服务器操作系统安装及安全配置

DELL服务器\Windows2003server操作系统服务器操作系统安装方法服务器操作系统安装过程操作系统安全配置总结服务器引导光盘安装优点：操作方便，傻瓜化。缺点：可能会使硬盘上的所有数据丢失，用于新服务器或没有重要数据的服务器。自动驱动服务器所有硬件设备。软盘加载硬盘控制卡驱动优点：不会引起数据丢失。缺点：制作软盘驱动盘过程复杂，安装过程较为不便。软盘基本淘汰，这种方法较少使用。U盘加载硬盘控制卡驱动优点：不会引起数据丢失。缺点：制作软盘驱动盘过程较为复杂，安装过程较为不便。U盘使用方便，此种方法比较常用。需要加外安装硬件驱动。HP引导光盘IBM引导光盘用引导光盘引导安装操作系统，阵列上之前用操作系统划分的分区和数据将会删除。所以，如果服务器上有重要数据，需要先备份数据。操作系统安装过程分两种（以WIN2003为例）1、DELL引导光盘2、U盘加载驱动（各品牌安装过程基本一致，主讲U盘驱动制作方法）NTFS系统：NTFS系统为一种高级的文件系统，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能，通过它可以实现任意文件及文件夹的加密和权限设置磁盘配额和压缩等高级功能。可以更好的利用磁盘空间，提高系统运行速度。如果你在安装时不选用NTFS系统，那么后面的很多安全配置如用户权限设置等将都不能实现。设置管理密码：在安装过程中需要输入Administrator密码，建议使用的密码应符合下列条件之中的前二个及至少三个：-至少6个字符-不包含“Administrator”或“Admin”-包含大写字母（A、B、C等等）-包含小写字母（a、b、c等等）-包含数字（0、1、2等等）-包含非字母数字字符（#、&、~等等）开机画机，按F11键。•稍等片刻，屏幕出现如下界面（不同版本的DOSA光盘界面可能略有不同，但所有步骤一样）引导光碟将检测您的服务器硬件，这里需要5-10分钟左右，请耐心等待。•注：windows2003SP2非R2版本，可以选择windows2003ServicePack2R2Edition.R2版本的第一张光盘和普通的2003版本是一样的，安装完成后再安装第二张R2补丁，如果不安装就是普通版的2003（标准版，企业版等）。系统安装完毕需要U盘制作工具软件,将U盘转换成虚拟软驱。1：使用工具软件后，U盘的数据会丢失！使用工具软件后，U盘数据格式将无法被Windows系统使用，需要重新格式化后才能正常使用。2:如果在vista或WIN7系统中使用工具软件,需要右键点击USBKeyPrepF6.exe,选择以管理员身份运行。3:制作驱动U盘的过程中,如果提示失败,建议检查是否有其他程序使用U盘,可以尝试关闭全部其他程序,重新插拔U盘,再开工具制作。4:确认BIOS中,Integrateddevice里面软驱设置为OFF.5:先插上U盘再开机6:安装过程中F6加载,根据提示在选择S的地方,需要按3次S和回车,来确认使用虚拟软盘中的驱动.制作U盘驱动方法:下载的工具和解压缩都是在本地硬盘就好，不要放到U盘上运行。下载解压缩到希望的临时目录，然后进入解压缩的目录，运行USBKeyPrepF6.exe。Vista或WIN7系统中使用工具软件,需要右键点击USBKeyPrepF6.exe,选择以管理员身份运行.此时您重插U盘再双击U盘，会提示请插入磁盘驱动器，表示U盘驱动做好。如果仍然可以打开您的U盘看到里面的文件，说明没有做好。开始安装服务器：将U盘插在要安装的服务器USB端口，重启服务器，将系统光盘放在光驱内，按F11=BootMenu，进入启动菜单后，确认U盘有被识别到。正常从光盘开始安装。选择从光驱引导：屏幕的底部出现信息：PressF6ifyouneedtoinstallathirdpartySCSIorRAIDdriver时，及时按下“F6”键。按完F6,后，安装程序会继续加载模块。这是正常的。过一会儿后，您将会看到以下信息：Setupcouldnotdeterminethetypeofoneormoremassstoragedevicesinstalledinyoursystem,oryouhavechosentomanuallyspecifyanadaptor.单击“S”，出现U盘中的驱动程序名称敲回车确认，红框中的信息表示驱动被加载。回车继续安装。看到下图,并且按S键确认,才真正加载上.识别到硬盘：将光标移动到未指派分区按C创建分区：（默认为所有的容量，需要手动更改建议C盘至少50G）将光标移动到C盘位置选择回车进行安装，选择NTFS快速格式化：后续，安装操作系统方式与普通PC步骤一致，不在赘述。1关闭不需要的端口2更改远程连接端口3FTP服务器端口过滤4禁用不必要的服务5禁用不需要的网络服务6配置安全审核策略7禁用默认共享和IPC连接8禁用远程注册表访问9杀毒软件安装10磁盘权限设置11IIS推荐安全设置12SQL推存安全设置13系统常规安全设置本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。注：设置完端口需要重新启动！[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]PortNumber=dword:00002683图上更改为2683，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。禁用RemoteRegistry服务[说明：禁止远程连接注册表]禁用taskschedule服务[说明：禁止自动运行程序]禁用server服务[说明：禁止默认共享]禁用Telnet服务[说明：禁止telnet远程登陆]禁用workstation服务[说明：防止一些漏洞和系统敏感信息获取]TCP/IPNetBIOSHelperService[服务器不需要开启共享]ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行Messenger传输客户端和服务器之间的NETSEND和警报器服务消息DistributedFileSystem:局域网管理共享文件，不需要禁用Distributedlinktrackingclient：用于局域网更新连接信息，不需要禁用Errorreportingservice：禁止发送错误报告MicrosoftSerch：提供快速的单词搜索，不需要可禁用PrintSpooler：如果没有打印机可禁用RemoteRegistry：禁止远程修改注册表RemoteDesktopHelpSessionManager：禁止远程协助把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。在“网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS（S）”。在高级选项里，使用“Internet连接防火墙”，这是windows2003自带的防火墙，可以屏蔽端口，这样已经基本达到了一个IPSec的功能。在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略。推荐的要审核的项目是：登录事件账户登录事件系统事件策略更改对象访问目录服务访问特权使用Windows2003安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打netshare查看他们。首先编写如下内容的批处理文件：保存为delshare.bat，存放到系统所在文件夹下的system32/GroupPolicy/User/Scripts/Logon目录下。然后在开始菜单→运行中输gpedit.msc，回车即可打开组策略编辑器。点击用户配置→Window设置→脚本(登录/注销)→登录，在出现的“登录属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。禁用IPC连接IPC是InternetProcessConnection的缩写，也就是远程网络连接。命令即：netuse//ip/ipc$password/user:usernqme。可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。设置远程可访问的注册表路径为空，这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器，然后选择“计算机配置”→“Windows设置”→“安全选项”→“网络访问：可远程访问的注册表路径”及“网络访问：可远程访问的注册表”，将设置远程可访问的注册表路径和子路径内容设置为空即可。建议使用诺顿杀毒软件。C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。net.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe这些文件都设置只允许administrator访问。1、不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。4、删除不必要的IIS扩展名映射。右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、.shtm、.stm。5、更改IIS日志的路径右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性1、SystemAdministrators角色最好不要超过两个2、如果是在本机最好将身份验证配置为Win登陆3、不要使用Sa账户，为其配置一个超级复杂的密码4、删除以下的扩展存储过程格式为：usemastersp_dropextendedproc'扩展存储过程名'xp_cmdshell：是进入操作系统的最佳捷径，删除访问注册表的存储过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletev