您好,欢迎来到飒榕旅游知识分享网。
科技 教育 生活 旅游 时尚 美容 美食 健康 体育 游戏 汽车 家电
搜索
您的当前位置:首页WIN2003远程桌面

WIN2003远程桌面

来源:飒榕旅游知识分享网


在Windows 2003系统上的远程桌面实际上就是终端服务,虽然远程桌面最初在Windows XP上就已经存在,但由于Windows XP的远程桌面功能,只能提供一个用户使用计算机,因此使用率并不高。而Windows 2003提供的远程桌面功能则可供多用户同时使用,在其上可以运行程序、保存文件和使用网络资源,在很多方面可以像使用终端一样,并且在管理及配置方面比原来的终端服务更方便。要更好地发挥远程桌面的作用就要对远程桌面进行相应的配置。

NTFS系统下,右键单击文件夹→属性→安全→高级→权限,选择用户然后就可以编辑各种属性了。

三、关闭默认共享的空连接

由于比较简单,这里就不详谈了。

四、磁盘权限设置

C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。

Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All

Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;

譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:\"只要给我一个webshell,我就能拿到system\",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限。

另外,还将:

net.exe NET命令

cmd.exe CMD 懂电脑的都知道咯~

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe ACL用户组权限设置,此命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这个....(:

format.exe

大家都知道ASP木马吧,有个CMD运行这个的,这些如果都可以在CMD下运行..55,,估计别的没啥,format下估计就哭料~~~(:这些文件都设置只允许administrators访问。

五、防火墙、杀毒软件的安装

远程桌面无法连接 已经开启了远程桌面功能.

无法通过远程桌面连接, 远程桌面窗口黑屏闪一下就中断了, 多连 2 次就会提示\" 远程计算机已结束连接\".

该问题可能是由于Terminal Services的设备重定向器有问题,导致连接失败。解决方法: 1. 下载Devcom.exe工具

2. 解压到一个目录,启动命令行模式,切换到该目录的i386目录。

3. 运行devcon -r install %windir%\\inf\\machine.inf root\\rdpdr命令重新安装Terminal services重定向器。

4. 然后重启系统,测试是否修复错误。 第二种方法

一、远程桌面连接故障现象:

笔者刚刚安装完一台员工计算机,该计算机操作系统是windows XP,领导决定以后这台计算机就担任公司数据存放工作,所以日后需要对其进行远程管理操作。所以笔者也像往常一样,开启了该系统的远程桌面连接功能。谁知道在网络中的其他计算机通过远程桌面连接程序访问时却出现了“中断远程桌面连接,远程计算机已结束连接”的提示,也就是说能够连接上但是马上中断,根本没有给予输入管理员用户名和密码的时间。 二、解决问题:

既然可以连接到该计算机,只是马上中断。笔者怀疑是否在远程桌面登录时是默认使用当前帐户的,所以将自己的计算机帐户和密码设置为和远程那台计算机一致,谁知道问题依旧。看来故障应该是该计算机远程桌面服务本身的设置问题。笔者在网上寻求帮助,终于发现了问题的所在。

第一步:通过“开始->运行->输入regedit”,打开注册表编辑器。 第二步:打开注册表后找到

[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR键值,在左侧的RDPDR上点鼠标右键,选择“权限”。

第三步:在弹出的对RDPDR设置权限窗口后,将everyone组添加到完全控制权限,如果你只想让某个特定的用户远程管理该计算机的话,将该帐户添加到权限设置窗口中即可,记住一定要给予“完全控制”权限。

第四步:接下来将如下内容复制到一个记事本txt文件中,并保存成后缀为.reg的文件。例如笔者保存成111.reg。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000] \"ClassGUID\"=\"{4D36E97D-E325-11CE-BFC1-08002BE10318}\" \"Class\"=\"System\"

\"HardwareID\"=hex(7):52,00,4f,00,4f,00,,00,5c,00,52,00,44,00,50,00,44,00,52,\\ 00,00,00,00,00

\"Driver\"=\"{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030\" \"Mfg\"=\"(标准系统设备)\" \"Service\"=\"rdpdr\"

\"DeviceDesc\"=\"终端服务器设备重定向器\" \"ConfigFlags\"=dword:00000000 \"Capabilities\"=dword:00000000

第五步:接下来我们双击运行保存后的注册表文件111.reg,当出现“注册表导入成功”的提示后说明我们操作正确。

第六步:再通过“开始->运行->输入services.msc”,打开服务管理窗口,找到名为“Remote Desktop Help Session Manager ”和“Telnet”的服务。 第七步:在这两个服务名称上点鼠标右键选择“启动”,将服务开启。

终端服务配置(Tscc.msc)的使用

使用终端服务配置可以更改本地计算机上该连接的属性、添加新连接或设置服务器。打开“控制面板”—〉“管理工具”,单击“终端服务器配置”启动终端服务配置窗口。

1 单击左边窗口的“连接”项,右边窗口即出现可选的RDP-TCP连接,右击“RDP-TCP”,选“属性”出现RDP-Tcp属性对话框(如图1),主要配置有:

图1

(1)连接数设置:可在“网卡”选项中更改。设置更多地连接数可使更多的用户同时登录服务器。默认最多同时两个用户连接,如果想要使3个以上的用户同时使用远程桌面功能,则必须安装终端服务,安装后就可以任意设定用户数制。

安装终端服务可通过Windows的“添加/删除程序”—〉“添加/删除Windows组件”中,选中“终端服务器”来添加。

由于每个用户连接远程桌面后最小占用12MB左右的内存,因此可根据服务器内存大小来设定用户数,一般用户数不要太多,以免影响性能。如256MB内存可设定用户数8个左右,512MB内存可设定20~30个。

(2)调整颜色分辨率(颜色深度):在“客户端设置”项中。颜色深度可以增强连接性能,尤其是对于慢速链接,并且还可以减轻服务器负载。“远程桌面”连接的当前默认最大颜色深度设置为 16 位。

选中“颜色深度最大值”,可修改限定的最大颜色深度为8、15、16或24位。若不选中,则使用登录的客户端颜色设置。

(3)让客户自动登录:在“登录设置”选项卡上。这对普通应用非常方便,可加快登录速度,提高服务效率。

要使用自动登录,需选中“总是使用下列登录信息”,在“用户名”中,键入允许自动登录到服务器的用户的名称,在“密码”和“确认密码”中,键入该用户的密码。 这样客户端连接时将不用再输入用户名和密码,而自动进入Windows 2003桌面(注意:若此后再有用户登录,那么原来的连接将被断开)。若输入不完整,则登录时还会要求输入用户名或密码。 如要想更安全的使用服务器,则应选中“总是提示密码”以指定该用户在登录到服务器之前始终要被提示输入密码,从而客户端的自动登录。

(4)对连接自动管理:单击“会话”项来设定。主要用来设定超时的,以便释放会话所占用的资源,“结束已断开的会话”和“空闲会话”的时间,一般应用设为5分钟较好。对安全性要求高的也可设定“活动会话”的时间。“达到会话或者连接被中断时”下的选项,最好选“结束会话”,这样连接所占的资源就会被释放。

(5)设置加密级别:单击“常规”项,可指定在终端服务会话期间,对于客户端与远程计算机之间发送的所有数据是否强制加密级别。分四个级别:符合 FIPS(最高级别的加密)、高(加密数据经过强 128 位加密。)、客户端兼容(加密数据经过客户端支持的最大密钥强度加密)和低(从服务器发送到客户端的数据将不会被加密)。

(6)启用终端客户音频:在“客户端设置”项下边,默认为禁用,以节约服务器资源。当用户少时 ,单击“音频映射”去掉被禁用的选项,使终端客户能使用多媒体设备。当然,客户端计算机也必须装有声卡。

如果有多个用户连接到相同的服务器,则会以同一个用户名登录。

(7)启用驱动器映射;此项可方便终端与服务器磁盘间文件的相互传送。启用后本地驱动器将作为网络驱动器显示在终端中。

同样还有打印机、剪贴板、com端口等也可设置映射。但每设置一个都要占用一定的系统资源;所以,一般用户最好禁用。

(8)服务器的安全设置:在“权限”项,可选择组或用户,其对终端的配置权限。另外,由于只有Administrators 和 Remote Desktop Users 组的成员可以使用终端服务连接与远程计算机连接,所以可对不同用户分组管理,对于要求安全性高的,可利用NTFS分区设置不同用户的权限。

2.单击左边窗口的“服务器设置”;在右边窗口可实现以下设置:

(1)允许多用户以同一个用户名登录:可双击“每个用户使用一个会话”,选“是”为一个用户登录,去掉其中的选项(即选“否”)允许多用户同时自动登录,可使多个用户以相同用户名连接到相同的服务器,使得一般的多用户应用非常方便。

(2)设置多用户使用相同的临时文件夹:可修改“进行每个会话时使用临时文件夹”,选“是”使用不同临时文件夹,选“否”为相同,同样可设置退出时是否删除临时文件夹。 以上设置也可使用组策略配置:打开“组策略”,在“计算机配置”—〉“管理模板”—〉“Windows 组件”—〉“终端服务”中可进行配置,配置项目与“终端服务配置”基本相同,但有更详尽的说明(如图2)。

图2

使用组策略的更多设置如:是否允许永久连接、强制删除远程桌面壁纸、客户端/服务器的更多重定向、会话目录设置、是否允许用户使用与原始客户端计算机不同的计算机重新连接已断开的终端服务会话等。

客户端的连接配置

在客户机上设置,仅对本机有效。打开远程桌面连接的“选项”可看到更详尽的客户端登录配置信息。(如图3)

图3

(1)设置自动登录:单击“常规”输入计算机名、用户名、密码;单击“连接”即可自动登录。但当服务端设置使用自动登录或指定使用密码登录时,则客户端的此项设置无效。 (2)设置桌面大小和颜色:单击“显示”即可调整连接后桌面的大小和颜色,其设置值不会超过本机的有效值,若本机系统颜色为16位色,则登陆远程桌面后的颜色不会高于16位色。同样,其颜色也不会超过服务器端限定的颜色数。

(3)设置声音和磁盘及打印机映射:单击“本地资源”,可选择是否播放远程计算机的声音;是否把本机磁盘及打印机连接到终端上。同样当这些选项在服务端被禁用时,客户端的设置也无效。

(4)另外还可通过“高级”和“程序”项来调整连接性能及连接后运行的程序。 终端服务管理器应用

用终端服务管理器管理和监视网络中运行终端服务的任何服务器上的用户、会话及进程。单击“管理工具”,单击“终端服务器管理器”打开管理窗口(如图4)。

图4

从中我们可以看到显示有关服务器、会话、用户和进程的信息,可以连接和断开会话、监视会话、复位会话、向用户发送消息、注销用户、终止进程。

Windows 2003远程桌面配置和使用简单,维护方便,对于一般的办公和教学场合,远程桌面完全可作为一个可供多人使用的终端服务器来使用,通过实践,一台新的配有256MB内存的普通个人计算机,可轻松带动3~5台旧的计算机;若加大内存则可带动的用户计算机更多。

我校机房就充分利用新旧机房联网搭配使用,效果良好。新机房中有50台配置了Intel 赛扬2.4GHz处理器、256MB内存的新机器,两个较旧的机房有120台微机,配置从奔腾MMX233到赛扬366,16MB~MB内存,270MB~6.4GB硬盘,好多机器即使安装Windows 95也运行缓慢,大一些的软件无法安装使用。

改造时就在新机器上全部安装了Windows 2003,配置成远程桌面功能。新旧机器都进行了对应编号,一台新机器对应2~3台旧机器。由此大大提高了旧PC的应用性能,能和新机一样进行正常教学工作了。

Windows2003远程桌面的配置及应用

Windows 2003提供了一种远程控制方式——“远程桌面”,利用“远程桌面”,您可以在远离办公室的地方通过网络对计算机进行远程控制,远程的用户可以通过这种方式操作远程计算机中的数据、应用程序和网络资源,可以让您访问到远程主机服务器的桌面,以便于进行协同工作。

一、配置远程桌面主机 :

要启动Windows 2003的远程桌面功能必须以管理员或Administrators组成员的身份登录进入系统,这样才具有启动Windows 2003“远程桌面”权限。

1、必要组件安装: (万网主机都默认安装)

打开“控制面板”→“添加或删除程序”→“添加或删除Windows组件”→“应用程序服务器”→“详细信息„”→“Internet信息服务(IIS)”→“详细信息„”→“万维网服务”→“详细信息„”→勾选“远程桌面Web连接”→连点三个“确定”→“下一步”等待完成。(如图1)。

图1

二、启用或禁用远程连接:

1、打开控制面板中的系统。

2、在“远程”选项卡上,选中 “启用这台计算机的远程桌面”复选框。单击“选择远程用户„”。(如图2)

图2

3、单击“添加”按钮以指定搜索位置,单击“对象类型”按钮以指定要搜索对象的类型。接下来在“输入对象名称来选择”框中,键入要搜索的对象的名称,并单击“检查名称”按钮,待找到用户名称后,单击“确定”按钮返回到“远程桌面用户”对话框,找到的用户会出现对话框中的用户列表中。(如图3)

图3

三、客户端软件的安装:

Windows XP/2003的用户可以通过系统自带的“远程桌面连接”程序(在“开始→所有程序→附件→通讯”中)来连接远程桌面(如图4)。如果客户使用操作系统是Windows 9X/2000,可安装Windows XP安装光盘中的“远程桌面连接”客户端软件。

图4

1、访问远程桌面:

在客户机上运行“远程桌面连接”程序,会显示“远程桌面连接”对话框,单击“选项”按钮,展开对话框的全部选项,(如图5)所示,在“常规”选项卡中分别键入远程主机的IP地址或域名、用户名、密码,然后单击“连接”按钮,连接成功后将打开“远程桌面”窗口,你可以看到远程计算机上的桌面设置、文件和程序,而该计算机会保持在锁定状态,如果没有密码的情况下,任何人都无法使用它,也看不到你对它所进行的操作。

图5

如果注销和结束远程桌面,可在远程桌面连接窗口中,单击“开始”按钮,然后按常规的用户注销方式进行注销。

2、远程桌面的Web连接:

远程桌面还提供了一个Web连接功能,简称“远程桌面Web连接”,这样客户端无需要安装专用的客户端软件也可以使用“远程桌面”功能,这样对客户端的要求更低,使用也更灵活,几乎任何可运行IE浏览器的计算机都可以使用“远程桌面”功能。

在“开始”→“运行”,在运行框中键入“HTTP://服务器/TSWEB”→“确定”, 如服务器地址为218.244.130.24,则可在地址栏中输入“http:// 218.244.130.24/tsweb/”,在IE中出现(如图6)所示网页,若是第一次在本客户端使用,会要求下载ActiveX 控件,在“服务器”后的文本框中键入服务器名,在“大小”后的下拉列表中选择远程桌面的分辨率,请选择“全屏”,(否则远程桌面会显示在浏览器中),回车后即可看到登录窗口,键入用户名与密码即可进入远程桌面。其它就同使用本地机一样。(如图7)

图6

图7

若要退出,请选择“注销”,若一会儿后还要进入,请选择“断开”,再进入时方法同前。当然如果权限足够大,还可选择“重新启动”、“关机”。

注意在使用时,不要直接关掉“远程桌机Web连接”的浏览器窗口,否则远程桌面相当于“断开”,并未注销。 四、终端服务配置:

1、请依次单击“开始”和“控制面板”,双击“管理工具”,再双击“终端服务配置”。在控制台树中,单击“连接”。在详细信息窗格中,右键单击要配置客户端设备映射的连接,然后单击“属性”。若要使远程桌面也成为多媒体,请在“客户端设置”选项卡下选中“颜色深度的最大值”,并在下拉列表中选择适当的值。“禁用下列项目”下,请不要选中“音频映射”,以使远程桌面也能播放音乐。(如图8)

图8

2、默认的登录名设置。(如图9)

图9

3、在“Internet 信息服务(IIS)管理器”下查找到TSWEB虚拟目录的具体位置,修改Default.htm文件,就不需要每次填入服务器名。用记事本打开Default.htm,找到input name=\"Server\",修改Value=“服务器名或IP地址”,保存退出。 五、设置服务器33端口方法:

1、打开“开始”菜单→“设置选项”中的“控制面板”选项,点击“网络连接”进入。(如图10)

图10

2、进入“网络连接”后双击“本地连接”,点击“属性”按钮。(如图11)

图11

3、在“本地连接属”性对话框,选中“Internet协议(TCP/IP)”,双击进入“Internet协议(TCP/IP)属性”对话框,点击下面的“高级”按钮。(如图12)

图12

4、在“高级TCP/IP设置”里面,选中“选项”菜单的“TCP/IP筛选”,双击进入“TCP/IP筛选”对话框。(如图13)

图13

5、点击TCP端口栏的添加按钮,输入TCP端口:33,点击确定,确定所有对话框后,系统会自动提示您要重启服务器,重启服务器后新设置端口就可以生效。(如图14)

在安装了Windows Server 2003后,我们就可以安装终端服务,现在就让我来介绍一下如何安装与激活终端服务吧。

一、组件的安装

在“控制面板”中,打开“添加或删除程序”,选择“添加/删除Windows组件(A)”,出现以下的安装界面:

现在我们选择安装“终端服务器”与“终端服务器授权”,按照所出现的提示一步步地安装。

以下界面中提到两种安全模式,当然我们最好是选择第一种:完整安全模式。

然后就要选择安装的路径了,您可以按“浏览”进行安装路径的重新设置,否则可以进行“下一步”操作。

那么现在就开始配置一些组件的设置了。

更改了配置后,弹出的以下对话框需要我们选择复制文件的路径,这时候就要把Windows Server2003的安装盘放入光驱中,然后在“文件复制来源”中选择光盘。

过不了一会儿,我们就可以看到完成组件安装的提示了。

重新启动后设置便会生效。

二、上网注册得到许可证密钥

点击“开始”->“程序”->“管理工具”->“终端服务器授权”,选择未激活的服务器名称,选择“属性”,请记下对话框中出现的产品ID,我们要用这20位的ID号到网上注册。

打开Internet Explorer浏览器,在地址栏中输入https://activate.microsoft.com(注意是\"https\"而不是\"http\",这里千万不要少了那个\"s\")这个地址,此时是英文界面。在左上角的下拉框中选中\"Chinese(Simplified)\"(简体中文)项,再按\"GO\"图标。

现在便得到的是中文网页了。确保已选中“启用许可证服务器”项,再单击“下一步”按钮。

在随后要求提供的信息界面中,“产品ID”处输入刚才抄下的那个20位数字,再填入自己的其他基本资料,然后再选“下一步”继续。此时系统会显示你方才输入的个人信息,确信无误之后再“下一步”。

你便可以得到“已成功处理您的许可证服务器启动申请。你的许可证ID是:…”,又是一个需要抄下的分为七段的35位数,里面包含有数字也有大写的英文字母;并且还会问你“需要此时获取客户机许可证吗?”,你当然应该回答“是”。

确定您的信息后,便可继续“下一步”。

在接下来的界面中,“产品类型”一项应为“Windows 2003终端服务客户端访问许可证”;“数量”为你欲连接的最大用户数(比如为“100”);在“注册号码”中输入你从微软获得的那个七位数,再“下一步”。

又是确认您的设置,现在应该是“谢谢您激活终端服务许可证”的时候了!你的收获包括两个东东,一个是刚才已经得到的那个35位数的“许可证服务器ID”,一个是现在才取得的另一个七段共35位数的“许可证密钥包ID”。三、终端服务器CAL安装

现在请到“开始”->“程序”->“管理工具”->“终端服务器授权”中完成最后的激活操作吧。

选择服务器名称后点击右键,将“属性”中的“安装方法”设为“Web浏览器”,

再选择服务器,点击右键,选择“安装许可证”。便会出现以下的界面:

现在就可以将您在Web上得到的许可证密钥ID输入到以下的输入框中了。

大功告成,现在终于没有90天的后顾之忧了。

最后我们又返回到终端服务器的授权中,点击服务器名称,右键选择“激活”,那么就完成任务了。

你可以在其他机器上登陆这个网站,只要正确填写id 就可以了

或者你在其他机器上登陆 点了下一步后记录改变的网址,再在服务器上登陆就好了

windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。 第一招:正确划分文件系统格式,选择稳定的操作系统安装盘

为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟

http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有 windows 2003的企业可升级版,这个一个完全破解了的版本,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。

第二招:正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点: 1、系统盘权限设置 C:分区部分: c:\\

administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) system 全部(该文件夹,子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹,子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性

创建文件夹/附加数据 读取权限

c:\\Documents and Settings

administrators 全部(该文件夹,子文件夹及文件) Power Users (该文件夹,子文件夹及文件) 读取和运行

列出文件夹目录 读取

SYSTEM全部(该文件夹,子文件夹及文件) C:\\Program Files

administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹,子文件夹及文件) 读取和运行

列出文件夹目录 读取

Power Users(该文件夹,子文件夹及文件) 修改权限

SYSTEM全部(该文件夹,子文件夹及文件)

TERMINAL SERVER USER (该文件夹,子文件夹及文件) 修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理 E:\\

Administrators全部(该文件夹,子文件夹及文件) E:\\wwwsite

Administrators全部(该文件夹,子文件夹及文件) system全部(该文件夹,子文件夹及文件) service全部(该文件夹,子文件夹及文件) E:\\wwwsite\\vhost1

Administrators全部(该文件夹,子文件夹及文件) system全部(该文件夹,子文件夹及文件) vhost1全部(该文件夹,子文件夹及文件) 3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限

比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限 4、其它地方的权限设置

请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许administrators访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe

at.exe

attrib.exe cacls.exe format.com

5.删除c:\\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述 第三招:禁用不必要的服务,提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序 第四招:修改注册表,让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ Windows\\

Current-Version\\Explorer\\Advanced\\Folder\\Hi-dden\\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

2、启动系统自带的Internet连接_blank\">防火墙,在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 新建DWORD值,名为SynAttackProtect,值为2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\interface

新建DWORD值,名为PerformRouterDiscovery 值为0 5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

将EnableICMPRedirects 值设为0 6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 新建DWORD值,名为IGMPLevel 值为0 7.修改终端服务端口

运行regedit,找到[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ Wds \\ rdpwd \\ Tds \\ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。

2、第二处HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。 8、禁止IPC空连接: cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到

Local_Machine\\System\\ CurrentControlSet\\Control\\LSA-RestrictAnonymous 把这个值改成”1”即可。 9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统,如: TTL=107(WINNT); TTL=108(win2000);

TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix);

实际上你可以自己更改的:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\

Tcpip\\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦

10. 删除默认共享

有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters: AutoShareServer类型是REG_DWORD把值改为0即可 11. 禁止建立空连接 默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:

Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 的值改成”1”即可。

一、先关闭不需要的端口

我比较小心,先关了端口。只开了33 21 80 1433(MYSQL)有些人一直说什么默认的33不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改

了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!

当然大家也可以更改远程连接端口方法: Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal

Server\\WinStations\\RDP-Tcp]

\"PortNumber\"=dword:00002683

保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!

还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\\\system32\\\\drivers\\\\etc\\\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。 二、关闭不需要的服务 打开相应的审核策略 我关闭了以下的服务

Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序 把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

在\"网络连接\"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--\"NetBIOS\"设置\"禁用tcp/IP上的NetBIOS(S)\"。在高级选项里,使用\"Internet连接防火墙\",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可

以屏蔽端口,这样已经基本达到了一个IPSec的功能。

在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。 推荐的要审核的项目是: 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 三、磁盘权限设置 1.系统盘权限设置 C:分区部分:

c:\\

administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) system 全部(该文件夹,子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹,子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性

创建文件夹/附加数据 读取权限

c:\\Documents and Settings

administrators 全部(该文件夹,子文件夹及文件) Power Users (该文件夹,子文件夹及文件) 读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹,子文件夹及文件) C:\\Program Files

administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹,子文件夹及文件) 读取和运行 列出文件夹目录 读取

Power Users(该文件夹,子文件夹及文件) 修改权限

SYSTEM全部(该文件夹,子文件夹及文件)

TERMINAL SERVER USER (该文件夹,子文件夹及文件)

修改权限

2.网站及虚拟机权限设置(比如网站在E盘)

说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理。

E:\\

Administrators全部(该文件夹,子文件夹及文件) E:\\wwwsite

Administrators全部(该文件夹,子文件夹及文件) system全部(该文件夹,子文件夹及文件) service全部(该文件夹,子文件夹及文件) E:\\wwwsite\\vhost1

Administrators全部(该文件夹,子文件夹及文件) system全部(该文件夹,子文件夹及文件) vhost1全部(该文件夹,子文件夹及文件)

3.数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。

4.其它地方的权限设置

请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。 下列这些文件只允许administrators访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe

cacls.exe format.com

5.删除c:\\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述。 四、防火墙、杀毒软件的安装

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice防火墙 五、SQL2000 SERV-U FTP安全设置

SQL安全方面

1.System Administrators 角色最好不要超过两个 2.如果是在本机最好将身份验证配置为Win登陆 3.不要使用Sa账户,为其配置一个超级复杂的密码 4.删除以下的扩展存储过程格式为:

use master

sp_dropextendedproc '扩展存储过程名'

xp_cmdshell:是进入操作系统的最佳捷径,删除 访问注册表的存储过程,删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE自动存储过程,不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 5.隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口

serv-u的几点常规安全需要设置下:

选中\"Block \"FTP_bounce\"attack and FXP\"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个\"PORT\"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。 六、IIS安全设置 IIS的相关设置:

删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:

ASP的安全设置:

http://www.knowsky.com/system.asp

设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令: regsvr32/u C:\\WINNT\\System32\\wshom.ocx del C:\\WINNT\\System32\\wshom.ocx

regsvr32/u C:\\WINNT\\system32\\shell32.dll

del C:\\WINNT\\system32\\shell32.dll

即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。

另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。 对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用! PHP的安全设置:

默认安装的php需要有以下几个注意的问题:

C:\\winnt\\php.ini只给予users读权限即可。在php.ini里需要做如下设置: Safe_mode=on register_globals = Off allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默认是on,但需检查一遍] open_basedir =web目录

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;] MySQL安全设置:

如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:

删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo

ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。

Serv-u安全问题:

安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。

更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist.比如在测试的时候ftp根目

录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。 七、其它

1.隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ Current-Version\\Explorer\\Advanced\\Folder\\Hi-dden\\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

2.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器; 3.防止SYN洪水攻击:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 新建DWORD值,名为SynAttackProtect,值为2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 4. 禁止响应ICMP路由通告报文:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\interface

新建DWORD值,名为PerformRouterDiscovery 值为0 5. 防止ICMP重定向报文的攻击:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 将EnableICMPRedirects 值设为0 6. 不支持IGMP协议:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 新建DWORD值,名为IGMPLevel 值为0

7.修改终端服务端口:

运行regedit,找到[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ Wds \\ rdpwd \\ Tds \\ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。

第二处HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。 8.禁止IPC空连接:

cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 把这个值改成”1”即可。

9.更改TTL值:

cracker可以根据ping回的TTL值来大致判断你的操作系统,如: TTL=107(WINNT); TTL=108(win2000);

TTL=127或128(win9x); TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。 10. 删除默认共享:

有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可 11. 禁止建立空连接:

默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:

Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 的值改成”1”即可。 12.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

13. 账户安全

首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不? 创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理

14.更改C:\\WINDOWS\\Help\\iisHelp\\common\\404b.htm内容改为这样,出错了自动转到首页。 15.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值

打开 %SystemRoot%\\Security

文件夹,创建一个 \"OldSecurity\"子目录,

将%SystemRoot%\\Security下所有的.log文件移到这个新建的子文件夹中

在%SystemRoot%\\Security\\database\\下找到\"Secedit.sdb\"安全数据库并将其改名,如改为\"Secedit.old\"

启动\"安全配置和分析\"MMC管理单元:\"开始\"->\"运行\"->\"MMC\",启动管理控制台,\"添加/删除管理单元\",将\"安全配置和分析\"管理单元添加上

右击\"安全配置和分析\"->\"打开数据库\",浏览\"C:\\WINNT\\security\\Database\"文件夹,输入文件名\"secedit.sdb\",单击\"打开\"

当系统提示输入一个模板时,选择\"Setup Security.inf\",单击\"打开\",如果系统提示\"拒绝访问数据库\",不管他,你会发现在\"C:\\WINNT\\security\\Database\"子文件夹中重新生成了新的安全数据库,在\"C:\\WINNT\\security\"子文件夹下重新生成了log文件,安全数据库重建成功。 16.禁用DCOM:

运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计

算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

第二步:

尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助! 堵住自动保存隐患

Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:

1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;

2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,

3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。

完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。

堵住资源共享隐患

为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤:

1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;

2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;

3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;

4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。

堵住远程访问隐患

在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:

1、点击系统桌面上的“开始”按钮,打开开始菜单;

2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;

3、在该界面中,用鼠标单击“远程”标签;

4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。

堵住用户切换隐患

Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:

在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。

堵住页面交换隐患

Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,

来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:

1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;

2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”;

3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。

图文实战 windows2003 web服务器配置

2006-02-22 10:10 来源:天极网 作者:yun_yan 【网友评论0条 发言】

0 点击分享

跟其它windows平台一样,windows2003同样可以采用第三方软件或系统自带IIS6.0两种方式架设WEB服务器;同时windows2003还有一个web版本,专用于基于web服务的各种web接口应用,功能极其完美。本文以系统自带IIS6.0为例,IIS6.0给我们带来了许多振奋人心的改变,在架设过程中我们慢慢的来了解。 一、IIS6.0概述

IIS 6.0在Windows2003服务器的四种版本“企业版、标准版、数据中心版和Web版”中都包含有,它不能运行在Windows XP、2000或NT上。除了本文开头介绍的Windows 2003 Web版本以外,Windows 2003的其余版本默认都不安装IIS;其跟以前IIS版本的差异也可谓很大,比较显著的就是提供POP3服务和POP3服务Web管理器支持。另外,在windows2003下的IIS安装可以有三种方式:传统的“添加或删除程序”的“添加/删除Windows组件”方式、利用“管理您的服务器”向导和采用无人值守的智能安装。 二、IIS6.0安装过程

我们还是采用熟悉的在控制面板里安装的方式进行,感觉此种方式比起在“管理你的服务器”窗口里安装要灵活一些。在控制面板里依次选择“添加或删除程序”的“添加/删除Windows组件”;双击“应用程序服务器”,再双击“Internet信息服务”,选中“万维网服务”(注:此选项下还可进一步作选项筛选,请根据自己需要选用,如图1所示),点确定即安装完成。

图1

三、配置IIS6.0

说明:本文所述配置重在一些注意事项或重要设置方面,即与以前IIS版本的比较设置;而对于具体配置一个完整的WWW服务流程不在重点关注之内,大家可以参阅相关文章。 1.同其它windows平台一样,此时默认Web站点已经启动了。但请大家注意,IIS6.0最初安装完成是只支持静态内容的(即不能正常显示基于ASP的网页内容),因此首先要做的就是打开其动态内容支持功能。依次选择“开始”-“程序”-“管理工具”-“inter信息服务管理器”,在打开的IIS管理窗口左面点“web服务扩展”;如图2所示,将鼠标所在的项“ASP.NET v.1.1.4322”以及“Active Server Pages”项启用(点允许)即可。

ASP .NET解释:这是新一代的 Microsoft 服务器端脚本环境。它提供一种新的编程模式和结构,使 Web 开发者能够构建和部署比以前更安全、更灵活、更稳定的企业类 Web 应用程序。

图2

2.实现WAP应用

WAP是Wireless Application Protocol,即无线应用协议。同时这也是一个开放的全球标准,可以使移动电话和其他无线终端的用户快速安全地获取互联网及企业内部网的信息及其他通信服务。配置路径在网站属性窗口的HTTP头下最后一个内容框“MIME类型”。点击右下角“MIME类型”后如图3所示,通过新建按钮来注册MIME类型,确定即可。

图3

注:如果IIS暂时还不支持WAP,那就到http://www.gmcc.net/wap/m3stp06.zip下载WAP浏览器并安装即可。 3.远程维护Web接口支持

即管理员可以远程进入IIS 6.0 Web接口的管理页面,这在管理维护方面是非常重要的一项功能。在前面所述的IIS安装步骤“选择万维网服务”一步时,双击“万维网服务”从中勾选“远程管理(HTML)”即可(注:要安装“远程管理”组件,你的windwos2003主分区必须是NTFS)。安装好之后即可在浏览器里输入(https://服务器名称或IP地址:8098)来访问IIS 6.0的Web接口管理页面,进一步进行诸如创建、编辑、删除服务器上的用户和组名单等操作。 除此之外,关于对网站的具体设置:比如身份验证和访问控制、启用网站内容过期控制、设定主目录路径及给予用户的访问权限等配置,由于以前在XP环境下的IIS详细配置资料已很齐全,故没有详述,请大家查阅相关资料。 四、相关设置问题解决。

虽然采用IIS6.0配置WEB服务同样简单,可还是有不少朋友或多或少的出些问题。以下是笔者对3个常见访问问题的搜集总结:

1. 现象:HTTP 错误 404 - 文件或目录未找到

分析解决:此类问题十分常见。原因是在IIS6.0中新增了“web程序扩展”这一项,而里面的很多服务默认都是禁止的,本文前面也提到过。直接在“web程序扩展”里启用“Active Server Pages”即可。

2. 现象:HTTP 错误 401.2 - 未经授权:访问由于服务器配置被拒绝

分析解决:造成此类的原因应该是身份验证设置的问题,一般将其设置为匿名身份认证就行了,这是大多数站点使用的认证方法。

3.现象:类似于 Server.MapPath() 错误 'ASP 0175 : 80004005' 的出错信息 分析解决:IIS6.0出于安全考虑,默认关闭了父路径(诸如../格式的语句),只需在“主目录-配置-选项”,将“启用父路径”勾选即可。

我们配置的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、 33终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。

关于常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了 网管网bitsCN_com

先说关于系统的NTFS磁盘权限设置,大家可能看得都多了,但是2003服务器有些细节地方需要注意的,我看很多文章都没写完全。 中国网管联盟www.bitscn.com

C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。 网管网bitsCN_com

中国网管联盟www、bitsCN、com

Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。

中国网管联盟www.bitscn.com

中国网管联盟www_bitscn_com

另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:\"只要给我一个webshell,我就能拿到 system\",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限。

中国网管论坛bbs.bitsCN.com

中国网管联盟www_bitscn_com

另外,还将:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。 网管联盟www.bitsCN.com

把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。 feedom.net

在\"网络连接\"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了 Qos数据包计划程序。在高级tcp/ip设置里--\"NetBIOS\"设置\"禁用tcp/IP上的NetBIOS(S)\"。在高级选项里,使用 \"Internet连接防火墙\",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。 ne.com

中国网管联盟www.bitscn.com

这里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

SERV-U FTP 服务器的设置:

一般来说,不推荐使用srev-u做ftp服务器,主要是漏洞出现的太频繁了,但是也正是因为其操作简单,功能强大,过于流行,关注的人也多,才被发掘出bug来,换做其他的ftp服务器软件也一样不见得安全到哪儿去。

当然,这里也有款功能跟serv-u同样强大,比较安全的ftp软件:Ability FTP Server

设置也很简单,不过我们这里还是要迎合大众胃口,说说关于serv-u的安全设置。

首先,6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的密码功能,其实在5.x版本里可以用ultraedit-32等编辑器修改serv-u程序体进行修改密码端口,6.0修补了这个隐患,单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的,两个月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit,正在网上火卖着,不过这种sniff的方法,同样是在获得 webshell的条件后还得有个能在目录里有\"执行\"的权限,并且需要管理员再次登陆运行serv-u administrator的时候才能成功。所以我们的管理员要尽量避上以上几点因素,也是可以防护的。 ne.com

另外serv-u的几点常规安全需要设置下:

选中\"Block \"FTP_bounce\"attack and FXP\"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个\"PORT\"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。

中国网管联盟www、bitsCN、com

网管网bitsCN_com

另外在\"Block anti time-out schemes\"也可以选中。其次,在\"Advanced\"选项卡中,检查 \"Enable security\"是否被选中,如果没有,选择它们。

中国网管联盟www_bitscn_com

中国网管联盟www.bitscn.com

IIS的安全: 中国网管论坛bbs.bitsCN.com

删掉c:/inetpub目录,删除iis不必要的映射 中国网管联盟www、bitsCN、com

首先是每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为www.315safe.com ,权限为guest的。

中国网管联盟www、bitsCN、com

网管网bitsCN.com

在IIS里的站点属性里\"目录安全性\"---\"身份验证和访问控制\"里设置匿名访问使用下列Windows 用户帐户\"的用户名密码都使用www.315safe.com 这个用户的信息.在这个站点相对应的web目录文件,默认的只给IIS用户的读取和写入权限(后面有更BT的设置要介绍)。 ne.com

feedom.net

在\"应用程序配置\"里,我们给必要的几种脚本执行权限:ASP.ASPX,PHP,

ASP,ASPX默认都提供映射支持了的,对于PHP,需要新添加响应的映射脚本,然后在web服务扩展将ASP,ASPX都设置为允许,对于 php以及CGI的支持,需要新建web服务扩展,在扩展名(X):下输入 php ,再在要求的文件(E):里添加地址 C:/php/sapi/php4isapi.dll ,并勾选设置状态为允许(S)。然后点击确定,这样IIS就支持PHP了。支持CGI同样也是如此。

中国网管联盟www、bitsCN、com

ne.com

要支持ASPX,还需要给web根目录给上users用户的默认权限,才能使ASPX能执行。 网管网bitsCN.com

中国网管联盟www_bitscn_com

另外在应用程序配置里,设置调试为向客户端发送自定义的文本信息,这样能对于有ASP注入漏洞的站点,可以不反馈程序报错的信息,能够避免一定程度的攻击。

中国网管联盟www.bitscn.com

中国网管联盟www_bitscn_com

在自定义HTTP错误选项里,有必要定义下譬如404,500等错误,不过有有时候为了调试程序,好知道程序出错在什么地方,建议只设置404就可以了。 中国网管联盟www.bitscn.com

IIS6.0由于运行机制的不同,出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池,应用程序池对于一般站点可以采用默认设置, 网管网bitsCN.com

中国网管联盟www_bitscn_com

可以在每天凌晨的时候回收一下工作进程。

中国网管联盟www_bitscn_com

网管网bitsCN.com

新建立一个站,采用默认向导,在设置中注意以下在应用程序设置里:执行权限为默认的纯脚本,应用程序池使用的名为:315safe的程序池。 中国网管论坛bbs.bitsCN.com ne.com

名为315safe的应用程序池可以适当设置下\"内存回收\":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没这个站点的性能的。

网管联盟www.bitsCN.com

在应用程序池里有个\"标识\"选项,可以选择应用程序池的安全性帐户,默认才用网络服务这个帐户,大家就不要动它,能尽量以最低权限去运行大,隐患也就更小些。在一个站点的某些目录里,譬如这个\"uploadfile\"目录,不需要在里面运行asp程序或其他脚本的,就去掉这个目录的执行脚本程序权限,在\"应用程序设置\"的\"执行权限\"这里,默认的是\"纯脚本\",我们改成\"无\",这样就只能使用静态页面了。依次类推,大凡是不需要asp运行的目录,譬如数据库目录,图片目录等等里都可以这样做,这样主要是能避免在站点应用程序脚本出现bug的时候,譬如出现从前流行的upfile漏洞,而能够在一定程度上对漏洞有扼制的作用。

网管网bitsCN.com

中国网管联盟www.bitscn.com

在默认情况下,我们一般给每个站点的web目录的权限为IIS用户的读取和写入,如图:

网管联盟www.bitsCN.com

网管网bitsCN.com

但是我们现在为了将SQL注入,上传漏洞全部都赶走,我们可以采取手动的方式进行细节性的策略设置。

1. 给web根目录的IIS用户只给读权限

然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞,入侵者也无法将asp木马写进目录里去,呵呵,不过没这么简单就防止住了攻击,还有很多工作要完成。如果是MS-SQL数据库的,就这样也就OK了,但是Access的数据库的话,其数据库所在的目录,或数据库文件也得给写权限,然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把,一旦你的数据库路径被暴露了,这个数据库就是一个大木马,够可怕的。其实完全还是规矩点只用mdb后缀,这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律,

这里用任意一个dll文件来解析.mdb后缀名的映射,只要不用asp.dll来解析就可以了,这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。

Win2003 IIS自带FTP服务器安装配置教程

IIS自带FTP服务器安装

Windows2003StandardEdition、Windows2003EnterpriseEdition、WindowsXPProfessional、Windows2000Server、Windows2000AdvancedServer以及Windows2000Professional的默认安装都带有IIS。在系统的安装过程中IIS是默认不安装的,在系统安装完毕后可以通过添加删除程序加装IIS。

IIS是微软推出的架设WEB、FTP、SMTP服务器的一套整合系统组件,捆绑在上列NT核心的服务器系统中。本文针对通过Windows2003IIS组件配合金万维g动态域名解析软件向互联网提供FTP服务。

第一步:安装Windows 2003 IIS中FTP组件

在控制面板的添加/删除程序——Windows组件向导——应用程序服务器——Internet信息服务(IIS)中选中“文件传输协议(FTP)服务”。如下图:

在选定需要安装的服务后安装向导会提示需要插入Windows 2003安装光盘,这时您插入安装盘按照提示进行安装,IIS中的FTP很快便自动安装完成。

第二步:配置FTP服务器 打开程序——管理工具——Internet 信息服务(IIS)管理器——FTP站点,(也可以在运行中输入INETMGR进入管理器)。

在IIS FTP组件中,FTP每一个站点只能对应一个端口、每一个站点只能对应一个全局目录。权限顺序可理解为 站点 >= 虚拟路径,如果需要建立匿名访问的FTP服务和需要认证的FTP服务,需要建立两个站点,使用两个不同的端口。

首先我们建立一个需要认证的FTP站点,让互联网登陆FTP服务时需要认证才能与FTP服务器取得信任连接。进入程序——管理工具——计算机管理——本地用户和组——用户。在这里新建一个用户aamm,不需要赋予任何权限,建立后即完成建立用户过程。

进入Internet信息服务(IIS)管理器默认FTP站点属性

在安全帐户中不选中“允许匿名连接”,否则任何人都可以通过FTP连接你的全局目录。在主目录中的FTP站点目录选择到对外服务文件目录的上级目录,如果你不想这个站点下的子站点有写入权限,那么写入权限不需要选中。如果此站点下有一个子站点需要有写入权限,那么全局站点FTP权限必须给予写入,如果你觉得不安全,那么可以把FTP目录数据转移到一个空的分区或者下级目录。例如aamm帐号对应D:\\aamm目录,那么FTP全局站点目录必须为D:\\。

现在,FTP服务接口已经向互联网服务,但实际上没有用户可以从你的FTP进入获得资源。我们需要把刚才建立的aamm用户对应到FTP目录。之前有很多朋友问,为什么微

软的FTP没有可以设置帐号的地方,只可以设置匿名或非匿名?其实是可以的,不过需要一点窍门。

右键FTP默认站点——新建——虚拟目录——虚拟目录别名输入aamm——选择aamm对应的访问目录并给予权限——完成实际上虚拟目录别名就是用户登陆名称,对应着用户表中的的用户。我们可以通过系统建立FTP用户来对应不同站点的FTP子站点目录。当然,一个用户是可以对应多个路径的,这点我们需要使用FSO权限进行控制。

下面我们可以开始测试FTP服务器。

在测试过程中为了方便使用Windows 2003自带的FTP命令进行测试。

测试成功,互联网上的访问者就可以直接在IE浏览器里面输入ftp://127.0.0.1就可以访问你的ftp了。

如何从运行 Windows Server 2003 的服务器开始运行 Windows Server 2003 的服务器成为网络的 DNS 服务器。第一步,为该服务器分配一个静态 Internet 协议 (IP) 地址。DNS 服务器不应该使用动态分配的 IP 地址,因为地址的动态更改会使客户端与 DNS 服务器失去联系。 第 1 步:配置 TCP/IP

单击开始,指向控制面板,指向网络连接,然后单击本地连接。 单击属性.

单击 Internet 协议 (TCP/IP)。,然后单击属性. 单击常规 选项卡。

单击使用下面的 IP 地址,然后在相应的框中键入 IP 地址、子网掩码和默认网关地址。 单击高级,然后单击 DNS 选项卡。 单击附加主要的和连接特定的 DNS 后缀。 单击以选中附加主 DNS 后缀的父后缀复选框。 单击以选中在 DNS 中注册此连接的地址复选框。

注意,运行 Windows Server 2003 的 DNS 服务器必须将其 DNS 服务器指定为它本身。如果该服务器需要解析来自它的 Internet 服务提供商 (ISP) 的名称,您必须配置一台转发器。在本文稍后的如何配置转发器 部分将讨论转发器。 单击确定三次。

备注: 如果收到一个来自 DNS 缓存解析器服务的警告,单击确定 关闭该警告。缓存解析器正试图与 DNS 服务器取得联系,但您尚未完成该服务器的配置。 第 2 步:安装 Microsoft DNS 服务器

单击开始,指向控制面板,然后单击添加或删除程序。 单击添加或删除 Windows 组件。

在组件 列表中,单击网络服务 (但不要选中或清除该复选框),然后单击详细信息. 单击以选中域名系统 (DNS) 复选框,然后单击确定。 单击下一步.

得到提示后,将 Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。

一、首先了解权限设置的方案

1、被授予权限的对象分用户和用户组两种

2、批量设置有两大方案,当设置某个目录的权限时,进入高级

I 可设置是否继承父级权限设置 (第一个勾)

II 可设置是否替换子目录及文件的权限设置 (第二个勾)

二、系统盘主要目录的权限设置 C:\\

只授予 System 和 Administrators 完全控制权限,删除其他用户或组,不替换子目录

C:\\Documents and Settings 仅继承父级,并替换子目录

C:\\Inetpub

删除之,不要使用该目录作为网站发布的目录。

C:\\Program Files 仅继承父级,并替换子目录

C:\\Program Files\\Common Files\\Microsoft Shared

删除继承并保留设置(在“高级”中取消第一个勾,再在弹出的对话中选“复制”) 添加 Users 组,只授予读取权限

将该目录的设置替换它的子目录(勾中第二个勾)

C:\\Windows 删除继承并保留设置

添加 Users 组,只授予读取权限 将该目录的设置替换它的子目录

(具体做法和上面 /Microsoft Shared 目录设置一样)

C:\\Windows\\Temp

添加 IIS_WPG、ASPNET、Network Services、Network 用户或组

授予完全控制权限,替换它的子目录

C:\\Windows\\Microsoft.NET\\Framework\\v1.1.4322\\Temporary ASP.NET Files 添加 Everyone,授予完全控制权限,将该设置替换它的子目录

三、其他盘的设置

C盘设置完成,其他盘均仅给 System 和 Administrators 授予完全控制即可。

网站发布目录授予IIS匿名用户读取访问权限。需要.NET权限的目录添加 IIS_WPG 组(或隶属于该组的某个用户),授予完全控制权限。

另外,还将:

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe,这些文件都设置只允许administrators访问。

regsvr32/u C:\\WINDOWS\\System32\\wshom.ocx del C:\\WINDOWS\\System32\\wshom.ocx regsvr32/u C:\\WINDOWS\\system32\\shell32.dll del C:\\WINDOWS\\system32\\shell32.dll Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-4445530001}] @=\"Shell Automation Service\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-4445530001}\\InProcServer32]

@=\"C:\\\\WINDOWS\\\\system32\\\\shell32.dll\" \"ThreadingModel\"=\"Apartment\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-4445530001}\\ProgID]

@=\"Shell.Application_hnboy.1\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-4445530001}\\TypeLib]

@=\"{50a7e9b0-70ef-11d1-b75a-00a0c905fe}\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-4445530001}\\Version] @=\"1.1\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-4445530001}\\VersionIndependentProgID] @=\"Shell.Application_hnboy\"

[HKEY_CLASSES_ROOT\\Shell.Application_hnboy] @=\"Shell Automation Service\"

[HKEY_CLASSES_ROOT\\Shell.Application_hnboy\\CLSID] @=\"{13709620-C279-11CE-A49E-4445530001}\" [HKEY_CLASSES_ROOT\\Shell.Application_hnboy\\CurVer] @=\"Shell.Application_hnboy.1\"

帐户登录 审核成功尝试:开 审核失败尝试:开 帐户管理

审核成功尝试:关 审核失败尝试:开 目录服务访问 审核成功尝试:关 审核失败尝试:开 登录 审核成功尝试:开

审核失败尝试:开 对象访问

审核成功尝试:关 审核失败尝试:关 策略更改

审核成功尝试:开 审核失败尝试:开 特权使用

审核成功尝试:关 审核失败尝试:开 过程追踪

审核成功尝试:关 审核失败尝试:关 系统

审核成功尝试:关 审核失败尝试:关

NAT概述

随着互联网的发展,电子政务的出现,越来越多的企业改变了传统的办公方式。于是,企业办公自动化系统的建立,企业网站的出现如雨后春笋般出现,企业员工的办公已不再受时空的局限,他们可以在任何时间,任何地点,只要能上因特网的地方都可以远程的连接上公司的网络进行办公。

在这种情况下,越来越多的企业将会面临着企业内部服务器的建立以及互联网接入技术的问题,而Windows Server 2003 Enterprise Edition为我们提供了一个快速而简洁的解决方案—利用网络地址转换(NAT—Network Address Translation)功能配置Internet访问。利用NAT,不仅能让公司的员工方面的访问因特网上的网站,也可以让外部的员工方便的通过因特网访问公司内部的服务资源。

网络地址翻译器是一种IP路由器,它能在转发信息包的时候,将IP地址转换成信息包的TCP或UDP端口号,把专用的IP地址转换为外部的公用IP地址。

你可以在公司内部使用未经注册的IP地址,而在与外部网络(如Internet)进行通信时,再将这些内部使用的未经注册的IP地址转换为少量的经过注册的IP地址,从而降低了IP地址注册的成本。同时,NAT也对外部网络隐藏了内部的IP地址,从而保护了你的网络免遭未经授权的访问。对于Internet来说,可见的IP地址就是运行NAT计算机的外部网络适配器的公有地址。

NAT的工作原理

Windows Server 2003的NAT功能其实类似于思科的PAT(Port Address Translation),现在介绍一下其工作原理:

通常情况下,作为NAT的服务器都具有两个网络适配器,一个用于连接外部网络(如Internet),一个用于连接公司内部的网络,因而,对于网络地址翻译器也分配了两种地址:内部专用IP地址和公用地址。

图一:Windows NAT工作原理图

图二:思科路由器PAT工作原理图

如图一、图二所示,当运行NAT的计算机从一台内部客户机接收到一个信息包的时

候,它把信息包的标题换掉,把客户机的端口号和内部IP地址转换成它自己的端口号和外部IP地址。然后它把该信息发送给Internet上的目的地主机,并把映像信息的踪迹记入一个表中,以便向适当的客户机发送回答信息。

在运行NAT的计算机从Internet主机收到回答信息时,它将再次替换信息包的标题,并对照映像表中的信息,把该信息包发给内部网络正确的客户机。

Windows Server 2003中的NAT路由协议为我们提供了如下的一些功能和好处:

1、利用NAT,多个用户能够利用一个单独连接,通过拨号上网和本地网络媒体访问Internet。

2、如果在你的网络上没有其它的服务器提供DNS和DHCP服务,则NAT可以提供这些服务。

3、利用NAT,你的Intranet上任何依负IP的设备(包括基于Windwos和基于非Windows的客户机)都能与Internet上的计算机进行通信,而无须安装其它附加的客户机软件。

NAT的配置

企业网络环境

公司网络利用了专用IP地址方案,最近申请了ADSL上网。你需要让所有公司内访问Internet的计算机都必须通过一个NAT服务器进行访问(在此例中,你公司的NAT服务器内部IP地址为10.0.0.1/24)。

一、在服务器上配置并启用NAT

1、以管理员身份登录到将要作为NAT服务器的计算机,在“管理工具”中打开“路由和远程访问服务”。

2、在控制台中,点击机器名,按鼠标右键,选择“配置并启用路由和远程访问”,将会出现配置向导。点击“下一步”按钮。

3、在“配置”页的可选择的服务列表中,选中“网络地址转换(NAT)”前面的单选框,然后单击“下一步”按钮。

图三:NAT服务器端配置

4、在“NAT Internet连接”页中,选择连接到Internet上网络适配器,并选中“通过设置基本防火墙来对选择的接口进行保护”,然后单击“下一步”按钮。

5、在“网络接口”页中,选择NAT服务器连接内网的网络适配器,然后单击“下一步”按钮。

6、按默认的选项完成配置。这时,在“路由和远程访问”控制台中可以看到“NAT/基本防火墙”协议已经添加成功。

二、配置NAT客户端

对内部所有需上网的客户端只须设置好网关和DNS即可。过程如下: 1、以管理员身份登录到网络上任一台工作站,打开“网上邻居”属性窗口。 2、选中客户机所使用的网络适配器图标(如本地连接),在“文件”菜单中选中“属性”,将会弹出网络适配器的属性对话框。

3、在“此连接所用的项目”列表中,选中“Internet协议(TCP/IP)”,单击“属性”按钮。

4、在TCP/IP属性中,将客户机的“默认网关”和“首选DNS服务器”均设置为NAT服务器的内部IP地址:10.0.0.1。

图四:NAT客户端配置

注:也可将NAT服务器同时作为内部DNS服务器,并设置转发功能,将不能解析的域名转发到互联上的DNS服务器。

如何从运行 Windows Server 2003 的服务器开始运行 Windows Server 2003 的服务器成为网络的 DNS 服务器。第一步,为该服务器分配一个静态 Internet 协议 (IP) 地址。DNS 服务器不应该使用动态分配的 IP 地址,因为地址的动态更改会使客户端与 DNS 服务器失去联系。 第 1 步:配置 TCP/IP

单击开始,指向控制面板,指向网络连接,然后单击本地连接。 单击属性.

单击 Internet 协议 (TCP/IP)。,然后单击属性. 单击常规 选项卡。

单击使用下面的 IP 地址,然后在相应的框中键入 IP 地址、子网掩码和默认网关地址。 单击高级,然后单击 DNS 选项卡。 单击附加主要的和连接特定的 DNS 后缀。

单击以选中附加主 DNS 后缀的父后缀复选框。 单击以选中在 DNS 中注册此连接的地址复选框。

注意,运行 Windows Server 2003 的 DNS 服务器必须将其 DNS 服务器指定为它本身。如果该服务器需要解析来自它的 Internet 服务提供商 (ISP) 的名称,您必须配置一台转发器。在本文稍后的如何配置转发器 部分将讨论转发器。 单击确定三次。

备注: 如果收到一个来自 DNS 缓存解析器服务的警告,单击确定 关闭该警告。缓存解析器正试图与 DNS 服务器取得联系,但您尚未完成该服务器的配置。 第 2 步:安装 Microsoft DNS 服务器

单击开始,指向控制面板,然后单击添加或删除程序。 单击添加或删除 Windows 组件。

在组件 列表中,单击网络服务 (但不要选中或清除该复选框),然后单击详细信息. 单击以选中域名系统 (DNS) 复选框,然后单击确定。 单击下一步.

得到提示后,将 Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。

安装完成时,在完成 Windows 组件向导页上单击完成 。 单击关闭 关闭添加或删除程序窗口。 第 3 步:配置 DNS 服务器

要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS,请按照下列步骤操作:

单击开始,指向程序,指向管理工具,然后单击DNS。

右击正向搜索区域,然后单击新建 区域。当“新建区域向导”启动后,单击下一步. 接着将提示您选择区域类型。区域类型包括:

主要区域:创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。

辅助区域:标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意,您无法修改辅助 DNS 服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。

存根区域:存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的 glue 主机 (A) 记录。Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。

新的正向搜索区域必须是主要区域或 Active Directory 集成的区域,以便它能够接受动态更新。单击主要,然后单击下一步.

新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同,或者是该名称的逻辑DNS 容器。例如,如果基于Active Directory 的域的名称为“support.microsoft.com”,那么有效的区域名称只能是“support.microsoft.com”。

接受新区域文件的默认名称。单击下一步.

备注: 有经验的 DNS 管理员可能希望创建反向搜索区域,因此建议他们钻研向导的这个 分支。DNS 服务器可以解析两种基本的请求:正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将 IP 地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域,您可以在创建原始正向记录时自动创建关联的反向记录。

如何移除根 DNS 区域

运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS 服务器首先查询它的高速缓存,然后检查它的区域记录,接下来将请求发送到转发器,最后使用根服务器尝试解析。

默认情况下,Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo 工具将服务器提升为域控制器时,域控制器需要 DNS。如果在提升过程中安装 DNS,会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此,您的 DNS 服务器在名称解析过程中并不使用转发器或根提示 。 单击开始,指向管理工具,然后单击DNS。

展开 ServerName,其中 ServerName 是服务器的名称,单击属性 ,然后展开正向搜索区域。

右击\".\" 区域,然后单击删除. 如何配置转发器

Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录,可以将请求发送给另一台 DNS 服务器,以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。 单击开始,指向管理工具,然后单击DNS。

右击 ServerName,其中 ServerName 是服务器的名称,然后单击转发器 选项卡。 单击DNS 域 列表中的一个 DNS 域。或者单击新建,在DNS 域 框中键入希望转发查询的DNS 域的名称,然后单击确定.

在所选域的转发器 IP 地址框中,键入希望转发到的第一个 DNS 服务器的 IP 地址,然 后单击添加.

重复步骤 4,添加希望转发到的 DNS 服务器。

单击确定. 如何配置根提示

Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%System32DNSCache.dns) 中。Windows 使用标准的 Internic 根服务器。另外,当运行 Windows Server 2003 的服务器查询根服务器时,它将用最新的根服 务器列表更新自身。单击开始,指向管理工具,然后单击DNS。 右击 ServerName,其中 ServerName 是服务器的名称,然后单击属性. 单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。 如何在防火墙后配置 DNS

代理和网络地址转换 (NAT) 设备可以对端口的访问。DNS 使用 UDP 端口 A 和 TCP 端口 53。DNS 服务管理控制台也使用 RCP。RCP 使用端口 135。当您配置 DNS 和 防火墙时,这些问题都有可能发生。

本校计算机中心机房共有计算机240台,已互连为局域网,希望访问校内资源时通过校园网接口,而访问外部资源时通过ADSL接口。

解决

Windows XP和Windows 2003都自带ADSL宽带拨号程序,这里只要使用Windows 2003的“路由和远程访问”程序稍加配置,就可搞掂一切。

1、前提

计算机一台(配置不用很高,只要能安装Windows 2003就行),安装有Windows2003操作系统,内插3块网卡,网卡1:连接内部局域网,IP:192.168.1.1,子网掩码:255.255.255.0,网关:空,DNS:空;网卡2:连接ADSL,IP:自动获取,DNS:自动获取;网卡3:连接校园网,IP:202.203.230.2,子网掩码:255.255.255.0,网关:202.203.230.1,DNS:202.203.220.2(假设校园网网段为202.203.220.0—202.203.230.0之间,DNS服务器为202.203.220.2);

2、服务器配置

Step1.单击“开始”—“管理工具”—“路由和远程访问”,启动配置向导;选择本地服务器,单击“操作”—“配置并启用路由和远程访问”。单击“下一步”,选择“自定义配置”—“下一步”;

复选“请求拨号连接(由分支办公室路由使用)”和“LAN路由”—“下一步”—“完成”,即可启动路由和远程访问。

Step2.选择“网络接口”,单击“操作”—“新建请求拨号接口”—“下一步”—“下一步”,选择“使用以太网上的PPP(PPPoE)连接”—“下一步”—“下一步”,弹出“协议及安全措施”选项,去掉所有钩选,单击“下一步”,输入ADSL帐号和密码,“下一步”—“完成”。

Step3.新建一批处理文件route.bat,并把其快捷方式添加到“开始”—“程序”—“启动”下,编辑route.bat内容如下:

cdroute delete 0.0.0.0

route add 192.168.1.0 mask 255.255.240.0 192.168.1.1

route add 202.203.220.0 mask 255.255.240.0 202.203.230.1

route add 202.203.221.0 mask 255.255.255.0 202.203.230.1

//(自行把校园网的IP段添加上)

route add 202.203.230.0 mask 255.255.255.0 202.203.230.1

3、客户机配置

TCP/IP配置如下:IP:192.168.1.x,子网掩码:255.255.255.0,网关:192.168.1.1,首选DNS服务器:当地ADSL域名服务器IP(可向ADSL提供商查询,如昆明电信的为:202.98.160.68),备用DNS服务器:202.203.220.2。此处的DNS设置非常关键,有的人会误把DNS设为:192.168.1.1。

总结

使用此方法实现宽带共享,可节约购买路由器的费用,几乎不占用服务器资源,且只要往服务器上加插网卡,就可任意扩张客户机数量或外部出口。我单位400多台计算机使用此种方法共享一条2MADSL宽带将有一年,运转非常稳定,每台计算机就象在使用一根2MADSL在上网,同时可以快速浏览校内资源,实现网上办公,何乐而不为!

单位的机器是局域网之后通过路由接入公网,本身也不具有公网IP,家中的机器是通过adsl上网路由上网,也不具公网IP。正好单位有一台在公网的服务器我可以控制,通过这个服务器可以搭建一个VPN虚拟局域网,把单位我用的机器和家里的机器都拨入这个VPN服务器,两台机器就处于一个虚拟局域网中了,在单位的机器上设置VSS数据库,然后共享,家里的机器通过虚拟局域网访问共享VSS数据库。

二 配置windows 2003 VPN服务器

服务器是Windows 2003系统,2003中VPN服务叫做“路由和远程访问”,系统默认就安装了这个服务,但是没有启用。

在管理工具中打开“路由和远程访问”

在列出的本地服务器上点击右键,选择“配置并启用路由和远程访问”。下一步

在此,由于服务器是公网上的一台一般的服务器,不是具有路由功能的服务器,是单网卡的,所以这里选择“自定义配置”。下一步。

这里选“VPN访问”,我只需要VPN的功能。下一步,配置向导完成。

点击“是”,开始服务。

看启动了VPN服务后,“路由和远程访问”的界面

下面开始配置VPN服务器

在服务器上点击右键,选择“属性”,在弹出的窗口中选择“IP”标签,在“IP地址指派”中选择“静态地址池”。

然后点击“添加”按钮设置IP地址范围,这个IP范围就是VPN局域网内部的虚拟IP地址范围,每个拨入到VPN的服务器都会分配到一个范围内的IP,在虚拟局域网中用这个IP相互访问。

这里设置为10.240.60.1-10.240.60.10,一共10个IP,默认的VPN服务器占用第一个IP,所以,10.240.60.1实际上就是这个VPN服务器在虚拟局域网的IP。

至此,VPN服务部分配置完毕。

三添加VPN用户

每个客户端拨入VPN服务器都需要有一个帐号,默认是windows身份验证,所以要给每个需要拨入到VPN的客户端设置一个用户,并为这个用户制定一个固定的内部虚拟IP以便客户端之间相互访问。

在管理工具中的计算机管理里添加用户,这里以添加一个chnking用户为例

先新建一个叫“chnking”的用户,创建好后,查看这个用户的属性,在“拨入”标签中做相应的设置,如图:

远程访问权限设置为“允许访问”,以允许这个用户通过VPN拨入服务器。

点选“分配静态IP地址”,并设置一个VPN服务器中静态IP池范围内的一个IP地址,这里设为10.240.60.2

如果有多个客户端机器要接入VPN,请给每个客户端都新建一个用户,并设定一个虚拟IP地址,各个客户端都使用分配给自己的用户拨入VPN,这样各个客户端每次拨入VPN后都会得到相同的IP。如果用户没设置为“分配静态IP地址”,客户端每次拨入到VPN,VPN服务器会随机给这个客户端分配一个范围内的IP。

四 配置windows 2003 客户端

客户端可以是windows 2003,也可以是Windows XP,设置几乎一样,这里以2003客户端设置为例。

选择程序――附件――通讯――新建连接向导,启动连接向导

、设置VPN服务

实现VPN的方式非常多,用带VPN功能的路由器或用Linux、windows操作系统等,在windows系统下用双网卡建立VPN服务器更容易实现、但要增加一块网卡。介绍这方面的内容很多,不再赘述。本文介绍的是在windows 2003中用单网卡来实现。下面介绍实际实现过程,首先是在192.168.0.2这台机器上配置VPN服务。

选择\"开始\"'\"所有程序\"'\"管理工具\"'\"路由和远程访问\"。

设置过程如图2至图9所示,出现图10界面就完成了单网的VPN服务器端的设置,这里特别指出的是用单网卡一定要在图6处选择\"自定义配置\",否则就进行不下去了。

图2

图3

图4

图5

图6

图7

图8

图9

五、从客户端连接到VPN服务器

1、新建有拨入权限的用户

要登录到VPN服务器,必须要知道该服务器的一个有拨入权限的用户,为了讲得更明白,下面在该VPN服务器上新建个用户并赋予该用户拨入的权限,过程如图11至图12是建立一个用户,图13是给这个用户远程登录的权限,一定要在\"远程访问权限\"处选择\"允许访问\",不然就无法登录了。

图11

图12

图13

图14

、在本机测试连接

在远程连接到VPN服务器之前,最好先在VPN服务器的本机测试一下,测试过程如下:

鼠标右键\"网上邻居\",如图14,点击\"新建连接向导\",按图15至图21的步骤建立连接,因为现在做的是本机的测试,所以其中图18中的IP地址为本机的地址,图21中的用户dzq就是我们刚才新建的用户。出现图22的连接图标表示连接成功。这样就可以进行远程连接测试了。如果此时用ipconfig /all看网卡状态,就会看见三个网卡,其中一个IP地址为192.168.0.2的就是本机网卡,另外两个是刚才做本机测试时建立的,它们的IP地址为169.x.xx . xxx .. xxx,这是VPN默认的IP地址,是正常的,不用管它。

图15

图16

图17

图18

图19

图20

图21

图22

3、远程连接前准备

在远程连接之前要做好两个准备。

第一要获得VPN服务器接入Internet的公共IP地址,如果是分配的静态IP,那就简单了,如果是动态IP,那必须在远程能随时获得这个IP地址,本例如图1,192.168.0.2这台机器的公网IP实际上就是ADSL猫接入Internet时,是ISP给自动分配的,获得动态IP的方法请参考拙作《获取动态IP地址的几种方法》。

第二要做个端口映射,从图1的拓扑可以看出,本例是通作在ADSL猫中通过NAT转换接入Internet的,通过这种方式一定要在ADSL中作端口映射,由于windows 2003的VNP服务用的是1723端口,所以如图23,将1723端口映射到192.168.0.2这台设有VPN服务的机器。如果用的是直接拨号,那在防火墙中将这个端口放开就行了。

4、远程连接

上面的服务器中的测试完成后,就可以在家中进行远程连接了,其过程和在本机连接测试的过程一样,如图14至图21所示,在实际连接时到图18这一步时,输入VPN服务器所在的公网IP就行了。

实际应用中我是按照图1的拓扑连接的,连接很顺利,但遇到一个问题,在家通过VPN连入单位的机器后,和单位的机器通信完全正常,但不能正常上网。用route print检查路由(如表1所示)发现有两个到目标0.0.0.0的路由,网关一个是本来的网关192.168.1.1,一个是建立VPN后的网关169.2.101.219,这样在访问Internet网络时就有问题了。

解决的办法:

删除接入VPN后的路由,命令如下所示:

C:\\>route delete 0.0.0.0 mask 0.0.0.0 169.2.101.219

加一条指向VPN服务器所在网络的路由,本例(如图1)VPN服务器的地址为192.168.0.2,所以只要将到192.168.0.0这个网络的指向VPN的地址169.2.101.219就行了。

C:\\>route add 192.168.0.0 mask 255.255.255.0 169.2.101.219 、几点说明

1)、建立完VPN连接后,两台电脑的VPN的IP地址都是169.0.0.0中的地址,好像不能修改,但这并不影响使用,如图1建立连接后,在192.168.1.10这台电脑中ping 192.168.0.2是通的,也就是说要访问这台机器的资源,只要用192.168.0.2这个地址就行了。就像在局域网中一样。

2)、做为VPN服务器的这台机器的安全设置,如果没有特殊需要很多服务完全可以在局域网内,例如FTP服务只允许192.168.0.0网内的电脑访问。这样只要把VPN的安全做好就行了。换句话说,以本例来说,192.168.0.2这台机器访问Internet时是通过NAT地址转换,如果在ADSL猫中不做端口映射,从Internet的其它电脑上是看不到这台机器的,本例只做了VPN服务的1723端口的映射,虽然本机开了很多的服务,开放了很多端口,但这些都是对局域网开放的,要想从Internet访问这台机器,只有先建立了VPN才能访问其它的资源。只做一个服务的安全总比做许多服务的安全要容易些。VPN服务器有许多安全设置,以后再探讨。

3)、建立完VPN连接后,可以通过WWW、FTP互相访问,也可通过终端服务等登录到这台机器上,进而访问局域网中的其它电脑。图24就是192.168.1.10在建立完VPN后直接利用远程桌面连接,登录到192.168.0.2的机器上的登录界面。

图25

这里选择第二项“连接到我的工作场所的网络”,这个选项是用来连接VPN的。下一步。

选择“虚拟专用网络连接”,下一步。

在“连接名”窗口,填入连接名称szbti,下一步。

这里要填入VPN服务器的公网IP地址。

下一步,完成新建连接。

完成后,在控制面板的网络连接中的虚拟专用网络下面可以看到刚才新建的szbti连接

在szbti连接上点击右键,选“属性”,在弹出的窗口中点击“网络”标签,然后选中“internet协议(tcp/ip)”,点击属性按钮,在弹出的窗口中再点击“高级”按钮,如图,把“在远程网络上使用默认网关”前面的勾去掉。

如果不去掉这个勾,客户端拨入到VPN后,将使用远程的网络作为默认网关,导致的后果就是客户端只能连通虚拟局域网,上不了因特网了。

下面就可以开始拨号进入VPN了,双击szbti连接,输入分配给这个客户端的用户名和密码,拨通后在任务栏的右下角会出现一个网络连接的图标,表示已经拨入到VPN服务器。

一旦进入虚拟局域网,客户端设置共享文件夹,别的客户端就可以通过其他客户端ip地址访问它的共享文件夹。

五 配置VSS

VSS是在一台机器上配置VSS数据库,把数据库的文件夹设置共享,局域网内别的机器可以访问到这个共享文件夹,就可以从源代码数据库中打开项目。

配置好VPN后,客户端之间就是相当于在局域网内,VSS的设置就跟局域网内一样的设置,VSS具体的设置过程这里就不详述了,有需要了解这部分内容的朋友可以参考我以前的一篇关于VSS设置的文章 该

http://www.pc51.net/system/windows/windows2003/2007-01-25/5692.html

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文

Copyright © 2019- sarr.cn 版权所有 赣ICP备2024042794号-1

违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务