当前位置：首页 > 范文大全 > 实用文>Windows 的安全配置教程之高级篇

Windows 的安全配置教程之高级篇

2023-09-17 09:34:53 收藏本文下载本文

“泯安”通过精心收集，向本站投稿了6篇Windows 的安全配置教程之高级篇，下面小编为大家整理后的Windows 的安全配置教程之高级篇，欢迎阅读与借鉴!

Windows 的安全配置教程之高级篇

篇1：Windows 的安全配置教程之高级篇

1. 关闭 DirectDraw

这是C2级安全标准对视频卡和内存的要求，关闭DirectDraw可能对一些需要用到DirectX的程序有影响，但是对于绝大多数的商业站点都应该是没有影响的。修改注册表 HKLMSYSTEMCurrentControlSet

ControlGraphicsDriversDCI 的Timeout(REG_DWORD)为 0 即可。

2. 关闭默认共享

win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享，打开管理工具计算机管理共享文件夹共享在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录路径和功能

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator和Backup Operators组成员才可连接，Win2000 Server版本Server Operatros组也可以连接到这些共享目录ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径，比如 c:winntFAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。

IPC$ 空连接。IPC$共享提供了登录到系统的能力。

NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机

3. 禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开控制面板系统属性高级启动和故障恢复把写入调试信息改成无，

要用的时候，可以再重新打开它。

4. 使用文件加密系统EFS

Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。有关EFS的具体信息可以查看www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp

5. 加密temp文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6. 锁住注册表

在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考： support.microsoft.com/support/kb/articles/Q153/1/83.asp

7. 关机时清除掉页面文件

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management，把ClearPageFileAtShutdown的值设置成1。

8. 禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

9. 考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10. 考虑使用IPSec

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

篇2：Windows 上配置和应用安全服务器教程

一、介绍：

安全模板是 windows 2000 的新特性，它是安全配置的物理表示方法，由 Windows 2000 支持的安全属性的文件（ .inf ）组成。它将所有现有的安全属性组织到一个位置以简化安全性管理。安全模板所包含的安全性信息有这样七类：帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务。安全模板也可以用作安全分析。 .

二、适用范围

Windows 2000 专业版和服务器版

三、模板：

微软推荐了一系列 Windows 2000 安全配置模板

W2KHG_baseline.inf – 应该应用于所有计算机的通用设置。

W2KHG_MemberWks.inf – 只针对作为域成员的工作站的设置。

W2KHG_MemberLaptop.inf – 只针对作为域成员的便携式计算机的设置，

W2KHG_MemberServer.inf – 只针对与域连接的服务器的设置。

W2KHG_DomainController.inf – 只针对域控制器的设置。

W2KHG_StandaloneWKS.inf – 只针对独立工作站的设置。

W2KHG_StandaloneSrv.inf – 只针对独立服务器的设置。

安全模板可以从 www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en 下载

四、查看和编辑安全配置模板

1 、将所需的模板复制到“ \%Systemroot%SecurityTemplates ”目录中或硬盘的其他某一位置。

注意：如果您将它们复制到不同的位置，则需要 (a) 适当地保证该位置的安全，以使用户无法修改模板， (b) 将其添加到 MMC 的安全模板管理单元中。

2 、单击“开始”，单击“运行”，键入 mmc.exe ，然后单击“确定”。

篇3：Windows Server安全配置完整篇服务器教程

一、先关闭不需要的端口

我比较小心，先关了端口，只开了3389 21 80 1433有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!

当然大家也可以更改远程连接端口方法:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

“PortNumber”=dword:00002683

保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效!

还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题，

所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，表怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在system32driversetcservices中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

责编：豆豆技术应用

篇4：windows 活动目录之安装配置篇

理解了活动目录的原理之后，现在我们就可以进行活动目录的安装与配置了，活动目录的安装配置过程并不是很复杂，因为WIN2K中提供了安装向导，只需按照提示一步步按系统要求设定即可，但安装前的准备工作显得比较复杂，只有充分理解了活动目录的前提下才能正确地安装配置活动目录。下面我就详细地介绍一下活动目录的安装与配置及其准备了。

一、活动目录的安装前的准备

在前面我们知道“活动目录”是整个WIN2K系统中的一个关键服务，它不是孤立的，它与许多协议和服务有着非常紧密和关系，还涉及到整个WIN2K系统的系统结构和安全。安装“活动目录”不是安装一般Windows组件那么简单，在安装前要进行一系列的策划和准备。否则轻则根本无法享受到活动目录所带来的优越性，重则不能正确安装“活动目录”这项服务。

1、首先在安装活动目录之前，必须保证已经有一台机器安装了WIN2K Server 或者Advanced Server，且至少有一个NTFS分区，而且已经为TCP/IP 配置了DNS协议，并且DNS服务支持SRV记录和动态更新协议。

2、其次是要规划好整个系统的域结构，活动目录它可包含一个或多个域，如果整个系统的目录结构规划得不好，层次不清就不能很好地发挥活动目录的优越性。在这里选择根域（就是一个系统的基本域）是一个关键，根域名字的选择可以有以下几种方案：

1）可以使用一个已经注册的DNS 域名作为活动目的根域名，这样的好处在于企业的公共网络和私有网络使用同样的DNS名字。

2）我们还可使用一个已经注册的DNS域名的子域名作为活动目录的根域名。

3）为活动目录选择一个与已经注册的DNS域名完全不同的域名。这样可以使企业网络在内部和互联网上呈现出两种完全不同的命名结构。

4）把企业网络的公共部分用一个已经注册的DNS域名进行命名，而私有网络用另一个内部域名，从名字空间上把两部分分开，这样做就使得每一部分要访问另部时必须使用对方的名字空间来标识对象。

3、再一个就是要进行域和帐户命名策划，因为使用活动目录的意义之一就在于使内、外部网络使用统一的目录服务，采用统一的命名方案，以方便网络管理和商务往来。活动目录域名通常是该域的完整DNS名称，但是为确保向下兼容，每个域最好还有一个WIN2K以前版本的名称，以便在运行WIN2K以前版本的操作系统的计算机上使用。用户帐户在活动目录中，每个用户帐户都有一个用户登录名、一个WIN2K以前版本的用户登录名（安全帐户管理器的帐户名）和一个用户主要名称后缀。在创建用户帐户时，管理员输入其登录名并选择用户主要名称，活动目录建议 WIN2K 以前版本的用户登录名使用此用户登录名的前 20 个字节。活动目录命名策略是企业规划网络系统的第一个步骤，命名策略直接影响到网络的基本结构，甚至影响网络的性能和可扩展性。活动目录为现代企业提供了很好的参考模型，既考虑到了企业的多层次结构，也考虑到了企业的分布式特性，甚至为直接接入Internet提供完全一致的命名模型。

所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。这是登录到 WIN2K 域的标准用法。标准格式为：user@domain.com (象个人的电子邮件地址)。但不要在用户登录名或用户主要名称中加入 @ 号。活动目录在创建用户主要名称时自动添加此符号。包含多个 @ 号的用户主要名称是无效的。

在活动目录中，默认的用户主要名称后缀是域树中根域的 DNS名，

如果用户的单位使用由部门和区域组成的多层域树，则对于底层用户的域名可能很长。对于该域中的用户，默认的用户主要名称可能是 grandchild.child.root.com。该域中用户默认的登录名可能是 user@grandchild.child.root.com 。这要一来用户登录时就要输入的用户名可能太长，输入起来就非常不方便，WIN2K为了解决这一问题，规定在创建主要名称后用户只要在根域后加上相应的用户名，使同一用户使用更简单的登录名 user@root.com 就可以登录，而不是前面所提到的那一长串。

4、最后就是要注意设置规划好域间的信任关系，对于WIN2K计算机，通过基于 Kerberos V5 安全协议的双向、可传递信任关系启用域之间的帐户验证。在域树中创建域时，相邻域（父域和子域）之间自动建立信任关系。在域林中，在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。如果这些信任关系是可传递的，则可以在域树或域林中的任何域之间进行用户和计算机的身份验证。

如果将 WIN2K 以前版本的 Windows域升级为WIN2K域时，WIN2K域将自动保留域和任何其他域之间现有的单向信任关系。包括WIN2K以前版本的Windows域的所有信任关系。如果用户要安装新的WIN2K域并且希望与任何WIN2K以前版本的域建立信任关系，则必须创建与那些域的外部信任关系。

二、活动目录的安装

所有的新安装都是安装成为Member Server，如果您在新安装WIN2K SERVER时选择安装了“活动目录”选项，则系统就会出现类似于“如果您此时安装活动目录则系统中的所有域名就不能再次改变……”之类的提示。一般情况下我们在新安装系统时不选择安装活动目录，以便我们有时间来具体规划与活动目录有关的协议和系统结构。目录服务都需要事后用 Dcprom o的命令特别安装。目录服务还可以卸载，而不用象在安装Windows NT 4.0那样，一开始就要定终身，系统会区分域控制器还是Member Server，两者之间不可转换。

Dcpromo是一个图形化的向导程序，引导用户一步一步地建立域控制器，可以新建一个域森林，一棵域树，或者仅仅是域控制器的另一个备份，非常方便。很多其他的网络服务，比如DNS Server、DHCP Server和 Certificate Server等，都可以在以后与活动目录集成安装，便于实施策略管理等。这个图形化界面向导程序也没有什么特别之处，只要我们在前面理解好了活动目录的含义，并进行了安装前的一系列规划，则可以很容易完成所有的安装任务。

在活动目录安装之后，主要有三个活动目录的微软管理界面（MMC），一个是活动目录用户和计算机管理，主要用于实施对域的管理；一个是活动目录的域和域信任关系的管理，主要用于管理多域的关系；还有一个是活动目录的站点管理，可以把域控制器置于不同的站点。一般局域网的范围内，为一个站点，站点内的域控制器之间的复制是自动进行的；站点间的域控制器之间的复制，需要管理员设定，以优化复制流量，提高可伸缩性。从活动目录管理界面，还可以在站点、域和组织单元中用鼠标右键点击，启动组策略（Group Policy）的管理界面，实施对对象的细致管理。

对于站点、域和组织单元，管理员还可以方便地进行管理授权。右键点击它们就可以启动“管理授权向导”，一步一步地设定哪些管理员对于哪些对象有什么样的管理权限。比如说企业内部技术支持中心的管理员，只有复位用户口令的权限，没有创建和删除用户账号的权限。这种更细致的管理方法，成为“颗粒化”。

另外，活动目录还充分地考虑到了备份和恢复目录服务的需要，WIN2K备份工具中有专门备份活动目录的选项，在出现意外事故的时候，可以在机器启动时按F8进入安全恢复模式，保证减少灾难的恶性影响。

篇5：Windows DNS服务器配置服务器教程

如果用户使用Windows 2000 Server作为计算机的操作系统，可以通过安装服务、协议与工具并正确地设置它们来把该计算机配置成诸如Web服务器、IIS服务器、FTP服务器、DNS 服务器、DHCP服务器和WINS服务器等各种服务器，以便为网络中的客户机提供某项服务，在Windows 2000 Server服务器提供的所有服务当中，最为重要和基本的三种服务是域名服务、将NetBIOS计算机名转换为对应IP地址的服务以及为进入网络的客户机动态地分配IP地址的服务。它们的主要作用在于将计算机能够识别的IP地址与现实中人们使用的诸如www.sina.com 或Jace（计算机名）类型的计算机地址和名称进行转换与解析。这三种服务分别是由DNS服务器、DHCP服务器和WINS服务器来完成的。基于这三种服务器在整个网络连接中的重要作用，本章介绍如何创建和配置DNS服务器、DHCP服务器和WINS服务器及其相关的知识，

在庞大的Internet网络中，每台计算机（无论是服务器还是客户机）都有一个自己的计算机名称。通过这个易识别的名称，网络用户之间可以很容易地进行互相访问以及客户机与存储有信息资源的服务器建立连接等网络操作。不过，网络中的计算机硬件之间真正建立连接并不是通过大家都熟悉的计算机名称，而是通过每台计算机各自独立的IP地址来完成的。因为，计算机硬件只能识别二进制的IP地址。因此， Internet中有很多域名服务器来完成将计算机名转换为对应IP地址的工作，以便实现网络中计算机的连接。可见DNS服务器在Internet中起着重要作用，本节我们便来对域名服务以及如何配置和管理DNS服务器进行介绍。

什么是域名服务

在计算机网络中，主机标识符分为三类：名字、地址及路径。而计算机在网络中的地址又分为IP地址和物理地址，但地址终究不易记忆和理解。为了向用户提供一种直观的主机标识符，TCP/IP协议提供了域名服务（DNS）

篇6：Windows回收站使用全攻略之高级篇

Window回收站使用技巧全攻略之高级篇：

20、如何为软盘建立一个回收站？

在软盘上删除文件是不会出现在回收站中的，因此你也无法对它进行恢复，你想避免这种情况发生吗？可在D盘上建立一文件夹，将其命名为“删除后的软盘文件”，再用资源管理器打开c:WindowsSendTo文件夹，用鼠标右键将D盘上“删除后的软盘文件”文件夹拖至SendTo文件夹下，再在滑出的菜单中选择“在当前位置建立快捷方式”命令，以后要删除软盘上的文件时，先选中要删除的文件，然后按住SHIFT键单击鼠标右键，选择“发送到”→“删除后的软盘文件”，这样一旦发现误删了软盘上的文件，还可以到D盘上“删除后的软盘文件”文件夹下找到，从而实现恢复。

21、如何在DOS下恢复回收站中的文件？

在Windows无法启动的时候，我们如何恢复回收站中的文件呢？如果当时删除时并不知道删除了些什么文件，能否恢复系统运行呢？回答是肯定的，就是用经典的 DOS 命令来实现。

比如在双启动的系统里，在Windows 98的环境下误删除了NT的系统文件，导致NT和Windows 98都无法启动。

下面介绍一种办法可以帮你解决这个问题。首先进入到DOS模式(如果WINDOWS不能正常启动的话，用带启动文件的软盘启动)，进入到C:RECYCLED目录，这是一个隐藏目录，如果你要恢复的文件原来在D盘，相应的目录是D:RECYCLED。用dir/a命令可以列出一堆DC开头的隐藏文件（DC1.txt, DC2.com...），这些就是被你已经删除了的文件。

但是由于Windows在把文件移至回收站的时候，把文件名给改了，所以还需要找回原来的文件名。原来的文件名可以从RECYCLED目录下的INFO2文件中找的(用EDIT INFO2 )。INFO2 是一个二进制文件，每一个被删除的文件在 INFO2 文件中有一段记录（800字节），其中可以找到文件名，其他的信息都不是ASCII字符，那些乱码就不必管它了。按找到的文件名用 COPY 命令拷到目标位置即可，如：COPY DC2.EXE C:WINDOWSCOMMANDDELTREE.EXE。

文件名是按顺序排列的，第一个文件名就是DC1.* 文件的原来的文件名，后缀名保持不变。如果被删除的是目录的话，在RECYCLED下就有一个叫DC????的目录，用同样的方法可以找回原来的目录名。

要做好这些工作，你必须保证有一张可以启动的软盘，除有io.sys、msdos.sys 和 command.com 外，最好里面有edit.com 、attrib.exe文件，相信懂一点DOS基础的人都知道这是拿来做什么用的。同时也敬告熟悉Windows 95/98/ME/2000/NT的用户，把常用的DOS命令也学一学，Windows用起来的确舒服，但出了问题有时还得用DOS方法来解决。

22、如何妙用“回收站”实现批量重命名？

不知你遇到过这种情况吗？从网上找来的大量的素材，但文件名没有规则，你想将它们的名字改为带有1、2、3……这样有规则的名字以便管理，一个一个的改？太麻烦了！我们可以利用回收站轻而易举地实现。

首先要清楚回收站的原理。大家都知道同一个文件夹不允许有两个或两个以上的文件用同一个文件名，但我们可以看到回收站允许。进入 DOS 模式用“CDRecycled ”我们可以看清真正的原因：WINDOWS 聪明的将删除了的文件名改为DC1.*、DC2.*……后（假如你进入的是 C盘下的 Recycled 目录，D盘下是DD1.*、DD2.*……其它同理，*表示原文件扩展名），放在回收站特定的目录Recycled中。

现在你该明白我们该做些什么了吧！首先清空回收站，把你要改名的文件全删了（一定要在WINDOWS下进行，还要保证回收站的空间够用！）。然后在D盘下建立一个新文件夹如：123。（如果你的文件是在D盘删的）在DOS模式（可在WINDOWS的DOS模式）下键入：

CDRecycled

COPY *.* D:S

所有的文件已改为DD1、DD2……这样有规则的名字是不是很方便？还要补充一下删除之前要先删除一个无用的文件，然后清空回收站，否则你的文件将有可能从100以上的数字基数开始，

当然可以用DIR 〉 HM.BAT做一个批处理文件，然后用“写字板”将其修改一下把DD换为其它的名字。

点击阅读更多学院相关文章>>

分享到 23、如何利用回收站给文件夹加密？

要说给文件夹加密，方法很多，有软件加密、注册表加密，而利用 Windows 本身自带的“回收站”也能给文件夹加密，令那些喜欢偷窥文件的家伙无计可施。

如要加密“d: MyData”文件夹，步骤如下：

1.用记事本编辑初始化文件 desktop.ini ；

[.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E}