏移量为.文档来自于网络搜索物理数据库构建 微软最近开始推荐使用地一项比较新地技术就是，针对两个至四个核心当中地每个核心，数据库应当有一个物理数据库文件.应当为数据库里面地每个文件组做到这一点.文档来自于网络搜索 如果你地服务器有两个四核，那么共有八个核心.我们假定数据库有两个文件组，一个名为，另一个名为.那么每个文件组都应当有两个至四个物理文件.这项技术让可以对磁盘输入输出进行优化.可能地话，你应当尽量分散文件，以便位于每个存储阵列上地文件尽可能少.文档来自于网络搜索 数据库地配置应有点不同.配置数据库时，建议针对每个核心，数据库应当有一个物理文件.这样系统就可以为数据库尽量加快输入输出操作.与用户数据库一样，放在每个磁盘阵列上地文件也应当尽可能少.文档来自于网络搜索 你在数据库里面应当始终至少有两个文件组.第一个文件组包括表，第二个组包括索引.你需要让它们位于不同地文件组，那样查询索引时，装入到表地操作不会受到影响，反之亦然.文档来自于网络搜索 系统内存 在过去，购买只安装了数内存地数据库服务器相当常见.那是因为内存地价格还很昂贵. 如今，内存价格相当便宜；只要你能承受得了，应当购买尽量多地内存.内存越多，数据库地运行速度几乎总是越快.例外情况就是，如果你安装地内存超过了数据库地大小.举例来说，如果你有大小地数据库，但安装了内存，那么为服务器添加更多内存对提升数据库地性能没有帮助，因为可能已经能把整个数据库装入到内存中.文档来自于网络搜索在决定为分配多大内存时，绝对不要让把所有内存都分配给它.因为操作系统需要内存

网络上找的比较全的win2003安全设置

网络上找的比较全的win2003安全设置 (2009-08-10 09:25:39) 转载 标签： 分类：IT硬件 win2003 安全设置 一、硬盘分区与操作系统的安装 1. 2. 硬盘分区 总的来讲在硬盘分区上面没什么值得深入剖析的地方，无非就是一个在分区 前做好规划知道要去放些什么东西，如果实在不知道。那就只一个硬盘只分 一个区，分区要一次性完成，不要先分成FAT32再转成NTFS。一次性分成 NTFS格式，以我个人习惯，系统盘一般给12G。建议使用光盘启动完成分区 过程，不要加载硬盘软件。 3. 系统安装 以下内容均以2003为例 安装过程也没什么多讲的，安装系统是一个以个人性格为参数的活动，我建 议在安装路径上保持默认路径，好多文章上写什么安装路径要改成什么呀什 么的，这是没必要的。路径保存在注册表里，怎么改都没用。在安装过程中 就要选定你需要的服务，如一些DNS、DHCP没特别需要也就不要装了。在

安装过程中网卡属性中可以只保留TCP/IP 这一项，同时禁用NETBOIS。安 装完成后如果带宽条件允许可用系统自带在线升级。 二、系统权限与安全配置 前面讲的都是屁话，润润笔而已。（俺也文人一次） 话锋一转就到了系统权限设置与安全配置的实际操作阶段 系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。此句基本上是个人都看过，但我好像没有看到过一篇讲的比较详细稍具全面的文章，下面就以我个人经验作一次教学尝试！ 2.1 最小的权限如何实现？ NTFS系统权限设置 在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下 ? ?C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改 ?其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录 如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了 Everyone用户权限

服务器硬件配置和服务器安全配置信息(全能)

WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案： 备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。 二、顶级服务器配置方案

备注： 1，系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80% 无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95% 无冷凝 3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 １、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。 ２、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.sodocs.net/doc/064436031.html,（可选） |——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选） |——公用文件（必选） |——万维网服务———Active Server pages（必选） |——Internet 数据连接器（可选） |——WebDAV 发布（可选） |——万维网服务（必选） |——在服务器端的包含文件（可选） 然后点击确定—>下一步安装。 ３、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 ４、备份系统 用GHOST备份系统。 ５、安装常用的软件 例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。 二、系统权限的设置 １、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 ２、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组 通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——>安全选项 交互式登陆：不显示上次的用户名启用 网络访问：不允许SAM帐户和共享的匿名枚举启用 网络访问：不允许为网络身份验证储存凭证启用 网络访问：可匿名访问的共享全部删除

应用服务器的配置和使用

一、相关内容说明 FTP是一个能够在本地文件系统和远程主机文件系统之间传送文件的应用程序，我们在局域网中可以很方便的利用FTP实现文件共享，而Web 服务是TCP/IP互联网中最重要的服务之一，因此FTP服务器和Web服务器的正确配置和管理能够保证信息的畅通和安全。配置和管理FTP服务器、Web服务器是网络管理员的基本任务。我们本次课的实验内容就是配置和管理FTP服务器、Web服务器。 目前运行在Windows操作系统上的IIS（Internet Information Services 的缩写），是一个World Wide Web server，Gopher server和FTP server全部包容在里面，因此是一款非常优秀的FTP、Web服务软件。IIS包括Web 服务器、FTP服务器、NNTP服务器和SMTP服务器。 其次，IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器，是在Windows NT Server上建立Internet服务器的基本组件。它与Windows NT Server完全集成，允许使用Windows NT Server内置的安全性以及NTFS文件系统建立强大灵活的Internet／Intranet站点。 二、本次实验内容 1.安装配置IIS 实验步骤如下： （1）IIS的添加 进入“控制面板”，依次选“添加/删除程序→添加/删除Windows组件”，将“Internet信息服务（IIS）”前的小钩去掉（如有），重新选中后按提示操作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。 （2）IIS的启动 如果IIS服务还没有启动（IIS中的默认Web站点、默认FTP站点等都显示停止），则使用下列方法启动。执行命令“开始→控制面板→管理工具→Internet服务管理器(Internet信息服务)”以打开IIS管理器，对于有“停

数据库服务器的安装与配置

数据库服务器的安装与配置 理论基础 数据库服务器是当今应用最为广泛的一种服务器类型，许多企业在信息化建设过程中都要购置数据库服务器。数据库服务器主要用于存储、查询、检索企业内部的信息，因此需要搭配专用的数据库系统，对服务器的兼容性、可靠性和稳定性等方面都有很高的要求。 1、基本概念 数据库服务器其实就是装有一台数据库的Server，应用于Internet或Intranet。一个数据库服务器是指运行在局域网中的一台或多台服务器计算机上的数据库管理系统软件，数据库服务器为客户应用提供服务，这些服务是查询、更新、事务管理、索引、高速缓存、查询优化、安全及多用户存取控制等。数据库软件有很多种大型的数据库软件有Oracle，DB2，Sybase等，中型的有SQL Server，还有通常用于个人网站的MySQL等小型数据库软件。 2、企业业务对数据库服务器的要求 （1）数据库服务器要具有极强的承载能力。当企业内部需要查询一些信息时，其后台处理系统（数据库服务器）就要开始查询，并将查找到的信息反馈给用户。当大量的用户在查询信息时，如果数据库服务器不具备极强的承载能力，是无法满足其需求的。 （2）数据库服务器要具有很强的实时应答能力。当数据信息被检索到后，会反馈给用户，如果数据库服务器不具有很强的应答能力，会造成反馈信息速度非常缓慢，甚至造成数据库服务器死机的情况。 （3）数据库服务器要具有很强的扩展能力。数据库中的信息随时都会发生变化，如今是信息时代，大量数据需要录入、处理等，因此，数据库服务器的扩展能力不容忽视。 （4）数据库服务器的可用性和可靠性。数据库服务器要具备365天7*24不间断运行的能力，这样才能满足需要。当然，一台服务器要真正保持这样的运行，也不太现实。因此许多企业的数据库服务器并不只有一台，通常具有多台，并且还配备了备份服务器等。 大型企业需要的数据库服务器性能和扩展能力等方面要求更高，它们在组建数据库系统时，不仅仅是使用多台数据库服务器，还需要存储系统等。而中小企业则有些不同，它们需要的数据库服务器性能不需要像大型企业数据库服务器那么强，数量要求也没那么多，因此在选择服务器时更轻松一些。 3、数据库服务器的优点 (1) 减少编程量 数据库服务器提供了用于数据操纵的标准接口API。 (2) 数据库安全保证好 数据库服务器提供监控性能、并发控制等工具。由DBA统一负责授权访问数据库及网络管理。 (3) 数据可靠性管理及恢复好 数据库服务器提供统一的数据库备份和恢复、启动和停止数据库的管理工具。 (4) 充分利用计算机资源 数据库服务器把数据管理及处理工作从客户机上分出来，使网络上各计算机的资源能各尽其用。 (5) 提高了系统性能 能大大降低网络开销。 协调操作，减少资源竞争，避免死锁。 提供联机查询优化机制。 (6) 便于平台扩展 多处理器(相同类型)的水平扩展。

2003服务器安全配置教程

WEB+FTP+Email服务器安全配置手册 作者：阿里西西 2006-8-11

目录第一章：硬件环境 第二章：软件环境 第三章：系统端口安全配置 第四章：系统帐户及安全策略配置 第五章：IIS和WEB站点文件夹权限配置第六章：FTP服务器安全权限配置 第七章：Email服务器安全权限配置 第八章：远程管理软件配置 第九章：其它安全配置建议 第十章：篇后语

一、硬件环境 服务器采用1U规格的机架式托管主机，大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。 二、软件环境 操作系统：Windows Server 2003 Enterprise Edition sp1 WEB系统：Win操作系统自带IIS6，支持.NET 邮件系统：MDaemon 8.02英文版 FTP服务器系统：Serv-U 6.0.2汉化版 防火墙: BlackICE Server Protection，中文名：黑冰 杀毒软件：NOD32 2.5 远程管理控件：Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库：MSSQL2000企业版 相关支持组件：JMail 4.4专业版，带POP3接口；ASPJPEG图片组件 相关软件：X-SCAN安全检测扫描软件；ACCESS；EditPlus [相关说明] *考虑服务器数据安全，把160G*2硬盘做成了阵列，实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区；NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。操作系统安装完后，第一时间安装NOD32杀毒软件，装完后在线更新病毒库，接着在线Update操作系统安全补丁。 *安装完系统更新后，运行X-SCAN进行安全扫描，扫描完后查看安全报告，根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。

WWW服务器配置

项目报告单 班级：网络141 姓名：台升宏学号：24 项目编号 1 项目名称WWW服务器配置实训对象计算机网络专业学生课程名称教材 目的WWW服务器配置 WWW服务器配置与管理实验报告 实验目的：正确理解WWW服务的运行机制，了解常用的wed服务器软件，掌握IIS服务器的安装和基本管理，创建wed 站点利用IIS在一台服务器上运行多个网站，掌握虚拟机主机和虚拟目录的创建删除。 实验步骤：(1)利用“配置您的服务器”向导安装IIS服务器。 在开始菜单中选择“管理工具”单击“配置您的服务器”根据向导选择应用程序服务器（IIS，ASP,NET）单击下一步，如下图所示： （2）利用添加删除程序配置IIS服务器，方法如下： 单击开始菜单，选择“控制面板”单击“添加删除程序”在窗口中选择“添加删除组件”出现组件对话框选择运用程序服务器”单击详细信息选择(IIS)单击确定，下一步。

配置完成后单击完成，出现管理界面，选择管理IIS服务器进入管理界面。在网站中右键选择新建网站，一次建立三个网站，如下图所示： 创建wed网站：

配置网站属性： 一、创建多IP站点及不同端口号： (1)站1的属性，在主目录选项卡中选择文件路径，文档添加wed文档，在网站选项卡里配置IP地址及端口号，注意要配置多IP创建多站点时要添加IP号在TCP/IP属性里单击高级添加不同的IP 号。用相同的方法依次配置完网站2、网站3的不同IP端口号。进行网站测试如下图所示。 (2)同端口号时，访问站点时要输入标准的URL来访问。

二、主机头名创建多网站: 首先要配置DNS服务器如下图：

数据库服务器选型原则及实例解说

数据库服务器选型原则及实例解说 数据库服务器作为业务系统的核心，具有业务量大、存储数据量大等特点。它承担着业务数据的存储和处理任务，因此关键数据库服务器的选择就显得尤为重要。服务器的可靠性和可用性是首要的需求，其次是数据处理能力和安全性，然后是可扩展性和可管理性。 根据应用类型和规模的不同，数据库对于服务器的性能要求也不一样。如对于大型数据库(, , )来说，服务器往往仅用来运行数据库，或仅运行单一的应用。数据库的容量在以上，需要有较高的处理能力，大容量内存为数据缓存服务，并需要很好的性能，使用这类应用时，通常需要有较高的主频。那么，具体到某个行业甚至某个项目，数据库服务器该如何选择呢? 数据库服务器选型五个原则 首先，数据库服务器选型应该遵循以下几个原则： )高性能原则 保证所选购的服务器，不仅能够满足运营系统的运行和业务处理的需要，而且能够满足一定时期的业务量增长的需要。一般可以根据经验公式计算出所需的服务器值，然后比较各服务器厂商和组织公布的值，选择相应的机型。同时，用服务器的市场价报价除去计算出来的值得出单位值的价格，进而选择高性能价格比的服务器。 )可靠性原则 可靠性原则是所有选择设备和系统中首要考虑的，尤其是在大型的、有大量处理要求的、需要长期运行的系统。考虑服务器系统的可靠性，不仅要考虑服务器单个节点的可靠性或稳定性，而且要考虑服务器与相关辅助系统之间连接的整体可靠性，如：网络系统、安全系统、远程打印系统等。在必要时，还应考虑对关键服务器采用集群技术，如：双机热备份或集群并行访问技术，甚至采用可能的完全容错机。 比如，要保证系统(硬件和操作系统)在的时间内都能够正常运作(包括维修时间)，则故障停机时间六个月不得超过个小时。服务器需×小时连续运行，因而要求其具有很高的安全可靠性。系统整机平均无故障时间()不低于小时。服务器如出现损坏或其它机械故障，都能在分钟内由备用的和机器自动代替工作，无须人员操作，保证数据完整。 )可扩展性原则 保证所选购的服务器具有优秀的可扩展性原则。因为服务器是所有系统处理的核心，要求具有大数据吞吐速率，包括：速率和网络通讯速率，而且服务器需要能够处理一定时期的业务发展所带来的数据量，需要服务器能够在相应时间对其自身根据业务发展的需要进行相应的升级，如：型号升级、内存扩大、硬盘扩大、更换网卡、增加终端数目、挂接磁盘阵列或与其他服务器组成对集中数据的并发访问的集群系统等。这都需要所选购的服务器在整体上具有一个良好的可扩充余地。一般数据库和计费应用服务器在大型计费系统的设计中就会采用集群方式来增加可靠性，其中挂接的磁盘存储系统，根据数据量和投资考虑，可以采用、或等实现技术。 )安全性原则