以下文章小编为您整理的WIN服务器安全配置终极技巧图(上)网络服务器(共含8篇),供大家阅读。同时,但愿您也能像本文投稿人“滚滚东坡崽”一样,积极向本站投稿分享好文章。
网上流传的很多关于 windows server 2003系统的 安全 配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端BT的2003 服务器 的安全配置,让更多的网管朋友高枕无忧, 我们配置的服务器需要提供
网上流传的很多关于windowsserver 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端BT的2003服务器的安全配置,让更多的网管朋友高枕无忧。
我们配置的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。
关于常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了
先说关于系统的NTFS磁盘权限设置,大家可能看得都多了,但是2003服务器有些细节地方需要注意的,我看很多文章都没写完全。
C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:“只要给我一个webshell,我就能拿到system”,这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限。
另外,还将:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在“网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序,
在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用“Internet连接防火墙”,这是windows 2003 自带的防火墙,在系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
这里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
SERV-U FTP 服务器的设置:
一般来说,不推荐使用srev-u做ftp服务器,主要是漏洞出现的太频繁了,但是也正是因为其操作简单,功能强大,过于流行,关注的人也多,才被发掘出bug来,换做其他的ftp服务器软件也一样不见得安全到哪儿去。
当然,这里也有款功能跟serv-u同样强大,比较安全的ftp软件:Ability FTP Server
下载地址:www.315safe.com/showarticle.asp?NewsID=4096
设置也很简单,不过我们这里还是要迎合大众胃口,说说关于serv-u的安全设置。
首先,6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的密码功能,其实在5.x版本里可以用ultraedit-32等编辑器修改serv-u程序体进行修改密码端口,6.0修补了这个隐患,单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的,两个月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit,正在网上火卖着,不过这种sniff的方法,同样是在获得webshell的条件后还得有个能在目录里有“执行”的权限,并且需要管理员再次登陆运行serv-u administrator的时候才能成功。所以我们的管理员要尽量避上以上几点因素,也是可以防护的。
另外serv-u的几点常规安全需要设置下:
选中“Block ”FTP_bounce“attack and FXP”。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
另外在“Blockanti time-out schemes”也可以选中。其次,在“Advanced”选项卡中,检查 “Enable security”是否被选中,如果没有,选择它们。
原文转自:www.ltesting.net
新建立一个站,采用默认向导,在设置中注意以下在应用程序设置里:执行权限为默认的纯脚本,应用程序池使用独立的名为:315safe的程序池, 服务器 安全 配置终极技巧图(下)(图一)“ />名为315safe的应用程序池可以适当设置下”内存回收“:这里的最大虚拟
新建立一个站,采用默认向导,在设置中注意以下在应用程序设置里:执行权限为默认的纯脚本,应用程序池使用独立的名为:315safe的程序池。
服务器安全配置终极技巧图(下)(图一)” />
名为315safe的应用程序池可以适当设置下“内存回收”:这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。在应用程序池里有个“标识”选项,可以选择应用程序池的安全性帐户,默认才用网络服务这个帐户,大家就不要动它,能尽量以最低权限去运行大,隐患也就更小些。在一个站点的某些目录里,譬如这个“uploadfile”目录,不需要在里面运行asp程序或其他脚本的,就去掉这个目录的执行脚本程序权限,在“应用程序设置”的“执行权限”这里,默认的是“纯脚本”,我们改成“无”,这样就只能使用静态页面了。依次类推,大凡是不需要asp运行的目录,譬如数据库目录,图片目录等等里都可以这样做,这样主要是能避免在站点应用程序脚本出现bug的时候,譬如出现从前流行的upfile漏洞,而能够在一定程度上对漏洞有扼制的作用,
在默认情况下,我们一般给每个站点的web目录的权限为IIS用户的读取和写入,如图:
但是我们现在为了将SQL注入,上传漏洞全部都赶走,我们可以采取手动的方式进行细节性的策略设置。
给web根目录的IIS用户只给读权限。如图:
然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞,入侵者也无法将asp木马写进目录里去,呵呵, 不过没这么简单就防止住了攻击,还有很多工作要完成。如果是MS-SQL数据库的,就这样也就OK了,但是Aclearcase/“ target=”_blank“ >ccess的数据库的话,其数据库所在的目录,或数据库文件也得给写权限,然后数据库文件没必要改成。asp的。这样的后果大家也都知道了把,一旦你的数据库路径被暴露了,这个数据库就是一个大木马,够可怕的。其实完全还是规矩点只用mdb后缀,这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律,如图:
这里用任意一个dll文件来解析。mdb后缀名的映射,只要不用asp.dll来解析就可以了,这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。
原文转自:www.ltesting.net
IIS的 安全 : 删掉c:/inetpub目录,删除iis不必要的映射 首先是每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为www.315safe.com ,权限为guest的, 服务器 安全配置终极技巧图(中)(图一)” />在IIS里的站点属性里“目录安全性”---“身份验证
IIS的安全:
删掉c:/inetpub目录,删除iis不必要的映射
首先是每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为www.315safe.com ,权限为guest的。
服务器安全配置终极技巧图(中)(图一)” />
在IIS里的站点属性里“目录安全性”---“身份验证和访问控制”里设置匿名访问使用下列Windows用户帐户“的用户名密码都使用www.315safe.com 这个用户的信息,在这个站点相对应的web目录文件,默认的只给IIS用户的读取和写入权限(后面有更BT的设置要介绍)。在”应用程序配置“里,我们给必要的几种脚本执行权限:ASP.ASPX.php,
ASP,ASPX默认都提供映射支持了的,对于PHP,需要新添加响应的映射脚本,然后在web服务扩展将ASP,ASPX都设置为允许,对于php以及CGI的支持,需要新建web服务扩展,在扩展名(X):下输入 php ,再在要求的文件(E):里添加地址 C:/php/sapi/php4isapi.dll ,并勾选设置状态为允许(S)。然后点击确定,这样IIS就支持PHP了。支持CGI同样也是如此。
要支持ASPX,还需要给web根目录给上users用户的默认权限,才能使ASPX能执行。
另外在应用程序配置里,设置调试为向客户端发送自定义的文本信息,这样能对于有ASP注入漏洞的站点,可以不反馈程序报错的信息,能够避免一定程度的攻击。
原文转自:www.ltesting.net
新建立一个站,采用默认向导,在设置中注意以下在应用程序设置里:执行权限为默认的纯脚本,应用程序池使用独立的名为:315safe的程序池,
名为315safe的应用程序池可以适当设置下”内存回收“:这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
在应用程序池里有个”标识“选项,可以选择应用程序池的安全性帐户,默认才用网络服务这个帐户,大家就不要动它,能尽量以最低权限去运行大,隐患也就更小些。在一个站点的某些目录里,譬如这个”uploadfile“目录,不需要在里面运行asp程序或其他脚本的,就去掉这个目录的执行脚本程序权限,在”应用程序设置“的”执行权限“这里,默认的是”纯脚本“,我们改成”无“,这样就只能使用静态页面了。依次类推,大凡是不需要asp运行的目录,譬如数据库目录,图片目录等等里都可以这样做,这样主要是能避免在站点应用程序脚本出现bug的时候,譬如出现从前流行的upfile漏洞,而能够在一定程度上对漏洞有扼制的作用。
在默认情况下,我们一般给每个站点的web目录的权限为IIS用户的读取和写入,如图:
但是我们现在为了将SQL注入,上传漏洞全部都赶走,我们可以采取手动的方式进行细节性的策略设置,
给web根目录的IIS用户只给读权限。如图:
然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞,入侵者也无法将asp木马写进目录里去,呵呵, 不过没这么简单就防止住了攻击,还有很多工作要完成。如果是MS-SQL数据库的,就这样也就OK了,但是Access的数据库的话,其数据库所在的目录,或数据库文件也得给写权限,然后数据库文件没必要改成。asp的。这样的后果大家也都知道了把,一旦你的数据库路径被暴露了,这个数据库就是一个大木马,够可怕的。其实完全还是规矩点只用mdb后缀,这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律,如图:
这里用任意一个dll文件来解析。mdb后缀名的映射,只要不用asp.dll来解析就可以了,这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。
责编:豆豆技术应用
1.DHCP的基本概念
1.1 DHCP是什么?
动态主机分配协议(DHCP)是一个简化主机IP地址分配管理的TCP/IP 标准协议,用户可以利用DHCP服务器管理动态的IP地址分配及其他相关的环境配置工作(如:DNS、WINS、Gateway的设置)。
在使用TCP/IP协议的网络上,每一台计算机都拥有唯一的计算机名和IP地址。IP地址(及其子网掩码)使用与鉴别它所连接的主机和子网,当用户将计算机从一个子网移动到另一个子网的时候,一定要改变该计算机的IP地址。如采用静态IP 地址的分配方法将增加网络管理员的负担,而DHCP可以让用户将DHCP服务器中的IP 地址数据库中的IP 地址动态的分配给局域网中的客户机,从而减轻了网络管理员的负担。用户可以利用Windows 服务器提供的DHCP服务在网络上自动的分配IP地址及相关环境的配工作。
在使用DHCP时,整个网络至少有一台NT 服务器上安装了DHCP服务,其他要使用DHCP功能的工作站也必须设置成利用DHCP获得IP地址。如图 1所示是一个支持DHCP的网络实例
1.2 使用 DHCP的好处:
安全而可靠的设置
DHCP 避免了因手工设置IP地址及子网掩码所产生的错误,同时也避免了把一个IP地址分配给多台工作站所造成的地址冲突。降低了管理IP地址设置的负担使用DHCP 服务器大大缩短了配置或重新配置网络中工作站所花费的时间,同时通过对DHCP服务器的设置可灵活的设置地址的租期。同时,DHCP 地址租约的更新过程将有助于用户确定那个客户的设置需要经常更新(如:使用便携机的客户经常更换地点),且这些变更由客户机与DHCP服务器自动完成,无需网络管理员干涉。
1.3 DHCP 的常用术语
术 语 描 述
作用域
作用域是一个网络中的所有可分配的 IP 地址的连续范围。作用域主要用来定义网络中单一的物理子网的 IP 地址范围。作用域是服务器用来管理分配给网络客户的 IP 地址的主要手段。
超级作用域
超级作用域是一组作用域的集合,它用来实现同一个物理子网中包含多个逻辑 IP 子网。在超级作用域中只包含一个成员作用域或子作用域的列表。然而超级作用域并不用于设置具体的范围。子作用域的各种属性需要单独设置。
排除范围
排除范围是不用于分配的 IP 地址序列。它保证在这个序列中的 IP 地址不会被 DHCP 服务器分配给客户机。
地址池
在用户定义了 DHCP 范围及排除范围后,剩余的地址欧成了一个地址池,地址池中的地址可以动态的分配给网络中的客户机使用
租约
租约是 DHCP 服务器指定的时间长度,在这个时间范围内客户机可以使用所获得的 IP 地址,
当客户机获得 IP 地址时租约被激活。在租约到期前客户机需要更新 IP 地址的租约,当租约过期或从服务器上删除则租约停止。
1.4 DHCP工具
DHCP 控制台是管理 DHCP 服务器的主要工具,在安装 DHCP 服务时加入到管理工具中。在 Windows 2000 服务器中,DHCP 控制台被设计成微软管理控制台(MMC)的一个插件,它与其它网络管理工具结合的更为紧密。在下面章节中用户会具体学习它的使用。
在安装 DHCP 服务器后,用户可以用 DHCP 控制台执行以下一些基本的服务器管理功能:
创建范围、添加及设置主范围和多个范围、查看和修改范围的属性、激活范围或主范围、监视范围租约的活动、
为需要固定 IP 的客户创建保留地址
添加自定义默认选项类型
添加和配制由用户或服务商定义的选项类
另外 DHCP 控制台还有新增的功能,如:增强了性能监视器、更多的预定意 DHCP 选项类型、支持下层用户的 DNS 动态更新、监测网络上为授权的 DHCP 服务器等。
2、DHCP服务器的安装与配置
2.1 安装 DHCP 服务器的步骤如下:
步骤1 启动 ”添加/删除程序“对话框
步骤2 单击”添加/删除 Windows 组件“出现 ”windows 组件向导单击下一步“出现 ”Windows 组件“对话框从列表中选择”网络服务“ 如图 2
步骤3 单击”详细内容“,从列表中选取”动态主机配置协议(DHCP)“ 如图 3单击”确定“
步骤4 单击”下一步“ 输入到 Windows2000 Server 的安装源文件的路径,单击”确定“开始安装 DHCP 服务
步骤5 单击”完成“,当回到”添加/删除程序“对话框后,单击”关闭“按钮
安装完毕后在管理工具中多了一个 ”DHCP“ 管理器
2.2 添加 DHCP 服务器
在安装 DHCP 服务后,用户必须首先添加一个授权的 DHCP 服务器,并在服务器中添加作用域设置相应的 IP 地址范围及选项类型,以便 DHCP 客户机在登录到网络时,能够获得 IP 地址租约和相关选项的设置参数。
添加 DHCP 服务器的步骤如下:
步骤1 启动 DHCP 管理控制台,如图 4
步骤2 选择”操作“菜单中的”添加服务器“,启动添加服务器向导单击”下一步“出现”指定 DHCP 服务器“对话框如,单击”浏览“按钮后出现”目录中授权的服务器“对话框,在此用户可用给DHCP服务器添加授权,单击”添加“按钮,出现”授权 DHCP 服务器“窗体 如图5,填写用户要建立 DHCP 服务的服务器名或 IP 地址。
步骤3 在”目录中授权的服务器“对话框中选择上一步添加的服务器,单击”管理“→下一步→完成
在 ”DHCP“ 管理控制台中出现刚才添加的服务器
如图6
1.DHCP的基本概念
1.1 DHCP是什么?
动态主机分配协议(DHCP)是一个简化主机IP地址分配管理的TCP/IP 标准协议,用户可以利用DHCP服务器管理动态的IP地址分配及其他相关的环境配置工作如:DNS、WINS、Gateway的设置)。
在使用TCP/IP协议的网络上,每一台计算机都拥有唯一的计算机名和IP地址。IP地址(及其子网掩码)使用与鉴别它所连接的主机和子网,当用户将计算机从一个子网移动到另一个子网的时候,一定要改变该计算机的IP地址。如采用静态IP 地址的分配方法将增加网络管理员的负担,而DHCP可以让用户将DHCP服务器中的IP 地址数据库中的IP 地址动态的分配给局域网中的客户机,从而减轻了网络管理员的负担。用户可以利用Windows 2000 服务器提供的DHCP服务在网络上自动的分配IP地址及相关环境的配工作。
在使用DHCP时,整个网络至少有一台NT 服务器上安装了DHCP服务,其他要使用DHCP功能的工作站也必须设置成利用DHCP获得IP地址。如图 1所示是一个支持DHCP的网络实例
1.2 使用 DHCP的好处:
安全而可靠的设置
DHCP 避免了因手工设置IP地址及子网掩码所产生的错误,同时也避免了把一个IP地址分配给多台工作站所造成的地址冲突。降低了管理IP地址设置的负担使用DHCP 服务器大大缩短了配置或重新配置网络中工作站所花费的时间,同时通过对DHCP服务器的设置可灵活的设置地址的租期。同时,DHCP 地址租约的更新过程将有助于用户确定那个客户的设置需要经常更新(如:使用便携机的客户经常更换地点),且这些变更由客户机与DHCP服务器自动完成,无需网络管理员干涉。
1.3 DHCP 的常用术语
术 语 描 述
作用域
作用域是一个网络中的所有可分配的 IP 地址的连续范围。作用域主要用来定义网络中单一的物理子网的 IP 地址范围。作用域是服务器用来管理分配给网络客户的 IP 地址的主要手段。
超级作用域
超级作用域是一组作用域的集合,它用来实现同一个物理子网中包含多个逻辑 IP 子网。在超级作用域中只包含一个成员作用域或子作用域的列表。然而超级作用域并不用于设置具体的范围。子作用域的各种属性需要单独设置。
排除范围
排除范围是不用于分配的 IP 地址序列。它保证在这个序列中的 IP 地址不会被 DHCP 服务器分配给客户机。
地址池
在用户定义了 DHCP 范围及排除范围后,剩余的地址欧成了一个地址池,地址池中的地址可以动态的分配给网络中的客户机使用
租约
租约是 DHCP 服务器指定的时间长度,在这个时间范围内客户机可以使用所获得的 IP 地址。当客户机获得 IP 地址时租约被激活。在租约到期前客户机需要更新 IP 地址的租约,当租约过期或从服务器上删除则租约停止。
1.4 DHCP工具
DHCP 控制台是管理 DHCP 服务器的主要工具,在安装 DHCP 服务时加入到管理工具中。在 Windows 2000 服务器中,DHCP 控制台被设计成微软管理控制台(MMC)的一个插件,它与其它网络管理工具结合的更为紧密。在下面章节中用户会具体学习它的使用。
在安装 DHCP 服务器后,用户可以用 DHCP 控制台执行以下一些基本的服务器管理功能:
创建范围、添加及设置主范围和多个范围、查看和修改范围的属性、激活范围或主范围、监视范围租约的活动、
为需要固定 IP 的客户创建保留地址
添加自定义默认选项类型
添加和配制由用户或服务商定义的选项类
另外 DHCP 控制台还有新增的功能,如:增强了性能监视器、更多的预定意 DHCP 选项类型、支持下层用户的 DNS 动态更新、监测网络上为授权的 DHCP 服务器等,
2、DHCP服务器的安装与配置
2.1 安装 DHCP 服务器的步骤如下:
步骤1 启动 ”添加/删除程序“对话框
步骤2 单击”添加/删除 Windows 组件“出现 ”windows 组件向导单击下一步“出现 ”Windows 组件“对话框从列表中选择”网络服务“ 如图 2
步骤3 单击”详细内容“,从列表中选取”动态主机配置协议(DHCP)“ 如图 3单击”确定“
步骤4 单击”下一步“ 输入到 Windows2000 Server 的安装源文件的路径,单击”确定“开始安装 DHCP 服务
步骤5 单击”完成“,当回到”添加/删除程序“对话框后,单击”关闭“按钮
安装完毕后在管理工具中多了一个 ”DHCP“ 管理器
2.2 添加 DHCP 服务器
在安装 DHCP 服务后,用户必须首先添加一个授权的 DHCP 服务器,并在服务器中添加作用域设置相应的 IP 地址范围及选项类型,以便 DHCP 客户机在登录到网络时,能够获得 IP 地址租约和相关选项的设置参数。
添加 DHCP 服务器的步骤如下:
步骤1 启动 DHCP 管理控制台,如图 4
步骤2 选择”操作“菜单中的”添加服务器“,启动添加服务器向导单击”下一步“出现”指定 DHCP 服务器“对话框如,单击”浏览“按钮后出现”目录中授权的服务器“对话框,在此用户可用给DHCP服务器添加授权,单击”添加“按钮,出现”授权 DHCP 服务器“窗体 如图5,填写用户要建立 DHCP 服务的服务器名或 IP 地址。
步骤3 在”目录中授权的服务器“对话框中选择上一步添加的服务器,单击”管理“→下一步→完成
在 ”DHCP“ 管理控制台中出现刚才添加的服务器
如图6
2.3 在 DHCP 服务器中添加作用域
步骤1 在 DHCP 控制台中单击要添加作用域的服务器→操作→新建→作用域→出现”创建作用域向导“
步骤2 单击”下一步“然后”输入作用域名“对话框在此输入本域的域名
步骤3 单击”下一步“输入作用域将分配的地址服务几子网掩码 如图7
步骤4 单击”下一步“在”添加排除“对话框中输入需要排除的地址服务
如图8
步骤5 单击”下一步“选择租约期限(默认为 8 天)
步骤6 单击”下一步“选择配置 DHCP 选项
如图9
步骤7 单击”下一步“输入默认网关 IP 地址,
步骤8 输入域名称和 DNS 服务器的 IP 地址
如图 10
步骤9 单击”下一步“添加 WINS 服务器的地址,
步骤10 单击”下一步“选择激活作用域
步骤11 在 DHCP 控制台中出现新添加的作用域 如图11,在 DHCP 控制台右侧窗体中的状态条中显示”运行中"表示作用域已启用。
设置完毕,当 DHCP 客户机启动是可以从 DHCP 服务器获得 IP 地址租约及选项设置。
一、概述
大家知道,邮件服务器系统由POP3服务、简单邮件传输协议(SMTP)服务以及电子邮件客户端三个组件组成,其中的POP3服务与SMTP服务一起使用,POP3为用户提供邮件下载服务,而SMTP则用于发送邮件以及邮件在服务器之间的传递。电子邮件客户端是用于读取、撰写以及管理电子邮件的软件。
Windows Server 2003操作系统新增的POP3服务组件可以使用户无需借助任何工具软件,即可搭建一个邮件服务器。通过电子邮件服务,可以在服务器计算机上安装POP3组件,以便将其配置为邮件服务器,管理员可使用 POP3 服务来存储和管理邮件服务器上的电子邮件帐户。下面的内容是让我们来讨论邮件服务器的配置与管理。
二、配置POP3邮件服务器
Windows Server 2003初始安装完毕后,POP3服务组件并没有被安装。因此在配置POP3服务之前,必须首先要安装相应的组件,然后才可以进行诸如身份验证方法的设置、邮件存储区设置、域及邮箱的管理等工作。
POP3 服务提供三种不同的身份验证方法来验证连接到邮件服务器的用户。在邮件服务器上创建任何电子邮件域之前,必须选择一种身份验证方法。只有在邮件服务器上没有电子邮件域时,才可以更改身份验证方法。
1、本地Windows账户身份验证
如果邮件服务器不是活动目录域的成员,并且希望在安装了邮件服务的本地计算机上存储用户账户,那么可以使用“本地Windows 帐户”身份验证方法来进行邮件服务的用户身份验证。本地Windows账户身份验证将邮件服务集成到本地计算机的安全账户管理器(SAM)中。通过使用安全帐户管理器,在本地计算机上拥有用户账户的用户就可使用与由POP3服务提供的或本地计算机进行身份验证的相同的用户名和密码。
本地Windows账户身份验证可以支持一个服务器上的多个域,但是不同域上的用户名必须惟一的。例如,用户名为webmaster@ghq.net和webmaster@jscei.com的用户不能同时在一个服务器上存在的。
如果以相应的用户账户创建一个邮箱,则该用户账户将被添加到“POP3用户”本地组。即使在服务器上拥有相同的用户账户,“POP3用户”组的成员也不能在本地登录服务器。使用计算机的本地安全策略可以增强对本地登录的限制,因此仅授权的用户有本地登录权限,这样可以提高服务器的安全性。另外如果用户不能本地登录到服务器,并不影响其使用POP3服务。
本地Windows账户身份验证同时支持明文和安全密码身份验证(SPA)的电子邮件客户端身份验证。其中的明文以不安全和非加密的格式传输用户数据,所以不推荐使用明文身份验证。而SPA要求电子邮件客户端使用安全的身份验证传输用户名和密码,因此推荐使用该方法来取代明文身份验证。
2、Active Directory集成的身份验证
如果安装POP3服务的服务器是活动目录域的成员或者是活动目录域控制器,则可以使用活动目录集成的身份验证。同时,使用活动目录集成的身份验证,可以将POP3服务集成到现有的活动目录域中。如果创建的邮箱与现有的活动目录用户账户相对应,则用户就可以使用现有的活动目录域用户名和密码来收发电子邮件。
可以使用活动目录集成的身份验证来支持多个POP3域,这样就可以在不同的域中建立相同的用户名。例如,可以使用名为webmaster@ghq.net的用户和名为webmaster@jscei.com的用户。
在使用活动目录集成的身份验证,并且拥有多个POP3电子邮件域时,当创建一个邮箱时,应该确保考虑新邮箱的名称与其他POP3电子邮件域中现有邮箱的名称是否相同。每个邮箱都与一个活动目录用户账户相对应。
活动目录集成的身份验证同时支持明文和安全密码身份验证(SPA)的电子邮件客户端身份验证。
如果将一个正在使用本地Windows账户身份验证的邮件服务器升级到域控制器,必须按照下面的步骤来进行:
(1)删除POP3服务中所有现有的电子邮件账户及域。
(2)创建活动目录。
(3)将本地Windows账户身份验证方法更改为活动目录集成的身份验证方法。
(4)重
关 键 字:邮件 服务器
服务器安全配置精华!
Windows2000 含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000将会是一个很安全的操作系统,
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是 们入侵系统的突破口,系统的帐户越多, 们得到合法用户的权限可能性一般也就越大,
国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 RunAS 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!创建一个名为 Administrator的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。
★ 网络服务器安全
