Windows Server 2003安全策略的制定(1)
来源:ChinaITLab 收集整理
2004-8-11 15:16:00
Windows Server 2003作为Microsoft 最新推出的服务器操作系统,不仅继承了Wind ows 2000/XP的易用性和稳定性,而且还提供了更高的硬件支持和更加强大的安全功能,无疑是中小型网络应用服务器的当然之选。本文就Windows 2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明,希望能对大家起到抛砖引玉的效果,最终的目标是确保我们的网络服务器的正常运行。
一、企业账户保护安全策略
二、企业系统监控安全策略
=============================================
一、企业账户保护安全策略
用户账户的保护一般主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用,通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。
1、提高密码的破解难度
提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现,但这常常是用户很难做到的,对于企业网络中的一些安全敏感用户就必须采取一些相关的措施,以强制改变不安全的密码使用习惯。
在Windows系统中可以通过一系列的安全设置,并同时制定相应的安全策略来实现。在Windows Server 2003系统中,可以通过在安全策略中设定“密码策略”来进行。Windo w Server 2003系统的安全策略可以根据网络的情况,针对不同的场合和范围进行有针对性地设定。例如可以针对本地计算机、域及相应的组织单元来进行设定,这将取决于该策略要影响的范围。
以域安全策略为例,其作用范围是企业网中所指定域的所有成员。在域管理工具中运行“域安全策略”工具,然后就可以针对密码策略进行相应的设定。
密码策略也可以在指定的计算机上用“本地安全策略”来设定,同时也可在网络中特定的组织单元通过组策略进行设定。
2、启用账户锁定策略
账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击),为保护该账户的安全而将此账户进行锁定。使其在一定的时间内不能再次使用,从而挫败连续的猜解尝试。
Windows2003系统在默认情况下,为方便用户起见,这种锁定策略并没有进行设定,此时,对黑客的攻击没有任何限制。只要有耐心,通过自动登录工具和密码猜解字典进行攻击,甚至可以进行暴力模式的攻击,那么破解密码只是一个时间和运气上的问题。账户锁定策略设定的第一步就是指定账户锁定的阈值,即锁定前该账户无效登录的次数。一般来说,由于操作失误造成的登录失败的次数是有限的。在这里设置锁定阈值为3次,这样只允许3次登录尝试。如果3次登录全部失败,就会锁定该账户。
但是,一旦该账户被锁定后,即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户,这就造成了许多不便。为方便用户起见,可以同时设定锁定的时间和复位计数器的时间,这样以来在3次无效登最后就开始锁定账户,以及锁定时间为30分钟。以上的账户锁定设定,可以有效地避免自动猜解工具的攻击,同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定用户账户常常会造成一些不便,但系统的安全有时更为重要。
3、限制用户登录
对于企业网的用户还可以通过对其登录行为进行限制,来保障其户户账户的安全。这样以来,即使是密码出现泄漏,系统也可以在一定程度上将黑客阻挡在外,对于Windows Server 2003网络来说,运行“Active Directory用户和计算机”管理工具。然后选择相应的用户,并设置其账户属性。
在账户属性对话框中,可以限制其登录的时间和地点。单击其中的“登录时间”按钮,在这里可以设置允许该用户登录的时间,这样就可防止非工作时间的登录行为。单击其中的“登录到”按钮,在这里可以设置允许该账户从哪些计算机乾地登录。另外,还可以通过“账户”选项来限制登录时的行为。例如使用“用户必须用智能卡登录”,就可避免直接使用密码验证。除此之外,还可以引入指纹验证等更为严格的手段。
4、限制外部连接
对于企业网络来说,通常需要为一些远程拨号的用户(业务人员或客户等)提供拨号接入服务。远程拨号访问技术实际上是通过低速的拨号连接来将远程计算机接入到企业内部的局域网中。由于这个连接无法隐藏,因此常常成为黑客入侵内部网络的最佳入口。但是,采取一定的措施可以有效地降低风险。
对于基于Windows Server 2003的远程访问服务器来说,默认情况下将允许具有拨入权限的所有用户建立连接。因此,安全防范的第一步就是合理地、严格地设置用户账户的拨入权限,严格限制拨入权限的分配范围,只要不是必要的就不给予此权限。对于网络中的一些特殊用户和固定的分支机构的用户来说,可通过回拨技术来提高网络安全性。这里所谓的回拨,是指在主叫方通过验证后立即挂断线路,然后再回拨到主叫方的电话上。这样,即使帐户及其密码被破解,也不必有任何担心。需要注意的是,这里需要开通来电显示业务。
在Windows Server 2003网络中,如果活动目录工作在Native-mode(本机模式)下,这时就可以通过存储在访问服务器上或Internet验证服务器上的远程访问策略来管理。针对各种应用场景的不同,可以设置多种不同的策略。具体的管理比较复杂,由于篇幅有限,大家可参考相关资料,这里就不再作详细介绍。
5、限制特权组成员
在Windows Server 2003网络中,还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段,这就是利用“受限制的组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制的组,在“组”对话框中键入或查找要添加的组。一般要对管理员组等特权组的成员加以限制。下一步就是要配置这个受限制的组的成员。在这里选择受限制的组的“安全性(S)”选项。然后,就可以管理这个组的成员组成,可以添加或删除成员,当安全策略生效后,可防止黑客将后门账户添加到该组中。
6、防范网络嗅探
由于局域网采用广播的方式进行通信,因而信息很容易被窃听。网络嗅探就是通过侦听所在网络中所传输的数据来嗅探有价值的信息。对于普通的网络嗅探的防御并不困难,可通过以下手段来进行:
1)采用交换网络
一般情况下,交换网络对于普通的网络嗅探手段具有先天的免疫能力。这是由于在交换网络环境下,每一个交换端口就是一个独立的广播域,同时端口之间通过交换机进行桥接,而非广播。网络嗅探主要针对的是广播环境下的通信,因而在交换网络中就失去作用了。
随着交换网络技术的普及,网络嗅探所带来的威胁也越来越低,但仍不可忽视。通过ARP地址欺骗仍然可以实现一定范围的网络嗅探,此外黑客通过入侵一些型号的交换机和路由器仍然可以获得嗅探的能力。
2)加密会话
在通信双方之间建立加密的会话连接也是非常有效的方法,特别是在企业网络中。这样,即使黑客成功地进行了网络嗅探,但由于捕获的都是密文,因而毫无价值。网络中进行会话加密的手段有很多,可以通过定制专门的通信加密程序来进行,但是通用性较差。这时,完善IP通信的安全机制是最根本的解决办法。
由于历史原因,基于IP的网络通信技术没有内建的安全机制。随着互联网的发展,安全问题逐渐暴露出来。现在经过各个方面的努力,标准的安全架构也已经基本形成。那就是IPSec机制,并且它将作为下一代IP网络标准IPv6的重要组成。IPSec机制在新一代的操作系统中已经得到了很好的支持。在Windows Server 2003系统中,其服务器产品和客户端产品都提供了对IPSec的支持。从而增强了安全性、可伸缩性以及可用性,同时使部署和管理更加方便。
在Windows Server 2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等)中,都集成了相关的管理工具。为清楚起见,通过Microsoft管理控制台MMC定制的管理工具来了解一下。
具体方法如下:首先在“开始”菜单中单击“运行”选项,然后键入mmc,并同时单击“确
定”按钮。在“控制台”菜单中选择“添加删除管理单元(M)”命令,然后,单击其中的“添加”按钮。在可用的独立管理单元中,选择“IP安全策略管理”选项,双击或单击“添加”按钮,在这里选择被该管理单元所管理的计算机,然后单击“完成”按钮。关闭添加管理单元的相关窗口,就得到了一个新的管理工具,在这里可以为其命名并保存。
此时可以看到已有的安全策略,用户可以根据情况来添加、修改和删除相应的IP安全策略。其中Windows Server 2003系统自带的有以下几个策略:
安全服务器(要求安全设置);
客户端(只响应);
服务器(请求安全设置);
其中的“客户端(只响应)”策略是根据对方的要求来决定是否采用IPSec;“服务器(请求安全设置)”策略要求支持IP安全机制的客户端使用IPSec,但允许不支持IP安全机制的客户端来建立不安全的连接;而“安全服务器(要求安全设置)”策略则最为严格,它要求双方必须使用IPSec协议。
不过,“安全服务器(要求安全设置)”策略默认允许不加密的受信任的通信,因此仍然能够被窃听。直接修改此策略或定制专门的策略,就可以实现有效的防范。选择其中的“所有IP通讯”选项,在这里可以编辑其规则属性。
选择“筛选器操作”选项卡,选择其中的“要求安全设置”选项。在此筛选器操作的属性设置里可以编辑安全措施,在这里将安全措施设置为“高”选项。
以上采用IPSec加密数据通信的方法适用于企业网应用,通过部署组策略可以强制网络中的所有计算机使用IPSec加密通信。当然这种严格的限制会带来一些不便,不过对于系统安全来说是值得的。IPSec还可以应用于VPN技术中,在这里可以对IP隧道中的数据流进行加密。
对于不方便大范围实施IPSec的环境,可以考虑采用VPN。这里的VPN是指虚拟私有网络。VPN技术是目前实现端对端安全通信的最佳解决方案,它主要适用于客户端通过开放的网络与服务器的连接。例如,客户端通过Internet/Intranet连接到企业或部门的专用网络。
Windows Server 2003安全策略的制定(2)
来源:ChinaITLab 收集整理
2004-8-11 15:13:00
二、企业系统监控安全策略
尽管不断地在对系统进行修补,但由于软件系统的复杂性,新的安全漏洞总会层出不穷。因此,除了对安全漏洞进行修补之外,还要对系统的运行状态进行实时监视,以便及
时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时,这种监视就显得尤其重要。
1、启用系统审核机制
系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件,以供管理员进行分析、查找系统和应用程序故障以及各类安全事件。
所有的操作系统、应用系统等都带有日志功能,因此可以根据需要实时地将发生在系统中的事件记录下来。同时还可以通过查看与安全相关的日志文件的内容,来发现黑客的入侵和入侵后的行为。当然,如果要达到这个目的,就必须具备一些相关的知识。首先必须要学会如何配置系统,以启用相应的审核机制,并同时使之能够记录各种安全事件。
对Windows Server 2003的服务器和工作站系统来说,为了不影响系统性能,默认的安全策略并不对安全事件进行审核。从“安全配置和分析”工具用SecEdit安全模板进行的分析结果可知,这些有红色标记的审核策略应该已经启用,这可用来发现来自外部和内部的黑客的入侵行为。对于关键的应用服务器和文件服务器来说,应同时启用剩下的安全策略。
如果已经启用了“审核对象访问”策略,那么就要求必须使用NTFS文件系统。NTFS 文件系统不仅提供对用户的访问控制,而且还可以对用户的访问操作进行审核。但这种审核功能,需要针对具体的对象来进行相应的配置。
首先在被审核对象“安全”属性的“高级”属性中添加要审核的用户和组。在该对话框中选择好要审核的用户后,就可以设置对其进行审核的事件和结果。在所有的审核策略生效后,就可以通过检查系统的日志来发现黑客的蛛丝马迹。
2、日志监视
在系统中启用安全审核策略后,管理员应经常查看安全日志的记录,否则就失去了及时补救和防御的时机了。除了安全日志外,管理员还要注意检查各种服务或应用的日志文件。在Windows 2003 IIS 6.0中,其日志功能默认已经启动,并且日志文件存放的路径默认在System32/LogFiles目录下,打开IIS日志文件,可以看到对Web服务器的HTTP 请求,IIS6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力帮手。
3、监视开放的端口和连接
对日志的监视只能发现已经发生的入侵事件,但是它对正在进行的入侵和破坏行为无能为力了。这时,就需要管理员来掌握一些基本的实时监视技术。
通常在系统被黑客或病毒入侵后,就会在系统中留下木马类后门。同时它和外界的通信会建立一个Socket会话连接,这样就可能发现它,netstat命令可以进行会话状态的检查,在这里就可以查看已经打开的端口和已经建立的连接。当然也可以采用一些专用的检测程序对端口和连接进行检测,这一类软件很多。
4、监视共享
通过共享来入侵一个系统是最为舒服的一种方法了。如果防范不严,最简单的方法就
是利用系统隐含的管理共享。因此,只要黑客能够扫描到的IP和用户密码,就可以使用n et use命令连接到的共享上。另外,当浏览到含有恶意脚本的网页时,此时计算机的硬盘也可能被共享,因此,监测本机的共享连接是非常重要的。
监测本机的共享连接具体方法如下:在Windows Server 2003的计算机中,打开“计算机管理”工具,并展开“共享文件夹”选项。单击其中的“共享”选项,就可以查看其右面窗口,以检查是否有新的可疑共享,如果有可疑共享,就应该立即删除。另外还可以通过选择“会话”选项,来查看连接到机器所有共享的会话。Windows NT/2000的IPC$共享漏洞是目前危害最广的漏洞之一。黑客即使没有马上破解密码,也仍然可以通过“空连接”来连接到系统上,再进行其他的尝试。
5、监视进程和系统信息
对于木马和远程监控程序,除了监视开放的端口外,还应通过任务管理器的进程查看功能进行进程的查找。在安装Windows Server2003的支持工具(从产品光盘安装)后,就可以获得一个进程查看工具Process Viewer;通常,隐藏的进程寄宿在其他进程下,因此查看进程的内存映象也许能发现异常。现在的木马越来越难发现,常常它会把自己注册成一个服务,从而避免了在进程列表中现形。因此,我们还应结合对系统中的其他信息的监视,这样就可对系统信息中的软件环境下的各项进行相应的检查。
Windows 2003 Server的新安全机制
来源:https://www.doczj.com/doc/b616872251.html, 收集整理
2003-12-12 20:00:00
在这篇文章中,我们将一起探究Windows 2003 Server增强的安全机制。新的操作系统中提高安全性的新特性随处可见,但这里我们只注重大多数Windows用户和管理员最关心的地方,借此粗略感受一下Windows Server 2003新的安全机制。
一、NTFS和共享权限
在以前的Windows中,默认的权限许可将“完全控制”授予了Everyone组,整个文件系统根本没有安全性可言(就本地访问来说)。但从Windows XP Pro开始,这种情况改变了。
授予Everyone组的根目录NTFS权限只有读取和执行,且这些权限只对根文件夹有效。也就是说,对于任何根目录下创建的子文件夹,Everyone组都不能继承这些权限。对于安全性要求更高的系统文件夹,例如Program Files和Windows文件夹,Everyone组也已经从ACL中排除出去。(说明:ACL即“访问控制列表”,或Access Control List,它是一种安全保护列表,适用于整个对象、对象属性组或某个对象个别属性。Windows Server 2003有两种访问控制列表类型:随机和系统)。
Users组除了读取和运行之外,还能够在子文件夹下创建文件夹(可继承)和文件(注意,根驱动器除外)。授予System帐户的权限和本地Administrators组成员的权限仍未改变,它们仍拥有对根文件夹及其子文件夹的完全控制权限。CREATOR OWNER仍被授予子文件夹及其包含的文件的完全控制权限,也就是允许用户全面管理他们自己创建的子文件夹。
对于新创建的共享资源,Everyone现在只有读取的权限。
另外,Everyone组现在不再包含匿名SID(安全标识符,一种不同长度的数据结构,用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的SI D。Windows中的内部进程将引用帐户的SID而不是帐户的用户名或组名),进一步减少了未经授权访问文件系统的可能性。要快速查看文件或文件夹的NTFS权限,可以用右键点击文件或文件夹,选择“安全”选项卡,点击“高级”,然后查看“有效权限”页,不用再猜测或进行复杂的分析来了解继承的以及直接授予的NTFS权限。不过,这个功能还不能涵盖共享权限。
二、文件和文件夹的所有权
现在,你不仅可以拥有文件系统对象(文件或文件夹)的所有者权限,而且还可以通过该文件或文件夹“高级安全设置”对话框的“所有者”选项卡将权限授予任何人。
Windows的磁盘配额是根据所有者属性计算的,授予其他人所有者权限的功能简化了磁盘配额的管理。例如,管理员应用户的要求创建了新的文件(例如复制一些文件,或安装新的软件),使得管理员成为新文件的所有者,即新文件占用的磁盘空间不计入用户的磁盘配额限制。以前,要解决这个问题必须经过繁琐的配置修改,或者必须使用第三方工具。现在Windows Server 2003直接在用户界面中提供了设置所有者的功能,这类有关磁盘配额的问题可以方便地解决了(对于使用NTFS文件系统的任何类型的操作系统都有效,包括Windows NT 4.0、2000和XP Pro,只要修改是在Windows Server 2003上进行就可以了)。
值得一提的是,这个功能(有效权限和授予所有者权限)对于从Windows Server 20 03管理的活动目录对象也同样有效。
三、Windows服务配置
Windows服务配置方面的变化可分成两类。
㈠启动类型。几种最容易受到攻击的服务,诸如Clipbook(启用“剪贴簿查看器”储存信息并与远程计算机共享)、Network DDE以及Network DDE DSDM(前者的功能是为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE)的网络传输和安全;后者用于管理动态数据交换网络共享)、Telnet、WebClient(使基于Windows的程序能创建、访问和修改基于Internet的文件)等,默认情况下已经被禁止了。还有一些服务只有在必要时才启用,例如Intersite Messaging(启用在运行Windows Server的站点间交换消息)只有在域控制器提升时才启用,Routing and Remote Access Service(为网络上的客户端和服务器启用多重协议——LAN到LAN,LAN到W AN,虚拟专用网络(VPN)和网络地址转换(NA T)路由服务)只有在配置Windows Server 2003作为路由器、按需拨号的服务器、远程访问服务器时才启用。
㈡运行在Local System安全上下文之下的服务变少了,因为Local System具有不受限制的本地特权。现在,许多情况下,Local System被Local Service或Network Service 帐户取代,这两个帐户都只有稍高于授权用户的特权。正如其名字所示的,Local Service 帐户用于本地系统的服务,它类似于已验证的用户帐户的特殊内置帐户。Local Service帐户对于资源和对象的访问级别与Users组的成员相同。如果单个服务或进程受到危害,则通过上述受限制的访问将有助于保护系统。以Local Service帐户运行的服务作为空会话,而且不使用任何凭据访问网络资源。
相对地,Network Service则被用于必须要有网络访问的服务,它对于资源和对象的访
问级别也与Users组的成员相同,以Network Service帐户来运行的服务将使用计算机帐户的凭据来访问网络资源。
四、身份验证
身份验证方面的增强涵盖了基于本地系统的身份验证和基于活动目录域的身份验证。
在本地系统验证方面,默认的设置限制不带密码的本地帐户只能用于控制台。这就是说,不带密码的帐户将不能再用于远程系统的访问,例如驱动器映射、远程桌面/远程协助连接。
活动目录验证的变化在跨越林的信任方面特别突出。跨越林的信任功能允许在林的根域之间创建基于Kerberos的信任关系(要求两个林都运行在Windows 2003功能级别上)。在Windows Server 2003林中,管理员可创建一个林,将单个林范围外的双向传递性扩展到另外一个Windows Server 2003林中。在Windows Server 2003林中,这种跨越将两个断开连接的Windows Server 2003林链接起来建立单向或双向可传递信任关系。双向林信任用于在两个林中的每个域之间建立可传递的信任关系。
林信任具有许多优点:
⑴通过减少共享资源所需的外部信任数,使得跨越两个Windows Server 2003林的资源的管理得以简化。
⑵每个林中每个域之间的完全的双向信任关系。
⑶使用跨越两个林的用户主体名称(UPN)身份验证。
⑷使用Kerberos V5和NTLM身份验证协议,提高了林之间传递的授权数据的可信度。
⑸灵活的管理。每个林的管理任务可以是唯一的。
林信任只能在两个林之间创建,不能隐式扩展到第三个林。也就是说,如果在林1和林2之间创建了一个林信任,在林2和林3之间也创建了一个林信任,则林1和林3之间没有隐式信任关系。
注意:在Windows 2000林中,如果一个林中的用户需要访问另一个林中的资源,管理员可在两个域之间创建外部信任关系。外部信任可以是单向或双向的非传递信任,因此限制了信任路径扩展到其他域的能力。但在Windows Server 2003 Active Directory中,默认情况下,新的外部信任和林信任强制SID筛选。SID筛选用于防止可能试图将提升的用户权限授予其他用户帐户的恶意用户的攻击。强制SID筛选不会阻止同一林中的域迁移使用SID历史记录,而且也不会影响全局组的访问控制策略。
在默认配置下,身份验证是在林的级别上进行的,来自其他林的责任人将被授予与本地用户和计算机同样的访问能力。但无论是谁,都受到设置在资源上的权限的约束。
如果上述默认配置不能满足要求,你可以配置选择性验证,不过这要有Windows 20 03的林功能级别。在这种配置方式中,你可以指定哪些来自其他林的用户或组允许通过验证,以及选择本地林的哪些资源可用来执行验证。具体设置分两步进行。
第一步是授予来自其他林的责任人允许验证的权限。例如,假设有两个Windows 20 03功能级别的林ForestA和ForestB,两者之间有信任关系。ForestA中DomainA域的Us erA用户需要访问ForestB中DomainB域ServerB服务器的ShareB共享资源。要达到这个目标,必须按如下方式操作:
⑴DomainA的管理员在DomainA域中创建一个全局组(例如GroupA),其中包含成员UserA。虽然可以直接授予UserA适当的权限(这种方式的优点之一是透明),但如果用户数量较多,直接配置各个用户的话效率就很低了。
⑵启动Active Directory用户和计算机管理器,找到DomainB,再找到ServerB,双击ServerB的图标,打开它的属性对话框。
⑶转到安全设置页,将DomainA\GroupA加入到窗口上方的清单。在窗口下方,选中“允许验证”和“读取”权限的“允许”选项。第一步的设置到这里完成,我们已经允许Dom ainA\GroupA的成员访问DomainB\ServerB时执行验证。
第二步很简单,只要把ServerB服务器ShareB共享资源上适当的权限授予DomainA\ GroupA全局组即可(或者,也可以将DomainA\GroupA全局组加入到DomainB域本地组,然后对本地组授权)。
结束语:本文只涉及了Windows 2003安全性很小的一方面,许多重要的主题尚未涉及,例如Active Directory安全特性(SID过滤等),以及托管、非托管代码的应用程序代码控制等。尽管如此,我们已经可以体会到微软宣称的“迄今为止微软最强大的Windows 服务器操作系统”确实在安全性方面作了许多改进。
在Windows 2003下创建软RAID完全手册
来源:ChinaITLab 收集整理
2004-7-15 10:13:00
一、概述
大家知道,硬件RAID解决方案速度快、稳定性好,可以有效地提供高水平的硬盘可用性和冗余度,但是居高不下的价格实在令人可畏。不过可庆幸的是,Windows 2003提供了内嵌的软件RAID功能,并且软RAID可以实现RAID-0、RAID-1、RAID-5。软RAID不仅实现上非常方便,而且还大量地节约了宝贵的资金,确实是Windows 2003 Se rver的一个很实用的新功能。RAID-5卷是数据和奇偶校验间断分布在三个或更多物理磁盘的容错卷。如果物理磁盘的某一部分失败,我们可以用余下的数据和奇偶校验重新创建磁盘上失败的那一部分上的数据。对于多数活动由读取数据构成的计算机环境中的数据冗余来说,RAID-5卷是一种很好的解决方案。可使用基于硬件或基于软件的解决方案来创建RAID-5卷。通过基于硬件的RAID,智能磁盘控制器处理组成RAID-5卷的磁盘上的冗余信息的创建和重新生成。Windows Server 2003 家族操作系统提供基于软件的RAID,其中RAID-5卷中的磁盘上的信息的创建和重新生成将由“磁盘管理”来处理,两种情况下数据都将跨磁盘阵列中的所有成员进行存储。当然,软RAID的性能和效率是不能与硬RAID相提并论的。下面我们首先从动态磁盘的创建谈起,然后说明在W indows 2003 Server实现如何实现软RAID,最后讲一下软RAID的管理。
二、创建动态磁盘
在安装Windows 2003 Server时,硬盘将自动初始化为基本磁盘。我们不能在基本磁盘分区中创建新卷集、条带集或者RAID-5组,而只能在动态磁盘上创建类似的磁盘配置。也就是说,如果想创建RAID-0、RAID-1或RAID-5卷,就必须使用动态磁盘。
在Windows 2003 Server安装完成后,可使用升级向导将它们转换为动态磁盘。
在将一个磁盘从基本磁盘转换为动态磁盘后,磁盘上包含的将是卷,而不再是磁盘分区。其中的每个卷是硬盘驱动器上的一个逻辑部分,还可以为每个卷指定一个驱动器字母或者挂接点。但是要注意的是只能在动态磁盘上创建卷。动态磁盘有以下几个优于基本磁盘的特点:
卷可以扩展到包含非邻接的空间,这些空间可以在任何可用的磁盘上。
对每个磁盘上可以创建的卷的数目没有任何限制。
Windows 2003将动态磁盘配置信息存储在磁盘上,而不是存储在注册表中或者其他位置。同时,这些信息不能被准确地更新。Windows 2003将这些磁盘配置信息复制到所有其他动态磁盘中。因此,单个磁盘的损坏将不会影响到访问其他磁盘上的数据。
一个硬盘既可以是基本的磁盘,也可以是动态的磁盘,但不能二者兼是,因为在同一磁盘上不能组合多种存储类型。但是,如果计算机有多个硬盘,就可以将各个硬盘分别配置为基本的或动态的。
1、从基本磁盘升级到动态磁盘:
①依次单击“开始”->“所有程序”->“管理工具”->“计算机管理”选项,显示“计算机管理”窗口。
②在左侧控制台中依次展开“存储”->“磁盘管理”选项,以显示计算机中安装的所有磁盘。
③右击要设置为动态磁盘的硬盘,并在弹出的快捷菜单中选择“升级到动态磁盘”选项,将显示“升级到动态磁盘”对话框。
④选中要升级的磁盘,然后单击“确定”:按钮,将显示“要升级的磁盘”对话框,在这里要求用户对要升级为动态磁盘的硬盘进行确认。这样做的原因很简单,因为这一升级操作是不可逆的。也就是说,基本磁盘可以升级为动态磁盘,但动态磁盘却不能恢复为基本磁盘。
⑤单击“升级”按钮,将显示“磁盘管理”提示框,系统再次要求用户对磁盘升级予以确认。当将该磁盘升级为动态磁盘后,Windows98/Me等操作系统将不能再从该磁盘引导启动。
⑥单击“是”按钮,将显示“升级磁盘”警告框。在这里提示要升级磁盘上的文件系统将被强制卸下,并要求用户对该操作进一步予以确认。
⑦单击“是”按钮,系统将开始磁盘的升级过程。当升级完成后,将显示“确认”警告框,单击“确定”按钮将重新启动计算机,以完成磁盘的升级过程。
在升级到动态磁盘时,应该注意以下几个方面的问题:
必须以管理员或管理组成员的身份登录才能完成该过程。如果计算机与网络连接,则网络策略设置也可能阻止我们完成此步骤。
将基本磁盘升级到动态磁盘后,就再也不能将动态卷改回到基本分区。这时惟一的方法就是,必须删除磁盘上的所有动态卷,然后使用“还原为基本磁盘”命令。
在升级磁盘之前,应该关闭在那些磁盘上运行的程序。
为保证升级成功,任何要升级的磁盘都必须至少包含1MB的未分配空间。在磁盘上创建分区或卷时,“磁盘管理”工具将自动保留这个空间,但是带有其他操作系统创建的分区或卷的磁盘上可能就没有这个空间。
扇区大小超过512字节的磁盘,不能从基本磁盘升级为动态磁盘。
一旦升级完成,动态磁盘就不能包含分区或逻辑驱动器,也不能被非Windows 2003的其他操作系统所访问。
2、将新磁盘设置为动态磁盘
①计算机安装新硬盘后,当第一次访问“计算机管理”中的“磁盘管理”工具时,将自动运行“写入签名和升级磁盘向导”窗口。
②单击“下一步”按钮,将显示“选择要写入签名的磁盘”页面,在该列表中选择要写入签名的磁盘。需要注意的是,磁盘在安装到系统前必须进行签名。
③单击“下一步”按钮,将显示“选择要升级的磁盘”页面,选择要升级为动态磁盘的磁盘。
④单击“下一步”按钮,将显示“完成写入签名和升级磁盘向导”页面,在这里要求确认签名并升级的磁盘。如果有任何不妥,可单击“上一步”按钮返回并重新进行设置。
⑤单击“完成”按钮,动态磁盘升级过程完成。
三、实现软RAID
软RAID也必须在多磁盘系统中才能实现。实现RAID-1最少要拥有两块硬盘,而实现RAID-5则最少要拥有三块硬盘。通常情况下,操作系统所在磁盘采用RAID-1,而数据所在磁盘采用RAID-5。
1、卷的类型
①简单卷
简单卷由单个物理磁盘上的磁盘空间组成,它可以由磁盘上的单个区域或链接在一起的相同磁盘上的多个区域组成。可以在同一磁盘中扩展简单卷或把简单卷扩展到其他磁盘。如果跨多个磁盘扩展简单卷,则该卷就是跨区卷。
只能在动态磁盘上创建简单卷。简单卷不能包含分区或逻辑驱动器,也不能由MS-DOS 或Windows 2003以外的其他Windows操作系统访问。如果网络中的计算机还在运行Windows98或更早版本,那么应该创建分区而不是动态卷。
如果想在创建简单卷后增加它的容量,则可通过磁盘上剩余的未分配空间来扩展这个卷。要扩展一个简单卷,则该卷必须使用Windows 2003中所用的NTFS版本格式化。同时不能扩展基本磁盘上作为以前分区的简单卷。也可将简单卷扩展到同一计算机的其他磁盘的区域中。当将简单卷扩展到一个或多个其他磁盘时,它会变成为一个跨区卷。在扩展跨区卷之后,不删除整个跨区卷便不能将它的任何部分删除。要注意的是跨区卷不能是镜像卷或带区卷。
②条带卷
利用条带卷,可以将两个或者更多磁盘(最多为32块硬盘)的空余空间组成为一个卷。在向条带卷中写入数据时,数据被分割为64KB的块,并均衡地分布在阵列中的所有磁盘上。一个阵列是两个或者多个磁盘的集合。条带卷可以有效地提高磁盘的读取性能,但是它并不提供容错功能,任何一块硬盘的损坏都会导致全部数据的丢失。条带卷类似于RAID-0。
③跨越卷
利用跨越卷,也可以将来自两个或者更多磁盘(最多为32块硬盘)的空余磁盘空间组成为一个卷。与条带卷所不同的是,将数据写入跨越卷时,首先填满第一个磁盘上的空余部分,然后再将数据写入下一个磁盘,依次类推。虽然利用跨越卷可以快速增加卷的空量,但是跨越卷既不能提高对磁盘数据的读取性能,也不提供任何容错功能。当跨越卷中的某个磁盘出现故障时,存储在该磁盘上的所有数据将全部丢失。
④镜像卷
利用镜像卷即RAID-1卷,可以将用户的相同数据同时复制到两个物理磁盘中。如果其中的一个物理磁盘出现故障,虽然该磁盘上的数据将无法使用,但系统能够继续使用尚未损坏而仍继续正常运转的磁盘进行数据的读写操作,从而通过另一磁盘上保留完全冗余的副本,保护磁盘上的数据免受介质故障的影响。由此可见,镜像卷的磁盘空间利用率只有50%(即每组数据有两个成员),所以镜像卷的成本相对较高。要创建一个镜像卷,必须使用另一磁盘上的可用空间。动态磁盘中现有的任何卷(甚至是系统卷和引导卷),都可以使用相同的或不同的控制器镜像到其他磁盘上大小相同或更大的另一个卷。最好使用大小、型号和制造厂家都相同的磁盘作镜像卷,以避免可能产生的兼容性错误。
镜像卷可以大大地增强读性能,因为容错驱动程序同时从两个磁盘成员中同时读取数据,所以读取数据的速度会有所增加。当然,由于容错驱动程序必须同时向两个成员写数据,所以它的写性能会略有降低。镜像卷可包含任何分区(包括启动分区或系统分区),但是镜像卷中的两个硬盘都必须是Windows 2003动态磁盘。
⑤RAID-5卷
在RAID-5卷中,Windows 2003通过给该卷的每个硬盘分区中添加奇偶校验信息带区来实现容错。如果某个硬盘出现故障,Windows 2003便可以用其余硬盘上的数据和奇偶校验信息重建发生故障的硬盘上的数据。
由于要计算奇偶校验信息,所以RAID-5卷上的写操作要比镜像卷上的写操作慢一些。但是,RAID-5卷比镜像卷提供更好的读性能。其中的原因很简单,Windows 2003可以从多个磁盘上同时读取数据。与镜像卷相比RAID-5卷的性价比较高,而且RAID -5卷中的硬盘数量越多,冗余数据带区的成本越低。但是RAID-5卷也有一些限制。第一,RAID-5卷至少需要3个硬盘才能实现,但最多也不能超过32个硬盘;第二,RAI D-5卷不能包含根分区或系统分区;RAID-1卷与RAID-5卷的区别如下表1所示:
2、实现软RAID
①在“磁盘管理”中,右击要设置软RAID的硬盘,并在快捷菜单中选择“创建卷”选项,将显示“创建卷向导”窗口。
②单击“下一步”按钮,将显示“选择卷类型”页面,在这里选择要创建的卷类型。通常情况下,为了保障数据的安全,应当选择采用RAID-1或RAID-5卷。
③单击“下一步”按钮,将显示“选择磁盘”页面。在左侧“所有可用的动态磁盘”列表框中选择要添加的磁盘,并单击“添加”按钮,即可将其添加至该RAID-5卷,并显示在“选定的动态磁盘”列表框中。
④动态磁盘添加安毕后,单击“下一步”按钮,将显示“指派驱动器号和路径”页面。选中“指派驱动器号”选项,并为该RAID-5卷指派驱动器号,以便于管理和访问。
⑤单击“下一步”按钮,显示“卷区格式化”页面。选择“按下面提供的信息格式化这个卷”选项,并采用默认的NTFS文件系统和分配单位大小。可以为该RAID-5卷指定一个卷标,以用于与其他卷相区别。
⑥单击“下一步”按钮,将显示“完成创建卷向导”页面,此时卷的创建完成。
⑦单击“完成”按钮,系统将自动格式化新创建的卷。至此,RAID-5卷已创建完成。
四、RAID卷的管理
1、添加镜像卷
对于已有的动态磁盘,可以简单地通过添加镜像卷的方式来提高数据的安全性。
在“磁盘管理”中,右击要添加镜像磁盘的动态磁盘,并在快捷菜单中选择“添加镜像”选项,此时将显示“添加镜像”对话框。在磁盘列表中选择要设置为镜像的动态磁盘,然后单击“添加镜像”按钮,至此镜像添加完成,需要注意的是,添加为镜像的磁盘空间必须大于或等于现存卷。
2、测试镜像系统或启动卷
关闭计算机,然后断开或关闭某个磁盘以模拟磁盘故障,使用剩余镜像来重新启动计算机。验证Windows 可正确启动后,请关闭计算机然后重新连接磁盘,重新启动计算机。启动菜单出现时,选择仍保持连接状态的磁盘上的镜像。打开计算机管理(本地),在控制台树中单击“磁盘管理”,右键单击具有任一标有“失败的重复”的卷的磁盘,然后单击“重新激活磁盘。
3、重新激活RAID-5 磁盘
如果I/O 错误是暂时的,则可以尝试重新激活磁盘;打开计算机管理(本地),在控制台树中单击”磁盘管理“。右键单击局部出现故障的磁盘,然后单击”重新激活磁盘“,RAID-5卷的状态应变为”正在重新生成“,然后变为”良好“。
4、软RAID的恢复
磁盘冗余的目的就在于当磁盘出现故障时,系统能够保存数据的完整性。虽然在RAI D-1和RAID-5中某个磁盘成员的失败不会导致丢失数据,其他成员仍然可以继续运转,
但是如果失败不能得到及时恢复,那么磁盘卷将不再拥有冗余的特性。因此,必须及时恢复失败的RAID-1和RAID-5。
1)修复镜像卷和RAID-5卷
在”磁盘管理“中,失败卷的状态将显示为”失败的冗余“,磁盘之一将显示为”脱机“、”丢失“或”联机(错误)“。可以通过下述操作来恢复镜像卷:
① 确保该磁盘已连接到了计算机,并且已经加电。
② 在”磁盘管理“中,右击标识为”脱机“、”丢失“或”联机(错误)“的磁盘,然后在快捷菜单中单击”重新激活磁盘“选项。此时该磁盘的状态应当回到”良好“,同时镜像卷应该自动重新生成。
如果磁盘被严重破坏或者不可能修复,在弹出的快捷菜单中将只能看到”删除“命令,此时Windows 2003将无法再修复该镜像卷。另外,如果磁盘连续显示”联机(错误)“,则有可能表明该磁盘很快就要发生故障了,应当尽可能快地替换该磁盘。
2)替换磁盘和创建新的镜像卷
如果经修复仍未能重新激活镜像磁盘,或者镜像卷的状态没有恢复到”良好“状态,就必须替换失败磁盘,并创建新的镜像卷。
①在失败的卷上右击鼠标,并选择”删除镜像“选项,将显示”删除镜像“对话框。
②从磁盘列表中选择丢失的磁盘,然后单击”删除镜像“按钮,将显示”磁盘管理“警告框,以提示用户确认。
③单击”是“按钮,将删除该镜像卷。然后右击该丢失的磁盘,并在弹出的快捷菜单中选择”删除磁盘“选项,将该磁盘删除。
④更换新的磁盘,并将磁盘设置为动态磁盘。
⑤创建新的镜像卷。新镜像卷的创建过程请参见前述”添加镜像卷“。
3)替换磁盘和重新生成RAID-5卷
①更换故障磁盘,并将它设置为动态磁盘。
②在”磁盘管理“中,右击失败磁盘的RAID-5卷,在弹出的快捷菜单中选择”恢复卷“选项,将显示”修复RAID-5卷“对话框。
③选择要在RAID-5卷中替换失败磁盘的磁盘,并单击”确定“按钮。此时RAID-5卷开始自动修复。
④右击失败的磁盘,并在弹出的快捷菜单中选择”删除磁盘“选项,并从系统中删除该磁盘。
强化Windows Server 2003文件服务器
来源:https://www.doczj.com/doc/b616872251.html,
2004-6-19 10:20:00
目标
使用本模块可以:
1.强化基于Microsoft? Windows Server? 2003 操作系统的文件服务器。
2.检查文件服务器合适的安全配置。
适用范围
本模块适用于下列产品和技术:
Windows Server 2003
如何使用本模块
使用本模块您可以了解应用于基于Windows Server 2003 的文件服务器的安全设置。本模块使用多个角色特定安全模板和一个基准安全模板。安全模板来自“Windows Se rver 2003 Security Guide”。
为了更好地理解本模块的内容,请:阅读模块Windows Server 2003 安全性简介。该模块描述了“Windows Server 2003 Security Guide”的目的和内容。
阅读模块创建Windows Server 2003 服务器的成员服务器基准。该模块演示了使用组织单位和组策略将成员服务器基准应用于多个服务器的过程。
概述
由于文件服务器提供的大多数重要服务都需要Microsoft? Windows? 网络基本输入/输出系统(NetBIOS) 相关协议的支持,因此在进一步强化文件服务器上存在一些挑战。服务器消息块(SMB) 协议和通用Internet 文件系统(CIFS) 协议可以为没有经过身份验证的用户提供丰富的信息。因此,常常建议在高安全性的Windows 环境中禁止文件服务器使用这些协议。但是,禁用这些协议可能给您的环境中的管理员和用户访问文件服务器造成一定的困难。
本模块后面的部分将详细描述文件服务器可从安全设置中受益的内容,这些安全设置不是通过成员服务器基准策略(MSBP) 得到应用的。有关MSBP 的详细信息,请参阅模块创建Windows Server 2003 服务器的成员服务器基准。
审核策略设置
在本指南定义的三种环境下,文件服务器的审核策略设置都是通过MSBP 进行配置。有关MSBP 的详细信息,请参阅模块创建Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在全部的文件服务器上记录所有相关的安全性审核信息。
用户权限分配
在本指南定义的三种环境下,文件服务器的用户权限分配都是通过MSBP 进行配置。有关MSBP 的详细信息,请参阅模块创建Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有适当的用户权限可以跨越所有文件服务器实现统一配置。
安全选项
在本指南定义的三种环境下,文件服务器的安全性选项设置都是通过MSBP 进行配置。有关MSBP 的详细信息,请参阅模块创建Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有相关的安全性选项设置可以跨越所有文件服务器实现统一配置。
事件日志设置
在本指南定义的三种环境下,文件服务器的事件日志设置都是通过MSBP 进行配置。有关MSBP 的详细信息,请参阅模块创建Windows Server 2003 服务器的成员服务器基准。
系统服务
任何服务或应用程序都是一个潜在的攻击点,因此,应该禁用或删除所有不需要的服务或可执行文件。在MSBP 中,这些可选服务以及所有不必要的服务都禁用。
在运行Microsoft Windows Server 2003 的文件服务器上,经常还有其他一些服务被启用,但是,这些服务不是必需的。这些服务的使用及其安全性一直是人们争论的主题。为此,本指南所建议的文件服务器配置可能不适用于您的环境。可以根据需要调整我们建议的文件服务器组策略以满足您组织机构的需求。
Distributed File System
表1:设置
Distributed File System (DFS) 服务管理分布在局域网(LAN) 或广域网(WAN) 的逻辑卷,而且是Microsoft Active Directory? 目录服务SYSVOL 共享所必需的。DFS
是将完全不同的文件共享集成为一个逻辑命名空间的分布式服务。
命名空间是网络存储资源的一种逻辑表示方法,这些网络存储资源对网络中的用户都可用。禁用DFS 服务可以防止用户通过逻辑命名空间访问网络数据,要求用户必须知道环境中所有服务器和共享资源的名称才可以访问网络数据。
文件服务器增量式组策略禁用了DFS 服务,以便将环境中文件服务器遭到的攻击面降到最小。为此,在本指南所定义的所有安全环境中,应该将Distributed File System 设置配置为“禁用”。
注意:通过在文件服务器上使用DFS 简化分布式资源访问方式的组织机构必须修改文件服务器的增量式组策略,或者创建一个新的GPO 来启用该服务。
File Replication Service
表2:设置
File Replication Service (FRS) 可以自动复制文件并在多个服务器上同时进行保存。F RS 是Microsoft? Windows? 2000 操作系统和Windows Server 2003 家族中的一种自动文件复制服务。这种服务复制所有域控制器中的系统卷(Sysvol)。另外,您还可以对该服务进行配置,使其复制与容错DFS 关联的备用目标中的文件。若禁用这种服务,文件复制将不再发生而服务器上的数据也不再进行同步。
文件服务器增量式组策略禁用了FRS 服务,以便将您所在环境中文件服务器遭到的攻击表面积降到最小。为此,在本指南定义的所有安全环境中,应该将File Replication Service 设置配置为“禁用”。
注意:通过在文件服务器上使用FRS 复制多个服务器上的数据的组织必须修改文件服务器的增量式组策略,或者创建一个新的GPO 来启用该服务。
其他安全性设置
MSBP 中应用的安全设置为文件服务器提供了大量的增强安全性。不过,您也需要考虑其他一些注意事项。这些步骤不能通过组策略来实施,而要在所有文件服务器上手动执行操作。
保护众所周知帐户的安全
Microsoft Windows Server 2003 中具有大量的内置用户帐户,不能将其删除,但可以重命名。Windows 2003 中最常用的两个内置帐户是“来宾”帐户和“管理员”帐户。
默认情况下,“来宾”账户在成员服务器和域控制器上为禁用状态。不应该将此设置更改。您应该对内置的“管理员”账户重命名并改变其描述,以阻止攻击者利用一个众所周知的帐户危及远程服务器的安全。
最初,许多恶意代码的变种使用内置的管理员帐号,企图破坏服务器。近几年来,进行上述重命名配置的意义已经降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置“管理员”账户的安全标识符(SID) 确定该帐户的真实姓名,从而侵入服务器。S ID 是识别每个用户、组、计算机帐户和网络上登录会话的唯一值。不可能更改内置帐户的SID。将本地管理员帐户重命名为唯一的名称,操作部门就可以轻松监控攻击该帐户的企图。
要保护文件服务器上的常用账户,您应当:
1. 重新命名“管理员”帐户和“来宾”账户,然后在每个域和服务器上将其密码更改为长且复杂的值。
2. 在每个服务器上使用不同的名称和密码。如果所有的域和服务器使用同一个帐户名和密码,则取得其中一台成员服务器访问权的攻击者就可以用相同的帐户名和密码取得其他域和服务器的访问权。
3. 改变默认的帐户描述,以防止帐户被轻易识别。
4. 在安全的位置记录这些更改。
注意:可通过组策略重命名内置的“管理员”帐户。由于应该为您的环境选择一个唯一的名称,因此本指南所提供的所有安全模板中都没有对此设置进行配置。在本指南定义的三种环境中,都可以将“账户:重命名管理员帐户”设置配置为重命名管理员帐户。此设置是组策略安全选项设置的一部分。
保护服务账户
除非绝对必要,否则不要配置在域帐号安全性背景之下运行的服务。如果服务器的物理安全受到破坏,域账户密码可以很容易通过转储本地安全性机构(LSA) 秘文而获得。
用IPSec 过滤器阻断端口
Internet 协议安全(IPSec) 过滤器能为提高服务器的安全级别提供一条有效途径。本指南推荐在其定义的高安全性环境中使用该选项,以便进一步减少服务器的攻击表面积。
有关IPSec 过滤器使用的详细信息,请参阅模块其他成员服务器强化过程。
下表列出了可在本指南定义的高安全性环境中的文件服务器上创建的所有IPSec 过滤器。
表3:文件服务器IPSec 网络流量图
在执行上表列出的所有规则时都应该进行镜像处理。这可以确保进入服务器的所有网络流量也可以返回到源服务器。
上表描述了为服务器执行特别任务功能所需打开的基本端口。如果服务器使用静态I P 地址,这些端口已经足够使用了。如果需要提供其他功能,可能需要打开其他端口。打开其他端口可使您环境中的文件服务器更容易管理,不过,它们可能大大降低这些服务器的安全性。
由于域成员和域控制器之间具有大量的交互操作,因此在特殊的RPC 和身份验证通信中,您需要允许文件服务器和所有域控制器之间的所有通信。还可以将通信进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。这使得IPSec 策略的执行和管理更为困难。与一个文件服务器相关的所有域控制器都要创建相似的规则。为了提高文件服务器的可靠性和可用性,您需要为环境中的所有域控制器添加更多规则。
如上所述,如果在环境中运行Microsoft Operation Manager (MOM),则必须允许通过运行IPSec 过滤器的服务器和MOM 服务器之间的所有网络通信。这一点十分重要,因为MOM 服务器和OnePoint 客户—向MOM 控制台提供报告的客户端应用程序—之间具有大量的交互行为。其他的管理软件可能也有相似的要求。如果需要更高级别的安全性,可以将OnePoint 客户过滤操作配置为就IPSec 同MOM 服务器进行协商。
IPSec 策略可以有效地阻止任意一个高端口的通信,因此,将无法进行远程过程调用(RPC) 通信。这使得服务器的管理更加困难。由于已经有效关闭了如此之多的端口,因此可以启用终端服务。这将使管理员能够进行远程管理。
上面的网络流量图假定环境中包括启用了DNS 服务器的Active Directory。如果使用独立的DNS 服务器,可能还需要设定其他规则。
执行IPSec 策略不会对服务器的性能产生明显的影响。但是,在执行这些过滤器前应首先进行测试,以验证服务器的必要功能和性能是否得以维持。如果要支持其他应用软件,还可能需要添加其他规则。
本指南包括一个.cmd 文件,该文件简化了为文件服务器创建IPSec 过滤器的过程。“PacketFilters-File.cmd”文件使用NETSH 命令创建适当的过滤器。必须修改.cmd 文件以使它包括环境中域控制器的IP 地址。脚本为即将添加的域控制器提供了两个占位符。如果需要,还可以添加其他的域控制器。域控制器的IP 地址列表必须是最新的。
如果环境中有MOM,那么相应的MOM 服务器的IP 地址也必须列入脚本。这个脚本不会创建永久性的过滤器。因此,除非IPSec 策略代理开始运行,否则服务器是不受保护的。有关生成永久性的过滤器或创建更高级IPSec 过滤脚本的详细信息,请参阅模块其他成员服务器强化过程。最后,将该脚本配置为不对其创建的IPSec 策略进行分配。IP 安全策略管理单元可用于检查它创建的IPSec 过滤器和分配IPSec 策略以便使其生效。
小结
本模块讲述了在本指南所定义的三种环境中保护文件服务器安全所需采取的服务器强化设置。所论述的大多数设置都是使用组策略进行配置和应用的。您可以将能够对MS BP 进行有益补充的组策略对象(GPO) 链接到包含文件服务器的相应组织单位(OU) 中,以便为这些服务器提供的服务赋予更多的安全性。
用Windows 2003搭建自己的虚拟主机平台
来源:https://www.doczj.com/doc/b616872251.html,
2004-7-13 12:30:00
随着Internet越来越普及,各种各样的虚拟主机也越来越多,由于虚拟主机需要同时向大量不同的用户提供安全的网络应用环境,因此搭建一个虚拟主机平台除了需要架设W EB和FTP服务器,还涉及到一些虚拟主机环境所特有的问题。以下就对这些特有的问题进行归纳和分析。我个人认为在建立虚拟主机时主要需要注意以下三个大方面:
1.用户与磁盘空间和域名的绑定;
2.用户使用磁盘空间的容量限制(磁盘配额);
3.IIS和用户环境的安全问题(我使用的是Windows Server系统);
下面我就以这三个方面在Windows 2003 Enterprise Server具体如何实现做一个详细的介绍。
一、用户与磁盘空间和域名的绑定
先打开计算机管理(要是服务器已经升成为AD模式,就打开Active Directory用户
中国周边安全形势分析 中国是个疆域辽阔、陆海兼备的濒海大国。处于亚欧大陆的东南部,太平洋西岸人口众多,幅员辽阔。拥有960万平方公里陆地的同时,还拥有300万平方公里的蓝色海洋国土,有便利的海上通道和海洋资源。并且中国有众多的邻国,在陆地与中国接壤的有十四个,隔海相望的有九个国家,拥有漫长的陆地边界和海岸线。因此与周边国家的解除与摩擦也是不可避免的,能够正确的分析和合理的解决中国与周边国家的关系十分重要。 当前我国周边安全形势呈现出五大基本特征:朝鲜半岛局势陷于僵局,海上问题矛盾激化,美日同盟关系加强,中国与周边国家相互刺激军备竞赛,非传统安全威胁上升。与之前比较,本年度中国周边安全环境并没有明显改善,特别是以非传统安全为主要内涵的海上安全问题极为突出。展望过去,中国周边安全形势两大议程值得关注:第一,中美竞争加剧,美国仍将通过其主导的“雁型安全模式”,规制中国的崛起;第二,周边多个国家和地区进入大选年,其内部政治变化可能引 周边地区在中国外交的总体布局中处于”首要”地位,作为世界性的大国,世界也需要中国的安全来保持世界的安全。中国的周边包括六大“板块”,分别是中亚、南亚、东南亚、东北亚,以及西亚与南太平洋的部分地区.可将这六块地区统称为中国的“大周边”。当前中国周边地区的多个国家政局动荡不定,多个地缘方向滋生乱局,周边不稳趋于常态化、持久化、复杂化与联动化。周边形势动荡既有自身矛盾错综复杂的“内因”,也有大国角逐与干涉的“外因”。周边动荡加剧对中国构成诸多严峻挑战,中国应加快制定”大周边战略”.通过积极、有效、妥善应对周边不稳,不仅为自身持续与完全崛起营造更加有利的周边环境,而且也为周边的和平稳定与世界的和平发展做出应有的重要贡献。 然而近些年来中国周边安全却是一个巨大的话题。下面将从多个方面介绍。 1.中国南海海洋权益之争
Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重,以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。 作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务,所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有,则禁用
Print Spooler Remote Registry 因为我们使用的是云主机,跟单机又不一样,所以有些服务并不能一概而论,如上面的Server服务。例如天翼云的主机,上海1和内蒙池的主机就不一样,内蒙池的主机需要依赖Server服务,而上海1的不需要依赖此服务,所以上海1的可以禁用,内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性,删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。
我国周边海域安全形势分析 最近一段时间,中国周边海域一直处于纷争不断的状态,无论是岛屿主权纷争、海洋划界、海洋开发,还是渔业捕捞和生产方面的纷争接连不断,而且有愈演愈烈的趋势,从而造成中国周边海域安全形势进入一个双边摩擦日益增多的“多发期”。 周边国家与我海洋利益争端不断 周边国家与我海洋利益争端不断,近年来,我国与周边国家在领海主权纠纷上进一步趋于复杂化。 1.黄海海域争端,我与韩国海上划界和岛礁主权上存在着争端。归我管辖的黄海海域面积约25 万平方公里,与韩国有7.3 万平方公里存在争议,特别是中韩在苏岩礁的争端上有热起来的苗头。中韩因捕鱼导致的摩擦,近年已愈演愈烈,韩国更加强了对中国渔船非法作业的打击力度。 2. 日本与我争夺东海权益日趋激烈在东海,归中国管辖的海域面积有56 万平方公里,日本与中国重叠的海域面积约21 万公里,钓鱼岛之争对于中日海域的划界关系重大。近年来,中日两国在东海海域的主权矛盾明显上升,双边摩擦日益增多,围绕海洋油气资源的争夺十分激烈。东海面积77 万平方公里,涉及中韩日三国。韩国根据自身利益主张不同原则,济洲岛以南要求自然延伸,向西又要求中间线原则;日本历来顽固主张所谓的中间线原则,并且以钓鱼岛作为基点,单方面在中间划了一条所谓的中间线,并开始对这条线采取实际控制;中国一直坚持自然延伸原则,主张在东海大陆架一直延伸到冲绳海槽中心线,中日所谓的争议区达21万平方公里,相当于三个渤海湾。其中,中日之间的钓鱼岛之争是影响中日关系未来走向的主要因素。钓鱼岛作为领土问题之所以变得格外严重,就在于钓鱼岛不是一般的陆地疆界,而是东海中的岛屿,其归属将决定中日两国在拥有岛屿后而得到的相应的海洋权利。 3.南海呈现“六国七方”纷争的格局南中国海也称南海,其范围北起台湾,南至马来西亚和文莱,西起越南,东至菲律宾。这片350 万平方公里的海域,归我管辖的有210 平方公里,但与多国存在划界交叉,周边一些国家先后发表声明,单方面宣布海洋专属经济区和大陆架,肆意分割属我管辖的海域。产生这些矛盾的源起是因为南中国海是一块海蕴藏丰富能源、也是航运要道的“风水宝地”,无论地经济上还是军事上都具有极其重要的战略价值。针对南海这块“风水宝地”,越南、菲律宾、马来西亚、文莱、印度尼西亚等国纷纷宣称对我国南沙群岛拥有领土主权。目前,南沙群岛除我国控制的7个岛礁和台湾驻守的太平岛( 南沙诸岛中的最大的岛) 外,共有44 个岛礁被其它国家所侵占。目前,我国南海已经形成“六国七方”军事占领的武装割据格局,而且这种分割和控制还有蔓延的趋势。 美军调整驻亚太的军事部署 目前,美国在63 个国家建有737个军事基地,这些基地结成了一张严密的军事网,把整个世界牢牢地掌控在手上。在这些海外军事基地中,亚太地区的基地群是美国全球战略中的最重要的军事部署。随着战略重心转向亚太,美军对其驻亚太基地群进行了重大调整:
中国周边国际形势分析 摘要:我国疆域辽阔,东临太平洋,西接亚洲腹地,四周分别与东北亚、东南亚、南亚、中亚相邻。我国周边各地域的政治格局表现出横向的差异性及纵向的变动性。从东、南、西、北各地缘方向看,周边环境也呈现出不同态势,大致可归纳为“北稳、南和、东紧、西动”。从海陆地缘方向看,周边环境呈现出较大的差异性,大体可概括为“陆稳海动、陆缓海紧”。在这样的环境下,只有处理好周边关系才能实现中国的伟大复兴。 关键词:周边关系冲突矛盾共同发展战略安全 中国是当今世界上邻国最多的国家之一,维护中国的利益,处理好与周边国家的外交关系,消除危及国家安全隐患,加强对战略安全的研究,为中国和平崛起,成为世界强国创造条件。我国周边关系发展可具体分析为以下八个方面: 一、朝鲜半岛 进入21世纪后,美国政府对朝鲜采取强硬姿态,最终导致朝美第二次核危机的爆发,半岛局势再度趋紧。朝鲜半岛问题是东亚地区最大的冷战遗产,朝鲜半岛具有十分重要的战略意义,是各大国利益的交汇点,半岛两国的战略选择,将与大国因素相互作用,相互影响。在新时期初期的半岛局势仍将呈现出复杂多变的发展态势。朝鲜半岛是中国东北部安全的战略缓冲,半岛局势的紧张将破坏本地区的和平与稳定,也将影响中国现代化建设的进程,半岛南北双方真正走向和解,只有在中美等大国的支持下,才能取得实质性的成果。 二、日本 2010年是中日邦交正常化38周年。日本作为世界第二大经济强国,并且目前正处于转型过程,其走向将直接牵涉到我国的东部安全。日本政府对周边国家尤其是中国的强硬态度,严重影响地区的稳定,在历史问题上的错误态度也引起众多亚洲国家的不满,钓鱼岛问题也激化了中日两国在东海问题上的矛盾。虽然我国政府从大局出发,采取了理性和负责任的态度,但伴随着我国经济的发展和国际地位的不断提升,中日关系重新定位的过程中,矛盾和摩擦不可避免。 三、美国 在我国的周边政治格局中,美国是最具影响力的大国因素,也是对
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
浅论当前我国周边安全形势 翻开一幅世界地图,在地球的东方有一个古老的国度,历经五千年的文明教化如今依然散发着蓬勃生机。新中国建国六十余载,其间遭遇坎坷艰辛,但都坦然度过,付出了巨大代价,也收获了宝贵经验。自改革开放战略实施以来,中国这一块古老的土地上又一次迎来了新的活力,改革开放如今已实施三十余年,我国所取得的各项成就足以令世界为之瞩目,我国已经开始了民族伟大复兴的光荣之旅。随着波澜壮阔的二十世纪的结束,世界开始了一个新的纪元,我国也怀着满腔的热情迈入二十一世纪,国富民强,国泰民安的盛世景象开始有了愈加清晰的轮廓。不可否认,我国现在处在一个良好的发展时期,近三十年来,我国创造了举世瞩目的经济奇迹,国家实力进一步提升,这在很大程度上得益于我国三十年间相对稳定的周边环境。众所周知,自70 年代对越反击战后,我国基本处于和平状态,无明显对外战争,然而不幸的是,近年来我国的周边环境逐渐恶化,领土、海洋争端不断凸显,周边国家政局动荡,恐怖势力蔓延。而一国的周边环境对一个国家的发展起着非常重要的作用,一个稳定的周边环境是我们寻求和平发展的重要基础,周边形势的好坏直接影响着我国的国家安全,影响着国家和平发展和战略机遇的实现。 我国是世界上邻国最多的国家,我国疆域辽阔:东临太平洋,西接亚洲腹地,四周分别与东北亚、东南亚、南亚、中亚相邻。回顾历史,冷战结束后,我国与周边国家之间已不存在现实的战争或武装冲突,我国在国土周围也不再面临重大的现实军事威胁。进入二十一世纪后,我国周边政治格局发生了深刻而复杂的变化,总体上是稳定的,有利于和平稳定的因素进一步增强,不利于和平稳定的因素仍然存在并时有激化,总体呈现出机遇与挑战并存的明显特征,而这些都促使我们必须加紧重视周边安全形势。 由于我国邻国最多,因此地缘矛盾最多,最复杂的战略主体与周边国家在领土、领海等权益上,存在巨大问题。中国与周边国家的安全问题就像一条“V 形热点线” ,呈放射状特点,在北部、西部、南部、东部和东南部都存在着不安全因素。V 型线的左端是一条西北东南走向的大陆线,有中亚五国问题,阿富汗冲突、印巴冲突、印中争端等问题;V 型线右端是一条东北西南走向的海洋线,有日俄北方四岛之争,日韩的竹岛(独岛)之争、朝鲜半岛之争、中朝黄海大陆架之争、中日东海大陆架和钓鱼岛之争以及南中国海之争等。无疑,这些不安全因素如果不能有效地解除或者处理,将会给我国的经济建设和国家安全造成重大的影响。下面我就中国周围安全形势做一个简单的概括性介绍: 一,朝鲜半岛与中国安全 朝鲜半岛问题是东亚地区最大的冷战遗产,进入21 世纪后,美国政府对朝鲜采取强硬姿态,最终导致朝美第二次核发机的爆发,半岛局势再度趋紧。在东北亚地区,朝鲜半岛的局势发展始终牵动着大国利害关系,影响着地区的和平与发展。朝鲜半岛具有十分重要的战略地缘意义,是各大国利益的交汇点,半岛两国的战略选择,将与大国因素相互作用,相互影响。虽然朝鲜和韩国都在竭力谋求统一,但是双方存在的理念与利益冲突,造成了一种一致谋求统一却又坚持对抗的局面。新时期初期的半岛局势仍将呈现出复杂多变的发展态势。一方而,促进和解、推动谈判、制约战争的内外因素继续存在和发展。特别是“六方会谈” 进程的继续为和平解决争端提供了重要机遇,半岛和平进程有可能在曲折中前进;另一方面,朝鲜与美国、韩国之间的矛盾根深蒂固,各自的国家利益和政策目标大相径庭,半岛局势的发展仍存在较大的不稳定和不确定因素,不排除出现武力对抗和军事冲突的可能性,朝鲜半岛是中国东北部安全的战略缓冲,半岛局势的紧张将破坏本地区的和平与稳定,也将影响中国现代化建设的进程,没有半岛的安全,就无中国“和平崛起” 的最终实现。特别是去年“天安”号事件后,朝韩两国关系一度吃紧,美日等国都借天安号事件谋算自己的把戏,向中国施压,进一步巩固了美日韩三国军事联盟关系,之后美日韩
6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。(具体见本文附件1) 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份
修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )
谈谈我国周边的安全形势
我国周边的安全形势概况与趋势 我国周边安全形势是指我国在其国土周围面临的安全条件和所处的安全状况,也即我国周边地区的安全形势以及我国与周边国家在安全领域的利害关系。 影响我国周边安全形式的国际、国内因素是复杂多变的。但是,对一国的安全形式起决定作用的是地缘政治因素,一个国家的地理位置决定了它周边安全的复杂程度,也决定了它在国际战略格局中的地位,其影响具有长久性。我国是世界上陆海邻国最多的国家,有15个国家与我国领土接壤;此外,还有一个特殊的"邻居",那就是美国,由于美国的全球战略和它目前所处的"唯一超级大国"的地位,使它和我国处在一种"远在天边,近在眼前"的状态,它的触角伸到了我们的周边。俗话说,林子大了什么鸟都有,邻居多了,自然好邻居坏邻居也都有。在周边的这些邻国中,有些国家和我们的关系很好,有些国家和我们关系很不好,有些国家也好也不好;在世界将近200个国家中,没有一个国家像中国这样拥有如此众多的邻国,这是中国周边安全环境最突出的一个特点。在国际竞争中,邻国越多,特别是接壤邻国越多越不利。如此看来,中国的周边安全环境从来就是复杂的。 中国及其周边地区是世界上人口最密集,社会、经济发展最不平衡的地区;世界上10个人口过亿的国家有7个是在这个地区;中国周边地区也是世界上大国最集中的地区,多是军事强国,几乎都在我们旁边,或把手伸到了我们周围。历史上这些国家中,俄罗斯、印度、
越南、韩国、日本与我国发生过军事冲突,它们现在仍然是潜在的军事对手。 中国与8个海上邻国均有海洋争端,尤其复杂的是我们的海洋国土,按照国际海洋法,属于我国管辖的海区面积有近300万平方公里,然而,在这些海洋领土中却有近150万平方公里是有争端的。从海陆地缘方向看,周边安全环境呈现出较大的差异性,大体可概括为“陆稳海动、陆缓海紧”。冷战结束,为中国进一步稳定周边的和平环境提供了良好的机遇。在这个时期,苏联解体和东欧剧变给世界各国带来巨大的冲击。在此情况下,中国一方面打破西方大国的制裁,另一方面争取和尚未建交的国家建立外交关系,和一些关系尚未正常化的国家恢复正常关系。在此期间中国不失时机地解决了一些同周边国家的边界问题。中国陆地安全环境明显趋于和缓,而海洋安全环境则由于台湾岛内分裂势力的发展和美国加大对华遏制力度、日美加强军事同盟等因素而趋于紧张和严峻。进入21世纪后,中国周边安全环境依然呈现出“陆缓海紧”的态势。具体表现在:第一,陆地边界领土争端不断得到解决,海洋权益争端进一步突出。在陆地方向,目前只剩下中印边界问题尚未解决。反观海洋方向,中国与周边国家存在的岛屿主权、海域划界和资源开发等海洋权益争端大都未获解决,有的更趋严重。中国与日本存在钓鱼岛主权归属之争,中日之间还存在着专属经济区和东海大陆架划界问题;南海问题;中国与朝、韩之间在海域划界问题上也存在着分歧和争端。第二,海洋方向面临的安全隐患和安全威胁重于陆地方向。从安全隐患来看,陆地方向主要存在印巴冲突
当前我国周边安全形势分析 具有5000年文明历史的中国宛如一条巨龙横卧亚洲东方。早在16世纪杰出军事家,政治家拿破仑就曾经说过:“中国是头沉睡的雄狮,未来的某一天将发挥着举足轻重的作用。”事实证明了这位伟人的预言。新中国建国六十余载,其间遭遇坎坷艰辛,但都坦然度过,付出了巨大代价,也收获了宝贵经验。自改革开放战略实施以来,中国这一块古老的土地上又一次迎来了新的活力,改革开放如今已实施三十余年,我国所取得的各项成就足以令世界为之瞩目,我国已经开始了民族伟大复兴的光荣之旅。随着波澜壮阔的二十世纪的结束,世界开始了一个新的纪元,我国也怀着满腔的热情迈入二十一世纪,国富民强,国泰民安的盛世景象开始有了愈加清晰的轮廓。不可否认,我国现在处在一个良好的发展时期,近三十年来,我国创造了举世瞩目的经济奇迹,国家实力进一步提升,这在很大程度上得益于我国三十年间相对稳定的周边环境。众所周知,自70年代对越反击战后,我国基本处于和平状态,无明显对外战争,然而不幸的是,近年来我国的周边环境逐渐恶化,领土、海洋争端不断凸显,周边国家政局动荡,恐怖势力蔓延。而一国的周边环境对一个国家的发展起着非常重要的作用,一个稳定的周边环境是我们寻求和平发展的重要基础,周边形势的好坏将直接影响着我国的国家安全,影响着国家和平发展和战略机遇的实现。 我国是世界上邻国最多的国家,我国疆域辽阔:东临太平洋,西接亚洲腹地,四周分别与东北亚、东南亚、南亚、中亚相邻。回顾历史,冷战结束后,我国与周边国家之间已不存在现实的战争或武装冲突,我国在国土周围也不再面临重大的现实军事威胁。进入二十一世纪后,我国周边政治格局发生了深刻而复杂的变化,总体上是稳定的,有利于和平稳定的因素进一步增强,不利于和平稳定的因素仍然存在并时有激化,总体呈现出机遇与挑战并存的明显特征,而这些都促使我们必须加紧重视周边安全形势。 由于我国邻国最多,因此地缘矛盾最多,最复杂的战略主体与周边国家在领土、领海等权益上,存在巨大问题。中国与周边国家的安全问题就像一条“V形热点线”,呈放射状特点,在北部、西部、南部、东部和东南部都存在着不安全因素。V型线的左端是一条西北东南走向的大陆线,有中亚五国问题,阿富汗冲突、印巴冲突、印中争端等问题;V型线右端是一条东北西南走向的海洋线,有日俄北方四岛之争,日韩的竹岛(独岛)之争、朝鲜半岛之争、中朝黄海大陆架之争、中日东海大陆架和钓鱼岛之争以及南中国海之争等。无疑,这些不安全因素如果不能有效地解除或者处理,将会给我国的经济建设和国家安全造成重大的影响。下面我就中国周围安全形势做一个简单的概括性介绍:
WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案
备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.doczj.com/doc/b616872251.html,(可选) |——启用网络COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除
中国周边安全形势分析 近期,中国周边安全环境新变数与新“乱子”有所增加,不稳定与不确定性有所上升,在中国与周边国家的关系中,一些争议和摩擦连续出现,如中日钓鱼岛之争、中印边界领土争端、中菲黄岩岛对峙事件等,分析其原因不难发现: 一是因为中国周边地理环境复杂。中国拥有960万平方公里的陆地疆土,有2.2万公里长的陆地边界线,与中国接壤的国家有14个。中国还有1.8万公里长的大陆海岸线,与6个海上邻国的领海相接或相重叠。此外还有非接壤但有着密切关系的近邻国家等,因此,中国被称为“世界上邻国数目最多的国家”。中国不仅邻国数量多,而且这些国家的情况十分复杂多样,这在世界上较为少见。中国所处周边环境特别复杂,决定了在中国与邻国之间发生摩擦的概率要更大一些。 二是因为在中国与近邻国家之间,还存在着一些历史遗留下来的,未解决的边界问题。其中包括中印边界问题、中日钓鱼岛问题,还有南中国海问题。在这些领土和领海的划界问题上,虽然中国希望通过和平谈判的方式加以解决,但一些邻国不断采取各种手段,试图强化对争议地区的实际占领。这反映了周边某些国家的一种机会主义的心态,它们试图利用中国的和平主义政策,造成对中国不利的既成事实,谋取现实的利益,或者强化自身在未来边界谈判中的地位。 三是由于中国崛起带来的冲击。随着中国经济地位迅速上升,日本东亚经济主导国的地位受到冲击。从发展趋势上看,似乎中国正在逐渐确立自身在东亚地区的主导地位。日本对这一前景并不是欣然接受,而是试图延缓这一进程,或者通过与其他国家联合的方式,制约中国影响力的上升。这就在一定时期内增大了双方发生摩擦的可能性。类似的情况,也在中印关系、中韩关系等双边关系中不同程度地存在。 美国在东亚地区,存在着一个同盟体系。中国周边的日本、韩国、都是美国的盟国,此外,美国与菲律宾、泰国、新加坡、印度等保持着紧密的安全合作关系。特别是,日美同盟关系在很大程度上是直接针对中国的。美国的战略是维持在全球事
2003服务器系统安全配置-中级安全配置 08-06-16 05:27 发表于:《玉色主流空间》分类:未分类 [作者:墨鱼来源:互联网时间:2008-6-14QQ书签搜藏]【大中小】 2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般 入侵,需要高级服务器安全维护,请联系我。我们一起交流一下!做为一 个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者 代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的 密码一定要强壮! 服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去 除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和 Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.
4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.
5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户. 6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.
7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 8.在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享 ; 网络访问:可匿名访问的命名管道 ; 网络访问:可远程访问的注册表路径 ; 网络访问:可远程访问的注册表路径和子路径 ; 以上四项清空.
Apache服务器配置安全规范以及其缺陷!正如我们前言所说尽管Apache服务器应用最为广泛,设计上非常安全的程序。但是同其它应用程序一样,Apache也存在安全缺陷。毕竟它是完全源代码,Apache服务器的安全缺陷主要是使用HTTP 协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行拒绝服务(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷。主要安全缺陷(1)使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增,最终造成Apache系统变慢甚至完全瘫痪。(2)缓冲区溢出的安全缺陷该方法攻击者利用程序编写的一些缺陷,使程序偏离正常的流程。程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。(3)被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程),攻击者会通过它获得root权限,进而控制整个Apache系统。(4)恶意的攻击者进行拒绝服务(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞,它主要是存在于Apache的chunk encoding中,这是一个HTTP协议定义的用于接受web用户所提交数据的功能。所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性,由于Apache服务器其庞大的项目,难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题:(1)Apache服务器配置文件Apache Web服务器主要有三个配置文件,位于 /usr/local/apache/conf目录下。这三个文件是:httpd.conf-----主配置文件srm.conf------填加资源文件access.conf---设置文件的访问权限(2)Apache服务器的目录安全认证在Apache Server中是允许使用 .htaccess做目录安全保护的,欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案,档名为.htaccss。AuthName 会员专区 AuthType BasicAuthUserFile /var/tmp/xxx.pw -----把password放在网站外 require valid-user 到apache/bin目录,建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 -----第一次建档要用参数-c % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容,进入要用合法的用户。注:采用了Apache内附的模组。也可以采用在httpd.conf中加入:options indexes followsymlinks allowoverride authconfig order allow,deny allow from all (3)Apache服务器访问控制我们就要看三个配置文件中的第三个文件了,即access.conf文件,它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令,再使用allow from指令打开访问权限。order deny,allowdeny from allallow from https://www.doczj.com/doc/b616872251.html, 设置允许来自某个域、IP地址或者IP段的访问。(4)Apache服务器的密码保护问题我们再使 用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打开目录的访问控制。如:AuthName PrivateFilesAuthType BasicAuthUserFile /path/to/httpd/usersrequire Phoenix# htpasswd -c /path/to/httpd/users Phoenix设置Apache服务器的WEB和文件服务器我们在Apache服务器上存放WEB 服务器的文件,供用户访问,并设置/home/ftp/pub目录为文件存放区域,用
中国周边安全形势分析论文 当前,中国周边安全环境新变数与新“乱子”有所增加,不稳定与不确定性有所上升,在中国与周边国家的关系中,一些争议和摩擦连续出现,如中日钓鱼岛之争、中印边界领土争端、中菲黄岩岛对峙事件等,分析其原因不难发现: 一是因为中国周边地理环境复杂。中国拥有960万平方公里的陆地疆土,有2.2万公里长的陆地边界线,与中国接壤的国家有14个。中国还有1.8万公里长的大陆海岸线,与6个海上邻国的领海相接或相重叠。此外还有非接壤但有着密切关系的近邻国家等,因此,中国被称为“世界上邻国数目最多的国家”。中国不仅邻国数量多,而且这些国家的情况十分复杂多样,这在世界上较为少见。中国所处周边环境特别复杂,决定了在中国与邻国之间发生摩擦的概率要更大一些。 二是因为在中国与近邻国家之间,还存在着一些历史遗留下来的,未解决的边界问题。其中包括中印边界问题、中日钓鱼岛问题,还有南中国海问题。在这些领土和领海的划界问题上,虽然中国希望通过和平谈判的方式加以解决,但一些邻国不断采取各种手段,试图强化对争议地区的实际占领。这反映了周边某些国家的一种机会主义的心态,它们试图利用中国的和平主义政策,造成对中国不利的既成事实,谋取现实的利益,或者强化自身在未来边界谈判中的地位。 三是由于中国崛起带来的冲击。随着中国经济地位迅速上升,日本东亚经济主导国的地位受到冲击。从发展趋势上看,似乎中国正在逐渐确立自身在东亚地区的主导地位。日本对这一前景并不是欣然接
受,而是试图延缓这一进程,或者通过与其他国家联合的方式,制约中国影响力的上升。这就在一定时期内增大了双方发生摩擦的可能性。类似的情况,也在中印关系、中韩关系等双边关系中不同程度地存在。 四是美国在东亚地区,存在着一个同盟体系。中国周边的日本、韩国、都是美国的盟国,此外,美国与菲律宾、泰国、新加坡、印度等保持着紧密的安全合作关系。特别是,日美同盟关系在很大程度上是直接针对中国的。美国的战略是维持在全球事务中的领导地位,并试图排除任何一个大国对美国领导地位可能发起的挑战。因此,近来美国的战略东移,试图牵制中国崛起的意图更加明显。 不过,中国的周边环境也存在一些有利因素,首先是中国对周边地区的影响力逐渐增大。中国与周边国家的贸易额巨大,是许多周边国家最重要的贸易伙伴。同时,中国在周边国家的投资也在迅速增长。周边国家对中国经济影响力的扩大,持一种多少有些矛盾的心态,一方面由于中国经济高速增长所带来的经济机会;另一方面,也有一些防范心理,担心从经济上受制于中国。但不管怎么说,中国与周边国家的经济关系,是双边关系中的一个重要稳定因素,这在几年前中日关系的“政冷经热”中已经有清晰的体现。 其次是国际社会对中国战略意图的认知。随着中国的发展,很多周边国家对“中国威胁”感到焦虑。对此,中国提出了一系列政策理念和政策举措,来缓解这方面的焦虑,包括新安全观、和平崛起、负责任大国、建立一系列伙伴关系、提出睦邻、安邻、富邻的外交政策,
某世界500强公司的服务器操作系统安全配置标准-Windows 中国××公司 服务器操作系统安全配置标准-Windows V 1.1 2006年03 月30 日 文档控制 拟制: 审核: 标准化: 读者: 版本控制 版本提交日期相关组织和人员版本描述 V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用 8.3 格式文件名的自动生成 8 4.5 禁用 LMHASH 创建 8 4.6 配置 NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11 6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16
8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用NTFS文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 18 1 概述 本文档规定了中国××公司企业围安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用围 本规的使用者包括: 服务器系统管理员、应用管理员、网络安全管理员。 本规适用的围包括: 支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施 本规的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准一经颁布,即为生效。 1.3 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护 根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。 任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制 基本策略:用户被赋予唯一的用户名、用户ID(UID)。 3.1 密码策略 默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。 策略默认设置推荐最低设置 强制执行密码历史记录记住 1 个密码记住 4 个密码 密码最长期限 42 天 42 天 密码最短期限 0 天 0 天 最短密码长度 0 个字符 8 个字符 密码必须符合复杂性要求禁用启用
关于我国周边安全形势的分析和思考 一、前言 21世纪里,和平和发展仍然是人类社会进步的主旋律。但新形势下世界各国面临的挑战依然严峻,称霸与反称霸、单极与多极的斗争依然尖锐。世界局势动荡加剧,地区冲突不断升级,敏感问题日趋激化……新的斗争酝酿着新的发展,而发展必然与一个国家的安全形势密切相关,因此,世界各国间军事与安全斗争更加凸显。 众所周知,一个国家的发展和进步与其周边及国内的安全环境密切相关。没有安全与稳定就无从谈起发展。近些年来,我国周边的安全环境虽然得到较大改善,但随着世界各国发展的风云变幻,地区形势趋于复杂,我国周边安全形势更面临严峻挑战!并且随着我国与世界各国,尤其是周边各国的经济和政治的利益冲突的升级,矛盾也会不断加剧,因此我国周边的安全形势不容乐观。 二、我国周边安全形势的分析与评估 打开一张世界地图,我们可以清楚地看到:我国陆地上有十余个邻国,海上则与6个国家隔海相望。虽然这些国家与我国保持着“和平”状态,但由于历史遗留问题、经济和政治利益冲突等问题,矛盾难以避免。更有甚者,一些国家蠢蠢欲动,加之世界恐怖主义的猖獗,我国周边的安全形势正发生着深刻而复杂的变化,各种有利与不利因素相互交织,使之呈现出总体稳定而局部动荡的并存局面。就整体而言,我国周边安全环境在地缘上表现为“陆稳海动、陆缓海紧”以及“北稳、南和、东紧、西动”的不同态势,并且随着时代的发展也不断地发生着微妙的变化。 在东亚,日本和朝鲜半岛是这一地区安全形势的主要影响因素。中国与日本
的渊源甚至可以追溯到先秦时期,但两国的主要斗争则始于上世纪初期。日本军国主义发动的侵华战争给中国人民造成了沉重的灾难,两国人民也因此相互仇视。虽然从两国长远的战略角度考虑,我们依然应该和平相处,共同发展。但近年来,作为世界第二大经济强国的日本,其对外政策加快了谋求政治大国的步伐,防范和牵制中国的行动不断升级,尤其是近年来中日两国就东海问题、钓鱼岛问题等的争议以及今年9月份日舰撞我渔船抓我船长一事的发生,更激化了双边的矛盾,使中日双边关系陷入低谷。我国政府从大局出发,以一个发展中大国负责任的身份,理性的通过和平谈判的方式化解了一场一触即发的危机。但随着我国经济的不断发展以及国际地位的日益提高,进一步的双边摩擦和矛盾难以避免。我们应该清醒的看到,近年来,日本纠结一些军事强国通过同盟关系加强军备,甚至不惜冒天下之大不韪,强行修改本国宪法以达到其非正常军备“合法化”的目的。况且近十年来日本饱受泡沫经济和金融危机的影响,经济萎靡不振,但其在军备建设方面却并未有丝毫松懈,这足以见得其妄图通过加强军事力量而控制亚太局势的阴谋。同时,日本的这种快速军备扩张必将导致东北亚地区战略力量的严重失衡,使其成为了影响未来这一地区安全的不稳定因素,显然,这对于东亚各国尤其是我国在这一地区的周边安全形势构成了巨大的隐患! 在东亚地区,朝鲜半岛的局势变化也深刻地影响着我国的安全形势。朝鲜半岛是我国东北地区安全的战略缓冲,也是各大国利益的交汇点。近年来,围绕半岛无核化的问题,各国争论不休,以至于六方会谈的成果也不尽如人意,加之朝鲜一意孤行的进行核试验,并且与韩国的矛盾不断激化,进而导致11月23号两国互相炮击……这些都导致了朝鲜半岛不稳定局势的进一步动荡。我国作为这一地区的第一大国,安全形势又怎能不受其影响?!另一方面,朝鲜半岛上的韩国,