win2k安装以及安全配置.docx
《win2k安装以及安全配置.docx》由会员分享,可在线阅读,更多相关《win2k安装以及安全配置.docx(21页珍藏版)》请在冰豆网上搜索。
win2k安装以及安全配置
Windows2000安装以及安全配置
Windows2000安装以及安全配置1
概述2
windows2000的安装3
1.安装方式3
2.开始安装(选择第一种安装方式)3
windows2000中的终端服务6
终端服务的安全配置7
1.配置一个占用资源较少的服务器7
2.配置一个安全的服务器11
终端服务器的性能19
1.TerminalServices主目录19
2.管理用户配置文件20
3.监视性能21
网络配置23
1.DHCP(动态主机配置)23
2.DNS(域名解析)23
概述
Windows2000原定名为WindowsNT5.0,后改为Windows2000。
Windows2000在人们千呼万唤的期待中正式发布了英文版(支持多国语言系统,包括中文),中文版也已推出。
在Windows2000Server中,TerminalService是其中的一项服务,安装时可以选择安装,但这一点对终端用户来说确是至关重要的,这表明微软的Windows操作系统经历“单任务”、“多任务”,发展到了“多用户”阶段,这是Windows系统技术的巨大的飞跃,这使得Windows2000与Unix在企业级市场的竞争中,增加了自己的分量。
集Windows良好的被广泛熟知的用户界面,大量丰富的Windows开发工具,众多软件硬件厂商的支持,及自身性能的提高,可以预见Windows2000将与Unix在企业级,特别是中小型的企业级的服务器市场上,展开激烈竞争。
Windows2000体系包含以下四个版本,Windows2000Professional(台式机和便携式PC的主要操作系统)。
Windows2000Server(主要面向部门级服务器主流市场)、Windows2000AdvancedServer(面向中小型企业市场)和Windows2000DataCenterServer。
大体来说,Windows2000在以下十个方面进行了重大改进:
ActiveDirectory、安全性、TerminalService、ApplicationInstallService、磁盘管理、层次存储管理、Microsoft管理控制台(MMC)、64GB内存限制、磁盘配额管理和通讯和网络服务。
windows2000的安装
1.安装方式
(1)如果你的机器支持CD-ROM启动,选择CD-ROM安装是最简单的,将Windows2000Server安装盘放入CD-ROM驱动器,然后进入CMOS菜单选择从CD-ROM启动,保存后退出,Windows2000Server安装程序能够自动识别检测你机器上安装的原有的系统,按照提示操作即可。
(2)在Windows9.x/NT下,将Windows2000Server安装盘放入CD-ROM驱动器,盘中的autorun文件会自动运行(如果你没有把计算机的自动播放功能关掉的话),然后出现安装程序的初始窗口,选项有安装Windows2000、安装附加组件、浏览该CD等选项,选择安装Windows2000,然后按照提示操作。
(3)在MS-DOS操作系统或Windows3.x下,进入安装盘根目录下的I386子目录,执行Winnt.exe命令,然后Windows2000开始安装,以后同上。
(4)网络安装。
从网络安装Windows2000。
2.开始安装(选择第一种安装方式)
首先,将计算机设置为光驱启动,将Windows2000光盘放入光驱。
当屏幕出现“PressAnyKeytoBootfromCD"时敲空格键。
计算机进入装载程序阶段。
此时勿按任何键,直至出现“安装程序通知”字样。
(此过程中间会有短暂黑屏,时间长短因机器性能而定)出现“安装程序通知”字样时,按回车键开始安装。
出现“欢迎使用安装程序”时,再按回车键。
出现“Windows2000许可协议"时,按F8.如果机器原来装有NT4.0或其他系统,会有一屏出现现有操作系统的选择。
此时按ESC键。
出现有关服务器磁盘分区情况表,如果已经有分区,可以用“↑”、“↓”键选择Windows2000安装的驱动器;如果要重新分区,按“D”键删除所选分区,再按C键产生新分区。
选出所用的分区,按“回车”。
(如果是原有分区,当空间不够时,系统会询问,按“C”键。
)现要求格式化信息,选择“用NTFS格式格式化磁盘”,按回车键。
系统会自动格式化磁盘,然后进行文件拷贝,时间长短视机器性能而定。
然后进行重启。
重新启动时,不要按任何键。
系统会自动进入安装界面。
出现安装界面,点击“下一步”,系统自动进行安装。
系统自动监测计算机设备,此过程无需干涉。
出现“区域设置”时,可以根据自己的区域进行设置(一般不需修改),单击“下一步”。
输入公司和部门的名称后,单击“下一步”。
“授权模式”菜单出现后,选择“每服务器同时连接数”,输入允许连接的终端数。
“计算机名和系统管理员密码”,输入服务器名字和管理员密码。
(此项以后也可以再设)出现“Windows2000组件”菜单时,一定要选中最后两项:
“终端服务”和“终端服务授权”。
设置正确的时间。
出现设置服务器的模式时,有两个选择,“应用程序服务器模式”和“远程管理模式”,一定要选择“应用程序服务器模式”,如果选择“远程管理模式”仅仅允许两个以超级用户登陆的用户使用。
然后系统安装网络组件,当出现“网络设置”界面时,选择“自定义设置”进行手工设置服务器IP及网络属性。
选中“Internet协议(TCP/IP)”,点击“属性”。
再弹出菜单中选中“使用下面的IP地址”,输入计算机的IP地址。
配置完成后,点击“下一步”。
在“工作组或计算机域”中,填入服务器所处的工作组或域名,单击“下一步”。
系统进入自动安装,注册,最后自动重新启动。
自此,Windows2000安装结束。
如果使用windows终端,需要重新进行如下配置:
点击“开始”键,进入“程序”菜单下的“管理工具”中的“终端服务配置”。
当菜单弹出后,双击“连接”文件夹,点中“RDP--TCP”条目,点鼠标右键,选择“属性”,弹出属性菜单后,选择“权限”,点击“添加”,在“名称”栏中选中“users”项,在击中“添加”,然后“确定”(之后要等半分钟左右,此期间无相应),回到“RDP-TCP属性”栏后,选中“users”项,在“权限”栏中选中“用户访问”,然后确定即可。
如果终端采用ICA连接,需要安装Metafram。
安装过程按系统提示点击“下一步”即可。
当安装完成后,需要为终端用户开账户,步骤如下:
在“管理工具”中选择“计算机管理”,双击“系统工具”,在出现菜单后在双击“本地用户和组”,选中“用户”文件夹,点击右键,选择创建用户。
创建完用户后,双击“用户”,在展开后,选中新加的用户,双击。
点击“配置文件”,在“本地路径”栏中,填入此用户的个人目录(一般可将其设在数据盘上,用来给用户使用)。
注意:
“配置文件路径”栏不要添。
然后在“终端服务配置文件”项的“本地路径”栏种填入刚才的个人目录。
windows2000中的终端服务
windows2000的管理工具都可以管理终端服务器,终端服务专用的管理工具还有:
∙终端服务管理器
∙终端服务配置
∙本地用户和组管理
∙组策略选项
∙终端服务许可
∙系统监视计数器
∙加强的任务管理器
∙客户创建
∙客户连接管理器
∙适应多用户的“添加/删除”
∙管理终端用户命令集
Windows2000终端服务融和了Citrix公司MetaFrame部分功能,对采用RDP协议的Windows终端给予了更强的支持,主要有:
∙打印机重定向,支持本地打印
∙会话远程控制,相当于MetaFrame的会话影射
∙剪切板重定向
∙BitmapCaching
∙网络负载平衡,与Citrix的负载平衡不同(AdvancedServer和DataCenterServer)
∙Windows终端和W2K之间加密传输
Windows2000Server的终端服务是一项重要的技术,对于那些有很多分支机构或希望替代原有旧的PC和字符终端的企业用户,终端服务将帮助我们增强网络系统的可管理性、维护性、安全性,提高网络整体的运行效率,在以后一段时间,终端服务的重要性
会逐渐显现出来。
终端服务的安全配置
Windows2000服务器操作系统,是一个多用户、多任务的操作系统,提供了一个战略性的功能,终端服务功能,用户通过Windows终端登陆到服务器上,共享服务器上的资源,在这样一个完全共享的使用环境中,安全问题便显得特别的重要了,如何搭建一个安全高效的服务器器,为每个用户分配不同的权限,便是系统管理员的一个重要的工作内容了。
Windows2000操作系统引入了活动目录,服务器可以为主域控制器,备份域控制器,可以有多个服务器组成树、森林,但是做为终端服务器时,出于对资源占用的考虑,每个终端登陆到服务器,单单启动一个桌面,不运行其他任何的应用程序,便需要占用8-10M的内存,而作为域控制器,需要承担一系列的指责——维护活动目录;鉴别用户;提供权利访问全局目录;为DHCP、WINS等客户请求服务,需要占用相当的资源,用户希望能够在终端模式下,一台服务器可以带动尽可能多的终端,同时又能够满足正常的使用,所以最好不要将服务器器配置成为域控制器模式,而是设置成为独立服务器模式,在这里我们主要讨论在独立服务器模式下,作为终端服务器的操作系统的安全配置。
1.配置一个占用资源较少的服务器
1、安装尽可能少的组件。
Windows2000是个功能强大的操作系统,提供了许多的功能,而在实际的应用中,并没有用到,特别在企业用户、学校的使用中,可能只是用到了很少的一些功能,安装尽可能少的功能,便可以消耗比较少的资源,同时也减少了安全的漏洞,系统也更安全了,在安装Windows2000时,安装尽可能少的组件,如果没有特殊的需求,只需要安装终端服务和终端服务授权便可以了,其他的组件都不需要安装了。
2、安装尽可能少的应用程序
终端服务器作为公共资源,是终端、服务器网络模式中的核心部件,用户选择终端模式,便是看中了该模式的维护方便、安全、无需要升级和它在老旧机器改造中的作用,该模式对于使用游戏是不合适的,主要是用来工作和学习用的,作为网络的核心,在服务器上安装工作、学习必须的应用软件,尽量不要在终端服务器上安装游戏软件和没有使用的应用软件,以防止计算机病毒的感染,提高安全性,同时应用软件安装后即使没有使用,大部分都会增大服务器资源的消耗量。
3、启动尽可能少的服务
Windows2000作为一个通用的后台操作系统,提供了许多的服务,在实际中很多都没有使用到,可以把这些没用的服务停止了,比如在学校,主要用户教学的,如果没有用到打印机,便可以把打印服务PrintSpooler停止,终端可以采用静态IP方式,也可以采用DHCP的方式从服务器上分配到IP地址,如果采用静态IP,便可以把DHCPServer服务停止了,作为服务器,IP地址一般是固定分配的,可以将DHCPClient服务停止,如果服务器不是DNS服务器,便可以将DNSServer服务停止了,具体的方法是使用超级用户登陆,在开始->程序->管理工具->服务,看看有哪些服务是处于启动状态,并且是没有用的,便可以停止该服务,并且将该服务设置为手动启动了,当然了,除非对停止的服务很有把握,是肯定没有用的,不然还是别去停止,虽然可以节省一些内存、CPU资源。
4、设置终端连接的属性
Windows2000提供了终端服务,终端可以通过RDP、ICA协议与服务器相连,在缺省的情况下,终端与服务器之间建立了一条连接,该连接对应服务器上一组运行的进程,直到终端用户注销了,才将对应的进程删除,如果仅仅是“中断”和用直接关电源的方式强行关终端,那么在服务器上的进程不会删除,在服务器上占用了大量的资源,也即在服务器上有大量的死进程,这些进程的存在带来了两个问题,一个是在服务器上占用的大量的CPU、内存资源,另外是增加了不安全的隐患,因为这些进程一直存在在服务器上,下次终端用户如果也用相同的用户帐号登陆,那么将直接进入到断开的位置,如果由于系统管理员的疏忽,存在有多个用户共用一个帐号的情况,那么便有可能发生安全隐患,比如用户登陆到服务器上,运行金融、财务的软件,这些软件进入时每个人还有自己的软件帐号,如果使用者没有退出这些软件便强行关机了,那么下个使用相同的登陆帐号的用户,一登陆到服务器上,便直接进入上个用户的金融、财务软件的界面,这是非常危险的,当然如果每个用户都有自己的帐号,安全上是没有什么,但也会占用资源,解决的方法是恰当地设置终端连接的属性。
用系统管理员的身份登陆,运行开始->程序->管理工具->终端服务配置,点击连接,将出项RDP、ICA连接,双击您终端采用的连接方式的条目,出现如下的对话框,选择会话属性。
如下图对应设置的意思是:
如果一个断开的连接达到了15分钟,将自动注销该终端连接,如果一台终端有30分钟没有任何地操作,也自动注销该终端连接。
同时也可以设置如下文说的:
在关机一栏中,如果是终端用户,那么只有注销一项,将断开项目隐藏起来,那么用户便没办法使用正常的断开功能了。
如果没有在终端上使用打印机设备,也可以在客户端设置中将打印机映射、LPT端口映射、剪贴板映射禁用,可以为每个登陆的进程节省部分的内存。
如果有50个用户登陆到服务器,每个用户节省1M,也可以达到50M的内存空间,在多用户模式下,如果每个应用软件都能节省一些内存空间,那么许多用户同时使用时,节省的内存空间也是非常可观的。
采用这些方法安装的Windows2000Server简体中文版本,开机登陆一个用户进去,运行性能查看器,仅仅消耗了59兆的内存空间。
2.配置一个安全的服务器
在Windows2000操作系统中,用户从终端登陆到服务器上时,缺省的界面为桌面方式,用户可以看到服务器上的绝大部分资源,可以随意的使用硬盘空间,直到硬盘空间全部被用光为止,也可以运行服务器上的绝大部分的应用软件,可以删除一些敏感的文件,如何才能配置一个安全的服务器,分配给用户合适的权限,限制对一些资源的支配呢?
✧文件系统的选择
1、Windows2000操作系统支持多种文件系统格式,对NTFS、FAT、FAT32格式都可以很好的支持,如果不是安装了多个操作系统,有必要考虑多个操作系统之间的文件系统的兼容性,或者仅仅是安装Windows2000,强烈建议将磁盘都格式化成为NTFS格式,NTFS的安全性极高,事实上是大多数微软网络的标准。
2、在NTFS该格式下,可以创建超过2000G的磁盘分区,并且对于磁盘空间的浪费最少,最重要的是可以为每个目录设置安全属性,设置目录的访问权限,有完全控制、修改、读取及运行、列出文件夹目录、读取、写入等等权限,在高级中还有更多的权限设置,为目录设置每个用户的访问权限,大大提高了整个系统的安全性。
只有通过选择NTFS作为文件系统,才能使用诸如ActiveDirectory和基于域的安全性等重要功能,
3、在NTFS格式下,既可以建立全局磁盘配额,对每个用户均起限制,也可以单独设置特殊用户的磁盘限额,限制用户对磁盘空间的使用,比如可以对普通的用户分配50M的磁盘空间,超过了50M便没法向磁盘中写数据了,在多用户系统下,为用户建立磁盘配额,防止硬盘被恶意使用,可以大大提高整个系统的整体可靠性。
4、在FAT、FAT32格式下,可以采用一张DOS启动盘,便可以对系统中的文件进行任意的操作了,如果采用NTFS格式采用DOS、Windows95/98启动是无法访问的,是看不见用NTFS格式化的磁盘分区的,数据不容易被拷贝走,有许多的计算机病毒只能感染FAT、FAT32格式的系统,对NTFS是无能为力的,比如CIH病毒便无法破坏NTFS的文件系统。
✧如何规划硬盘空间
在终端服务器的模式下,该采用哪种硬盘,采用多大的硬盘空间,硬盘的分区如何分配,回答这个问题,需要结合具体的应用来考虑,比如该终端服务器需要带动几个终端用户,在服务器上需要安装哪些应用软件,应用软件的存储的模式,应用软件占用磁盘空间的大小。
硬盘在接口上,主要有IDE接口和SCSI接口和光纤通道三种,光纤通道目前由于价格原因使用极少,作为服务器,尽量采用SCSI接口的硬盘,因为该接口每个SCSI链上可以支持多达7个以上的SCSI设备,并且存取的速度更快,也即磁盘吞吐率比较高,所有的终端用户都共享硬盘空间,速度快当然更好了。
采用SCSI接口的硬盘,可以增加存储能力、访问速度和可靠性。
硬盘空间大小的选择,一个有50个终端用户的服务器,为每个用户分配100兆的磁盘空间,便是5G,安装Windows2000本身需要将近1G的空间,还有一个为内存空间1.5倍的磁盘交换区,一个1G内存的服务器,磁盘交换文件pagefile.sys便达到1.5G,再安装一些应用软件,硬盘空间还是大一点为好。
以上的使用区域都在系统分区中,所以一台带50个终端用户,1G内存的服务器,建议系统分区的不小于8G。
✧文件系统权限的设置
Windows2000缺省的文件系统为NTFS,在NTFS文件系统下,每个目录、文件都可以设置对应的访问权限、级别。
1、文件夹许可权
Windows2000为每个文件夹提供了6个标准的访问许可权,在需要设置权限的文件夹,点击鼠标右键,在属性中的安全一项便可以设置了。
目录在是一种树形结构,目录下还有子目录,Windows2000中可以设置目录的权限是否需要继承上级目录的权限,如果允许继承,那么父目录设置的权限,便会影响子目录的权限了,在高级一项“重置所有子对象的权限并允许传播可继承权限”,便是对该目录下有设置“允许将来自父系的可继承权限传播给该对象”属性的所有的子目录和所有文件以及子目录中的文件,进行权限的重新设置。
将在该目录设置的权限传播给它的子对象。
许可权
描述
列出文件夹目录
允许用户察看文件夹的目录
读
允许用户察看文件夹的目录、许可权、所有关系、属性
读和执行
允许用户遍历文件夹以及读许可权和列出文件夹目录允许的动作
修改
允许用户删除目录以及读和执行许可权写许可权所允许的操作
写
允许用户生成文件和子文件夹,改变文件夹属性,察看文件夹属性、所有关系
完全控制
允许用户改变文件夹所有关系、删除文件和子文件夹。
也包括其余许可权所允许的操作
2、文件许可权
为每个文件提供了5个标准的访问许可权,“文件许可权”限制用户对某些文件的访问层次,比如注册表编辑器regedit和regedt32,缺省的任何用户都可以运行,来察看注册表,如果想只有系统管理员才能运行,普通用户不想他运行注册表编辑器,便可以将其对应权限删除。
将鼠标点到该文件上,右键菜单中的属性项的安全栏,可以看出users组的用户也有读取和运行的权限,可以将users组删除,那么普通用户登陆到服务器上,便没有办法运行regedit注册表编辑器了,可以采用这种方法对一些敏感的程序进行设置。
许可权
描述
读
允许用户读文件和列出文件的许可权、所有关系、属性
读和执行
允许用户执行文件,也包括读许可权所允许的动作
写
允许用户重写文件、列出文件的许可权、所有关系以及改变文件属性
修改
允许用户删除和修改文件,也包括读和执行以及写许可权所允许的操作
完全控制
允许用户改变文件所有关系,也包括其余许可权所允许的操作
Windows2000安装后,在系统分区中至少有三个可见目录WINNT、DocumentsandSettings、ProgramFiles,WINNT目录下是操作系统的系统文件目录,ProgramFiles目录下是IE浏览器、Outlook等应用软件,其他的应用软件安装时也缺省的安装在该目录下,DocumentsandSettings目录下存储了每个登陆用户的基本信息,比如用户自己的桌面设置,各自的应用程序,每个用户自己的“我的文档”,在该目录下每个用户都有一个与自己登陆名字相同的目录,其中有一个目录为AllUsers的目录中存放的文件是所有登陆的用户公共的配置部分,公共的应用程序组等。
对DocumentsandSettings\AllUsers目录的设置,可以有显著的成效,比如Windows2000安装后,在开始菜单的程序中,所有用户登陆到服务器上都有管理工具一项,现在想只有系统管理员可以运行管理工具,而其他的用户不能运行管理工具,可以用管理员身份登陆到服务器上,进入到DocumentsandSettings\administrator\「开始」菜单\程序,建立一个目录“管理工具”,再将DocumentsandSettings\AllUsers\「开始」菜单\程序\管理工具下的所有项目拷贝到刚才建立的目录下,并且将DocumentsandSettings\AllUsers\「开始」菜单\程序\管理工具下的所有项目都删除,那么现在只有系统管理员才能看到管理工具的具体项目了,而其他的用户都没法运行管理工具中的程序了,对需要运行的用户,将对应的软件拷贝到该用户的DocumentsandSettings\%UserName%\「开始」菜单\程序\下,同样的道理,可以通过这种方式,设置每个用户的开始菜单,桌面的项目等。
✧组策略设置
Windows2000有完善的设置,可以通过MMC(微软管理员控制台),定制符合需求的操作系统,在命令提示符状态运行MMC,启动管理控制台,添加/删除管理单元,在配置服务器方面,比较常用的是“组策略”,添加“组策略”,选择“本地计算机”。
添加后的界面如下:
在控制台上选择保存,将它保存成为组策略,保存到管理工具中,系统管理员以后便可以在管理工具中直接运行组策略了。
以下列出比较有用的一些设置策略:
计算机配置->管理模板->系统项:
1、删除【开始】菜单的“安全性”选项(只用于终端服务)
启动便将开始菜单处的设置菜单中的“终端安全性”项目屏蔽掉了。
2、从【开始】菜单删除中断连接项目(只用于终端服务)
终端用户登陆到服务器上,如果为普通用户便有注销、断开两个选项,如果用断开,则进程仍然存在服务器上,下次该用户再次登陆时,继续从断点运行程序,如果为比较多的用户都采用断开,则这些用户没有连接到服务器上时,已经在服务器上消耗了相当多的内存、CPU资源,启动该项,则用户只能注销,不能选择断开。
3、停用自动播放
启动该项,当光盘放入光驱便不会自动播放。
用户机配置->管理模板->Windows组件->Windows资源管理器:
1、隐藏“我的电脑”中这些指定的驱动器
隐藏了指定的驱动器,在桌面上和在资源管理器中,便看不到被隐藏的驱动器了。
防止用户随意的访问驱动器。
2、禁用Windows资源管理器的默认上下文菜单
启动该项,在桌面上点击右键,便不会出现右键菜单,即没法改动“我的文档”的路径,“我的电脑”的属性等,网上邻居的属性,网络的IP地址、网关、DNS设置等也被屏蔽了,使用右键也没有办法新建目录了,如果这些都是没有必要使用的,那么可以将该项目启动。
用户机配置->管理模板->任务栏和【开始】菜单
1、从【开始】菜单删除公用程序组
启动后,那么在DocumentsandSettings\AllUsers
升级会员 