服务器操作系统安装及安全配置

1、操作系统安装及配置DELL效力器Windows2003server操作系统.目录大纲效力器操作系统安装方法效力器操作系统安装过程操作系统平安配置总结.效力器操作系统安装方法效力器引导光盘安装优点：操作方便，傻瓜化。缺陷：能够会使硬盘上的一切数据丧失，用于新效力器或没有重要数据的效力器。自动驱动效力器一切硬件设备。软盘加载硬盘控制卡驱动优点：不会引起数据丧失。缺陷：制造软盘驱动盘过程复杂，安装过程较为不便。软盘根本淘汰，这种方法较少运用。U盘加载硬盘控制卡驱动优点：不会引起数据丧失。缺陷：制造软盘驱动盘过程较为复杂，安装过程较为不便。U盘运用方便，此种方法比较常用。需求加外安装硬件驱动。.HP引

2、导光盘.DELL引导光盘.IBM引导光盘.操作系统安装过程用引导光盘引导安装操作系统，阵列上之前用操作系统划分的分区和数据将会删除。所以，假设效力器上有重要数据，需求先备份数据。操作系统安装过程分两种以WIN2003为例1、DELL引导光盘2、U盘加载驱动各品牌安装过程根本一致，主讲U盘驱动制造方法.操作系统安装过程NTFS系统：NTFS系统为一种高级的文件系统，提供了性能、平安、可靠性以及未在任何FAT格式版本中提供的高级功能，经过它可以实现恣意文件及文件夹的加密和权限设置磁盘配额和紧缩等高级功能。可以更好的利用磁盘空间，提高系统运转速度。假设他在安装时不选用NTFS系统，那么后面的很多平安

3、配置如用户权限设置等将都不能实现。设置管理密码：在安装过程中需求输入Administrator密码，建议运用的密码应符合以下条件之中的前二个及至少三个：- 至少6个字符 - 不包含“Administrator或“Admin- 包含大写字母A、B、C等等- 包含小写字母a、b、c等等- 包含数字0、1、2等等- 包含非字母数字字符#、&、等等.DELL 引导光盘安装开机画机，按F11键。.DELL 引导光盘安装.DELL 引导光盘安装稍等片刻，屏幕出现如下界面不同版本的DOSA光盘界面能够略有不同，但一切步骤一样.DELL 引导光盘安装.DELL 引导光盘安装引导光碟将检测您的效力器硬件，这里需

4、求5-10分钟左右，请耐心等待。.DELL 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装注：windows2003SP2非R2版本，可以选择windows2003ServicePack2R2Edition.R2版本的第一张光盘和普通的2003版本是一样的，安装完成后再安装第二张R2补丁，假设不安装就是普通版的2003规范版，企业版等。.DELL 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装.DEL

5、L 引导光盘安装.DELL 引导光盘安装.DELL 引导光盘安装系统安装终了.U盘加载驱动安装需求U盘制造工具软件,将U盘转换成虚拟软驱。1：运用工具软件后，U盘的数据会丧失！运用工具软件后，U盘数据格式将无法被Windows系统运用，需求重新格式化后才干正常运用。2:假设在vista或WIN7系统中运用工具软件,需求右键点击USBKeyPrepF6.exe,选择以管理员身份运转。.U盘加载驱动安装3:制造驱动U盘的过程中,假设提示失败,建议检查能否有其他程序运用U盘,可以尝试封锁全部其他程序,重新插拔U盘,再开工具制造。4:确认BIOS中,Integrateddevice里面软驱设置为OFF

6、.5:先插上U盘再开机6:安装过程中F6加载,根据提示在选择S的地方,需求按3次S和回车,来确认运用虚拟软盘中的驱动.U盘加载驱动安装制造U盘驱动方法:下载的工具和解紧缩都是在本地硬盘就好，不要放到U盘上运转。下载解紧缩到希望的暂时目录，然后进入解紧缩的目录，运转USBKeyPrepF6.exe。Vista或WIN7系统中运用工具软件,需求右键点击USBKeyPrepF6.exe,选择以管理员身份运转.U盘加载驱动安装此时您重插U盘再双击U盘，会提示请插入磁盘驱动器，表示U盘驱动做好。假设依然可以翻开您的U盘看到里面的文件，阐明没有做好。.U盘加载驱动安装开场安装效力器：将U盘插在要安装的效力

7、器USB端口，重启效力器，将系统光盘放在光驱内，按F11=BootMenu，进入启动菜单后，确认U盘有被识别到。正常从光盘开场安装。.U盘加载驱动安装选择从光驱引导：.U盘加载驱动安装屏幕的底部出现信息：PressF6ifyouneedtoinstallathirdpartySCSIorRAIDdriver时，及时按下“F6键。.U盘加载驱动安装按完F6,后，安装程序会继续加载模块。这是正常的。过一会儿后，您将会看到以下信息：Setupcouldnotdeterminethetypeofoneormoremassstoragedevicesinstalledinyoursystem,oryou

8、havechosentomanuallyspecifyanadaptor.U盘加载驱动安装单击“S，出现U盘中的驱动程序称号.U盘加载驱动安装敲回车确认，红框中的信息表示驱动被加载。回车继续安装。看到以下图,并且按S键确认,才真正加载上.U盘加载驱动安装识别到硬盘：.U盘加载驱动安装将光标挪动到未指派分区按C创建分区：默以为一切的容量，需求手动更改建议C盘至少50G.U盘加载驱动安装将光标挪动到C盘位置选择回车进展安装，选择NTFS快速格式化：.U盘加载驱动安装后续，安装操作系统方式与普通PC步骤一致，不在赘述。.操作系统平安配置1封锁不需求的端口 2更改远程衔接端口3FTP效力器端口过滤 4

9、禁用不用要的效力5禁用不需求的网络效力 6配置平安审核战略7禁用默许共享和IPC衔接 8禁用远程注册表访问9杀毒软件安装 10 磁盘权限设置11 IIS引荐平安设置 12SQL推存平安设置13系统常规平安设置 .封锁不需求的端口本地衔接-属性-Internet协议TCP/IP-高级-选项-TCP/IP挑选-属性-把勾打上，然后添加他需求的端口即可。注：设置完端口需求重新启动！.更改远程衔接端口HKEY_LOCAL_MACHINE SYSTEM Current ControlSet Control Terminal ServerWinStationsRDP-TcpPortNumber=dword

10、:00002683图上更改为2683，当然大家也可以换别的端口，直接翻开以上注册表的地址，把值改为十进制的输入他想要的端口即可！重启生效！.FTP效力器的端口过滤在2003系统里，用TCP/IP挑选里的端口过滤功能，运用FTP效力器的时候，只开放21端口，在进展FTP传输的时候，FTP 特有的Port方式和Passive方式，在进展数据传输的时候，需求动态的翻开高端口，所以在运用TCP/IP过滤的情况下，经常会出现衔接上后无法列出目录和数据传输的问题。所以在2003系统上添加的Windows衔接防火墙能很好的处理这个问题，不引荐运用网卡的TCP/IP过滤功能。.禁用不用要的效力禁用Remote

11、 Registry效力 阐明：制止远程衔接注册表禁用task schedule效力 阐明：制止自动运转程序 禁用server效力 阐明：制止默许共享禁用Telnet效力 阐明：制止telnet远程登陆禁用workstation效力 阐明：防止一些破绽和系统敏感信息获取TCP/IP NetBIOS Helper Service效力器不需求开启共享Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运转 Messenger 传输客户端和效力器之间的 NET SEND 和 警报器效力音讯 Distributed File Sy

12、stem: 局域网管理共享文件，不需求禁用 Distributed linktracking client：用于局域网更新衔接信息，不需求禁用 Error reporting service：制止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需求可禁用 PrintSpooler：假设没有打印机可禁用 Remote Registry：制止远程修正注册表 Remote Desktop Help Session Manager：制止远程协助 把不用要的效力都制止掉，虽然这些不一定能被攻击者利用得上，但是按照平安规那么和规范上来说，多余的东西就没必要开启，减少一份隐患。.禁用不需

13、求网络协议在“网络衔接里，把不需求的协议和效力都删掉，这里只安装了根本的Internet协议TCP/IP，由于要控制带宽流量效力，额外安装了Qos数据包方案程序。在高级tcp/ip设置里-“NetBIOS设置“禁用tcp/IP上的NetBIOSS。在高级选项里，运用“Internet衔接防火墙，这是windows 2003 自带的防火墙，可以屏蔽端口，这样曾经根本到达了一个IPSec的功能。.配置平安审核战略在运转中输入gpedit.msc回车，翻开组战略编辑器，选择计算机配置-Windows设置-平安设置-审核战略。引荐的要审核的工程是： 登录事件账户登录事件系统事件战略更改对象访问目录效力

14、访问特权运用.禁用默许共享和IPC衔接Windows2003安装好以后，系统会创建一些隐藏的共享，他可以在cmd下打 net share 查看他们。首先编写如下内容的批处理文件：保管为delshare.bat，存放到系统所在文件夹下的system32/GroupPolicy/User/Scripts/Logon目录下。然后在开始菜单运转中输gpedit.msc，回车即可翻开组战略编辑器。点击用户配置Window设置脚本(登录/注销)登录，在出现的“登录 属性窗口中单击“添加，会出现“添加脚本对话框，在该窗口的“脚本名栏中输入delshare.bat，然后单击“确定按钮即可。这样就可以经过组战略

15、编辑器使系统开机即执行脚本删除系统默许的共享。 禁用IPC衔接 IPC是Internet Process Connection的缩写，也就是远程网络衔接。命令即：net use/ip/ipc$ password /user:usernqme。可以经过修正注册表来禁用IPC衔接。翻开注册表编辑器。找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC衔接。 .禁用远程注册表访问设置远程可访问的注册表途径为空，这样可以有效地防止黑客利用扫描器经过远程注册表读取计算机的系

16、统信息及其它信息。翻开组战略编辑器，然后选择“计算机配置“Windows设置“平安选项“网络访问：可远程访问的注册表途径及“网络访问：可远程访问的注册表，将设置远程可访问的注册表途径和子途径内容设置为空即可。.杀病毒软件安装建议运用诺顿杀毒软件。.磁盘权限设置C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需求给，只是由于某些第三方运用程序是以效力方式启动的，需求加上这个用户，否那么呵斥启动不了。Windows目录要加上给users的默许权限，否那么ASP和ASPX等运用程序就无法运转。在用做web/ftp效力器的

17、系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。net.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe 这些文件都设置只允许administrator访问。.IIS引荐平安设置1、不运用默许的Web站点，假设运用也要将IIS目录与系统磁盘分开。2、删除IIS默许创建的Inetpub目录在安装系统的盘上。3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSAD

18、C。4、删除不用要的IIS扩展名映射。右键单击“默许Web站点属性主目录配置，翻开运用程序窗口，去掉不用要的运用程序映射。主要为.shtml、.shtm、 .stm。5、更改IIS日志的途径右键单击“默许Web站点属性-网站-在启用日志记录下点击属性.SQL引荐平安设置1、System Administrators 角色最好不要超越两个2、假设是在本机最好将身份验证配置为Win登陆3、不要运用Sa账户，为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为：use master sp_dropextendedproc 扩展存储过程名 xp_cmdshell：是进入操作系统的最正确捷径，删除

19、访问注册表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regread Xp_regwrite Xp_regremovemultistringSp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop 5、隐藏 SQL Server、更改默许的1433端口。右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并

20、改原默许的1433端口。.系统引荐常规平安设置1、系统晋级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新破绽补丁；2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装！3、隐藏重要文件/目录可以修正注册表实现完全隐藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL，鼠标右击 “CheckedValue，选择修正，把数值由1改为0。.系统引荐常规平安设置4、启动系统自带的Internet衔接防火