服务器操作系统安装及安全配置

操作系统安装及配置DELL服务器\Windows2003server操作系统目录大纲服务器操作系统安装方法服务器操作系统安装过程操作系统安全配置总结服务器操作系统安装方法服务器引导光盘安装优点：操作方便，傻瓜化。缺点：可能会使硬盘上的所有数据丢失，用于新服务器或没有重要数据的服务器。自动驱动服务器所有硬件设备。软盘加载硬盘控制卡驱动优点：不会引起数据丢失。缺点：制作软盘驱动盘过程复杂，安装过程较为不便。软盘基本淘汰，这种方法较少使用。U盘加载硬盘控制卡驱动优点：不会引起数据丢失。缺点：制作软盘驱动盘过程较为复杂，安装过程较为不便。U盘使用方便，此种方法比较常用。需要加外安装硬件驱动。HP引导光盘DELL引导光盘IBM引导光盘操作系统安装过程用引导光盘引导安装操作系统，阵列上之前用操作系统划分的分区和数据将会删除。所以，如果服务器上有重要数据，需要先备份数据。操作系统安装过程分两种（以WIN2003为例）1、DELL引导光盘2、U盘加载驱动（各品牌安装过程基本一致，主讲U盘驱动制作方法）操作系统安装过程NTFS系统：NTFS系统为一种高级的文件系统，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能，通过它可以实现任意文件及文件夹的加密和权限设置磁盘配额和压缩等高级功能。可以更好的利用磁盘空间，提高系统运行速度。如果你在安装时不选用NTFS系统，那么后面的很多安全配置如用户权限设置等将都不能实现。设置管理密码：在安装过程中需要输入Administrator密码，建议使用的密码应符合下列条件之中的前二个及至少三个：-至少6个字符-不包含“Administrator”或“Admin”

-包含大写字母（A、B、C等等）-包含小写字母（a、b、c等等）

-包含数字（0、1、2等等）-包含非字母数字字符（#、&、~等等）

DELL引导光盘安装开机画机，按F11键。DELL引导导光光盘盘安安装装DELL引导导光光盘盘安安装装稍等等片片刻刻，，屏屏幕幕出出现现如如下下界界面面（（不不同同版版本本的的DOSA光盘盘界界面面可可能能略略有有不不同同，，但但所所有有步步骤骤一一样样））DELL引导导光光盘盘安安装装DELL引导导光光盘盘安安装装引导导光光碟碟将将检检测测您您的的服服务务器器硬硬件件，，这这里里需需要要5-10分钟钟左左右右，，请请耐耐心心等等待待。。DELL引导导光光盘盘安安装装DELL引导导光光盘盘安安装装DELL引导光光盘安安装注：windows2003SP2非R2版本，，可以以选择择windows2003ServicePack2R2Edition.R2版本的的第一一张光光盘和和普通通的2003版本是是一样样的，，安装装完成成后再再安装装第二二张R2补丁，，如果果不安安装就就是普普通版版的2003（标准准版，，企业业版等等）。。DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装DELL引导光光盘安安装系统安安装完完毕U盘加载载驱动动安装装需要U盘制作作工具具软件件,将U盘转换换成虚虚拟软软驱。。1：使用用工具具软件件后，，U盘的数数据会会丢失失！使用工工具软软件后后，U盘数据据格式式将无无法被被Windows系统使使用，，需要要重新新格式式化后后才能能正常常使用用。2:如果在在vista或WIN7系统中中使用用工具具软件件,需要右右键点点击USBKeyPrepF6.exe,选择以以管理理员身身份运运行。。U盘加载载驱动动安装装3:制作驱驱动U盘的过过程中中,如果提提示失失败,建议检检查是是否有有其他他程序序使用用U盘,可以尝尝试关关闭全全部其其他程程序,重新插插拔U盘,再开工工具制制作。。4:确认BIOS中,Integrateddevice里面软软驱设设置为为OFF.5:先插上上U盘再开开机6:安装过过程中中F6加载,根据提提示在在选择择"S"的地方方,需要按按3次"S"和回车车,来确认认使用用虚拟拟软盘盘中的的驱动动.U盘加载载驱动动安装装制作U盘驱动动方法法:下载的的工具具和解解压缩缩都是是在本本地硬硬盘就就好，，不要要放到到U盘上运运行。。下载载解压压缩到到希望望的临临时目目录，，然后后进入入解压压缩的的目录录，运运行USBKeyPrepF6.exe。Vista或WIN7系统中中使用用工具具软件件,需要右右键点点击USBKeyPrepF6.exe,选择以以管理理员身身份运运行.U盘加载载驱动动安装装此时您您重插插U盘再双双击U盘，会会提示示请插插入磁磁盘驱驱动器器，表表示U盘驱动动做好好。如果仍仍然可可以打打开您您的U盘看到到里面面的文文件，，说明明没有有做好好。U盘加载载驱动动安装装开始安安装服服务器器：将U盘插在在要安安装的的服务务器USB端口，，重启启服务务器，，将系系统光光盘放放在光光驱内内，按按F11=BootMenu，进入入启动动菜单单后，，确认认U盘有被被识别别到。。正常常从光光盘开开始安安装。。U盘加载载驱动动安装装选择从从光驱驱引导导：U盘加载载驱动动安装装屏幕的的底部部出现现信息息：PressF6ifyouneedtoinstallathirdpartySCSIorRAIDdriver时，及及时按按下“F6””键。U盘加载载驱动动安装装按完"F6",后，安安装程程序会会继续续加载载模块块。这这是正正常的的。过一会会儿后后，您您将会会看到到以下下信息息：Setupcouldnotdeterminethetypeofoneormoremassstoragedevicesinstalledinyoursystem,oryouhavechosentomanuallyspecifyanadaptor.U盘加载载驱动动安装装单击“S”，出现现U盘中的的驱动动程序序名称称U盘加载载驱动动安装装敲回车车确认认，红红框中中的信信息表表示驱驱动被被加载载。回回车继继续安安装。。看到下下图,并且按按S键确认认,才真正正加载载上.U盘加载载驱动动安装装识别到到硬盘盘：U盘加载载驱动动安装装将光标标移动动到未未指派派分区区按C创建分分区：：（默认认为所所有的的容量量，需需要手手动更更改建建议C盘至少少50G）U盘加载载驱动动安装装将光标标移动动到C盘位置置选择择回车车进行行安装装，选选择NTFS快速格格式化化：U盘加载载驱动动安装装后续，，安装装操作作系统统方式式与普普通PC步骤一一致，，不在在赘述述。操作系系统安安全配配置1关闭不不需要要的端端口2更改远远程连连接端端口3FTP服务器器端口口过滤滤4禁用不不必要要的服服务5禁用不不需要要的网网络服服务6配置安安全审审核策策略7禁用默默认共共享和和IPC连接8禁用远远程注注册表表访问问9杀毒软软件安安装10磁盘权权限设设置11IIS推荐安安全设设置12SQL推存安安全设设置13系统常常规安安全设设置关闭不不需要要的端端口本地连连接--属性--Internet协议（（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打打上，，然后后添加加你需需要的的端口口即可可。注注：设设置完完端口口需要要重新新启动动！更改远远程连连接端端口[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683图上更更改为为2683，当然然大家家也可可以换换别的的端口口，直直接打打开以以上注注册表表的地地址，，把值值改为为十进进制的的输入入你想想要的的端口口即可可！重重启生生效！！FTP服务器器的端端口过过滤在2003系统里里，用用TCP/IP筛选里里的端端口过过滤功功能，，使用用FTP服务器器的时时候，，只开开放21端口，，在进进行FTP传输的的时候候，FTP特有的的Port模式和和Passive模式，，在进进行数数据传传输的的时候候，需需要动动态的的打开开高端端口，，所以以在使使用TCP/IP过滤的的情况况下，，经常常会出出现连连接上上后无无法列列出目目录和和数据据传输输的问问题。。所以以在2003系统上上增加加的Windows连接防防火墙墙能很很好的的解决决这个个问题题，不不推荐荐使用用网卡卡的TCP/IP过滤功功能。禁用不不必要要的服服务禁用RemoteRegistry服务[说明：：禁止止远程程连接接注册册表]禁用taskschedule服务[说明：：禁止止自动动运行行程序序]禁用server服务[说明：：禁止止默认认共享享]禁用Telnet服务[说明：：禁止止telnet远程登登陆]禁用workstation服务[说明：：防止止一些些漏洞洞和系系统敏敏感信信息获获取]TCP/IPNetBIOSHelperService[服务器器不需需要开开启共共享]ComputerBrowser维护网网络上上计算算机的的最新新列表表以及及提供供这个个列表表Taskscheduler允许程序序在指定定时间运运行Messenger传输客户户端和服服务器之之间的NETSEND和警报报器服务务消息DistributedFileSystem:局域网管管理共享享文件，，不需要要禁用Distributedlinktrackingclient：用于局局域网更更新连接接信息，，不需要要禁用Errorreportingservice：禁止发发送错误误报告MicrosoftSerch：提供快快速的单单词搜索索，不需需要可禁禁用PrintSpooler：如果没没有打印印机可禁禁用RemoteRegistry：禁止远远程修改改注册表表RemoteDesktopHelpSessionManager：禁止远远程协助助把不必要要的服务务都禁止止掉，尽尽管这些些不一定能被攻攻击者利利用得上上，但是是按照安安全规则则和标准上上来说，，多余的的东西就就没必要要开启，，减少一份份隐患。。禁用不需需要网络络协议在“网络连接接”里，把不不需要的的协议和和服务都都删掉，，这里只只安装了了基本的的Internet协议（TCP/IP），由于于要控制制带宽流流量服务务，额外外安装了了Qos数据包计计划程序序。在高高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS（S）”。在高级级选项里里，使用用“Internet连接防火火墙”，这是windows2003自带的防防火墙，，可以屏屏蔽端口口，这样样已经基基本达到到了一个个IPSec的功能。。配置安全全审核策策略在运行中中输入gpedit.msc回车，打打开组策策略编辑辑器，选选择计算算机配置置-Windows设置-安全设置置-审核策略略。推荐的要要审核的的项目是是：登录事件件账户登录录事件系统事件件策略更改改对象访问问目录服务务访问特权使用用禁用默认认共享和和IPC连接Windows2003安装好以以后，系系统会创创建一些些隐藏的的共享，，你可以在cmd下打netshare查看他们们。首先先编写如如下内容容的批处处理文件：：保存为delshare.bat，存放到到系统所所在文件件夹下的的system32/GroupPolicy/User/Scripts/Logon目录下。。然后在在开始菜单→→运行中中输gpedit.msc，回车即即可打开开组策略略编辑器器。点击用户户配置→→Window设置→脚脚本(登录/注销)→登录，，在出现现的“登录属属性”窗口中单单击“添加”，会出现现“添加脚本本”对话框，，在该窗窗口的“脚本名”栏中输入入delshare.bat，然后单单击“确定”按钮即可可。这样样就可以以通过组组策略编编辑器使使系统开开机即执执行脚本本删除系系统默认认的共享享。禁用IPC连接IPC是InternetProcessConnection的缩写，，也就是是远程网网络连接接。命令令即：netuse//ip/ipc$"password"/user:"usernqme"。可以通过过修改注注册表来来禁用IPC连接。打打开注册册表编辑辑器。找找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa中的restrictanonymous子键，将将其值改改为1即可禁用用IPC连接。禁用远程程注册表表访问设置远程程可访问问的注册册表路径径为空，，这样可可以有效效地防止止黑客利利用扫描描器通过过远程注注册表读读取计算算机的系系统信息息及其它它信息。。打开组策策略编辑辑器，然然后选择择“计算机配配置”→“Windows设置”→“安全选项项”→“网络访问问：可远远程访问问的注册册表路径径”及“网络访问问：可远远程访问问的注册册表”，将设置置远程可可访问的的注册表表路径和和子路径径内容设设置为空空即可。。杀病毒软软件安装装建议使用用诺顿杀杀毒软件件。磁盘权限限设置C盘只给administrators和system权限，其其他的权权限不给给，其他他的盘也也可以这这样设置置，这里里给的system权限也不不一定需需要给，，只是由由于某些些第三方方应用程程序是以以服务形形式启动动的，需需要加上上这个用用户，否否则造成成启动不不了。Windows目录要加加上给users的默认权权限，否则ASP和ASPX等应用程程序就无无法运行行。在用做web/ftp服务器的的系统里里，建议议是将这这些目录都都设置的的锁死。。其他每每个盘的的目录都都按照这样样设置，，每个盘盘都只给给adinistrators权限。net.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe这些文件件都设置置只允许许administrator访问。IIS推荐安全全设置1、不使用用默认的的Web站点，如如果使用用也要将将IIS目录与系系统磁盘盘分开。。2、删除IIS默认创建建的Inetpub目录（在在安装系系统的盘盘上）。。3、删除系系统盘下下的虚拟拟目录，，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。4、删除不不必要的的IIS扩展名映映射。右键单击击“默认Web站点→属性→主目录→配置”，打开应应用程序序窗口，，去掉不不必要的的应用程程序映射射。主要要为.shtml、.shtm、.stm。5、更改IIS日志的路路径右键单击击“默认Web站点→属性-网站-在启用日日志记录录下点击击属性SQL推荐安全全设置1、SystemAdministrators角色最好好不要超超过两个个2、如果是是在本机机最好将将身份验验证配置置为Win登陆3、不要使使用Sa账户，为为其配置置一个超超级复杂杂的密码码4、删除以以下的扩扩展存储储过程格格式为：：usemastersp_dropextendedproc'扩展存储储过程名名'xp_cmdshell：是进入入操作系系统的最最佳捷径径，删除除访问注册表的的存储过程，，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regwriteXp_regremovemultistringSp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隐藏SQLServer、更改默认的的1433端口。右击实例选属属性-常规-网络配置中选选择TCP/IP协议的属性，，选择隐藏SQLServer实例，并改原原默认的1433端口。系统推荐常规规安全设置1、系统升级、、打操作系统统补丁，尤其其是IIS6.0补丁、SQLSP3a补丁，甚至IE6.0补丁也要打。。同时及时跟跟踪最新漏洞洞补丁；2、停掉Guest帐号、并给guest加一个异常复复杂的密码，，把Administrator改名或伪装！！3、隐藏重要文文件/目录可以修改注册册表实现完全全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，，把数值由1改为0。系统推荐常规规安全设置4、启动系统自自带的Internet连接防火墙，，在设置服务务选项中勾选选Web服务器。5、防止SYN洪水攻击。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为SynAttackProtect，值为26.禁止响应ICMP路由通告报文文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface，新建DWORD值，名为PerformRouterDiscovery值为0。7.防止ICMP重定向报文的的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects值设为08.不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为IGMPLevel值为0。系统推荐常规规安全设置9、禁用DCOM：运行中输入Dcomcnfg.exe。回车，单击击“控制台根节点点”下的“组件服务”。打开“计算机”子文件夹。对于本地计算算机，请以右右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机机上启用分布布式COM”复选框总结操作系统安装装：按步就搬搬，注意数据据备份。系统安全配置置：最小化系系统服务，精精减开放端口口，注意系统统补丁升级和和用户密码设设置。9、静夜四无无邻，荒居居旧业贫。。。1月-231月-23Thursday,January5,202310、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。20:56:2020:56:2020:561/5/20238:56:20PM11、以我独沈沈久，愧君君相见频。。。1月-2320:56:2020:56Jan-2305-Jan-2312、故人江江海别，，几度隔隔山川。。。20:56:2020:56:2020:56Thursday,January5,202313、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。1月月-231月月-2320:56:2020:56:20January5,202314、他乡乡生白白发，，旧国国见青青山。。。05一一月月20238:56:20下下午20:56:201月-2315、比不了得就就不比，得不不到的就不要要。。。一月238:56下下午1月-2320:56January5,202316、行行动动出出成成果果，，工工作作出出财财富富。。。。2023/1/520:56:2020:56:2005January202317、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。8:56:20下下午8:56下下午午20:56:201月-239、没有失败，，只有暂时停停止成功！。。1月-231月-23Thursday,January5,202310、很多事情努努力了未必有有结果，但是是不努力却什什么改变也没没有。。20:56:2020:56:2020:561/5/20238:56:20PM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。1月月-2320:56:2020:56Jan-2305-Jan-2312、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。20:56:2020:56:2020:56Thursday,January5,202313、不知香积积寺，数里里入云峰。。。1月-231月-2320:5