win2k安装以及安全配置.docx

1、win2k安装以及安全配置Windows 2000安装以及安全配置Windows 2000安装以及安全配置 1概述 2windows 2000的安装 31. 安装方式 32. 开始安装（选择第一种安装方式） 3windows 2000中的终端服务 6终端服务的安全配置 71. 配置一个占用资源较少的服务器 72. 配置一个安全的服务器 11终端服务器的性能 191. Terminal Services主目录 192. 管理用户配置文件 203. 监视性能 21网络配置 231. DHCP（动态主机配置） 232. DNS（域名解析） 23概述 Windows 2000原定名为Windows N

2、T 5.0，后改为Windows 2000。Windows 2000在人们千呼万唤的期待中正式发布了英文版（支持多国语言系统，包括中文），中文版也已推出。在Windows 2000 Server中，Terminal Service是其中的一项服务，安装时可以选择安装，但这一点对终端用户来说确是至关重要的，这表明微软的Windows操作系统经历“单任务”、“多任务”，发展到了“多用户”阶段，这是Windows系统技术的巨大的飞跃，这使得Windows 2000与Unix在企业级市场的竞争中，增加了自己的分量。集Windows良好的被广泛熟知的用户界面，大量丰富的Windows开发工具，众多软件硬

3、件厂商的支持，及自身性能的提高，可以预见Windows 2000将与Unix在企业级，特别是中小型的企业级的服务器市场上，展开激烈竞争。 Windows 2000 体系包含以下四个版本，Windows 2000 Professional（台式机和便携式PC的主要操作系统）。Windows 2000 Server（主要面向部门级服务器主流市场）、Windows 2000 Advanced Server（面向中小型企业市场）和Windows 2000 Data Center Server。大体来说，Windows 2000在以下十个方面进行了重大改进：Active Directory、安全性、Te

4、rminal Service、Application Install Service、磁盘管理、层次存储管理、Microsoft管理控制台(MMC)、64GB内存限制、磁盘配额管理和通讯和网络服务。windows 2000的安装1. 安装方式(1)如果你的机器支持CD-ROM启动，选择CD-ROM安装是最简单的，将Windows 2000 Server安装盘放入CD-ROM驱动器，然后进入CMOS菜单选择从CD-ROM启动，保存后退出，Windows 2000 Server安装程序能够自动识别检测你机器上安装的原有的系统，按照提示操作即可。(2)在Windows 9.x/NT下，将Window

5、s 2000 Server安装盘放入CD-ROM驱动器，盘中的autorun文件会自动运行(如果你没有把计算机的自动播放功能关掉的话)，然后出现安装程序的初始窗口，选项有安装Windows 2000、安装附加组件、浏览该CD等选项，选择安装Windows 2000，然后按照提示操作。(3)在MS-DOS操作系统或Windows 3.x下，进入安装盘根目录下的I386子目录，执行Winnt.exe命令，然后Windows 2000开始安装，以后同上。(4)网络安装。从网络安装Windows 2000。2. 开始安装（选择第一种安装方式）首先，将计算机设置为光驱启动，将Windows 2000光盘

6、放入光驱。当屏幕出现“Press Any Key to Boot from CD时敲空格键。计算机进入装载程序阶段。此时勿按任何键，直至出现“安装程序通知”字样。（此过程中间会有短暂黑屏，时间长短因机器性能而定）出现“安装程序通知”字样时，按回车键开始安装。出现“欢迎使用安装程序”时，再按回车键。出现“Windows 2000许可协议时，按F8.如果机器原来装有NT4.0或其他系统，会有一屏出现现有操作系统的选择。此时按ESC键。出现有关服务器磁盘分区情况表，如果已经有分区，可以用“”、“”键选择Windows 2000安装的驱动器；如果要重新分区，按“D”键删除所选分区，再按C键产生新分区。

7、选出所用的分区，按“回车”。（如果是原有分区，当空间不够时，系统会询问，按“C”键。）现要求格式化信息，选择“用NTFS格式格式化磁盘”，按回车键。系统会自动格式化磁盘，然后进行文件拷贝，时间长短视机器性能而定。然后进行重启。重新启动时，不要按任何键。系统会自动进入安装界面。出现安装界面，点击“下一步”，系统自动进行安装。系统自动监测计算机设备，此过程无需干涉。出现“区域设置”时，可以根据自己的区域进行设置（一般不需修改），单击“下一步”。输入公司和部门的名称后，单击“下一步”。“授权模式”菜单出现后，选择“每服务器同时连接数”，输入允许连接的终端数。“计算机名和系统管理员密码”，输入服务器名

8、字和管理员密码。（此项以后也可以再设）出现“Windows 2000组件”菜单时，一定要选中最后两项：“终端服务”和“终端服务授权”。设置正确的时间。出现设置服务器的模式时，有两个选择，“应用程序服务器模式”和“远程管理模式”，一定要选择“应用程序服务器模式”，如果选择“远程管理模式”仅仅允许两个以超级用户登陆的用户使用。然后系统安装网络组件，当出现“网络设置”界面时，选择“自定义设置”进行 手工设置服务器IP及网络属性。选中“Internet 协议（TCP/IP）”，点击“属性”。再弹出菜单中选中“使用下面的IP地址”，输入计算机的IP地址。配置完成后，点击“下一步”。在“工作组或计算机域”

9、中，填入服务器所处的工作组或域名，单击“下一步”。系统进入自动安装，注册，最后自动重新启动。自此，Windows 2000安装结束。如果使用windows终端，需要重新进行如下配置：点击“开始”键，进入“程序”菜单下的“管理工具”中的“终端服务配置”。当菜单弹出后，双击“连接”文件夹，点中“RDP-TCP”条目，点鼠标右键，选择“属性”，弹出属性菜单后，选择“权限”，点击“添加”，在“名称”栏中选中“users”项，在击中“添加”，然后“确定”（之后要等半分钟左右，此期间无相应），回到“RDP-TCP属性”栏后，选中“users”项，在“权限”栏中选中“用户访问”，然后确定即可。如果终端采用I

10、CA连接，需要安装Metafram 。安装过程按系统提示点击“下一步”即可。当安装完成后，需要为终端用户开账户，步骤如下：在“管理工具”中选择“计算机管理”，双击“系统工具”，在出现菜单后在双击“本地用户和组”，选中“用户”文件夹，点击右键，选择创建用户。创建完用户后，双击“用户”，在展开后，选中新加的用户，双击。点击“配置文件”，在“本地路径”栏中，填入此用户的个人目录（一般可将其设在数据盘上，用来给用户使用）。注意：“配置文件路径”栏不要添。然后在“终端服务配置文件”项的“本地路径”栏种填入刚才的个人目录。windows 2000中的终端服务windows 2000的管理工具都可以管理终端

11、服务器，终端服务专用的管理工具还有： 终端服务管理器 终端服务配置 本地用户和组管理 组策略选项 终端服务许可 系统监视计数器 加强的任务管理器 客户创建 客户连接管理器 适应多用户的“添加/删除” 管理终端用户命令集 Windows 2000终端服务融和了Citrix公司MetaFrame部分功能，对采用RDP协议的Windows终端给予了更强的支持，主要有： 打印机重定向，支持本地打印 会话远程控制，相当于MetaFrame的会话影射 剪切板重定向 Bitmap Caching 网络负载平衡，与Citrix的负载平衡不同（Advanced Server 和 DataCenter Serve

12、r） Windows终端和W2K之间加密传输Windows 2000 Server的终端服务是一项重要的技术，对于那些有很多分支机构或希望替代原有旧的PC和字符终端的企业用户，终端服务将帮助我们增强网络系统的可管理性、维护性、安全性，提高网络整体的运行效率，在以后一段时间，终端服务的重要性会逐渐显现出来。终端服务的安全配置Windows 2000服务器操作系统，是一个多用户、多任务的操作系统，提供了一个战略性的功能，终端服务功能，用户通过Windows终端登陆到服务器上，共享服务器上的资源，在这样一个完全共享的使用环境中，安全问题便显得特别的重要了，如何搭建一个安全高效的服务器器，为每个用户分

13、配不同的权限，便是系统管理员的一个重要的工作内容了。Windows 2000操作系统引入了活动目录，服务器可以为主域控制器，备份域控制器，可以有多个服务器组成树、森林，但是做为终端服务器时，出于对资源占用的考虑，每个终端登陆到服务器，单单启动一个桌面，不运行其他任何的应用程序，便需要占用810M的内存，而作为域控制器，需要承担一系列的指责维护活动目录；鉴别用户；提供权利访问全局目录；为DHCP、WINS等客户请求服务，需要占用相当的资源，用户希望能够在终端模式下，一台服务器可以带动尽可能多的终端，同时又能够满足正常的使用，所以最好不要将服务器器配置成为域控制器模式，而是设置成为独立服务器模式，

14、在这里我们主要讨论在独立服务器模式下，作为终端服务器的操作系统的安全配置。1. 配置一个占用资源较少的服务器1、安装尽可能少的组件。Windows 2000是个功能强大的操作系统，提供了许多的功能，而在实际的应用中，并没有用到，特别在企业用户、学校的使用中，可能只是用到了很少的一些功能，安装尽可能少的功能，便可以消耗比较少的资源，同时也减少了安全的漏洞，系统也更安全了，在安装Windows 2000时，安装尽可能少的组件，如果没有特殊的需求，只需要安装终端服务和终端服务授权便可以了，其他的组件都不需要安装了。2、安装尽可能少的应用程序终端服务器作为公共资源，是终端、服务器网络模式中的核心部件，

15、用户选择终端模式，便是看中了该模式的维护方便、安全、无需要升级和它在老旧机器改造中的作用，该模式对于使用游戏是不合适的，主要是用来工作和学习用的，作为网络的核心，在服务器上安装工作、学习必须的应用软件，尽量不要在终端服务器上安装游戏软件和没有使用的应用软件，以防止计算机病毒的感染，提高安全性，同时应用软件安装后即使没有使用，大部分都会增大服务器资源的消耗量。3、启动尽可能少的服务Windows 2000作为一个通用的后台操作系统，提供了许多的服务，在实际中很多都没有使用到，可以把这些没用的服务停止了，比如在学校，主要用户教学的，如果没有用到打印机，便可以把打印服务Print Spooler停止

16、，终端可以采用静态IP方式，也可以采用DHCP的方式从服务器上分配到IP地址，如果采用静态IP，便可以把DHCP Server服务停止了，作为服务器，IP地址一般是固定分配的，可以将DHCP Client服务停止，如果服务器不是DNS服务器，便可以将DNS Server服务停止了，具体的方法是使用超级用户登陆，在开始程序管理工具服务，看看有哪些服务是处于启动状态，并且是没有用的，便可以停止该服务，并且将该服务设置为手动启动了，当然了，除非对停止的服务很有把握，是肯定没有用的，不然还是别去停止，虽然可以节省一些内存、CPU资源。4、设置终端连接的属性Windows 2000提供了终端服务，终端可

17、以通过RDP、ICA协议与服务器相连，在缺省的情况下，终端与服务器之间建立了一条连接，该连接对应服务器上一组运行的进程，直到终端用户注销了，才将对应的进程删除，如果仅仅是“中断”和用直接关电源的方式强行关终端，那么在服务器上的进程不会删除，在服务器上占用了大量的资源，也即在服务器上有大量的死进程，这些进程的存在带来了两个问题，一个是在服务器上占用的大量的CPU、内存资源，另外是增加了不安全的隐患，因为这些进程一直存在在服务器上，下次终端用户如果也用相同的用户帐号登陆，那么将直接进入到断开的位置，如果由于系统管理员的疏忽，存在有多个用户共用一个帐号的情况，那么便有可能发生安全隐患，比如用户登陆到

18、服务器上，运行金融、财务的软件，这些软件进入时每个人还有自己的软件帐号，如果使用者没有退出这些软件便强行关机了，那么下个使用相同的登陆帐号的用户，一登陆到服务器上，便直接进入上个用户的金融、财务软件的界面，这是非常危险的，当然如果每个用户都有自己的帐号，安全上是没有什么，但也会占用资源，解决的方法是恰当地设置终端连接的属性。用系统管理员的身份登陆，运行开始程序管理工具终端服务配置，点击连接，将出项RDP、ICA连接，双击您终端采用的连接方式的条目，出现如下的对话框，选择会话属性。如下图对应设置的意思是：如果一个断开的连接达到了15分钟，将自动注销该终端连接，如果一台终端有30分钟没有任何地操作

19、，也自动注销该终端连接。同时也可以设置如下文说的：在关机一栏中，如果是终端用户，那么只有注销一项，将断开项目隐藏起来，那么用户便没办法使用正常的断开功能了。如果没有在终端上使用打印机设备，也可以在客户端设置中将打印机映射、LPT端口映射、剪贴板映射禁用，可以为每个登陆的进程节省部分的内存。如果有50个用户登陆到服务器，每个用户节省1M，也可以达到50M的内存空间，在多用户模式下，如果每个应用软件都能节省一些内存空间，那么许多用户同时使用时，节省的内存空间也是非常可观的。采用这些方法安装的Windows 2000 Server简体中文版本，开机登陆一个用户进去，运行性能查看器，仅仅消耗了59兆的

20、内存空间。2. 配置一个安全的服务器在Windows 2000操作系统中，用户从终端登陆到服务器上时，缺省的界面为桌面方式，用户可以看到服务器上的绝大部分资源，可以随意的使用硬盘空间，直到硬盘空间全部被用光为止，也可以运行服务器上的绝大部分的应用软件，可以删除一些敏感的文件，如何才能配置一个安全的服务器，分配给用户合适的权限，限制对一些资源的支配呢？ 文件系统的选择1、 Windows 2000操作系统支持多种文件系统格式，对NTFS、FAT、FAT32格式都可以很好的支持，如果不是安装了多个操作系统，有必要考虑多个操作系统之间的文件系统的兼容性，或者仅仅是安装Windows 2000，强烈建

21、议将磁盘都格式化成为NTFS格式，NTFS的安全性极高，事实上是大多数微软网络的标准。2、 在NTFS该格式下，可以创建超过2000G的磁盘分区，并且对于磁盘空间的浪费最少，最重要的是可以为每个目录设置安全属性，设置目录的访问权限，有完全控制、修改、读取及运行、列出文件夹目录、读取、写入等等权限，在高级中还有更多的权限设置，为目录设置每个用户的访问权限，大大提高了整个系统的安全性。只有通过选择 NTFS 作为文件系统，才能使用诸如 Active Directory 和基于域的安全性等重要功能，3、 在NTFS格式下，既可以建立全局磁盘配额，对每个用户均起限制，也可以单独设置特殊用户的磁盘限额，

22、限制用户对磁盘空间的使用，比如可以对普通的用户分配50M的磁盘空间，超过了50M便没法向磁盘中写数据了，在多用户系统下，为用户建立磁盘配额，防止硬盘被恶意使用，可以大大提高整个系统的整体可靠性。4、 在FAT、FAT32格式下，可以采用一张DOS启动盘，便可以对系统中的文件进行任意的操作了，如果采用NTFS格式采用DOS、Windows95/98启动是无法访问的，是看不见用NTFS格式化的磁盘分区的，数据不容易被拷贝走，有许多的计算机病毒只能感染FAT、FAT32格式的系统，对NTFS是无能为力的，比如CIH病毒便无法破坏NTFS的文件系统。 如何规划硬盘空间在终端服务器的模式下，该采用哪种硬

23、盘，采用多大的硬盘空间，硬盘的分区如何分配，回答这个问题，需要结合具体的应用来考虑，比如该终端服务器需要带动几个终端用户，在服务器上需要安装哪些应用软件，应用软件的存储的模式，应用软件占用磁盘空间的大小。硬盘在接口上，主要有IDE接口和SCSI接口和光纤通道三种，光纤通道目前由于价格原因使用极少，作为服务器，尽量采用SCSI接口的硬盘，因为该接口每个SCSI链上可以支持多达7个以上的SCSI设备，并且存取的速度更快，也即磁盘吞吐率比较高，所有的终端用户都共享硬盘空间，速度快当然更好了。采用SCSI接口的硬盘，可以增加存储能力、访问速度和可靠性。硬盘空间大小的选择，一个有50个终端用户的服务器，

24、为每个用户分配100兆的磁盘空间，便是5G，安装Windows 2000本身需要将近1G的空间，还有一个为内存空间1.5倍的磁盘交换区，一个1G内存的服务器，磁盘交换文件pagefile.sys便达到1.5G，再安装一些应用软件，硬盘空间还是大一点为好。以上的使用区域都在系统分区中，所以一台带50个终端用户，1G内存的服务器，建议系统分区的不小于8G。 文件系统权限的设置Windows 2000缺省的文件系统为NTFS，在NTFS文件系统下，每个目录、文件都可以设置对应的访问权限、级别。1、 文件夹许可权Windows 2000为每个文件夹提供了6个标准的访问许可权，在需要设置权限的文件夹，点

25、击鼠标右键，在属性中的安全一项便可以设置了。目录在是一种树形结构，目录下还有子目录，Windows 2000中可以设置目录的权限是否需要继承上级目录的权限，如果允许继承，那么父目录设置的权限，便会影响子目录的权限了，在高级一项“重置所有子对象的权限并允许传播可继承权限”，便是对该目录下有设置“允许将来自父系的可继承权限传播给该对象”属性的所有的子目录和所有文件以及子目录中的文件，进行权限的重新设置。将在该目录设置的权限传播给它的子对象。许可权描 述列出文件夹目录允许用户察看文件夹的目录读允许用户察看文件夹的目录、许可权、所有关系、属性读和执行允许用户遍历文件夹以及读许可权和列出文件夹目录允许的

26、动作修改允许用户删除目录以及读和执行许可权写许可权所允许的操作写允许用户生成文件和子文件夹，改变文件夹属性，察看文件夹属性、所有关系完全控制允许用户改变文件夹所有关系、删除文件和子文件夹。也包括其余许可权所允许的操作2、 文件许可权为每个文件提供了5个标准的访问许可权，“文件许可权”限制用户对某些文件的访问层次，比如注册表编辑器regedit和regedt32，缺省的任何用户都可以运行，来察看注册表，如果想只有系统管理员才能运行，普通用户不想他运行注册表编辑器，便可以将其对应权限删除。将鼠标点到该文件上，右键菜单中的属性项的安全栏，可以看出users组的用户也有读取和运行的权限，可以将user

27、s组删除，那么普通用户登陆到服务器上，便没有办法运行regedit注册表编辑器了，可以采用这种方法对一些敏感的程序进行设置。许可权描 述读允许用户读文件和列出文件的许可权、所有关系、属性读和执行允许用户执行文件，也包括读许可权所允许的动作写允许用户重写文件、列出文件的许可权、所有关系以及改变文件属性修改允许用户删除和修改文件，也包括读和执行以及写许可权所允许的操作完全控制允许用户改变文件所有关系，也包括其余许可权所允许的操作Windows 2000安装后，在系统分区中至少有三个可见目录WINNT、Documents and Settings、Program Files，WINNT目录下是操作系

28、统的系统文件目录，Program Files目录下是IE浏览器、Outlook等应用软件，其他的应用软件安装时也缺省的安装在该目录下，Documents and Settings目录下存储了每个登陆用户的基本信息，比如用户自己的桌面设置，各自的应用程序，每个用户自己的“我的文档”，在该目录下每个用户都有一个与自己登陆名字相同的目录，其中有一个目录为All Users的目录中存放的文件是所有登陆的用户公共的配置部分，公共的应用程序组等。对Documents and SettingsAll Users目录的设置，可以有显著的成效，比如Windows 2000安装后，在开始菜单的程序中，所有用户登陆

29、到服务器上都有管理工具一项，现在想只有系统管理员可以运行管理工具，而其他的用户不能运行管理工具，可以用管理员身份登陆到服务器上，进入到Documents and Settings administrator开始菜单程序，建立一个目录“管理工具”，再将Documents and Settings All Users开始菜单程序管理工具下的所有项目拷贝到刚才建立的目录下，并且将Documents and Settings All Users开始菜单程序管理工具下的所有项目都删除，那么现在只有系统管理员才能看到管理工具的具体项目了，而其他的用户都没法运行管理工具中的程序了，对需要运行的用户，将对应的

30、软件拷贝到该用户的Documents and Settings %UserName%开始菜单程序下，同样的道理，可以通过这种方式，设置每个用户的开始菜单，桌面的项目等。 组策略设置Windows 2000有完善的设置，可以通过MMC（微软管理员控制台），定制符合需求的操作系统，在命令提示符状态运行MMC，启动管理控制台，添加/删除管理单元，在配置服务器方面，比较常用的是“组策略”，添加“组策略”，选择“本地计算机”。 添加后的界面如下： 在控制台上选择保存，将它保存成为组策略，保存到管理工具中，系统管理员以后便可以在管理工具中直接运行组策略了。以下列出比较有用的一些设置策略：计算机配置管理模板

31、系统项：1、 删除【开始】菜单的“安全性”选项（只用于终端服务）启动便将开始菜单处的设置菜单中的“终端安全性”项目屏蔽掉了。2、 从【开始】菜单删除中断连接项目（只用于终端服务）终端用户登陆到服务器上，如果为普通用户便有注销、断开两个选项，如果用断开，则进程仍然存在服务器上，下次该用户再次登陆时，继续从断点运行程序，如果为比较多的用户都采用断开，则这些用户没有连接到服务器上时，已经在服务器上消耗了相当多的内存、CPU资源，启动该项，则用户只能注销，不能选择断开。3、 停用自动播放启动该项，当光盘放入光驱便不会自动播放。用户机配置管理模板Windows 组件Windows 资源管理器：1、 隐藏“我的电脑”中这些指定的驱动器隐藏了指定的驱动器，在桌面上和在资源管理器中，便看不到被隐藏的驱动器了。防止用户随意的访问驱动器。2、 禁用Windows 资源管理器的默认上下文菜单启动该项，在桌面上点击右键，便不会出现右键菜单，即没法改动“我的文档”的路径，“我的电脑”的属性等，网上邻居的属性，网络的IP地址、网关、DNS设置等也被屏蔽了，使用右键也没有办法新建目录了，如果这些都是没有必要使用的，那么可以将该项目启动。用户机配置管理模板任务栏和【开始】菜单1、 从【开始】菜单删除公用程序组启动后，那么在Documents and SettingsAll Users