服務(wù)器安全應(yīng)該注意哪些方面

技術(shù)在近年來獲得前所未有的增長。云技術(shù)如今已被運用到銀行、學(xué)校、政府以及大量的商業(yè)組織。但是云計算也并非萬能的，和其他IT部署架構(gòu)一樣存在某些難以彌補的缺陷。例如公有云典型代表：服務(wù)器，用戶數(shù)據(jù)存儲在云計算基礎(chǔ)平臺的存儲系統(tǒng)中，但敏感的信息和應(yīng)用程序同樣面臨著網(wǎng)絡(luò)攻擊和黑客入侵的威脅。以下就是壹基比小喻要講的服務(wù)器面臨的九大安全威脅。

創(chuàng)新互聯(lián)是一家專業(yè)的成都網(wǎng)站建設(shè)公司，我們專注網(wǎng)站制作、網(wǎng)站建設(shè)、網(wǎng)絡(luò)營銷、企業(yè)網(wǎng)站建設(shè)，賣鏈接，一元廣告為企業(yè)客戶提供一站式建站解決方案，能帶給客戶新的互聯(lián)網(wǎng)理念。從網(wǎng)站結(jié)構(gòu)的規(guī)劃UI設(shè)計到用戶體驗提高，創(chuàng)新互聯(lián)力求做到盡善盡美。

哪些因素會對服務(wù)器安全有危害？

一、數(shù)據(jù)漏洞

云環(huán)境面臨著許多和傳統(tǒng)企業(yè)網(wǎng)絡(luò)相同的安全威脅，但由于極大量的數(shù)據(jù)被儲存在服務(wù)器上，服務(wù)器供應(yīng)商則很可能成為盜取數(shù)據(jù)的目標(biāo)。供應(yīng)商通常會部署安全控件來保護其環(huán)境，但最終還需要企業(yè)自己來負責(zé)保護云中的數(shù)據(jù)。公司可能會面臨：訴訟、犯罪指控、調(diào)查和商業(yè)損失。

二、密碼和證書

數(shù)據(jù)漏洞和其他攻擊通常來源于不嚴格的認證、較弱的口令和密鑰或者證書管理。企業(yè)應(yīng)當(dāng)權(quán)衡集中身份的便利性和使儲存地點變成攻擊者首要目標(biāo)的風(fēng)險性。使用服務(wù)器，建議采用多種形式的認證，例如：一次性密碼、手機認證和智能卡保護。

三、界面和API的入侵

IT團隊使用界面和API來管理和與服務(wù)器互動，包括云的供應(yīng)、管理、編制和監(jiān)管。API和界面是系統(tǒng)中最暴露在外的一部分，因為它們通常可以通過開放的互聯(lián)網(wǎng)進入。服務(wù)器供應(yīng)商，應(yīng)做好安全方面的編碼檢查和嚴格的進入檢測。運用API安全成分，例如：認證、進入控制和活動監(jiān)管。

四、已開發(fā)的系統(tǒng)的脆弱性

企業(yè)和其他企業(yè)之間共享經(jīng)驗、數(shù)據(jù)庫和其他一些資源，形成了新的攻擊對象。幸運的是，對系統(tǒng)脆弱性的攻擊可以通過使用“基本IT過程”來減輕。盡快添加補丁——進行緊急補丁的變化控制過程保證了補救措施可以被正確記錄，并被技術(shù)團隊復(fù)查。容易被攻擊的目標(biāo)：可開發(fā)的bug和系統(tǒng)脆弱性。

五、賬戶劫持

釣魚網(wǎng)站、詐騙和軟件開發(fā)仍舊在肆虐，服務(wù)器又使威脅上升了新的層次，因為攻擊者一旦成功**、操控業(yè)務(wù)以及篡改數(shù)據(jù)，將造成嚴重后果。因此所有云服務(wù)器的管理賬戶，甚至是服務(wù)賬戶，都應(yīng)該形成嚴格監(jiān)管，這樣每一筆交易都可以追蹤到一個所有者。關(guān)鍵點在于保護賬戶綁定的安全認證不被竊取。有效的攻擊載體：釣魚網(wǎng)站、詐騙、軟件開發(fā)。

六、居心叵測的內(nèi)部人員

內(nèi)部人員的威脅來自諸多方面：現(xiàn)任或前員工、系統(tǒng)管理者、承包商或者是商業(yè)伙伴。惡意的來源十分廣泛，包括竊取數(shù)據(jù)和報復(fù)。單一的依靠服務(wù)器供應(yīng)商來保證安全的系統(tǒng)，例如加密，是最為危險的。有效的日志、監(jiān)管和審查管理者的活動十分重要。企業(yè)必須最小化暴露在外的訪問：加密過程和密鑰、最小化訪問。

七、APT病毒

APT通過滲透服務(wù)器中的系統(tǒng)來建立立足點，然后在很長的一段時間內(nèi)悄悄地竊取數(shù)據(jù)和知識產(chǎn)權(quán)。IT部門必須及時了解最新的高級攻擊，針對服務(wù)器部署相關(guān)保護策略（ID:ydotpub）。此外，經(jīng)常地強化通知程序來警示用戶，可以減少被APT的迷惑使之進入。進入的常見方式：魚叉式網(wǎng)絡(luò)釣魚、直接攻擊、USB驅(qū)動。

八、永久性的數(shù)據(jù)丟失

關(guān)于供應(yīng)商出錯導(dǎo)致的永久性數(shù)據(jù)丟失的報告已經(jīng)鮮少出現(xiàn)。但居心叵測的黑客仍會采用永久刪除云數(shù)據(jù)的方式來傷害企業(yè)和云數(shù)據(jù)中心。遵循政策中通常規(guī)定了企必須保留多久的審計記錄及其他文件。丟失這些數(shù)據(jù)會導(dǎo)致嚴重的監(jiān)管后果。建議云服務(wù)器供應(yīng)商分散數(shù)據(jù)和應(yīng)用程序來加強保護：每日備份、線下儲存。

九、共享引發(fā)潛在危機

共享技術(shù)的脆弱性為服務(wù)器帶來了很大的威脅。服務(wù)器供應(yīng)商共享基礎(chǔ)設(shè)施、平臺以及應(yīng)用程序，如果脆弱性出現(xiàn)在任何一層內(nèi)，就會影響所有。如果一個整體的部分被損壞——例如管理程序、共享的平臺部分或者應(yīng)用程序——就會將整個環(huán)境暴露在潛在的威脅和漏洞下

怎樣維護服務(wù)器的安全？

Windows2000安全配置教程

Windows2000絕版安全配置教程：前段時間，中美網(wǎng)絡(luò)大戰(zhàn)，我看了一些被黑的服務(wù)器，發(fā)現(xiàn)絕大部分被黑的服務(wù)器都是Nt/win2000的機器，真是慘不忍睹。Windows2000 真的那么不安全么？其實，Windows2000 含有很多的安全功能和選項，如果你合理的配置它們，那么windows 2000將會是一個很安全的操作系統(tǒng)。我抽空翻了一些網(wǎng)站，翻譯加湊數(shù)的整理了一篇checklist出來。希望對win2000管理員有些幫助。本文并沒有什么高深的東西，所謂的清單，也并不完善，很多東西要等以后慢慢加了，希望能給管理員作一參考。

具體清單如下：

初級安全篇

1.物理安全

服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機箱,鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的安全的地方。

2.停掉Guest 帳號

在計算機管理的用戶里面把guest帳號停用掉，任何時候都不允許guest帳號登陸系統(tǒng)。為了保險起見，最好給guest 加一個復(fù)雜的密碼，你可以打開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長字符串，然后把它作為guest帳號的密碼拷進去。

3．限制不必要的用戶數(shù)量

去掉所有的duplicate user 帳戶, 測試用帳戶, 共享帳號，普通部門帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不在使用的帳戶。這些帳戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。國內(nèi)的nt/2000主機，如果系統(tǒng)帳戶超過10個，一般都能找出一兩個弱口令帳戶。我曾經(jīng)發(fā)現(xiàn)一臺主機197個帳戶中竟然有180個帳號都是弱口令帳戶。

4．創(chuàng)建2個管理員用帳號

雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規(guī)則的。 創(chuàng)建一個一般權(quán)限帳號用來收信以及處理一些日常事物，另一個擁有Administrators 權(quán)限的帳戶只在需要的時候使用?？梢宰尮芾韱T使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理。

5．把系統(tǒng)administrator帳號改名

大家都知道，windows 2000 的administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當(dāng)然，請不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone 。

6．創(chuàng)建一個陷阱帳號

什么是陷阱帳號? Look!創(chuàng)建一個名為” Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Scripts s忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?；蛘咴谒膌ogin scripts上面做點手腳。嘿嘿，夠損！

7.把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”

“everyone” 在win2000中意味著任何有權(quán)進入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設(shè)置成”everyone”組。包括打印共享，默認的屬性就是”everyone”組的，一定不要忘了改。

8.使用安全密碼

一個好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經(jīng)可以說明這一點了。一些公司的管理員創(chuàng)建帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的東西做用戶名，然后又把這些帳戶的密碼設(shè)置得N簡單，比如 “welcome” “iloveyou” “l(fā)etmein”或者和用戶名相同等等。這樣的帳戶應(yīng)該要求用戶首此登陸的時候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。前些天在IRC和人討論這一問題的時候，我們給好密碼下了個定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須改密碼。

9.設(shè)置屏幕保護密碼

很簡單也很有必要，設(shè)置屏幕保護密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護程序，浪費系統(tǒng)資源，讓他黑屏就可以了。還有一點，所有系統(tǒng)用戶所使用的機器也最好加上屏幕保護密碼。

10． 使用NTFS格式分區(qū)

把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多。這點不必多說，想必大家得服務(wù)器都已經(jīng)是NTFS的了。

11．運行防毒軟件

我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的，其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫

12．保障備份盤的安全

一旦系統(tǒng)資料被破壞，備份盤將是你恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。千萬別把資料備份在同一臺服務(wù)器上，那樣的話，還不如不要備份。

中級安全篇：

1．利用win2000的安全配置工具來配置策略

微軟提供了一套的基于MMC(管理控制臺)安全配置和分析工具，利用他們你可以很方便的配置你的服務(wù)器以滿足你的要求。具體內(nèi)容請參考微軟主頁：

2．關(guān)閉不必要的服務(wù)

windows 2000 的 Terminal Services（終端服務(wù)），IIS ,和RAS都可能給你的系統(tǒng)帶來安全漏洞。為了能夠在遠程方便的管理服務(wù)器，很多機器的終端服務(wù)都是開著的，如果你的也開了，要確認你已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運行。要留意服務(wù)器上面開啟的所有服務(wù)，中期性(每天)的檢查他們。下面是C2級別安裝的默認服務(wù)：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

3．關(guān)閉不必要的端口

關(guān)閉端口意味著減少功能，在安全和功能上面需要你作一點決策。如果服務(wù)器安裝在防火墻的后面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些服務(wù)是黑客入侵你的系統(tǒng)的第一步。\system32\drivers\etc\services 文件中有知名端口和服務(wù)的對照表可供參考。具體方法為：

網(wǎng)上鄰居屬性本地連接屬性internet 協(xié)議(tcp/ip)屬性高級選項tcp/ip篩選屬性 打開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。

4．打開審核策略

開啟安全審核是win2000最基本的入侵檢測方法。當(dāng)有人嘗試對你的系統(tǒng)進行某些方式（如嘗試用戶密碼,改變帳戶策略，未經(jīng)許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。很多的管理員在系統(tǒng)被入侵了幾個月都不知道，直到系統(tǒng)遭到破壞。下面的這些審核是必須開啟的，其他的可以根據(jù)需要增加：

策略 設(shè)置

審核系統(tǒng)登陸事件 成功，失敗

審核帳戶管理 成功，失敗

審核登陸事件 成功，失敗

審核對象訪問 成功

審核策略更改 成功，失敗

審核特權(quán)使用 成功，失敗

審核系統(tǒng)事件 成功，失敗

5.開啟密碼密碼策略

策略 設(shè)置

密碼復(fù)雜性要求 啟用

密碼長度最小值 6位

強制密碼歷史 5 次

強制密碼歷史 42 天

6．開啟帳戶策略

策略 設(shè)置

復(fù)位帳戶鎖定計數(shù)器 20分鐘

帳戶鎖定時間 20分鐘

帳戶鎖定閾值 3次

7．設(shè)定安全記錄的訪問權(quán)限

安全記錄在默認情況下是沒有保護的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問。

8．把敏感文件存放在另外的文件服務(wù)器中

雖然現(xiàn)在服務(wù)器的硬盤容量都很大，但是你還是應(yīng)該考慮是否有必要把一些重要的用戶數(shù)據(jù)(文件，數(shù)據(jù)表，項目文件等)存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們。

9.不讓系統(tǒng)顯示上次登陸的用戶名

默認情況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的帳戶明，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名，具體是：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

把 REG_SZ 的鍵值改成 1 .

10．禁止建立空連接

默認情況下，任何用戶通過通過空連接連上服務(wù)器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

10.到微軟網(wǎng)站下載最新的補丁程序

很多網(wǎng)絡(luò)管理員沒有訪問安全站點的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補給人家當(dāng)靶子用。誰也不敢保證數(shù)百萬行以上代碼的2000不出一點安全漏洞，經(jīng)常訪問微軟和一些安全站點，下載最新的service pack和漏洞補丁，是保障服務(wù)器長久安全的唯一方法。

高級篇

1. 關(guān)閉 DirectDraw

這是C2級安全標(biāo)準(zhǔn)對視頻卡和內(nèi)存的要求。關(guān)閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲，在服務(wù)器上玩星際爭霸？我暈..$%$^%^??），但是對于絕大多數(shù)的商業(yè)站點都應(yīng)該是沒有影響的。 修改注冊表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)為 0 即可。

2.關(guān)閉默認共享

win2000安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，你可以在cmd下打 net share 查看他們。網(wǎng)上有很多關(guān)于IPC入侵的文章，相信大家一定對它不陌生。要禁止這些共享 ，打開 管理工具計算機管理共享文件夾共享 在相應(yīng)的共享文件夾上按右鍵，點停止共享即可，不過機器重新啟動后，這些共享又會重新開啟的。

默認共享目錄 路徑和功能

C$ D$ E$ 每個分區(qū)的根目錄。Win2000 Pro版中，只有Administrator

和Backup Operators組成員才可連接，Win2000 Server版本

Server Operatros組也可以連接到這些共享目錄

ADMIN$ %SYSTEMROOT% 遠程管理用的共享目錄。它的路徑永遠都

指向Win2000的安裝路徑，比如 c:\winnt

FAX$ 在Win2000 Server中，F(xiàn)AX$在fax客戶端發(fā)傳真的時候會到。

IPC$ 空連接。IPC$共享提供了登錄到系統(tǒng)的能力。

NetLogon 這個共享在Windows 2000 服務(wù)器的Net Login 服務(wù)在處

理登陸域請求時用到

PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用戶遠程管理打印機

3.禁止dump file的產(chǎn)生

dump文件在系統(tǒng)崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給黑客提供一些敏感信息比如一些應(yīng)用程序的密碼等。要禁止它，打開 控制面板系統(tǒng)屬性高級啟動和故障恢復(fù) 把 寫入調(diào)試信息 改成無。要用的時候，可以再重新打開它。

4.使用文件加密系統(tǒng)EFS

Windows2000 強大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數(shù)據(jù)。記住要給文件夾也使用EFS,而不僅僅是單個的文件。 有關(guān)EFS的具體信息可以查看

5.加密temp文件夾

一些應(yīng)用程序在安裝和升級的時候，會把一些東西拷貝到temp文件夾，但是當(dāng)程序升級完畢或關(guān)閉的時候，它們并不會自己清除temp文件夾的內(nèi)容。所以，給temp文件夾加密可以給你的文件多一層保護。

6.鎖住注冊表

在windows2000中，只有administrators和Backup Operators才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限。如果你覺得還不夠的話，可以進一步設(shè)定注冊表訪問權(quán)限，詳細信息請參考：

7.關(guān)機時清除掉頁面文件

頁面文件也就是調(diào)度文件，是win2000用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中，頁面文件中也可能含有另外一些敏感的資料。 要在關(guān)機的時候清楚頁面文件，可以編輯注冊表

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把ClearPageFileAtShutdown的值設(shè)置成1。

8.禁止從軟盤和CD Rom啟動系統(tǒng)

一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機制。如果你的服務(wù)器對安全要求非常高，可以考慮使用可移動軟盤和光驅(qū)。把機箱鎖起來扔不失為一個好方法。

9.考慮使用智能卡來代替密碼

對于密碼，總是使安全管理員進退兩難，容易受到 10phtcrack 等工具的攻擊，如果密碼太復(fù)雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。

10.考慮使用IPSec

正如其名字的含義，IPSec 提供 IP 數(shù)據(jù)包的安全性。IPSec 提供身份驗證、完整性和可選擇的機密性。發(fā)送方計算機在傳輸之前加密數(shù)據(jù)，而接收方計算機在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的安全性能大大增強。

我的電腦時間同步出錯了。由于安全問題windows無法與服務(wù)器同步因為你的日期不匹配。

時間相差過大校不了真的是因為安全問題，比如自架的時間服務(wù)器時間突然蹦到2028年去了，如果不限制的話，所有的被授時機時間都飛了，這樣就會就是一個事故，所以微軟默認限制了一下（默認限制為日期為同一天才能校時間），于是這樣時間服務(wù)器就算出問題也不會導(dǎo)致被校時機時間按年跳躍。以下是解除方式:

方法一：

定位到注冊表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]

修改以下2項的值

"MaxNegPhaseCorrection"

"MaxPosPhaseCorrection"

修改改為ffffffff

方法二：

將下面的4行復(fù)制到一個新建的文本文檔里保存后，將文件的擴展名改為.reg后雙擊運行

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]

"MaxNegPhaseCorrection"=dword:ffffffff

"MaxPosPhaseCorrection"=dword:ffffffff

修改好后重啟下時間服務(wù)（或者重啟電腦）

開始-運行-輸入CMD

停止時間服務(wù)：net stop w32time

啟動時間服務(wù)：net start w32time

立即校時：w32tm /resync

這樣無論時間相差有多大都可以同步。（但是有一定的風(fēng)險，比如源服務(wù)器時間出現(xiàn)問題，你的時間可能被校為過去或者N年以后）

如何正確控制Windows 2008的共享資源

為了防止局域網(wǎng)中的用戶隨意修改服務(wù)器系統(tǒng)中的共享資源，網(wǎng)絡(luò)管理員往往會在服務(wù)器系統(tǒng)中對目標(biāo)共享資源進行共享訪問權(quán)限設(shè)置操作或其他一些安全設(shè)置操作，并且還可能對共享資源所在的文件夾做好定期備份操作；用戶日后登錄到服務(wù)器系統(tǒng)中后，就能輕松訪問到其中的共享資源，從而可以大大地提高工作效率。

可是，在實際訪問共享資源的過程中，不少朋友總是抱怨說在訪問服務(wù)器系統(tǒng)中的目標(biāo)共享資源時，那些被錯誤刪除或修改的共享文件不能象本地回收站那樣被正常還原；如果網(wǎng)絡(luò)管理員簡單地通過服務(wù)器系統(tǒng)自帶的數(shù)據(jù)還原功能將其恢復(fù)的話，又可能導(dǎo)致某些訪問用戶的共享內(nèi)容返回到數(shù)據(jù)備份之前的狀態(tài)，顯然簡單地對誤刪除的共享內(nèi)容進行還原也是不可取的。事實上，在安裝了Windows Server 2008系統(tǒng)的服務(wù)器環(huán)境中，我們可以巧妙地利用該系統(tǒng)不斷強化的卷影拷貝功能，來實現(xiàn)隨心所欲地數(shù)據(jù)恢復(fù)操作，最終讓W(xué)indows Server 2008共享資源能夠“時光倒流”。

實現(xiàn)思路

盡管Windows Server 2003服務(wù)器系統(tǒng)已經(jīng)具有了卷影拷貝功能，不過該功能在Windows Server 2008系統(tǒng)環(huán)境得到了顯著強化，合理地借用卷影拷貝功能我們可以為服務(wù)器中的目標(biāo)共享文件夾創(chuàng)建即時點副本，日后一旦發(fā)生共享資源被用戶誤刪除或誤修改現(xiàn)象時，我們可以嘗試訪問對應(yīng)時間點的共享文件夾副本，來將特定時間點的共享內(nèi)容恢復(fù)到誤刪除或誤修改操作之前的狀態(tài)。當(dāng)然，要想正確使用卷影拷貝功能，我們既要在Windows Server 2008服務(wù)器系統(tǒng)中安裝、配置好該功能，又要在局域網(wǎng)工作站系統(tǒng)中安裝合適的客戶端程序。

在服務(wù)器系統(tǒng)中配置、安裝好卷影拷貝功能后，我們必須記得在共享文件夾狀態(tài)正常的時候及時創(chuàng)建好即時點副本，以后遇到目標(biāo)共享內(nèi)容被意外修改或刪除時，局域網(wǎng)用戶只需要在客戶端系統(tǒng)打開共享文件夾的屬性設(shè)置對話框，再進入其中的“以前的版本”選項設(shè)置頁面，選擇該頁面中列出的某個時間點卷影副本，最后單擊“還原”按鈕就可以讓目標(biāo)共享資源實現(xiàn)“時光倒流”了。當(dāng)然，在創(chuàng)建即時點卷影副本時，我們必須選擇好時間點，盡量在目標(biāo)共享文件夾每次發(fā)生重大變化時創(chuàng)建一次卷影副本，而不能頻繁創(chuàng)建卷影副本，否則我們?nèi)蘸蠛茈y準(zhǔn)確、快速地選擇到合適的時間點進行數(shù)據(jù)恢復(fù)。

實現(xiàn)步驟

要讓W(xué)indows Server 2008服務(wù)器系統(tǒng)中的目標(biāo)共享文件夾“時光倒流”，我們首先需要針對該目標(biāo)共享文件夾啟用卷影拷貝功能，在進行這種操作時，我們必須先以特權(quán)賬號登錄到Windows Server 2008服務(wù)器系統(tǒng)桌面，依次單擊"開始"/"程序"/"附件"/"Windows資源管理器"命令，在彈出的系統(tǒng)資源管理器窗口中找到保存目標(biāo)共享文件夾的磁盤分區(qū)，同時用鼠標(biāo)右擊該磁盤分區(qū)選項，并點選右鍵菜單中的屬性選項，進入對應(yīng)磁盤分區(qū)的屬性對話框；點選該對話框中的卷影副本選項卡，進入如圖1所示的選項設(shè)置界面，從中將保存目標(biāo)共享文件夾的磁盤卷選中，再單擊對應(yīng)界面中的“啟用”按鈕，當(dāng)系統(tǒng)屏幕上出現(xiàn)一個如圖2所示的提示對話框時，單擊該對話框中的“是”按鈕，那樣一來Windows Server 2008服務(wù)器系統(tǒng)就能自動按照默認設(shè)置啟用好目標(biāo)共享文件夾的卷影拷貝功能了。

為了能夠?qū)δ繕?biāo)共享文件夾真正實現(xiàn)“時光倒流”，我們在啟用好目標(biāo)共享文件夾的卷影拷貝功能后，我們還必須在服務(wù)器系統(tǒng)中對該功能進行一下適當(dāng)?shù)膮?shù)設(shè)置操作。在設(shè)置卷影拷貝功能時，我們可以用鼠標(biāo)右鍵單擊“計算機”窗口中的目標(biāo)磁盤分區(qū)圖標(biāo)，執(zhí)行快捷菜單中的"屬性"命令，進入該磁盤分區(qū)的屬性窗口，點選其中的“卷影副本”選項卡，在其后出現(xiàn)的選項設(shè)置頁面中選擇啟用了卷影拷貝功能的目標(biāo)磁盤分區(qū)，再點選“設(shè)置”按鈕，這時屏幕上會出現(xiàn)一個如圖3所示的設(shè)置窗口，我們可以在這里對運行計劃參數(shù)、最大值參數(shù)、存儲區(qū)域參數(shù)等進行有針對性設(shè)置。

在默認狀態(tài)下，Windows Server 2008服務(wù)器系統(tǒng)每天會自動約定，在上午7點鐘和中午12點鐘對共享文件夾所在的磁盤分區(qū)執(zhí)行即時點卷影副本創(chuàng)建操作，也就是服務(wù)器系統(tǒng)每天會自動對目標(biāo)共享文件夾創(chuàng)建兩個即時點備份文件；如果我們認為該創(chuàng)建時間不符合自己的實際工作要求時，可以直接在圖3所示設(shè)置窗口的"計劃"位置處單擊"計劃"按鈕，隨后服務(wù)器系統(tǒng)會自動打開計劃設(shè)置對話框，在其中我們只要依照實際情況來隨意定義創(chuàng)建即時點卷影副本的操作時間，比方說如果目標(biāo)共享資源的內(nèi)容變化不太頻繁時，我們只要設(shè)置一天創(chuàng)建一次即時點卷影副本就可以了。

如果Windows Server 2008服務(wù)器系統(tǒng)所在主機的硬盤空間資源比較緊張時，我們可以在圖3所示設(shè)置窗口的"最大值"位置處，指定系統(tǒng)用于保存目標(biāo)共享資源即時點卷影副本的最大空間量，Windows Server 2008服務(wù)器系統(tǒng)默認會將該數(shù)值設(shè)置成保存共享資源的指定磁盤分區(qū)空間的10%，也就是說如果共享資源所在的磁盤分區(qū)空間為20G大小時，那么服務(wù)器系統(tǒng)只會自動分配2G大小的空間保存即時點卷影副本；當(dāng)然如果目標(biāo)共享文件夾與對應(yīng)的即時點卷影副本不是保存在相同的磁盤分區(qū)中時，那么我們此時就可以將"最大值"參數(shù)設(shè)置為專門用于存儲即時點卷影副本的整個磁盤卷空間大小。

此外，Windows Server 2008服務(wù)器系統(tǒng)在缺省狀態(tài)下會自動將即時點卷影副本保存在與目標(biāo)共享資源相同的磁盤分區(qū)中，很顯然這不利于連續(xù)保存多個即時點卷影副本；為此，我們可以在圖3所示設(shè)置窗口的"存儲區(qū)域"位置處，自行調(diào)整即時點卷影副本的存儲位置，盡量讓其不和目標(biāo)共享文件夾保存在相同的磁盤分區(qū)中；不過，我們只有在任何一個即時點卷影副本都還沒有成功創(chuàng)建好的時候，才可以對它的存儲位置進行調(diào)整；如果已經(jīng)有即時點卷影副本存在時，我們應(yīng)該先將目標(biāo)磁盤分區(qū)中的所有即時點卷影副本全部刪除掉，之后才可以修改即時點卷影副本的存儲位置。在確認上面的各項參數(shù)都設(shè)置正確后，再單擊圖3所示設(shè)置窗口中的"確定"按鈕完成卷影副本設(shè)置任務(wù)。

在Windows Server 2008服務(wù)器系統(tǒng)中完成好卷影拷貝功能的啟用、配置操作后，局域網(wǎng)中的任意一位用戶就可以在本地客戶端系統(tǒng)打開服務(wù)器主機中的目標(biāo)共享文件夾屬性設(shè)置對話框，再進入其中的"以前的版本"選項設(shè)置頁面，從中找到合適的即時點卷影副本選項，再單擊"確定"按鈕就能將誤修改或誤刪除的目標(biāo)共享資源恢復(fù)到自己想要的那個時間點狀態(tài)了，這樣就能真正實現(xiàn)"時光倒流"的目的了。

當(dāng)然，有的時候在Windows Server 2008服務(wù)器系統(tǒng)中完成好卷影拷貝功能的啟用、配置操作后，我們從局域網(wǎng)的普通工作站中打開服務(wù)器系統(tǒng)中的目標(biāo)共享文件夾屬性設(shè)置對話框時，仍然找不到"以前的版本"選項卡，出現(xiàn)這種情況時，我們還需要在局域網(wǎng)工作站系統(tǒng)中安裝一下卷影拷貝功能的客戶端控制程序，我們可以通過網(wǎng)上鄰居窗口，從Windows Server 2008服務(wù)器系統(tǒng)中的"WindowsSystem32clientstwclientx86"文件夾窗口中，將"twcli32.msi"控制程序拷貝到本地工作站硬盤中，之后用鼠標(biāo)雙擊該控制程序進行常規(guī)安裝。一般來說，如果局域網(wǎng)中的普通工作站中已經(jīng)安裝了Windows XP SP2以上版本的系統(tǒng)時，那么我們就不需要在工作站本地安裝"twcli32.msi"控制程序了，畢竟這些操作系統(tǒng)已經(jīng)將卷影拷貝客戶端控制程序集成在其中了。

一旦我們能夠從客戶端系統(tǒng)正常看到"以前的版本"選項功能時，我們就可以在對應(yīng)的功能頁面中，來實現(xiàn)共享資源的"時光倒流"目的了；例如，要是我們想把某個共享文件夾恢復(fù)到誤刪除操作發(fā)生之前的某一個時間點狀態(tài)時，只要先從局域網(wǎng)工作站中打開服務(wù)器系統(tǒng)的目標(biāo)共享文件夾屬性設(shè)置對話框，單擊該對話框中的"以前的版本"選項卡，并在對應(yīng)選項設(shè)置頁面的版本列表中選擇一個適當(dāng)?shù)募磿r點選項（我們可以通過點擊"查看"按鈕，來選擇合適的即時點），最后點選"還原"按鈕，就能將目標(biāo)共享文件夾中的數(shù)據(jù)內(nèi)容恢復(fù)到自己想要的正常狀態(tài)了。

管理副本

在Windows Server 2008服務(wù)器系統(tǒng)工作一段時間之后，我們或許已經(jīng)在其中創(chuàng)建了很多個即時點卷影副本，為了便于以后可以快速找到誤刪除操作之前的那個即時點卷影副本，我們必須對服務(wù)器系統(tǒng)中的每一個即時點卷影副本進行合適的管理操作。在管理即時點卷影副本時，我們只要按照下面的步驟來進行就可以了：

首先打開Windows Server 2008服務(wù)器系統(tǒng)桌面中的"開始"菜單，從中依次點選"程序"、"服務(wù)器管理器"選項，打開對應(yīng)系統(tǒng)的服務(wù)器管理器窗口，用鼠標(biāo)展開左側(cè)列表窗格中的"配置"分支選項，再從該分支選項下面點選磁盤管理項目；

其次用鼠標(biāo)右擊被選中的磁盤管理項目，再從其后出現(xiàn)的右鍵菜單中依次單擊"所有任務(wù)"、"配置卷影副本"命令，此時系統(tǒng)屏幕上將會出現(xiàn)一個如圖4所示的設(shè)置窗口，我們可以在該設(shè)置窗口中依照實際情況來將那些比較陳舊的即時點卷影副本刪除掉，也可以重新創(chuàng)建一個新的即時點卷影副本，甚至還能將某個目標(biāo)磁盤卷恢復(fù)到一個指定即時點卷影副本上。只是我們需要提醒各位朋友注意的是，在還原某個目標(biāo)磁盤卷時，我們必須要非常慎重，畢竟這種操作不能被撤消。

實戰(zhàn)技巧

在讓W(xué)indows Server 2008共享資源"時光倒流"的過程中，我們可以有許多技巧可以利用，這樣不但能夠保證服務(wù)器系統(tǒng)中目標(biāo)共享資源的安全性，而且還能提高數(shù)據(jù)恢復(fù)的效率：

1.Windows Server 2008系統(tǒng)允許每一個磁盤分區(qū)最多只能存儲64個即時點卷影副本，因此在實際創(chuàng)建卷影副本的過程中，一旦我們發(fā)現(xiàn)目標(biāo)磁盤分區(qū)中的即時點卷影副本數(shù)量已經(jīng)達到最大數(shù)值時，必須先將那些過時的即時點卷影副本刪除掉，以便騰出適當(dāng)?shù)目臻g確保新的即時點卷影副本可以成功創(chuàng)建，而且這種刪除操作是一次性的，日后往往無法被恢復(fù)。

2.Windows Server 2008系統(tǒng)只能在NTFS磁盤分區(qū)中，對共享文件夾創(chuàng)建即時點卷影副本，對其他格式磁盤分區(qū)中的共享文件夾無法創(chuàng)建即時點卷影副本，因此我們必須將服務(wù)器系統(tǒng)中的一些重要資源全部保存到NTFS磁盤分區(qū)中；同時需要提醒大家的是，創(chuàng)建即時點卷影副本操作只能針對磁盤分區(qū)，而不能針對具體的某一個共享文件夾。

3.為了提高Windows Server 2008服務(wù)器系統(tǒng)的運行效率，我們建議各位盡量使用獨立的磁盤卷來存儲即時點卷影副本，這樣可以有效減少服務(wù)器系統(tǒng)的I/O工作負荷；此外，用來存儲即時點卷影副本的磁盤空間容量至少要大于100M，并且在這種條件下，只能保存一個即時點卷影副本；要是存儲區(qū)域的空間容量大小確實有限，我們應(yīng)該能保證該區(qū)域可以保存計劃之中的所有即時點卷影副本。

4.在刪除某個陳舊的即時點卷影副本時，我們應(yīng)該先將對應(yīng)即時點卷影副本的任務(wù)創(chuàng)建計劃刪除掉，否則的話會容易導(dǎo)致系統(tǒng)任務(wù)計劃運行失敗的現(xiàn)象；并且，卷影拷貝功能不能正常替代那些常用的數(shù)據(jù)備份程序，所以我們還應(yīng)該結(jié)合一些專業(yè)的數(shù)據(jù)備份工具來定期對Windows Server 2008服務(wù)器系統(tǒng)進行數(shù)據(jù)備份。