WindowsServer2003的安全性和管理补充内容.ppt

Windows Server 2003,Windows Server 2003的安全性,1.安全性概述 2.常用安全策略 3.一些安全常识与注意事项 4. Windows Server 2003的安全验证,Windows Server 2003,1.Windows Server 2003的安全性概述,安全性是有关控制对各种资源（如应用程序组件、数据和硬件）的访问的问题。大多数安全措施所基于的四个概念： 身份验证 授权（权限） 数据保护 审核,Windows Server 2003,2.常用安全策略,使用NTFS文件系统 安装过程中有关安全的提示（系统管理员密码） 关闭默认的磁盘共享，修改组或用户对磁盘的控制权限 修改组或用户的访问权限，达到需要的安全要求,Windows Server 2003,2.常用安全策略,利用加密文件系统（EFS），加密文件或文件夹 通过“软件限制策略”限制任意程序的使用 禁止不必要的服务，杜绝隐患 改变远程控制的默认模式 配置本地安全设置,Windows Server 2003,2.常用安全策略,关闭自动播放功能 清空远程可访问的注册表路径,Windows Server 2003,3.一些安全常识与注意事项,杜绝基于Guest帐户的系统入侵 为Administrator用户改名，并设置复杂密码 随时警惕系统、安全、和应用程序的日志，警惕注册表启动项的变化、警惕用户帐户等敏感的地方是保证你系统安全的必要条件。 经常备份数据以应付灾难性事故。 用户和权限的分配应当本着最小权限原则，即在不影响用户正常使用的情况下，为其分配最小的权限。 感觉有时候也是很重要的，系统突然变慢就要先凭感觉判断一下是否感染了病毒。,Windows Server 2003,4. Windows Server 2003的安全验证,Kerberos V5验证 Kerberos V5 是域中用于验证的主要安全协议。Kerberos V5 协议同时检验用户身份和网络服务。这种双重检验称为相互验证。,Windows Server 2003,4. Windows Server 2003的安全验证,安全策略配置,Windows Server 2003,文件的压缩、加密与磁盘整理,文件、文件夹的压缩与解压缩 文件复制或移动对压缩属性的影响 文件与文件夹的加密、解密 磁盘整理与故障恢复,Windows Server 2003,文件、文件夹的压缩与解压缩(1),在Windows server 2003中，可以对NTFS磁盘上的文件、文件夹进行压缩，以充分利用磁盘空间。并且压缩之后，对文件、文件夹的访问不需要人工的解压缩过程。设置好之后，不管是压缩，还是解压缩，都将是系统自动完成的。另外，磁盘空间的计算不考虑文件压缩的因素。 设置压缩属性的过程是：鼠标右键单击要设置的文件夹，选择“属性”/“常规”/“高级”/“压缩内容以便节省磁盘空间”，可将该文件夹标记为“压缩”文件夹。压缩之后，在该文件夹内所添加的文件、子文件夹与子文件夹内的文件都会被自动压缩；也可以选择将已经存在于该文件夹内的现有文件、子文件夹与子文件夹内的文件压缩，或者保留原有的状态。,Windows Server 2003,文件、文件夹的压缩与解压缩(2),压缩属性的选择,压缩设置对话框,Windows Server 2003,文件复制或移动对压缩属性的影响,对NTFS磁盘分区的文件来说，当其被复制或移动时，其压缩属性的变化依下列情况而不同： 1文件由一个文件夹复制到另外一个文件夹时，由于文件的复制要产生新文件，因此，新文件的压缩属性继承目标文件夹的压缩属性。 2文件由一个文件夹移动到另外一个文件夹时，分两种情况： （1）如果移动是在同一个磁盘分区中进行的，则文件的压缩属性不变。因为在Windows 2003中，同一磁盘中文件的移动只是指针的改变，并没有真正的移动。 （2）如果移动到另一个磁盘分区的某个文件夹中，则该文件将继承目标文件夹的压缩属性。因为移动到另一个磁盘分区，实际上是在那个分区上产生一个新文件。 文件夹的移动或复制的原理与文件是相同的。另外，如果将文件从NTFS磁盘分区移动或复制到FAT或FAT32磁盘分区内或者是软盘上，则该文件会被解压缩。,Windows Server 2003,文件与文件夹的加密、解密(1),Windows 2003提供的文件加密功能是通过加密文件系统（EFS）实现的。文件、文件夹加密之后，只有当初进行加密操作的用户能够使用，提高了文件的安全性。 要对文件进行加密，操作的过程与压缩类似，只是在“压缩或加密属性”处选择“加密内容以便保护数据”选项即可。加密之后该文件夹内所添加的文件、子文件夹与子文件夹内的文件都会被自动的加密；也可以同时将之前已经存在于该文件夹内的现有文件、子文件夹与子文件夹内的文件加密，或者保留其原有的状态。,文件、文件夹的加密也可以在“命令提示符”环境下，利用CIPHER.EXE程序实现，该命令的参数设置可以用命令CIPHER /? 来查看，根据需要选择使用。,Windows Server 2003,文件与文件夹的加密、解密(2),压缩属性的选择,Windows Server 2003,网络监视与性能优化,Windows Server 2003,添加网络组件 网络性能概述 使用性能监视器监控网络 使用网络监视器监控网络 提高网络性能 Windows Server 2003的自动优化,Windows Server 2003,网络性能优化概述,网络性能优化的目的是减少网络系统的瓶颈、设法提高网络系统的运行效率。对于不同的网络硬件环境和软件环境，可以存在不同的优化方法和内容。例如，在一个配置比较落后而又需要提供各种新服务的网络中，管理员往往需要对内存、CPU、磁盘、网络接口和服务器等分别进行优化处理，以便适应新的网络运行要求。但是，在一个网络服务比较少而硬件配置比较高的网络中，管理员不需要考虑整个网络的性能问题，只要利用一些性能和网络监视工具对系统进行监视，然后对发现的问题进行专项处理即可。,Windows Server 2003,网络性能优化调整项目(1),1.内存优化 合理使用内存 在内存一定的情况下，合理地使用内存可以提高网络的性能。这要求管理员必须对系统中的内存使用情况非常了解，对于那些不再需要的功能、应用程序或服务应及时关闭，以便释放内存给其他应用程序和服务。另外，管理员还可以通过系统设置来决定内存的主要优化对象。一般，服务器的主要优化对象应该是后台服务，而工作站和单个计算机的主要优化对象应该是前台应用程序。,Windows Server 2003,网络性能优化调整项目(2),2.设置虚拟内存 所谓虚拟内存就是系统把硬盘空间当作额外的内存来使用。因为通过使用磁盘空间，操作系统给进程分配比实际可用内存更多的内存。,Windows Server 2003,Windows Server 2003,网络性能优化调整项目(3),3.添加新内存 4.CPU优化 缓存技术 多处理器支持 5.硬盘优化 硬盘的技术 硬盘的速度 文件系统,Windows Server 2003,网络性能优化调整项目(4),硬盘主要有IDE和SCSI两种接口类型。IDE接口速度慢，价格便宜，广泛地使用于个人计算机和工作站。SCSI接口是小型计算机系统接口的简称，它的设计要求传输速度快、支持多进程和并行处理。1988年推出的SCSI标准使数据传速率提高到了160 Mbps。,Windows Server 2003,网络性能优化调整项目(5),6.网络接口优化 网卡和驱动程序的选择 服务和协议的设置,Windows Server 2003,网络性能优化调整项目(6),7.服务器进程优化 进程是包含地址空间和程序运行资源的程序请求。当某个应用程序启动时，系统就创建一个进程。这个进程所拥有的内存、资源和执行线程与运行可执行应用程序的特定实例相关联。在创建一个进程时，同时还会创建一个主线程。只要还有一个线程与进程相关联，该进程就将继续运行。 线程是进程的实体，它是系统中最小的执行单位。线程是一直与进程相关联的，并存在于特定的进程之中。尽管在进程的整个生存周期内，许多进程都只有一个线程会始终伴随它，但是进程在整个生存周期内可拥有多个线程。,Windows Server 2003,网络性能优化调整项目(7),Windows 2000使用31个进程优先级去调度进程的运行。优先级范围从131，1是最低优先级，31是最高优先级。其中动态应用程序使用115的优先级，而实时应用不是使用1631的优先级。每个进程启动时都有一个标准的或基本的优先级，最多可增加或降低2级。基本优先权等级在进程启动时建立，但当一个进程运行时，可以通过使用任务管理器来改变基本优先权等级，缺省时，进程按标准优先权等级(优先级7)启动。进程中的线程继续进行的基本优先权等级，以相同优先级运行的线程通过占用相同的时间片来共享处理器，直到线程运行完毕。 由于进程的运行直接影响到系统资源的占用，因此用户或管理员对计算机中进程进行管理，删除不必要的进程，提高重要进程的优先级，可大大提高计算机，特别是服务器的性能。,Windows Server 2003,3系统性能监视 (1),1. 查看系统性能 打开“开始”菜单，选择“程序”“管理工具”“性能”命令，打开“性能”窗口。在“性能”窗口中，通过查看性能监视器，管理员可以了解系统资源的使用情况。通过“性能日志和警报”选项可查看系统计数器日志、跟踪日志和警报。,Windows Server 2003,Windows Server 2003,3系统性能监视 (2),2. 添加系统性能计数器 要添加计数器，在“性能”窗口中，单击详细资料窗格工具栏上的“添加”按钮，或右击性能监视器图表区，从弹出的快捷菜单中选择“添加计数器”命令，打开“添加计数器”对话框。 在“添加计数器”对话框中，选择“使用本地计算机计数器”单选按钮，便可使用本地计算机上的计数器。如果想从其他计算机上选择计数器，可选择“从计算机选择计数器”单选按钮，从其下拉列表框中选择网络计算机。接着从“性能对象”下拉列表框中选择性能监视对象，例如Cache。 在选择性能对象时，会发现某些对象有多个实例。例如，当系统中有两个处理器时，处理器对象类型就有2个实例。当然，某些对象没有实例，如内存和服务器。如果对象有多个实例则可以为每个实例添加计数器。选择“所有实例”单选按钮，可同时为每个实例添加计数器。选择“从列表选择实例”单选按钮，可分别对实例进行记数器的添加。,Windows Server 2003,Windows Server 2003,Windows Server 2003,3系统性能监视 (3),3. 创建日志和警报 要创建计数器日志，可在“性能”窗口的控制台目录树中单击“计数器日志”子节点，然后右击详细资料窗格，从弹出的快捷菜单中选择“新建”“建立新日志设置”命令，打开“建立新日志设置”对话框来创建。 要创建警报，首先在“性能”窗口的控制台目录树中单击“警报”子节点，右击详细资料窗格，从弹出的快捷菜单中选择“新建”“创建新的警报设置”命令，打开“创建新的警报设置”对话框，然后按照要求进行操作即可。,Windows Server 2003,4.网络性能监视(1),点击Windows Server 2003的 开始程序管理工具中的“网络监视器”(运行网络监视器之前必须确保网络监视器已经安装，在默认情况下网络监视器作为2003的组件没有被安装，需要在“控制面板”的“添加/删除Windows组件”中添加“网络监视器”)，来启动“网络监视器”。,Windows Server 2003,4.网络性能监视(2),Windows Server 2003,5.几个优化方案(1),优化带宽 Windows Server 2003装有QoSRRP(这是Quality of Service Resource Reservation Protocol的缩写，意为服务质量资源预留协议)。一般来说，试图通过可用带宽访问信息的时候，应用程序要么通过QoS应用程序接口，要么通过另一个称为TCI的应用程序接口。在网络通讯上，为了商业方面的安全性保留了一定的频宽给了管理者，这对于QoS应用程序来说无疑是件好事，但是一般使用者便不需要此功能，无形中就有部分(默认为20%)带宽白白浪费了，因此我在此提供取消此功能的方法。 单击“开始/运行”输入gpedit.msc进入到“组策略”窗口，在左边窗口中选取“计算机配置/管理模板/网络/QoS数据包调度程序”，在右边的窗口中双击“限制可保留的带宽”，选择“已启用”并将“带宽限制(%)”设为0，单击“应用”，然后“确定”，重新启动即可。,Windows Server 2003,5.几个优化方案(2),IE网络浏览器加速技巧 Windows XP/2003自带Internet Explorer6，有个小技巧，修改之后启动得很快。 具体做法是：右键点击Internet Explorer快捷图标，打开图标属性之后在“目标”后面加上“-nohome”参数即可。,Windows Server 2003,网络打印服务,1.IPP协议 2.Internet打印实现过程 3.服务器端的安装和配置 4.管理打印服务器 5.客户端安装Internet打印服务,Windows Server 2003,1. Windows网络打印概述,IPP协议 IPP（Internet Printing Protocol，因特网打印协议）协议是一个基于Internet应用层的协议，它面向终端用户和终端打印设备。IPP基于常用的Web浏览器，采用HTTP和其他一些现有的Internet技术，在Internet上从终端用户传送打印任务到支持IPP的打印输出设备中，同时向终端设备传送打印机的属性和状态信息。通过IPP打印设备，用户可通过Internet快速、高效、实用地实现本地或远程打印，无需进行复杂的打印机安装和驱动安装。,Windows Server 2003,2.Internet打印实现过程,1. 用户输入打印设备的 URL（统一资源定位符） ，通过 Internet 连接到打印服务器。 2. HTTP 请求通过 Internet 发送到打印服务器。 3. 打印服务器要求客户端提供身份验证信息。 这样能够确保只有经过授权的用户才能在打印服务器上打印文件。,Windows Server 2003,2.Internet打印实现过程,4. 当用户获得授权可以访问打印服务器后，服务器使用活动服务器页ASP向用户显示状态信息，其中包括有关当前空闲打印机的信息。 5. 当用户连接 Internet 打印网页上的任何打印机时，客户端计算机首先尝试在本地寻找该打印机的驱动程序。如果没有找到适合的驱动程序，打印服务器将会生成一个 cabinet 文件（.cab 文件，又称为 Setup 文件），其中包含正确的打印机驱动程序文件。打印服务器把 .cab 文件下载到客户端计算机上。客户端计算机提示用户允许下载该 .cab 文件。,Windows Server 2003,2.Internet打印实现过程,6. 当用户连接到 Internet 打印机后，他们可以使用 Internet 打印协议 （Internet Printing Protocol，IPP）把文件发送到打印服务器。,Windows Server 2003,3.服务器端的安装和配置,1、安装并设置打印机共享 注意：USB接口的打印机在安装过程有先后顺序：先安装驱动程序，然后把打印机插入USB接口，操作系统的即插即用功能立即发现新硬件，并且自动寻找到打印机驱动并且安装到USB打印口。 设置打印机共享：打开“打印机和传真”、右击对象，启用共享，设置共享名，以下步骤要用到这个共享名。,Windows Server 2003,3.服务器端的安装和配置,2、安装IIS 和Internet 打印组件 Windows 2003 服务器默认不启动ASP脚本功能，而且默认的IIS6的安装中不包括Internet 打印服务组，需要自定义安装，接上面的步骤：“应用程序服务”、“Internet信息服务”、“详细”、“Internet 打印”， 点“下一步”就可以完成安装了。,Windows Server 2003,Windows Server 2003,Windows Server 2003,Windows Server 2003,3.服务器端的安装和配置,在Win 2003中，不仅ASP解析被关闭，Internet 打印功能也被关闭了，需要手工启动，点击“开始”、“管理工具”、“Internet 信息服务管理”，选择 “Web 服务扩展, 选择“ Internet Printing” 和 “Active Server Pages”, 然后点击“允许”。,Windows Server 2003,Windows Server 2003,3.服务器端的安装和配置,安装好IIS后，Internet 网用户就可以在Intern