【W(wǎng)indows Server 2019】DNS服務(wù)器的配置與管理——安裝DNS服務(wù)

1）打開服務(wù)器管理器，單機(jī)“添加角色和功能”

我們提供的服務(wù)有：成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、成都外貿(mào)網(wǎng)站建設(shè)、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、永福ssl等。為1000+企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的永福網(wǎng)站制作公司

2）系統(tǒng)首先會提示，在安全之前需要完成的任務(wù)。

3）進(jìn)入“選擇安裝類型” 界面， 使用默認(rèn)選項(xiàng)“基于角色或基于功能的安裝”

4）進(jìn)入“選擇目標(biāo)服務(wù)器” 界面， 選擇“從服務(wù)器池中選擇服務(wù)器” ， 選擇當(dāng)前服務(wù)器dns1

5）進(jìn)入“選擇服務(wù)器角色” 界面， 單擊“DNS服務(wù)器” 前面的復(fù)選框

6）自動彈出“添加DNS服務(wù)器所需的功能” 界面， 單擊“添加功能”

7）返回“選擇服務(wù)器角色” 界面， 確保勾選了“DNS服務(wù)器 “

8）進(jìn)入“選擇功能” 界面， 不需要再添加額外的功能， 因此不做修改

9）進(jìn)入“DNS服務(wù)器” 界面， 該界面用于說明DNS服務(wù)器的作用及注意事項(xiàng)

10）進(jìn)入“確認(rèn)安裝所選內(nèi)容” 界面， 顯示出前面所選擇要安裝的內(nèi)容

11）進(jìn)入“安裝進(jìn)度” 界面， 安裝過程需要等待一段時間， 安裝完成后， 會在進(jìn)度條下面顯示“已在dns1上安裝成功”

12）返回”服務(wù)器管理器·儀表板“界面，可以看到DNS服務(wù)已經(jīng)成功安裝

如何管理服務(wù)器

問題一：如何做好一個服務(wù)器管理員？有哪些管理技巧 總體來說，服務(wù)器系統(tǒng)的管理是整個網(wǎng)絡(luò)管理工作中的重中之重，特別是在小型單位網(wǎng)絡(luò)中，單位的網(wǎng)絡(luò)規(guī)模比較小，網(wǎng)絡(luò)設(shè)備比較簡單，基本上是屬于傻瓜式的。

這里的服務(wù)器系統(tǒng)包括網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器系統(tǒng)兩個方面。服務(wù)器系統(tǒng)的管理是整個網(wǎng)絡(luò)管理工作中最重要的部分，因?yàn)樗钦麄€網(wǎng)絡(luò)的核心所在，無論是網(wǎng)絡(luò)操作系統(tǒng)本身，還是各種網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器。

具體來說，服務(wù)器系統(tǒng)管理主要是安裝、配置和管理網(wǎng)絡(luò)操作系統(tǒng)、文件服務(wù)器、DNS、WINS、DHCP等網(wǎng)絡(luò)服務(wù)器，以及像Web、FTP、E-mail、RAS、NAT等應(yīng)用服務(wù)器。服務(wù)器系統(tǒng)管理的最終目標(biāo)，就是要確保服務(wù)器各種協(xié)議和服務(wù)工作正常，確保服務(wù)器的各項(xiàng)性能指標(biāo)正常發(fā)揮。另外，還需要及時地更新服務(wù)器系統(tǒng)的版本或補(bǔ)丁程序，這不僅關(guān)系到服務(wù)器的性能發(fā)揮，而且還關(guān)系到整個網(wǎng)絡(luò)系統(tǒng)的安全性，因?yàn)楝F(xiàn)在的操作系統(tǒng)不斷有新的安全漏洞被發(fā)現(xiàn)，及時安裝補(bǔ)丁可以有效地阻止、填補(bǔ)這些安全漏洞。

目前在服務(wù)器系統(tǒng)管理方面的重點(diǎn)與難點(diǎn)當(dāng)然是各種網(wǎng)絡(luò)操作系統(tǒng)的管理了。在這其中又包括各種不同版本的主流Windows、Linux和UNIX網(wǎng)絡(luò)操作系統(tǒng)的管理了。而每個系統(tǒng)中所包括的具體管理工作又非常多，非常復(fù)雜，但這些又是網(wǎng)絡(luò)管理員所必須掌握的。至少，在大多數(shù)中小型企業(yè)中，網(wǎng)絡(luò)管理員應(yīng)該掌握主流的Windows和Linux網(wǎng)絡(luò)操作系統(tǒng)的管理了。在一些較大企業(yè)，或者一些特殊行業(yè)（如金融、證券和保險等）中，UNIX、Linux系統(tǒng)又是最普遍采用的，所以UNIX和Linux系統(tǒng)管理對于專業(yè)網(wǎng)絡(luò)管理員來說，又是必須要掌握的。當(dāng)然，像其他應(yīng)用服務(wù)器的管理也是非常重要，而且必須掌握。

2．關(guān)鍵設(shè)備的維護(hù)與管理

這也是整個網(wǎng)絡(luò)管理中的重點(diǎn)之一，同時也是非常重要的工作，特別是在網(wǎng)絡(luò)規(guī)模比較大，網(wǎng)絡(luò)設(shè)備比較高檔的單位網(wǎng)絡(luò)中。因?yàn)閱挝痪W(wǎng)絡(luò)系統(tǒng)更依賴這些關(guān)鍵設(shè)備的正常工作。

計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵設(shè)備一般包括網(wǎng)絡(luò)的核心交換機(jī)、核心路由器和服務(wù)器，它們是網(wǎng)絡(luò)中的“節(jié)點(diǎn)”。對這些節(jié)點(diǎn)的維護(hù)和管理，除了需要經(jīng)驗(yàn)積累外，還可以通過一些專門的網(wǎng)絡(luò)管理系統(tǒng)來監(jiān)視其工作狀態(tài)，以便及時發(fā)現(xiàn)問題，及時進(jìn)行維護(hù)和故障排除。

另外，為了提高網(wǎng)絡(luò)的可用性，對一些關(guān)鍵設(shè)備進(jìn)行冗余配置也是必不可少的。冗余包括兩層含義，一是從端口角度進(jìn)行，如對關(guān)鍵設(shè)備（如服務(wù)器、核心交換機(jī)）采取冗余鏈路連接，這樣當(dāng)其中一個端口出現(xiàn)故障時，另一個冗余鏈路就可以接替故障鏈路繼續(xù)保持正常工作狀態(tài)；另一層含義是對配置雙份的設(shè)備或部件，如服務(wù)器中的電源、風(fēng)扇、網(wǎng)卡，甚至內(nèi)存等，核心交換機(jī)和路由器也可以配置兩個。在正常工作時，這些冗余設(shè)備或部件起到負(fù)載均衡的作用，而在某部分出現(xiàn)故障時，則又起備份的作用。

在關(guān)鍵設(shè)備維護(hù)與管理中，服務(wù)器和網(wǎng)絡(luò)總體性能的監(jiān)控與管理是個技術(shù)重點(diǎn)和難點(diǎn)。要用到各種監(jiān)控和管理工具，如流量監(jiān)控工具M(jìn)RTG、網(wǎng)絡(luò)性能和通信監(jiān)控的Sniffer類工具，帶寬性能監(jiān)控的Qcheck和IxChariot工具等。服務(wù)器性能方面的監(jiān)控與管理還可利用操作系統(tǒng)自帶的性能和監(jiān)控管理工具進(jìn)行。

當(dāng)然，網(wǎng)絡(luò)設(shè)備的配置與管理是整個關(guān)鍵設(shè)備維護(hù)與管理的重點(diǎn)與難點(diǎn)，這一點(diǎn)幾乎是所有從事網(wǎng)絡(luò)管理，甚至網(wǎng)絡(luò)工程技術(shù)人員的共識。目前在關(guān)鍵設(shè)備方面，主要是以Cisco、華為3等品牌為主，掌握這兩個主要品牌設(shè)備的配置與管理方法是網(wǎng)絡(luò)管理員所必需的。

3. 用戶管理

用戶管理是網(wǎng)絡(luò)管理中的一個重點(diǎn)和難點(diǎn)，所涉及到的方面非常多，如用戶賬戶、密碼、文件和網(wǎng)絡(luò)訪問權(quán)限、用戶權(quán)利、用戶配置文件及用戶安全策略等。既要保證各用戶的正常工作不受影響，同時又......

問題二：win7服務(wù)器管理器怎么下載 如果之前在 控制面板 - 程序 - 打開或關(guān)閉Windows功能 里沒有這個選項(xiàng)勾欄

到官網(wǎng)去下載一下AD的補(bǔ)丁

microsoft/...d=7887

然后你再去看 控制面板 - 程序 - 打開或關(guān)閉Windows功能 就有如圖的東西

希望能幫助你

問題三：如何打開服務(wù)管理器 這兩個完全可以去掉一個，并不會影響你的計(jì)算機(jī)安全的，

打開控制面板---管理工具--服務(wù)

問題四：什么是服務(wù)器的管理ip？有什么作用？怎么配置？ 有的服務(wù)器限制不同地區(qū)的IP登錄，因?yàn)椴煌貐^(qū)的IP不同。也就是限制不同地區(qū)的IP段。

問題五：新手站長如何輕松管理服務(wù)器安全？ 在服務(wù)器上安裝安全狗軟件，并把服務(wù)器加入服云。

這樣不僅可以為服務(wù)器提供防護(hù)功能，而且可以登陸服云管理服務(wù)器。

服云客戶端有web版、pc版、手機(jī)端的，可以隨時隨地了解服務(wù)器實(shí)時情況并進(jìn)行調(diào)整服務(wù)器安全策略來應(yīng)對攻擊。讓服務(wù)器更安全。

請采納，謝謝

問題六：如何控制服務(wù)器? 你的電腦登陸的時候是要登陸到域服務(wù)器上嗎 如果是的話 那就沒辦法了 除非你的電腦脫離了域控制器的管理了 也就是說你不登陸到域控制器上 而是登陸本地的賬號 比如administrator 你如果登陸到域上 那就只能遵循域管理員設(shè)定的規(guī)則 除非域管理員給你解除了那些限制 否則你是無法擺脫的 要解除 讓管理員給你更高的權(quán)限 或者破解你的局域網(wǎng)里的域服務(wù)器 給你的登陸賬號提權(quán) 只有這幾種辦法 其他的都不行

問題七：系統(tǒng)服務(wù)管理器怎么打開 1.XP 在 開始----運(yùn)行------輸入services.msc而win 7 直接在開始，然后---輸入 services.msc

如圖所示：

2.然后就可以打開服務(wù)管理器了。

可以點(diǎn)擊名稱，按照字母進(jìn)行排序

3.選擇一個服務(wù)后，可以右擊，進(jìn)行開啟/關(guān)閉 等操作。

問題八：電腦的系統(tǒng)服務(wù)管理怎么進(jìn)入 一、打開電腦的系統(tǒng)服務(wù)界面方法：

1、點(diǎn)擊開始菜單點(diǎn)擊運(yùn)行（或在鍵盤上按WIN+R快捷鍵），打開運(yùn)行界面，輸入services.msc指令，按確定。

2、直接在我的電腦圖標(biāo)上右鍵在彈出的菜單中選擇管理，彈出的計(jì)算機(jī)管理界面，點(diǎn)擊服務(wù)和應(yīng)用程序，就能看到服務(wù)選項(xiàng)，雙擊即可打開服務(wù)界面。

3、點(diǎn)擊開始菜單，選擇控制面板，在管理工具界面，找到服務(wù)并雙擊，即可打開服務(wù)界面。

二、啟動系統(tǒng)服務(wù)

第1步：使用本文中的任何一種方法打開系統(tǒng)服務(wù)程序。

第2步：在系統(tǒng)服務(wù)窗口中找盯自己需要啟動的系統(tǒng)服務(wù)，并雙擊此服務(wù)。如打開(DHCP Client)系統(tǒng)服務(wù)。

第3步：在打開的系統(tǒng)服務(wù)窗口中，單擊“啟動”按扭即可啟動相關(guān)的系統(tǒng)服務(wù)了。

問題九：如何快速打開服務(wù)器管理器 常用方法 服務(wù)器管理器，右鍵，發(fā)送到桌面，建立快捷方式

問題十：如何管理服務(wù)器上的多個數(shù)據(jù)庫 雖然這將減少托管所有這些數(shù)據(jù)庫的成本，但是，這增加了管理這些系統(tǒng)的復(fù)雜性，因?yàn)槟悻F(xiàn)在要處理多個服務(wù)級協(xié)議和維護(hù)窗口。當(dāng)你決定在同一臺服務(wù)器上托管多個數(shù)據(jù)庫的時候，你要考慮的第一件事是這些系統(tǒng)是否有互補(bǔ)的維護(hù)窗口。如果一個系統(tǒng)不能在夜間放慢速度或者離線，另一個系統(tǒng)不能在白天放慢速度或者離線，這些系統(tǒng)就不適合共享一個服務(wù)器，因?yàn)槟阍谛枰獮橄到y(tǒng)使用補(bǔ)丁或者處于其它原因要讓系統(tǒng)離線的時候，你沒有有效的維護(hù)時間窗。 你需要考察的下一個決定因素是這些系統(tǒng)的服務(wù)級協(xié)議。需要99%的開機(jī)時間的系統(tǒng)能夠安排在一起，因?yàn)槟憧赡軙檫@些系統(tǒng)(也許是集群解決方案)建立一個比非重要任務(wù)系統(tǒng)更強(qiáng)大的環(huán)境。這可以為你節(jié)省額外的成本，因?yàn)槟悻F(xiàn)在不需要采購任何高端系統(tǒng)。具有更高的服務(wù)級協(xié)議的系統(tǒng)也可能會有同樣的維護(hù)時間窗。因此，這些系統(tǒng)在一開始就是互補(bǔ)的。 承擔(dān)工作量 對托管多個數(shù)據(jù)庫的SQL服務(wù)器進(jìn)行維護(hù)的最大難題是時機(jī)。 當(dāng)然，當(dāng)把多個數(shù)據(jù)庫集中在一個SQL服務(wù)器的時候需要考慮的最重要的問題是，是否有足夠的CPU和內(nèi)存資源處理這些客戶程序添加到這個數(shù)據(jù)庫服務(wù)器的工作量。如果單個服務(wù)器不能提供需要的CPU和內(nèi)存資源，那么，把這些數(shù)據(jù)庫都集中在那臺服務(wù)器上就不是一個好的選擇。 當(dāng)你經(jīng)過這個整個決策過程并且把這些數(shù)據(jù)庫都放在同一臺服務(wù)器上之后，你如何保持這些系統(tǒng)的健康和在高峰期仍能運(yùn)行?與其它任何數(shù)據(jù)庫解決方案一樣，你仍需要處理自己的備份、索引碎片整理和重建、以及為操作系統(tǒng)和SQL服務(wù)器使用補(bǔ)丁。 處理托管多個數(shù)據(jù)庫的SQL服務(wù)器的維護(hù)的最大難題是時機(jī)。你需要保證你的維護(hù)任務(wù)能夠在這個SQL服務(wù)器托管的全部數(shù)據(jù)庫計(jì)劃的維護(hù)時間窗內(nèi)完成。在任何數(shù)據(jù)庫的維護(hù)時間窗之外進(jìn)行維護(hù)工作都將引起數(shù)據(jù)庫運(yùn)行緩慢，因?yàn)橛脖P和CPU資源現(xiàn)在被維護(hù)活動占用了，而不是處理正常的數(shù)據(jù)庫查詢。 重新索引工作 已經(jīng)證明是有用的一個技術(shù)是比正常運(yùn)行重新索引指令更頻繁地對你的索引進(jìn)行碎片整理。整理碎片的指令比重新索引指令有更多的好處。第一，索引碎片整理指令是一種在線操作，而重建索引是一種離線工作(除非你運(yùn)行SQL服務(wù)器2005企業(yè)版或者更新的版本)。第二，如果你頻繁地運(yùn)行索引碎片整理指令，每一次運(yùn)行這個指令的時候工作量都比較少。 例如，你每個星期檢查一次索引碎片，它顯示碎片是70%。這樣，你就可以運(yùn)行一個索引重建指令清除這些索引。 然而，你在第二天再檢查索引碎片的時候會發(fā)生什么情況呢?它可能是大約8%至10%的碎片。因此，如果你每天運(yùn)行一個索引碎片整理指令而不是每個星期運(yùn)行一次索引碎片整理指令，每一天要做的工作就很少，這個工作就能夠更快地完成，可能在每天的維護(hù)時間窗內(nèi)完成。 即使你在時間窗內(nèi)不能讓這個系統(tǒng)離線，由于碎片整理操作是一種在線操作，這個系統(tǒng)在整理碎片操作的時間將繼續(xù)發(fā)揮作用，只是反應(yīng)速度比正常情況下稍微慢一點(diǎn)。 數(shù)據(jù)庫備份 備份是在一臺服務(wù)器上托管多個數(shù)據(jù)庫的時候需要解決的另一個關(guān)鍵問題。 每一個數(shù)據(jù)庫都有自己的備份要求。備份數(shù)據(jù)庫也許是能夠在SQL服務(wù)器運(yùn)行時執(zhí)行的最繁重的任務(wù)。并不是因?yàn)檫@種備份需要占用大量的CPU和內(nèi)存資源(這個任務(wù)占用的資源一般是很低的，除非你在備份的時候?qū)?shù)據(jù)庫進(jìn)行壓縮)，而是因?yàn)閭浞菀粋€大型數(shù)據(jù)庫需要占用大量的硬盤資源。 當(dāng)進(jìn)行全面?zhèn)浞莸臅r候，整個數(shù)據(jù)庫必須從硬盤讀取。如果你的硬盤系統(tǒng)非常繁忙，這個備份會引起性能嚴(yán)重下降。這種備份的最佳解決方案是選擇合適的時機(jī)。你還可以尋找能夠在備份的同時允許對數(shù)據(jù)庫備份進(jìn)行壓縮的第三方工具。由于這將增加SQL服務(wù)器上的CPU的工作量，它通......

系統(tǒng)與服務(wù)器安全管理

Windows 2000 Server、Freebsd是兩種常見的服務(wù)器。第一種是微軟的產(chǎn)品，方便好用，但是，你必須要不斷的patch它。Freebsd是一種優(yōu)雅的操作系統(tǒng)，它簡潔的內(nèi)核和優(yōu)異的性能讓人感動。關(guān)于這幾種操作系統(tǒng)的安全，每種都可以寫一本書。我不會在這里對它們進(jìn)行詳細(xì)描述，只講一些系統(tǒng)初始化安全配置。

Windows2000 Server的初始安全配置

Windows的服務(wù)器在運(yùn)行時，都會打開一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關(guān)閉它們會影響到Windows的功能。然而，正是因?yàn)檫@些端口的存在，給Windows服務(wù)器帶來諸多的安全風(fēng)險。遠(yuǎn)程攻擊者可以利用這些開放端口來廣泛的收集目標(biāo)主機(jī)信息，包括操作系統(tǒng)版本、域SID、域用戶名、主機(jī)SID、主機(jī)用戶名、帳號信息、網(wǎng)絡(luò)共享信息、網(wǎng)絡(luò)時間信息、Netbios名字、網(wǎng)絡(luò)接口信息等，并可用來枚舉帳號和口令。今年8月份和9月份，微軟先后發(fā)布了兩個基于135端口的RPCDCOM漏洞的安全公告，分別是MS03-026和 MS03-039，該漏洞風(fēng)險級別高，攻擊者可以利用它來獲取系統(tǒng)權(quán)限。而類似于這樣的漏洞在微軟的操作系統(tǒng)中經(jīng)常存在。

解決這類問題的通用方法是打補(bǔ)丁，微軟有保持用戶補(bǔ)丁更新的良好習(xí)慣，并且它的Windows2000SP4安裝后可通過WindowsUpdate來自動升級系統(tǒng)補(bǔ)丁。另外，在防火墻上明確屏蔽來自因特網(wǎng)的對135-139和445、593端口的訪問也是明智之舉。

Microsoft的SQLServer數(shù)據(jù)庫服務(wù)也容易被攻擊，今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重，因此，如果安裝了微軟的'SQLServer，有必要做這些事：1）更新數(shù)據(jù)庫補(bǔ)丁；2）更改數(shù)據(jù)庫的默認(rèn)服務(wù)端口（1433）；3）在防火墻上屏蔽數(shù)據(jù)庫服務(wù)端口；4）保證 sa口令非空。

另外，在Windows服務(wù)器上安裝殺毒軟件是絕對必須的，并且要經(jīng)常更新病毒庫，定期運(yùn)行殺毒軟件查殺病毒。

不要運(yùn)行不必要的服務(wù)，尤其是IIS，如果不需要它，就根本不要安裝。IIS歷來存在眾多問題，有幾點(diǎn)在配置時值得注意：1）操作系統(tǒng)補(bǔ)丁版本不得低于SP3;2）不要在默認(rèn)路徑運(yùn)行WEB（默認(rèn)是c:inetpubwwwroot）；3）以下ISAPI應(yīng)用程序擴(kuò)展可被刪掉：。 ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在設(shè)計(jì)之初就考慮了安全問題，在初次安裝完成后，它基本只打開了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也應(yīng)該把它關(guān)閉（因?yàn)闅v史上Sendmail存在諸多安全問題）。方式是編輯/etc/rc.conf文件，改動和增加如下四句：

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

這樣就禁止了Sendmail的功能，除非你的服務(wù)器處于一個安全的內(nèi)網(wǎng)（例如在防火墻之后并且網(wǎng)段中無其他公司主機(jī)），否則不要打開Sendmail。

禁止網(wǎng)絡(luò)日志：在/etc/rc.conf中保證有如下行：

syslogd_flags="-ss"

這樣做禁止了來自遠(yuǎn)程主機(jī)的日志記錄并關(guān)閉514端口，但仍允許記錄本機(jī)日志。

禁止NFS服務(wù)：在/etc/rc.conf中有如下幾行：

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情況下很需要NFS服務(wù)，例如用戶上傳圖片的目錄通常需要共享出來供幾臺WEB服務(wù)器使用，就要用到NFS。同理，要打開NFS，必須保證你的服務(wù)器處于安全的內(nèi)網(wǎng)，如果NFS服務(wù)器可以被其他人訪問到，那么系統(tǒng)存在較大風(fēng)險。保證/etc/inetd.conf文件中所有服務(wù)都被注銷，跟其他系統(tǒng)不同，不要由inetd運(yùn)行任何服務(wù)。將如下語句加進(jìn)/etc/rc.conf：

inetd_enable="NO"

所有對/etc/rc.conf文件的修改執(zhí)行完后都應(yīng)重啟系統(tǒng)。

如果要運(yùn)行Apache，請編輯httpd.conf文件，修改如下選項(xiàng)以增進(jìn)安全或性能：

1） Timeout 300Timeout 120

2） MaxKeepAliveRequests 256

3） ServerSignature onServerSignature off

4） Options IndexesFollowSymLinks行把indexes刪掉（目錄的Options不要帶index選項(xiàng)）

5） 將Apache運(yùn)行的用戶和組改為nobody

6） MaxClients 150——MaxClients 1500

（如果要使用Apache，內(nèi)核一定要重新編譯，否則通不過Apache的壓力測試，關(guān)于如何配置和管理WEB服務(wù)器請見我的另一篇文章）

如果要運(yùn)行FTP服務(wù)，請安裝proftpd，它比較安全。在任何服務(wù)器上，都不要打開匿名FTP。

Windows 2000 Server和Freebsd兩種服務(wù)器的安全配置就向大家介紹完了，希望大家已經(jīng)掌握。

windows2003服務(wù)器安全配置的建議

設(shè)置和管理賬戶

1、系統(tǒng)管理員賬戶最好少建，更改默認(rèn)的管理員帳戶名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14位。

2、新建一個名為Administrator的陷阱帳號，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼

3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復(fù)雜的密碼，當(dāng)然現(xiàn)在也有一個DelGuest的工具，也許你也可以利用它來刪除Guest賬戶，但我沒有試過。

4、在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無效”，“鎖定時瀋櫛?0分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。

5、在安全設(shè)置-本地策略-安全選項(xiàng)中將“不顯示上次的用戶名”設(shè)為啟用

6、在安全設(shè)置-本地策略-用戶權(quán)利分配中將“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”中只保留Internet來賓賬戶、啟動IIS進(jìn)程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。

7、創(chuàng)建一個User賬戶，運(yùn)行系統(tǒng)，如果要運(yùn)行特權(quán)命令使用Runas命令。

三、網(wǎng)絡(luò)服務(wù)安全管理

1、禁止C$、D$、ADMIN$一類的缺省共享

打開注冊表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer值設(shè)為0

2、 解除NetBios與TCP/IP協(xié)議的綁定

右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS

3、關(guān)閉不需要的服務(wù)，以下為建議選項(xiàng)

Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新，禁用

Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用

Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用

Error reporting service：禁止發(fā)送錯誤報告

Microsoft Serch：提供快速的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用

PrintSpooler：如果沒有打印機(jī)可禁用

Remote Registry：禁止遠(yuǎn)程修改注冊表

Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助

四、打開相應(yīng)的審核策略

在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項(xiàng)目時需要注意的是如果審核的項(xiàng)目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情況在這二者之間做出選擇。

推薦的要審核的項(xiàng)目是：

登錄事件 成功 失敗

賬戶登錄事件 成功 失敗

系統(tǒng)事件 成功 失敗

策略更改 成功 失敗

對象訪問 失敗

目錄服務(wù)訪問 失敗

特權(quán)使用 失敗

五、其它安全相關(guān)設(shè)置

1、隱藏重要文件/目錄

可以修改注冊表實(shí)現(xiàn)完全隱藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標(biāo)右擊“CheckedValue”，選擇修改，把數(shù)值由1改為0

2、啟動系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

4. 禁止響應(yīng)ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7、禁用DCOM：

運(yùn)行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開“計(jì)算機(jī)”子文件夾。

對于本地計(jì)算機(jī)，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡。

清除“在這臺計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。

注：3-6項(xiàng)內(nèi)容我采用的是Server2000設(shè)置，沒有測試過對2003是否起作用。但有一點(diǎn)可以肯定我用了一段的時間沒有發(fā)現(xiàn)其它副面的影響。

六、配置 IIS 服務(wù)：

1、不使用默認(rèn)的Web站點(diǎn)，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。

3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS擴(kuò)展名映射。

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm

5、更改IIS日志的路徑

右鍵單擊“默認(rèn)Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性

6、如果使用的是2000可以使用iislockdown來保護(hù)IIS，在2003運(yùn)行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一個ISAPI篩選器，它對傳入的HTTP數(shù)據(jù)包進(jìn)行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。下載地址見頁未的鏈接

如果沒有特殊的要求采用UrlScan默認(rèn)配置就可以了。

但如果你在服務(wù)器運(yùn)行ASP.NET程序，并要進(jìn)行調(diào)試你需打開要%WINDIR%\System32\Inetsrv\URLscan

文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節(jié)添加debug謂詞，注意此節(jié)是區(qū)分大小寫的。

如果你的網(wǎng)頁是.asp網(wǎng)頁你需要在DenyExtensions刪除.asp相關(guān)的內(nèi)容。

如果你的網(wǎng)頁使用了非ASCII代碼，你需要在Option節(jié)中將AllowHighBitCharacters的值設(shè)為1

在對URLScan.ini 文件做了更改后，你需要重啟IIS服務(wù)才能生效，快速方法運(yùn)行中輸入iisreset

如果你在配置后出現(xiàn)什么問題，你可以通過添加/刪除程序刪除UrlScan。

8、利用WIS (Web Injection Scanner)工具對整個網(wǎng)站進(jìn)行SQL Injection 脆弱性掃描.

下載地址：VB.NET愛好者

七、配置Sql服務(wù)器

1、System Administrators 角色最好不要超過兩個

2、如果是在本機(jī)最好將身份驗(yàn)證配置為Win登陸

3、不要使用Sa賬戶，為其配置一個超級復(fù)雜的密碼

4、刪除以下的擴(kuò)展存儲過程格式為：

use master

sp_dropextendedproc '擴(kuò)展存儲過程名'

xp_cmdshell：是進(jìn)入操作系統(tǒng)的最佳捷徑，刪除

訪問注冊表的存儲過程，刪除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自動存儲過程，不需要刪除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隱藏 SQL Server、更改默認(rèn)的1433端口

右擊實(shí)例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實(shí)例，并改原默認(rèn)的1433端口。

八、如果只做服務(wù)器，不進(jìn)行其它操作，使用IPSec

1、管理工具—本地安全策略—右擊IP安全策略—管理IP篩選器表和篩選器操作—在管理IP篩選器表選項(xiàng)下點(diǎn)擊

添加—名稱設(shè)為Web篩選器—點(diǎn)擊添加—在描述中輸入Web服務(wù)器—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為Tcp——IP協(xié)議端口第一項(xiàng)設(shè)為從任意端口，第二項(xiàng)到此端口80——點(diǎn)擊完成——點(diǎn)擊確定。

2、再在管理IP篩選器表選項(xiàng)下點(diǎn)擊

添加—名稱設(shè)為所有入站篩選器—點(diǎn)擊添加—在描述中輸入所有入站篩選—將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為任意——點(diǎn)擊下一步——完成——點(diǎn)擊確定。

3、在管理篩選器操作選項(xiàng)下點(diǎn)擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關(guān)閉管理IP篩選器表和篩選器操作窗口

4、右擊IP安全策略——創(chuàng)建IP安全策略——下一步——名稱輸入數(shù)據(jù)包篩選器——下一步——取消默認(rèn)激活響應(yīng)原則——下一步——完成

5、在打開的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網(wǎng)絡(luò)連接——下一步——在IP篩選器列表中選擇新建的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定

6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器，點(diǎn)擊指派，不需要重啟，IPSec就可生效.

九、建議

如果你按本文去操作，建議每做一項(xiàng)更改就測試一下服務(wù)器，如果有問題可以馬上撤消更改。而如果更改的項(xiàng)數(shù)多，才發(fā)現(xiàn)出問題，那就很難判斷問題是出在哪一步上了。

十、運(yùn)行服務(wù)器記錄當(dāng)前的程序和開放的端口

1、將當(dāng)前服務(wù)器的進(jìn)程抓圖或記錄下來，將其保存，方便以后對照查看是否有不明的程序。

2、將當(dāng)前開放的端口抓圖或記錄下來，保存，方便以后對照查看是否開放了不明的端口。當(dāng)然如果你能分辨每一個進(jìn)程，和端口這一步可以省略。

改3389

將下列兩個注冊表鍵中的 PortNumber 均改成自定義的端口即可：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp