如何设置Windows服务器安全设置
一、取消文件夹隐藏共享在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将d出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。二、禁止建立空连接打开注册表编辑器,进入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。三、删掉不必要的协议对于服务器来说,只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。四、禁用不必要的服务:Automatic Updates(自动更新下载)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(远程修改注册表)Server(文件共享)Task Scheduler(计划任务)TCP/IP NetBIOS HelperThemes(桌面主题)Windows AudioWindows TimeWorkstation五、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位),然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性六、把Guest及其它不用的账号禁用有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,d出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。七、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。八、如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。(或者更改文件名)
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打开审核策略Windows默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核策略更改:成功或失败登录事件:成功和失败对象访问:失败事件过程追踪:根据需要选用目录服务访问:失败事件特权使用:失败事件系统事件:成功和失败账户登录事件:成功和失败账户管理:成功和失败十、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的。
概述目前很多学校的电脑机房都是采用有盘系统技术,普遍存在硬盘转速低、运行速度慢、容易感染病毒及维护工作量巨大的问题,对其进行升级改造以满足学校的教学工作是必然的趋势。使用无盘系统技术升级改造电脑机房,是学校电脑机房升级改造的首选方案。一方面可以充分利用电脑机房的资源,延长机房电脑的使用寿命,节省资金投入;另一方面可以大大增强机房电脑系统的稳定性和实用性,避免不断重复的系统安装和维护等管理工作,节省人力投入。目前,无盘系统技术在网吧等大型机房的应用已较普及。
无盘教学系统的特点
1、节约资金:对于有盘网络系统,所有工作站均要安装硬盘,对于一个机房来说,这是一笔不小的投入。在使用过程中,由于现在大量采用的机械式硬盘使用寿命本来就不太长,加之部分学生的不正当开关机、频繁开关机及其它不爱护计算机行为,极易造成计算机硬盘的损坏,硬盘的更换又是很大的一笔投入。还有就是由于硬盘是一个比较耗电的部件,使用过程中一个机房几十上百台计算机的硬盘耗电量也不可小觑。而无盘系统除了服务器外,其它的工作站都可不用硬盘,从而减少了大量的资金投入,降低了机房硬件成本。在使用过程中,由于只有服务器有硬盘,从而无需担心工作站硬盘的损坏,也可节约一笔电费。
2、维护方便:对于一个普通的有盘网络,例如一个网络教室,如果网络中的工作站出了什么问题,开不了机、上不了网,或者网络中的软件需要升级或安装一个最新的教学软件,这时网络管理员就要忙起来了,他要负责把每台机器都调整好,安装上新的软件,甚至每台机器的硬盘都要重新格式化、分区、安装好系统等。也许过不了多久,系统又被学生不小心破坏掉,于是又是繁琐的安装、调试等,麻烦不说,还要耽误工作、影响教学的正常使用。网络一旦中病毒那网管们又有得忙了。而无盘教学系统则由于工作站无硬盘,学生机可以随意开关,不怕损坏数据和硬盘。即使安装和更新系统,由于所有的 *** 作系统和应用软件文件都放到服务器上,系统的管理和维护都在服务器上完成,软件安装和更新只需在一台无盘机上直接配置一次,网络中的所有计算机就都能用上新软件。这就解决了电脑维护人员不足,机房维护量大的问题,大大减轻了系统管理员的工作量。
3、安全性好:与有盘相比,由于无盘教学系统都有独特的数据保护功能,具有像以往机房中常采用的硬盘保护卡、还原卡及其它系统还原软件一样的保护功能,不怕学生对系统的破坏,只要再重新启动一次计算机,则系统又恢复回原状。正由于此,也使从局域网内部感染病毒的机会降低为零,一般只需对服务器进行保护及杀毒即可。
4、速度快:无盘教学系统现在都发展的很好,特别是服务器磁盘的多读多写,和有盘比起来就没区别了。若相关硬件配置好点,系统做得好点,还可能大大超过相同资金投入的有盘系统。
5、可扩展性强:无盘教学系统只需对服务器升级,不需经常更新硬件,且同一网络中兼容多种不同硬件类型,网络扩展性极强,整个系统升级极其方便简单。而且可与硬盘共存可以在有硬盘的网络中安装,实现有盘与无盘相结合,方便管理与维护的同时,满足用户多种需求。
6、稳定性、兼容性好:现在的无盘教学系统,完全仿真本地硬盘,稳定可靠、软件兼容性极佳,保证系统能够长时间处于极其稳定的状态,各种教学软件、应用软件、多媒体软件均能运行无阻,确保教学的正常进行。
7、可一机多系统:可以实现在学生机开机时由学生选择使用的系统,可以是Windows XP系统、Windows 2003系统、Win7系统。也可由管理员在服务器上切换一下系统,学生重新开一次机则大家都可更改为另一个系统。这也解决了部分软件的兼容性问题。而这些功能的实现在有盘机网络并不容易。
8、个性化磁盘:每台学生机都可以有自己的特定目录,可以任意存储学生的作业。老师可以从服务端查看学生的作业并对其进行批阅。
9、可与硬盘共存:可以在有硬盘的网络中安装,实现有盘与无盘相结合的方案,方便管理与维护的同时,满足用户多种需求。
无盘系统在学校的常见应用
由于无盘系统技术的成熟和网络带宽向千兆到桌面过度,目前已在宾馆、KTV、网吧、学校等公共用机场合广泛使用。其中,在学校的使用主要有以下解决方案:
1、多媒体计算机网络教室;
2、图书馆或多媒体阅览室;
3、多媒体语音教室;
4、班班通信息化教学网;
5、信息化教师备课办公网;
6、学校开放式公共计算机房或绿色校园网吧;
7、开放式公共计算机房或绿色互联网服务中心;学生机的ip应该手动配置,或者在你的计算机上安装dhcp服务器,让其他电脑自动获取ip,这个ip段并非公有ip,服务器不会自动分配这样的ip,如果用这些ip你就需要手动陪每一台电脑的ip,子网掩码,默认网关和DNS,这样就能上网了
两台电脑(台式和笔记本都可以)
网线(交换机或者路由器,括号中可以都不要)
电脑若连接外网,用QQ等发送文件夹就可以,不需参考此方法。
方法1-不需要加入家庭组
直接将两台电脑用一根网线两头各连接一台电脑。
公司部门里办公,通常都是连接在同一交换机,电脑都没有连接外网。
以下为学校同实验室同学电脑测试,网络IP为自动获取,连接于同一交换机上。
点击发送文件的一台电脑,此处记作 电脑A,右键 - 属性-共享选项卡-高级共享-勾选 共享此文件夹-权限-
设置 共享权限-完全控制-确定
在另一台接受文件的电脑上(记作电脑B),打开电脑B -我的电脑或者计算机,在左侧的树形图中,点击网络,等待片刻,右侧就会出现同一路由器上的电脑或者同一网线连接的电脑。(如果没有自动搜索出表,点击d出的阻止项,允许启用网络发现)。(图二是在控制面板打开网络发现方法)
发现网络后,点击电脑A 的电脑名称,d出 输入用户名和密码 (输入电脑A 的开机用户名和登录密码),确定,即可进入电脑A刚设置的共享文件夹,
右键新建文件夹及新建文件,下图显示可以。
9
接下来就可以复制电脑A 共享文件夹中的文件了。
反之亦然。电脑B中文件也可通过上述步骤设置共享供给A复制修改等使用
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)