资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,操作系统安装及配置,DELL,服务器,Windowsserver,操作系统,第1页,目录纲领,服务器操作系统安装方法,服务器操作系统安装过程,操作系统安全配置,总结,第2页,服务器操作系统安装方法,服务器引导光盘安装,优点:操作方便,傻瓜化。,缺点:可能会使硬盘上全部数据丢失,用于新服务器或没有主要数据服务器。自动驱动服务器全部硬件设备。,软盘加载硬盘控制卡驱动,优点:不会引发数据丢失。,缺点:制作软盘驱动盘过程复杂,安装过程较为不便。软盘基本淘汰,这种方法较少使用。,U,盘加载硬盘控制卡驱动,优点:不会引发数据丢失。,缺点:制作软盘驱动盘过程较为复杂,安装过程较为不便。,U,盘使用方便,此种方法比较惯用。需要加外安装硬件驱动。,第3页,HP,引导光盘,第4页,DELL,引导光盘,第5页,IBM,引导光盘,第6页,操作系统安装过程,用引导光盘引导安装操作系统,阵列上之前用操作系统划分分区和数据将会删除。所以,假如服务器上有主要数据,需要先备份数据。,操作系统安装过程分两种(以,WIN,为例),1,、,DELL,引导光盘,2,、,U,盘加载驱动(各品牌安装过程基本一致,主讲,U,盘驱动制作方法),第7页,操作系统安装过程,NTFS,系统:,NTFS,系统为一个高级文件系统,提供了性能、安全、可靠性以及未在任何,FAT,格式版本中提供高级功效,经过它能够实现任意文件及文件夹加密和权限设置磁盘配额和压缩等高级功效。能够更加好利用磁盘空间,提升系统运行速度。假如你在安装时不选取,NTFS,系统,那么后面很多安全配置如用户权限设置等将都不能实现。,设置管理密码:在安装过程中需要输入,Administrator,密码,提议使用密码应符合以下条件之中前二个及最少三个:,-,最少,6,个字符,-,不包含,“Administrator”,或,“Admin”,-,包含大写字母(,A,、,B,、,C,等等),-,包含小写字母(,a,、,b,、,c,等等),-,包含数字(,0,、,1,、,2,等等),-,包含非字母数字字符(,#,、,&,、,等等),第8页,DELL,引导光盘安装,开机画机,按,F11,键。,第9页,DELL,引导光盘安装,第10页,DELL,引导光盘安装,稍等片刻,屏幕出现以下界面(不一样版本,DOSA,光盘界面可能略有不一样,但全部步骤一样),第11页,DELL,引导光盘安装,第12页,DELL,引导光盘安装,引导光碟将检测您服务器硬件,这里需要,5-10,分钟左右,请耐心等候。,第13页,DELL,引导光盘安装,第14页,DELL,引导光盘安装,第15页,DELL,引导光盘安装,注:windowsSP2非R2版本,能够选择windowsServicePack2R2Edition.R2版本第一张光盘和普通本是一样,安装完成后再安装第二张R2补丁,假如不安装就是普通版(标准版,企业版等)。,第16页,DELL,引导光盘安装,第17页,DELL,引导光盘安装,第18页,DELL,引导光盘安装,第19页,DELL,引导光盘安装,第20页,DELL,引导光盘安装,第21页,DELL,引导光盘安装,第22页,DELL,引导光盘安装,第23页,DELL,引导光盘安装,第24页,DELL,引导光盘安装,第25页,DELL,引导光盘安装,第26页,DELL,引导光盘安装,第27页,DELL,引导光盘安装,第28页,DELL,引导光盘安装,系统安装完成,第29页,U,盘加载驱动安装,需要,U,盘制作工具软件,将,U,盘转换成虚拟软驱。,1,:使用工具软件后,,U,盘数据会丢失!,使用工具软件后,,U,盘数据格式将无法被,Windows,系统使用,需要重新格式化后才能正常使用。,2:,假如在,vista,或,WIN7,系统中使用工具软件,需要右键点击,USBKeyPrepF6.exe,选择以管理员身份运行。,第30页,U,盘加载驱动安装,3:,制作驱动,U,盘过程中,假如提醒失败,提议检验是否有其它程序使用,U,盘,能够尝试关闭全部其它程序,重新插拔,U,盘,再开工具制作。,4:,确认,BIOS,中,Integrateddevice,里面软驱设置为,OFF.,5:,先插上,U,盘再开机,6:,安装过程中,F6,加载,依据提醒在选择,S,地方,需要按,3,次,S,和回车,来确认使用虚拟软盘中驱动,.,第31页,U,盘加载驱动安装,制作,U,盘驱动方法,:,下载工具和解压缩都是在当地硬盘就好,不要放到,U,盘上运行。下载解压缩到希望暂时目录,然后进入解压缩目录,运行,USBKeyPrepF6.exe,。,Vista,或,WIN7,系统中使用工具软件,需要右键点击,USBKeyPrepF6.exe,选择以管理员身份运行,.,第32页,U,盘加载驱动安装,此时您重插,U,盘再双击,U,盘,会提醒请插入磁盘驱动器,表示,U,盘驱动做好。,假如依然能够打开您,U,盘看到里面文件,说明没有做好,。,第33页,U,盘加载驱动安装,开始安装服务器:,将,U,盘插在要安装服务器,USB,端口,重启服务器,将系统光盘放在光驱内,按,F11=BootMenu,,进入开启菜单后,确认,U,盘有被识别到。正常从光盘开始安装。,第34页,U,盘加载驱动安装,选择从光驱引导:,第35页,U,盘加载驱动安装,屏幕底部出现信息:,PressF6ifyouneedtoinstallathirdpartySCSIorRAIDdriver,时,及时按下,“,F6”,键。,第36页,U,盘加载驱动安装,按完,F6,后,安装程序会继续加载模块。这是正常。,过一会儿后,您将会看到以下信息:,Setupcouldnotdeterminethetypeofoneormoremassstoragedevicesinstalledinyoursystem,oryouhavechosentomanuallyspecifyanadaptor.,第37页,U,盘加载驱动安装,单击,“,S”,,出现,U,盘中驱动程序名称,第38页,U,盘加载驱动安装,敲回车确认,红框中信息表示驱动被加载。回车继续安装。,看到下列图,而且按,S,键确认,才真正加载上,.,第39页,U,盘加载驱动安装,识别到硬盘:,第40页,U,盘加载驱动安装,将光标移动到未指派分区按,C,创建分区:,(默认为全部容量,需要手动更改提议,C,盘最少,50G,),第41页,U,盘加载驱动安装,将光标移动到,C,盘位置选择回车进行安装,选择,NTFS,快速格式化:,第42页,U,盘加载驱动安装,后续,安装操作系统方式与普通,PC,步骤一致,不在赘述。,第43页,操作系统安全配置,1,关闭不需要端口,2,更改远程连接端口,3FTP,服务器端口过滤,4,禁用无须要服务,5,禁用不需要网络服务,6,配置安全审核策略,7,禁用默认共享和,IPC,连接,8,禁用远程注册表访问,9,杀毒软件安装,10,磁盘权限设置,11,IIS,推荐安全设置,12SQL,推存安全设置,13,系统常规安全设置,第44页,关闭不需要端口,当地连接,-,属性,-Internet,协议(,TCP/IP,),-,高级,-,选项,-TCP/IP,筛选,-,属性,-,把勾打上,然后添加你需要端口即可。注:设置完端口需要重新开启!,第45页,更改远程连接端口,HKEY_LOCAL_MACHINE SYSTEM Current ControlSet Control Terminal ServerWinStationsRDP-TcpPortNumber=dword:00002683,图上更改为,2683,,当然大家也能够换别端口,直接打开以上注册表地址,把值改为十进制输入你想要端口即可!重启生效!,第46页,FTP服务器端口过滤,在,系统里,用,TCP/IP,筛选里端口过滤功效,使用,FTP,服务器时候,只开放,21,端口,在进行,FTP,传输时候,,FTP,特有,Port,模式和,Passive,模式,在进行数据传输时候,需要动态打开高端口,所以在使用,TCP/IP,过滤情况下,经常会出现连接上后无法列出目录和数据传输问题。所以在,系统上增加,Windows,连接防火墙能很好处理这个问题,不推荐使用网卡,TCP/IP,过滤功效,。,第47页,禁用无须要服务,禁用,Remote Registry,服务,说明:禁止远程连接注册表,禁用,task schedule,服务,说明:禁止自动运行程序,禁用,server,服务,说明:禁止默认共享,禁用,Telnet,服务,说明:禁止,telnet,远程登陆,禁用,workstation,服务,说明:预防一些漏洞和系统敏感信息获取,TCP/IP NetBIOS Helper Service,服务器不需要开启共享,Computer Browser,维护网络上计算机最新列表以及提供这个列表,Task scheduler,允许程序在指定时间运行,Messenger,传输客户端和服务器之间,NET SEND,和 警报器服务消息,Distributed File System:,局域网管理共享文件,不需要禁用,Distributed linktracking client,:用于局域网更新连接信息,不需要禁用,Error reporting service,:禁止发送错误汇报,Microsoft Serch,:提供快速单词搜索,不需要可禁用,PrintSpooler,:假如没有打印机可禁用,Remote Registry,:禁止远程修改注册表,Remote Desktop Help Session Manager,:禁止远程帮助,把无须要服务都禁止掉,尽管这些不一,定能被攻击者利用得上,不过按照安全规则,和标准上来说,多出东西就没必要开启,,降低一份隐患。,第48页,禁用不需要网络协议,在,“,网络连接,”,里,把不需要协议和服务都删掉,这里只安装了基本,Internet,协议(,TCP/IP,),因为要控制带宽流量服务,额外安装了,Qos,数据包计划程序。在高级,tcp/ip,设置里,-“NetBIOS”,设置,“,禁用,tcp/IP,上,NetBIOS,(,S,),”,。在高级选项里,使用,“Internet,连接防火墙,”,,这是,windows,自带防火墙,能够屏蔽端口,这么已经基本到达了一个,IPSec,功效。,第49页,配置安全审核策略,在运行中输入,gpedit.msc,回车,打开组策略编辑器,选择计算机配置,-Windows,设置,-,安全设置,-,审核策略。,推荐要审核项目是:,登录事件,账户登录事件,系统事件,策略更改,对象访问,目录服务访问,特权使用,第50页,禁用默认共享和IPC连接,Windows,安装好以后,系统会创建一些隐藏共享,你可,以在,cmd,下打,net share,查看他们。首先编写以下内容批处,理文件:,保留为,delshare.bat,,存放到系统所在文件夹下,system32/GroupPolicy/User/Scripts/Logon,目录下。然后在开,始菜单运行中输,gpedit.msc,,回车即可打开组策略编辑器。,点击用户配置,Window,设置脚本,(,登录,/,注销,),登录,在出现,“,登录 属性,”,窗口中单击,“,添加,”,,会出现,“,添加脚本,”,对话框,在该窗口,“,脚本名,”,栏中输入,delshare.bat,,然后单击,“,确定,”,按钮即可。这么就能够经过组策略编辑器使系统开机即执行脚本删除系统默认共享。,禁用,IPC,连接,IPC,是,Internet Process Connection,缩写,也就是远程网络连接。命令即:,net use/ip/ipc$password/user:usernqme,。,能够经过修改注册表来禁用,IPC,连接。打开注册表编辑器。找到,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa,中,restrictanonymous,子键,将其值改为,1,即可禁用,IPC,连接。,第51页,禁用远程注册表访问,设置远程可访问注册表路径为空,这么能够有效地预防黑客利用扫描器经过远程注册表读取计算机系统信息及其它信息。,打开组策略编辑器,然后选择,“,计算机配置,”,“Windows,设置,”,“,安全选项,”,“,网络访问:可远程访问注册表路径,”,及,“,网络访问:可远程访问注册表,”,,将设置远程可访问注册表路径和子路径内容设置为空即可。,第52页,杀病毒软件安装,提议使用诺顿杀毒软件。,第53页,磁盘权限设置,C,盘只给,administrators,和,system,权限,其它权限不给,其它盘也能够这么设置,这里给,system,权限也不一定需要给,只是因为一些第三方应用程序是以服务形式开启,需要加上这个用户,不然造成开启不了。,Windows,目录要加上给,users,默认权限,,不然,ASP,和,ASPX,等应用程序就无法运行。,在用做,web/ftp,服务器系统里,提议是将这,些目录都设置锁死。其它每个盘目录都,按照这么设置,每个盘都只给,adinistrators,权,限。,net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许,administrator,访问。,第54页,IIS推荐安全设置,1,、不使用默认,Web,站点,假如使用也要将,IIS,目录与系统磁盘分开。,2,、删除,IIS,默认创建,Inetpub,目录(在安装系统盘上)。,3,、删除系统盘下虚拟目录,如:,_vti_bin,、,IISSamples,、,Scripts,、,IIShelp,、,IISAdmin,、,IIShelp,、,MSADC,。,4,、删除无须要,IIS,扩展名映射。,右键单击,“,默认,Web,站点,属性,主目录,配置,”,,打开应用程序窗口,去掉无须要应用程序映射。主要为,.shtml,、,.shtm,、,.stm,。,5,、更改,IIS,日志路径,右键单击,“,默认,Web,站点,属性,-,网站,-,在启用日志统计下点击属性,第55页,SQL推荐安全设置,1,、,System Administrators,角色最好不要超出两个,2,、假如是在本机最好将身份验证配置为,Win,登陆,3,、不要使用,Sa,账户,为其配置一个超级复杂密码,4,、删除以下扩展存放过程格式为:,use master,sp_dropextendedproc,扩展存放过程名,xp_cmdshell,:是进入操作系统最正确捷径,删除,访问注册表存放过程,删除,Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues,Xp_regread Xp_regwrite Xp_regremovemultistring,Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty,Sp_OAMethodSp_OASetPropertySp_OAStop,5,、隐藏,SQL Server,、更改默认,1433,端口。,右击实例选属性,-,常规,-,网络配置中选择,TCP/IP,协议属性,选择隐藏,SQL Server,实例,并改原默认,1433,端口。,第56页,系统推荐常规安全设置,1,、系统升级、打操作系统补丁,尤其是,IIS 6.0,补丁、,SQL SP3a,补丁,甚至,IE 6.0,补丁也要打。同时及时跟踪最新漏洞补丁;,2,、停掉,Guest,帐号、并给,guest,加一个异常复杂密码,把,Administrator,更名或伪装!,3,、隐藏主要文件,/,目录,能够修改注册表实现完全隐藏:,“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,,鼠标右击,“CheckedValue”,,选择修改,把数值由,1,改为,0,。,第57页,系统推荐常规安全设置,4,、开启系统自带,Internet,连接防火墙,在设置服务选项中勾选,Web,服务器。,5,、预防,SYN,洪水攻击。,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters,新建,DWORD,值,名为,SynAttackProtect,,值为,2,6.,禁止响应,ICMP,路由通告报文,HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ServicesTcpipParametersInterfacesinterface,,新建,DWORD,值,名为,PerformRouterDiscovery,值为,0,。,7.,预防,ICMP,重定向报文攻击,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters,将,EnableICMPRedirects,值设为,0,8.,不支持,IGMP,协议,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters,新建,DWORD,值,名为,IGMPLevel,值为,0,。,第58页,系统推荐常规安全设置,9,、禁用,DCOM,:,运行中输入,Dcomcnfg.exe,。回车,单击,“,控制台根节点,”,下,“,组件服务,”,。打开,“,计算机,”,子文件夹。,对于当地计算机,请以右键单击,“,我电脑,”,,然后选择,“,属性,”,。选择,“,默认属性,”,选项卡。,去除,“,在这台计算机上启用分布式,COM”,复选框,第59页,总结,操作系统安装:按步就搬,注意数据备份。,系统安全配置:最小化系统服务,精减开放端口,注意系统补丁升级和用户密码设置。,第60页,
展开阅读全文