WindowsServer2003安全配置

1、Windows Server 2003服務(wù)器服務(wù)器是網(wǎng)絡(luò)中用于提供服務(wù)的計算機。廣義上講，任何計算機都可以充當(dāng)服務(wù)器，只要它能夠被其它計算機訪問，它就是服務(wù)器。狹義上講，服務(wù)器是指提供專門服務(wù)的計算機。如提供網(wǎng)站服務(wù)的Web服務(wù)器、提供文件傳輸?shù)腇tp服務(wù)器、提供域名解析的DNS服務(wù)器等。專用的服務(wù)器上安裝的操作系統(tǒng)必須是網(wǎng)絡(luò)操作系統(tǒng)，實現(xiàn)相應(yīng)功能時必須安裝對應(yīng)的服務(wù)器軟件。服務(wù)器計算機普通計算機可以作為服務(wù)器來使用，但由于服務(wù)器一般是常年不停機工作的，所以最好使用專用的服務(wù)器計算機作為服務(wù)器，它們一般有以下特點：可長期不間斷工作；很多硬件都支持熱插拔；有很大的存儲容量；有較高的處理速度；有很

2、高的網(wǎng)絡(luò)通訊速度；有許多冗余設(shè)備，如雙電源、雙風(fēng)扇等。網(wǎng)絡(luò)操作系統(tǒng)服務(wù)器計算機上不應(yīng)該安裝普通操作系統(tǒng)，應(yīng)該安裝網(wǎng)絡(luò)操作系統(tǒng)。目前常用的網(wǎng)絡(luò)操作系統(tǒng)包括UNIX、Linux、Windows等不同種類，用戶可根據(jù)需要進(jìn)行選擇。其中大型服務(wù)器多采用UNIX系統(tǒng)，中小型服務(wù)器多使用Linux或Windows系統(tǒng)。Windows系統(tǒng)的主要好處是提供圖形化界面，操作方法與普通Windows操作系統(tǒng)基本相同，但在有些功能和安全方面不如UNIX和Linux系統(tǒng)。Windows Server 2003的安裝Windows Server 2003的安裝方法與其它Windows操作系統(tǒng)的安裝方法基本相同。安裝Wi

3、ndows Server 2003可以全新安裝也可以升級安裝。安裝新操作系統(tǒng)或在安裝多重操作系統(tǒng)時，應(yīng)該使用全新安裝。把現(xiàn)有Windows 2000 Server升級為Windows Server 2003，應(yīng)使用升級安裝。安裝方法光盤安裝：用Windows Server 2003安裝盤啟動計算機，就可以直接進(jìn)入安裝界面。硬盤安裝：把所有的Windows Server 2003安裝文件復(fù)制到硬盤中，然后執(zhí)行其中的安裝文件。這種方法不能用于安裝第1個操作系統(tǒng)。網(wǎng)絡(luò)安裝：把所有安裝文件復(fù)制到一臺計算機中，并把該文件夾設(shè)置為共享。其它計算機通過網(wǎng)絡(luò)運行安裝文件。本地用戶賬戶和組賬戶用戶帳戶是計算機的

4、基本安全對象。計算機通過用戶賬戶來辨別用戶身份，只有擁有合法賬戶的用戶才能登錄計算機，才能訪問計算機中的資源。合法用戶非法用戶用戶賬戶擁有賬戶的人員可以在本地登錄計算機，也可以通過網(wǎng)絡(luò)登錄計算機。用戶賬戶分為兩種：本地用戶賬戶和域用戶賬戶。本地用戶賬戶是針對一臺計算機的賬戶，只能用于登錄該計算機。域用戶賬戶可針對一個計算機組，登錄后，可訪問該組中各臺計算機，這個計算機組稱為“域”。域每個用戶帳戶包含：安全標(biāo)識符、用戶名、密碼等要素。用戶名：是用戶登錄時使用的名字。密碼：是用戶登錄時使用的密碼。安全標(biāo)識符(SID)：是賬戶的內(nèi)部名，在創(chuàng)建賬戶時，系統(tǒng)會自動為他生成一個SID，并通過SID來識別各

5、賬戶。由于系統(tǒng)是通過SID來識別賬戶的，當(dāng)刪除一個用戶帳戶后，它的SID也被刪除，如果此后再重新創(chuàng)建一個同名的帳戶，由于產(chǎn)生的SID不同，它不能獲得先前帳戶的權(quán)利，應(yīng)該看作一個新帳戶。內(nèi)置賬戶在安裝操作系統(tǒng)后，會自動生成幾個賬戶，稱為內(nèi)置賬戶。(1)Adiministrator（管理員）：該帳戶具有最高的權(quán)限，可執(zhí)行各種管理任務(wù)。(2)Guest（來賓）：該帳戶只具有基本的訪問權(quán)限，沒有修改權(quán)限。在默認(rèn)情況下，該帳戶是禁用的。在實際使用中，Administrator賬戶應(yīng)該只由該計算機的管理者使用，應(yīng)該給它加一個不易破解的強密碼，必要時，可以改名。對其他訪問者應(yīng)該創(chuàng)建專門的賬戶供他們使用。本地

6、用戶賬戶管理在Windows Server 2003中本地賬戶管理使用的控制臺是：開始 | 管理工具 | 計算機管理本地賬戶的安全設(shè)置使用的控制臺是：開始 | 管理工具 | 本地安全設(shè)置說明：進(jìn)行賬戶管理時應(yīng)使用管理員賬戶登錄計算機，其他人員一般無權(quán)進(jìn)行用戶管理。新建本地用戶賬戶用戶名：在一臺計算機中各帳戶不能重名。帳戶名中不能包含以下字符：*/:|=,+“帳戶名最長不能超過20個字符。全名：一般是用戶的真實姓名，他不能用來登錄計算機，只用于記錄賬戶的歸屬。密碼：應(yīng)盡量使用復(fù)雜密碼。密碼選項：應(yīng)根據(jù)需要進(jìn)行設(shè)置。本地用戶賬戶的使用本地用戶賬戶可用于本地登錄該計算機：方法一：開機時用本地用戶登錄

7、方法二：打開“開始 | 注銷”，可以注銷當(dāng)前帳戶，然后切換到另一個用戶帳戶。本地用戶賬戶也可用于通過網(wǎng)絡(luò)登錄該計算機：方法一：用“網(wǎng)上鄰居”登錄計算機。方法二：打開“開始 | 運行”，輸入“計算機名”或“IP地址”。密碼的更改用戶在本地登錄計算機后，可以更改賬戶的密碼。方法一（推薦）：用戶用自己的帳戶登錄計算機，按“Ctrl+Alt+Del”組合鍵，選擇“修改密碼”。先輸入該帳戶原來的密碼，再輸入新密碼和確認(rèn)密碼。方法二：打開“開始 | 管理工具 | 計算機管理”，展開“本地用戶和組”，選中“用戶”目錄，在用戶名稱上單擊右鍵，選擇“設(shè)置密碼”。這種方法只能由管理員使用，他不需要輸入原來的密碼，

8、用于用戶忘記密碼的情況，但會導(dǎo)致該帳戶一些信息的丟失。本地組賬戶組帳戶是用戶帳戶的集合。它不能用于登錄計算機，主要用于組織用戶帳戶。通常，我們把用途和權(quán)利相同的用戶賬戶組織成一個組，然后通過組限制各用戶賬戶的權(quán)利，這樣可減輕管理負(fù)擔(dān)。一個用戶帳戶也可以同時成為幾個組的成員，該用戶帳戶的權(quán)限就是幾個組權(quán)限的合并。Windows Server 2003 有一些內(nèi)置的組賬戶，它們的權(quán)利已經(jīng)由系統(tǒng)預(yù)定義。用戶也可以創(chuàng)建新組，并為組設(shè)置權(quán)利和權(quán)限。常用系統(tǒng)內(nèi)置組Administrators 組：默認(rèn)成員有 Administrator 帳戶。該組的用戶具有對服務(wù)器的完全控制權(quán)，并且可以為其它用戶指派權(quán)限。

9、Guests 組：默認(rèn)成員有 Guest 帳戶。該組的用戶只用來臨時登錄計算機。Power Users 組：該組的成員具有較高的應(yīng)用權(quán)限，但缺少安全管理權(quán)限。Users 組：新增的用戶默認(rèn)加入 Users 組，他們只具備基本的訪問權(quán)限，沒有管理權(quán)限。新建組賬戶打開“計算機管理”控制臺，展開“本地用戶和組”，在“組”上單擊右鍵，選擇“新建組”，打開 新建組 對話框。添入組名和描述就可以創(chuàng)建一個組，用“添加”按鈕可以向組中添加一些用戶。（也可以以后再添加）通常只有管理員可以創(chuàng)建新組，新建的組沒有默認(rèn)用戶權(quán)利，管理員可以為組設(shè)置權(quán)利。組成員的設(shè)置方法一：在“計算機管理”控制臺中，雙擊一個組的名字或單

10、擊右鍵選擇屬性，打開組屬性對話框，可看到該組的成員列表。用“添加”按鈕可向組中添加用戶，用“刪除”按鈕可刪除組成員。方法二：在“計算機管理”控制臺中，雙擊一個用戶的名字或單擊右鍵選擇屬性，打開用戶屬性對話框，在“隸屬于”選項卡中更改該用戶所在的組。一個用戶賬戶可同時屬于多個組，不過這樣做容易造成混亂，應(yīng)盡量避免。特殊身份組特殊身份組是系統(tǒng)預(yù)定義的一些組，但這些組的成員按條件組織的，不能由用戶設(shè)置。最常用的特殊身份組是Everyone，它包含了本機中所有合法用戶。利用特殊身份組可以簡化權(quán)利和權(quán)限的設(shè)置。文件訪問權(quán)限設(shè)置NTFS文件系統(tǒng)文件系統(tǒng)是操作系統(tǒng)在存儲設(shè)備上保存數(shù)據(jù)所用的結(jié)構(gòu)和機制。文件系

11、統(tǒng)以磁盤或分區(qū)為單位建立，一個磁盤或分區(qū)中只能使用一種文件系統(tǒng)。Windows支持多種文件系統(tǒng)，常見的有FAT、FAT32和NTFS。NTFS文件系統(tǒng)是其中最先進(jìn)的一種，有些功能只能在NTFS系統(tǒng)中實現(xiàn)，如壓縮、加密、磁盤配額、訪問權(quán)限等。NTFS壓縮利用壓縮功能可節(jié)省一定的磁盤空間。壓縮可以在文件、文件夾或磁盤分區(qū)上進(jìn)行。壓縮方法：在對象上單擊右鍵，選擇“屬性”；單擊“常規(guī)”選項卡中的“高級”按鈕；選中“壓縮”屬性，單擊“確定”；設(shè)置壓縮范圍后，用“確定”關(guān)閉對話框。說明：NTFS壓縮不同于.rar、.zip等壓縮方式，它不需要專門的軟件，只要是在NTFS卷上就能進(jìn)行。NTFS壓縮后的文件在

12、使用上與壓縮前完全一樣，不需要解壓。NTFS壓縮相當(dāng)于一種文件屬性，解壓縮時只需去除該屬性即可。壓縮后的文件在訪問速度上會略有下降。NTFS加密加密功能可用于Windows 2000/XP/2003等系統(tǒng)的NTFS文件系統(tǒng)中(Windows XP Home不支持加密)。加密可以在文件、文件夾上進(jìn)行。加密方法：在對象上單擊右鍵，選擇“屬性”；單擊“常規(guī)”選項卡中的“高級”按鈕；選中“加密”屬性，單擊“確定”；設(shè)置加密范圍后，用“確定”關(guān)閉對話框。說明：NTFS加密是針對用戶賬戶的，不需要密碼。NTFS加密后的文件在使用上與加密前完全一樣，不需要解密。但只有用該帳戶登錄才能使用，其他用戶(包括管理

13、員)都不能訪問。NTFS加密與NTFS壓縮不能同時使用。如果刪除帳戶或重裝系統(tǒng)，將導(dǎo)致該用戶加密的文件都無法打開，所以刪除帳戶或重裝系統(tǒng)前應(yīng)先解密。加密的文件夾仍可被其他用戶打開并查看目錄列表，只是無法打開文件。所以把NTFS權(quán)限和加密結(jié)合使用才能更好的保護(hù)文件。NTFS權(quán)限利用NTFS權(quán)限可以控制用戶對文件和文件夾的訪問。權(quán)限設(shè)置方法：在對象上單擊右鍵，選擇“屬性”；選擇“安全”選項卡。普通權(quán)限普通權(quán)限包括：(1) 完全控制(2) 修改(3) 讀取和運行(4) 讀取(5) 寫入特別權(quán)限遍歷文件夾/運行文件列出文件夾/讀取數(shù)據(jù)讀取屬性讀取擴展屬性創(chuàng)建文件/寫入數(shù)據(jù)創(chuàng)建文件夾/附加數(shù)據(jù)寫入屬性寫

14、入擴展屬性刪除讀取權(quán)限修改權(quán)限獲得所有權(quán)普通權(quán)限往往是若干種特別權(quán)限的組合。所以普通權(quán)限可作為權(quán)限的粗略設(shè)置，特別權(quán)限可作為權(quán)限的精確設(shè)置。權(quán)限的組合如果一個用戶同時屬于多個組，而各個組對同一個文件有不同的權(quán)限，則這個用戶得到的是各個組的累加權(quán)限。如：某文件夾的權(quán)限中有“Everyone 完全控制”，“001 讀”，則001用戶是屬于Everyone組的，所以001的實際權(quán)限是“完全控制”。說明：如果想要使某文件夾只能由特定的用戶或組訪問，應(yīng)該將用戶列表中的其他用戶都刪除，以防權(quán)限會因累加而擴大。權(quán)限的繼承新建的文件或文件夾會自動繼承上一級文件夾或驅(qū)動器的 NTFS 權(quán)限。繼承的權(quán)限是灰色的，

15、不能更改，只能添加權(quán)限。當(dāng)繼承的權(quán)限影響了我們對權(quán)限的設(shè)置時，可以將其刪除：單擊“高級”按鈕，去除“允許父項的繼承”復(fù)選框，單擊“應(yīng)用”按鈕，可以刪除所有繼承的權(quán)限，只保留那些明確指定的權(quán)限。將權(quán)限應(yīng)用到子文件夾中新建的文件或文件夾會自動繼承上一級文件夾或驅(qū)動器的 NTFS 權(quán)限。但修改了一個文件夾的權(quán)限后，它不會自動應(yīng)用到它內(nèi)部已存在子文件夾上。將權(quán)限應(yīng)用到子文件夾的方法：單擊“高級”按鈕，選中“用在此顯示的可以應(yīng)用到子對象的項目代替所有子對象的權(quán)限項目”復(fù)選框，單擊“應(yīng)用”按鈕。文件所有權(quán)當(dāng)我們用一個賬戶登錄計算機后，他對他創(chuàng)建的文件夾和文件擁有所有權(quán)。一個用戶通常只能對擁有所有權(quán)的文件夾

16、設(shè)置權(quán)限，無權(quán)修改其他用戶的文件夾權(quán)限。另外，如果啟用了磁盤配額，則一個用戶的磁盤使用量是他擁有所有權(quán)的文件容量的總和。搶奪文件所有權(quán)管理員組的用戶可以搶奪文件夾的所有權(quán)，也可以把所有權(quán)指派給另一個用戶。如果一個用戶對文件夾擁有“完全控制”權(quán)限，他也可以重新設(shè)置文件夾的所有權(quán)。搶奪所有權(quán)的方法：單擊“高級”按鈕，選擇“所有權(quán)”選項卡，設(shè)置文件所有權(quán)。如果選中“替換子容器及對象的所有權(quán)”復(fù)選框，可以同時搶奪子文件夾的所有權(quán)。文件共享資源共享資源共享是指將本計算機中的資源允許其他用戶通過網(wǎng)絡(luò)進(jìn)行訪問。共享的資源可以是文件夾、磁盤分區(qū)、打印機等。共享資源只能在本地計算機上設(shè)置，任何人無權(quán)通過網(wǎng)絡(luò)在其

17、它計算機上設(shè)置共享文件資源。只有 Administrators、Power Users等組的用戶有權(quán)把本機的資源設(shè)置為共享資源。創(chuàng)建共享文件夾用“資源管理器”中找到要共享的文件夾，打開它屬性中的“共享”選項卡，設(shè)置共享、共享名、注釋、權(quán)限等。則該文件夾就成為共享文件夾。共享名是訪問者在網(wǎng)絡(luò)中看到的文件夾名，它可以與真實文件夾名相同，也可以不同。在同一臺計算機中不能有共享名相同的共享文件夾。共享權(quán)限單擊“權(quán)限”按鈕可以查看和修改該文件夾的共享權(quán)限。讀?。河脩裟茏x取文件夾中的文件，不能修改、刪除。更改：用戶能讀取、修改、添加、刪除文件夾中的文件。完全控制：除了具有更改權(quán)限外，還可以重新設(shè)置文件夾的

18、權(quán)限。Windows Server 2003中，默認(rèn)的共享權(quán)限是“Everyone 讀取”。用戶訪問權(quán)限如果共享文件夾位于一個使用NTFS文件系統(tǒng)的磁盤上，則用戶對它的訪問權(quán)限同時受共享權(quán)限和NTFS權(quán)限的約束，是“共享權(quán)限與NTFS權(quán)限的交集”。共享權(quán)限：只對網(wǎng)絡(luò)訪問者起作用。NTFS權(quán)限：對本地訪問者和網(wǎng)絡(luò)訪問者都起作用。例：某文件夾的共享權(quán)限是“Everyone 更改”；NTFS權(quán)限是“Administrator 完全控制”、“001更改”、“Everyone 讀”。進(jìn)行網(wǎng)絡(luò)訪問時：Administrator：更改001：更改其他用戶：讀創(chuàng)建有多個共享名的共享文件夾一個共享文件夾可以設(shè)置多個不同的共享名，每個共享名可以指定不同的訪問者和權(quán)限。創(chuàng)建方法：打開共享文件夾屬性中的“共享”選項卡，單擊“新建共享”按鈕，可以添加新的共享名和權(quán)限。訪問者在“網(wǎng)上鄰居”中看到的是不同的文件夾，實際上它們是一個文件夾。創(chuàng)建隱藏的共享文件夾如果在創(chuàng)