Windows 上配置和应用安全服务器教程

【简介】感谢网友“冰美式”参与投稿，下面就是小编给大家整理的Windows 上配置和应用安全服务器教程（共8篇），希望您能喜欢！

篇1：Windows 上配置和应用安全服务器教程

一、 介绍：

安全模板是 windows 2000 的新特性，它是 安全配置的物理表示方法，由 Windows 2000 支持的安全属性的文件（ .inf ）组成。它将所有现有的安全属性组织到一个位置以简化安全性管理。 安全模板所包含的安全性信息有这样七类：帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务。安全模板也可以用作安全分析。 .

二、适用范围

Windows 2000 专业版和服务器版

三、 模板：

微软推荐了 一系列 Windows 2000 安全配置模板

W2KHG_baseline.inf – 应该应用于所有计算机的通用设置。

W2KHG_MemberWks.inf – 只针对作为域成员的工作站的设置。

W2KHG_MemberLaptop.inf – 只针对作为域成员的便携式计算机的设置，

W2KHG_MemberServer.inf – 只针对与域连接的服务器的设置。

W2KHG_DomainController.inf – 只针对域控制器的设置。

W2KHG_StandaloneWKS.inf – 只针对独立工作站的设置。

W2KHG_StandaloneSrv.inf – 只针对独立服务器的设置。

安全模板可以从 www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en 下载

四、查看和编辑安全配置模板

1 、将所需的模板复制到“ %Systemroot%SecurityTemplates ”目录中或硬盘的其他某一位置。

注意：如果您将它们复制到不同的位置，则需要 (a) 适当地保证该位置的安全，以使用户无法修改模板， (b) 将其添加到 MMC 的安全模板管理单元中。

2 、单击“开始”，单击“运行”，键入 mmc.exe ，然后单击“确定”。

篇2：Windows DNS服务器配置服务器教程

如果用户使用Windows 2000 Server作为计算机的操作系统，可以通过安装服务、协议与工具并正确地设置它们来把该计算机配置成诸如Web服务器、IIS服务器、FTP服务器、DNS 服务器、DHCP服务器和WINS服务器等各种服务器，以便为网络中的客户机提供某项服务，在Windows 2000 Server服务器提供的所有服务当中，最为重要和基本的三种服务是域名服务、将NetBIOS计算机名转换为对应IP地址的服务以及为进入网络的客户机动态地分配IP地址的服务。它们的主要作用在于将计算机能够识别的IP地址与现实中人们使用的诸如www.sina.com 或Jace（计算机名）类型的计算机地址和名称进行转换与解析。这三种服务分别是由DNS服务器、DHCP服务器和WINS服务器来完成的。基于这三种服务器在整个网络连接中的重要作用，本章介绍如何创建和配置DNS服务器、DHCP服务器和WINS服务器及其相关的知识，

在庞大的Internet网络中，每台计算机（无论是服务器还是客户机）都有一个自己的计算机名称。通过这个易识别的名称，网络用户之间可以很容易地进行互相访问以及客户机与存储有信息资源的服务器建立连接等网络操作。不过，网络中的计算机硬件之间真正建立连接并不是通过大家都熟悉的计算机名称，而是通过每台计算机各自独立的IP地址来完成的。因为，计算机硬件只能识别二进制的IP地址。因此， Internet中有很多域名服务器来完成将计算机名转换为对应IP地址的工作，以便实现网络中计算机的连接。可见DNS服务器在Internet中起着重要作用，本节我们便来对域名服务以及如何配置和管理DNS服务器进行介绍。

什么是域名服务

在计算机网络中，主机标识符分为三类：名字、地址及路径。而计算机在网络中的地址又分为IP地址和物理地址，但地址终究不易记忆和理解。为了向用户提供一种直观的主机标识符，TCP/IP协议提供了域名服务（DNS）

篇3：Windows Server安全配置完整篇服务器教程

一、先关闭不需要的端口

我比较小心，先关了端口，只开了3389 21 80 1433有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!

当然大家也可以更改远程连接端口方法:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

“PortNumber”=dword:00002683

保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口， 直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效!

还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题，

所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，表怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在system32driversetcservices中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

责编：豆豆技术应用

篇4：Windows 配置POP3服务服务器教程

默认情况下windows2003是没有安装的，我们必须手工添加，POP3服务组件在“添加/删除windows组件—电子邮件服务”下，它共包括两项内容:POP3服务和POP3服务WEB管理;

依次点击“开始-管理工具-POP3服务”，打开“POP3服务”主窗口;然后在窗口左面点击POP3服务下的主机名(本机)，再在右面点选“新域”;在弹出的“添加域”对话框内输入欲建立的邮件服务器主机名，也就是@后面的部分，确定即可，

接着创建邮箱。在左面点击刚才建好的域名，选择“新建邮箱”，在弹出的对话框内输入邮箱名(即@前面部分)，并设定邮箱使用密码，最终设定如图1。

图1

篇5：Windows DHCP服务器配置DHCP服务器

DHCP服务器的主要作用便是为网络客户机分配动态的IP地址，这些被分配的IP地址都是DHCP服务器预先保留的一个由多个地址组成的地址集，而且，它们一般是一段连续的地址（除了管理员在配置DHCP服务器时排除的某些地址）。当网络客户机请求临时的IP地址时，DHCP服务器便会查看地址数据库，以便为客户机分配一个仍没有被使用的IP地址。本节便为读者介绍一些有关DHCP服务方面的内容以及如何配置一台Windows 2000 Server下的DHCP服务器。

什么是DHCP服务

在早期的网络管理中，为网络客户机分配IP地址是网络管理员的一项复杂的工作。由于每个客户计算机都必须拥有一个独立的IP地址以免出现重复的IP地址而引起网络冲突，因此，分配IP地址对于一个较大的网络来说是一项非常繁杂的工作。

为解决这一问题，导致了DHCP服务的产生。DHCP是Dynamic Host Configuration Protocol的缩写，它是使用在TCP/IP通信协议当中，用来暂时指定某一台机器IP地址的通信协议。使用DHCP时必须在网络上有一台DHCP服务器，而其他计算机执行DHCP客户端。当DHCP客户端程序发出一个广播讯息，要求一个动态的IP地址时， DHCP服务器会根据目前已经配置的地址，提供一个可供使用的IP地址和子网掩码给客户端。这样，网络管理员不必再为每个客户计算机逐一设置IP地址，DHCP服务器可自动为上网计算机分配IP地址，而且只有客户计算机在开机时才向DHCP服务器申请IP地址，用毕后立即交回。

使用DHCP服务器动态分配IP地址，不但可节省网络管理员分配IP地址的工作，而且可确保分配地址不重复。另外，客户计算机的IP地址是在需要时分配，所以提高了IP地址的使用率。为了更进一步了解DHCP的作用，下面来看一看它是如何工作的。

通常DHCP分配IP地址有三种方式，第一种是固定的IP地址，每一台计算机都有各自固定的IP地址，这个地址是固定不变的，适合区域网络当中每一台工作站的地址，除非网络架构改变，否则这些地址通常可以一直使用下去。第二种是动态分配，每当计算机需要存取网络资源时， DHCP服务器才给予一个IP地址，但是当计算机离开网络时，这个IP地址便被释放，可供其他工作站使用。第三种是由网络管理者以手动的方式来指定。若DHCP配合WINS服务器使用，则电脑名称与IP地址的映射关系可以由WINS服务器来自动处理。

当配置为使用DHCP的客户计算机第一次启动时，将经历一系列步骤以获得其TCP/IP配置信息，并得到租约。租约是客户计算机从DHCP服务器接收到完整的TCP/IP配置，即客户计算机从DHCP服务器接收到TCP/IP配置信息每经过服务器指定的一段时间后通常要重新续租一次。

客户计算机从DHCP服务器获得租约的简要步骤是：初始化→选择→请求→绑定。下面对这些步骤进行更详细的讨论。

初始化： 当DHCP 客户计算机启动时，其IP 地址并没有任何设置。然后它将DHCP DISCOVER消息发送给本地子网。DHCP DISCOVER包含客户介质访问控制（ MAC）地址及客户系统名称。MAC地址是所有网卡保存的唯一地址。通过在消息中使用MAC地址，客户确保能在网络上唯一地被识别。

择：DHCP服务器从客户计算机收到DHCP DISCOVER消息后，将通过DHCP OFFER信息作出反应。DHCP OFFER信息包含有客户计算机的MAC地址，提供了TCP/IP地址，子网掩码以及DHCP服务器的IP地址，它直接送到客户计算机，并不是广播消息。DHCP服务器发送DHCP OFFER信息之后仍暂时保留发送给客户计算机的地址，并等待要获得该地址的客户的

确认信息。

如果在引导期间DHCP客户没有以DHCP服务器接收到DHCP OFFER消息，它将每隔五分钟与DHCP服务器试着进行五次通信。其中四次重试间隔时间分别为2、4、8、16秒，另一次则在0 - 100毫秒之间的任意间隔。

请求：当DHCP客户接收到DHCP OFFER消息时，要决定使用哪一条消息，因为网络上有可能有多个DHCP服务器，客户可能收到不止一条DHCP OFFER消息。

一般情况下，客户计算机使用第一条接到的信息。然后客户计算机发送HDCPREQUEST消息给

关 键 字：DHCP 服务器

篇6：Windows DNS服务器配置DNS服务器

如果用户使用Windows 2000 Server作为计算机的操作系统，可以通过安装服务、协议与工具并正确地设置它们来把该计算机配置成诸如Web服务器、IIS服务器、FTP服务器、DNS 服务器、DHCP服务器和WINS服务器等各种服务器，以便为网络中的客户机提供某项服务，在Windows 2000 Server服务器提供的所有服务当中，最为重要和基本的三种服务是域名服务、将NetBIOS计算机名转换为对应IP地址的服务以及为进入网络的客户机动态地分配IP地址的服务。它们的主要作用在于将计算机能够识别的IP地址与现实中人们使用的诸如www.sina.com 或Jace（计算机名）类型的计算机地址和名称进行转换与解析。这三种服务分别是由DNS服务器、DHCP服务器和WINS服务器来完成的。基于这三种服务器在整个网络连接中的重要作用，本章介绍如何创建和配置DNS服务器、DHCP服务器和WINS服务器及其相关的知识。

在庞大的Internet网络中，每台计算机（无论是服务器还是客户机）都有一个自己的计算机名称。通过这个易识别的名称，网络用户之间可以很容易地进行互相访问以及客户机与存储有信息资源的服务器建立连接等网络操作。不过，网络中的计算机硬件之间真正建立连接并不是通过大家都熟悉的计算机名称，而是通过每台计算机各自独立的IP地址来完成的。因为，计算机硬件只能识别二进制的IP地址。因此， Internet中有很多域名服务器来完成将计算机名转换为对应IP地址的工作，以便实现网络中计算机的连接。可见DNS服务器在Internet中起着重要作用，本节我们便来对域名服务以及如何配置和管理DNS服务器进行介绍。

什么是域名服务

在计算机网络中，主机标识符分为三类：名字、地址及路径。而计算机在网络中的地址又分为IP地址和物理地址，但地址终究不易记忆和理解。为了向用户提供一种直观的主机标识符，TCP/IP协议提供了域名服务（DNS）

DNS的引入是与TCP/IP协议中层次型命名机制的引入密切相关的。所谓层次型命名机制是指在名字中加入结构信息，而这种结构本身又是层次型的。例如，DNS是以根和树结构组成的(如图10 - 1所示)。

层次型命名的过程是从树根( Root )开始沿箭头向下进行,在每一处选择相应于各标号的名字,然后将这些名字串连起来,形成一个唯一代表主机的特定的名字。例如，图10 - 1中，Internet各网点的标号与组织的对应关系如表10 - 1所示。

具体地说，一个网点是整个广域网的一部分，由若干网络组成，这些网络在地理位置或组织关系上联系非常紧密，广域网将它们抽象成一个点来处理，各网点内又分成若干管理组，在组下面才是主机，因此， DNS的一般格式为：

本地主机名?组名?网点名

DNS服务器负责的工作便是将主机名连同域名转换为IP地址。该项功能对于实现网络连接可谓至关重要。因为，当网络上的一台客户机需要访问某台服务器上的资源时，客户机的用户只需在“ Internet Explorer”主窗口中的“地址”文本框中输入该服务器在现实中为大家所知的诸如www.happy.com.cn类型的地址，即可与该服务器进行连接。然而，网络上的计算机之间实现连接却是通过每台计算机在网络中拥有的唯一的IP地址（该地址为数值地址，分为网络地址和主机地址两部分）来完成的，因为计算机硬件只能识别IP地址而不能够识别其他类型的地址。这样在用户容易记忆的地址和计算机能够识别的地址之间就必须有一个转换，DNS服务器便充当了这个转换角色。

虽然所有连接到Internet上的网络系统都采用DNS地址解析方法，但是域名服务有一个缺点，就是所有存储在DNS数据库中的数据都是静态的，不能自动更新。这意味着，当有新主机添加到网络上时，管理员必须把主机DNS名称(例如，www.happy.com.cn) 和对应的IP地址（例如，147.23.234.6

关 键 字：DNS 服务器

篇7：Windows Server服务器安全配置WEB安全

一、先关闭不需要的端口

我比较小心，先关了端口，只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。PS一句：设置完端口需要重新启动！

当然大家也可以更改远程连接端口方法：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE SYSTEM Current ControlSet Control Terminal ServerWinStationsRDP-Tcp]

“PortNumber”=dword:00002683

保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！

还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在system32driversetcservices中有列表，记事本就可以打开的。如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以！

Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

二.关闭不需要的服务 打开相应的审核策略

我关闭了以下的服务

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Distributed File System: 局域网管理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

Workstation关闭的话远程NET命令列不出用户组

把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

在“网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS（S）”。在高级选项里，使用“Internet连接防火墙”，这是windows 2003 自带的防火墙，在系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是：

登录事件

账户登录事件

系统事件

策略更改

对象访问

目录服务访问

特权使用

三、关闭默认共享的空连接

地球人都知道，我就不多说了！

四、磁盘权限设置

C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：“只要给我一个webshell，我就能拿到system”，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

另外，还将：

net.exe NET命令

cmd.exe CMD 懂电脑的都知道咯~

tftp.exe

netstat.exe

regedit.exe 注册表啦 大家都知道

at.exe

attrib.exe

cacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！偶入侵的时候没少用这个....（：

format.exe 不说了，大家都知道是做嘛的

大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~（：这些文件都设置只允许administrator访问，

五、防火墙、杀毒软件的安装

关于这个东西的安装其实我也说不来，反正安装什么的都有，建议使用卡巴，卖咖啡。用系统自带的防火墙，这个我不专业，不说了！大家凑合！

六、SQL2000 SERV-U FTP安全设置

SQL安全方面

1、System Administrators 角色最好不要超过两个

2、如果是在本机最好将身份验证配置为Win登陆

3、不要使用Sa账户，为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为：

use master

sp_dropextendedproc '扩展存储过程名'

xp_cmdshell：是进入操作系统的最佳捷径，删除

访问注册表的存储过程，删除

Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要，删除

Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty

Sp_OAMethodSp_OASetPropertySp_OAStop

5、隐藏 SQL Server、更改默认的1433端口。

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

serv-u的几点常规安全需要设置下：

选中“Block ”FTP_bounce“attack and FXP”。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个“PORT”命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

七、IIS安全设置

IIS的安全：

1、不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。

5、更改IIS日志的路径

右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

八、其它

1、系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁；

2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装！

3、隐藏重要文件/目录

可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。

4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

5、防止SYN洪水攻击。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为SynAttackProtect，值为2

6. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ServicesTcpipParametersInterfacesinterface

新建DWORD值，名为PerformRouterDiscovery 值为0。

7. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

将EnableICMPRedirects 值设为0

8. 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为IGMPLevel 值为0。

9、禁用DCOM：

运行中输入Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

清除“在这台计算机上启用分布式 COM”复选框。

最后，建议安全以上步骤做的朋友们，每做一步先进行一下测试，省的无可挽回，毕竟Microsoft会出一些非常规性的问题的咯！

​

篇8：从零开始配置服务器服务器教程

从零开始配置服务器

（一）硬件准备

一台HP ProLiant DL160 G5服务器（硬盘拓展到480G）

一台个人电脑（windows操作系统）

一个Lenovo 4G 闪存（fat32格式）

（二）制作引导U盘

网络上有许多制作Linux引导U盘的文章，但真正能用的少之又少，期间尝试多个办法，均以失败告终，下面将直接阐述最可行，也是最简单的方法。

下载U盘boot工具，共三个文件，已经打包，下载地址：www.filesavr.com/u-boot

解压syslinux-3.73.tar.gz文件，ctrl+r输入cmd打开命令提示符，然后使用cd命令进入syslinux-3.73目录下的win32文件夹

syslinux.exe -m -a x： x为U盘盘符

命令完成后就已经在U盘中建立了一个可引导文件，当然，这是隐藏的。

在u盘中建立此文件syslinux.cfg（用记事本或写字板编辑，注意，先在控制面板-文件夹选项中选择显示后缀名） ，并在里面加入

default vmlinuz

append initrd=initrd.gz

再将u-boot包中的vmlinuz，initrd.gz转移到U盘中。

最后从cdimage.debian.org/debian-cd/5.0.3/i386/iso-cd/下载debian-503-i386-CD-1.iso 镜像并转移到U盘里。

至此，U盘引导盘制作完成。

（三）安装debian

将U盘插入，启动服务器，bios默认从U盘启动，因此在这里我无需设置。

进入字符安装界面，根据提示操作，到检测磁盘的那一步拔掉U盘，待分区完成后再插上，回头按Erc重新选择挂载ISO镜像，安装基本系统，选择软件包（这里只选择桌面环境以及标准系统，装桌面环境是为了配置方便），安装grub，安装debian完成，拔掉U盘重启服务器。

在我重启完成后，经过一个蓝色选择debian模式的界面，直接提示找不到root错误-root （hd1，0）。

不用慌张，接着按Erc退回debian模式选择界面，按c，这是修复grub的界面，移到root （hd1，0）上，按e编辑root，改成

root （hd0，0）

回车，最后按b启动，启动正常。

进入系统，登陆，附件，终端

su 输入root密码后就可以行使root权限

vim /boot/grub/menu.lst

拉到最下面，找到前面没有“#”前缀的

root （hd0，1）

改为

root （hd0，0）

至此安装debian完成，

（四）配置源

安装好之后，发现apt-get install任何软件都失败，查看源配置文件，问题在于只有一个基础源，并没有任何软件源。直接google：debian 源。根据自己网络先随便选择一个，然后再终端输入

apt-get install apt-spy

如果源没有问题，安装完成后即可使用apt-spy。

cp /etc/apt/sources.list /etc/apt/sources.list.bak 备份源

apt-spy -d lenny -a Asia 搜索亚洲境内最快源

扫描生成/etc/apt/sources.list.d/apt-spy.list文件，这个其实就可以作为sources.list文件用了。

cp /etc/apt/sources.list.d/apt-spy.list /etc/apt/sources.list 覆盖掉原有的sources.list文件

（五）快速搭建环境

终端输入：

apt-get install lighttpd php5-cgi php5-mysql mysql-server php5-gd phpmyadmin

之后按照我这篇文章的方法配置lighttpd，地址：youling.wordpress.com.cn/debian-lighttpd-php-mysql.html

vsftpd按照这里的资料根据自己的需求配置，地址：wiki.ubuntu.org.cn/Vsftpd服务安装设置

如果需要外网访问phpmyadmin，输入如下命令建立软连接：

ln -s /usr/share/phpmyadmin/ /var/www/ root权限模式下才行

最后是ssh安装配置。

apt-get install openssh-server

配置SSH

vim /etc/ssh/sshd_config

这里有相关资料，按自己需求配置，地址：www.diybl.com/course/6_system/linux/Linuxjs/20090903/173704.html

至此，服务器配置完成。

（六）测试工作

使用ftp软件上传一个探针到web根目录。

访问127.0.0.1查看最终结果。

zend或者其他php加速器可以自己安装，很简单，这里就不再累述。

提示：如果修改某一服务的配置文件，使用 /etc/init.d/服务名 resart即可完成重启，比如：

/etc/init.d/ssh resart