WIN2000服务器的安装方法.doc

1、WIN2000 服务器的安装方法 刚才一位朋友问到不会建立 2000 的服务器那么我就简单的给你介绍一下好了！ 下面通过从光盘或软盘启动计算机安装一个全新的 Windows 2000 Server ，如果用户需要升级现有的先备份有关资料，然后将 Windows NT 4.0 迁移到 Windows 2000 Server（有关内容本文不详述） 。 启动安装程序后，就开始将必须得安装文件复制到磁盘中，然后显示出现一系列的对话框，用于设置系统相关的重要信息。 步骤 1 为 Windows 2000 Server 选择或创建一个分区 在系统复制完安装文件并重新启动后，出现一个对话框要求创建或指定一个

2、用于安装 Windows 2000 Server 的磁盘分区，用户可以在磁盘中未分区的可用空间上创建分区，也可以指定一个现有的分区，还可以删除一个或几个现有的分区然后创建一个新的分区。由于安装 Windows 2000 Server 的文件需要至少 1 GB 的可用磁盘空间，这在系统需求中已说明了，所以建议要创建或指定的分区大小应大于最小需求，分区的大小为 2-5 GB 就可以了。之后，选择文件系统。如果用户是从 WIN98 用户升级，则可以使用当前的文件系统；然而，也可以更改为 NTFS，它是推荐的 Windows 2000 文件系统。 步骤 2 选择区域设置 在“地区设置 “对话框中，遵循

3、指导来自定义语言、选择正确的时间区域和辅助功能设置。还可将 Windows 2000 设置为使用多种语言和地区选项。 步骤 3 设置个人化软件 在“个人化软件 “对话框，键入用户的姓名，还可键入单位（可选） 。 步骤 4 选择许可协议方式 在“授权模式 “对话框，选择客户端的授权模式，可以是“每客户“或“ 每服务器“方式。对于新的安装，系统要求用户选择客户端的授权模式，如果是升级安装，客户许可协议方式将根据已有设置自动设定。如果用户无法确定授权方式，则选择“每服务器“ 方式，因为用户可以随时将“每服务器“ 方式转换为 “每客户“ 方式，但注意只能进行一次转换，且这种转换是不可逆的。 步骤 5

4、输入计算机名称 对于大多数语言来说，建议不超过 15 个字符。对于需要更多存储空间的语言，例如中文、日文或韩文，建议不超过 7 个字符。 建议在计算机名中只使用 Internet 标准的字符。这些标准字符包括数字 0 到 9、A 到 Z 的大写字母和小写字母以及连字符 (-)。如果网络上使用了 Microsoft DNS 服务，那么还可以使用范围更广的字符，包括 Unicode 字符和其他非标准字符，例如 & 符等。使用非标准字符可能会影响与网络上的非 Microsoft 软件的互操作性。 计算机名的最大长度为 63 字节。如果名称超过 15 个字节（大多数语言是 15 个字符，有些语言是 7

5、 个字符） ，安装 Windows 2000 以前的计算机只靠该名称的前 15 个字符来识别此计算机。此外，对于长于 15 个字节的名称，需要额外的配置步骤。 如果此计算机是某个域的一部分，则选择的计算机名必须不同于域内的其他任何计算机。如果此计算机是某个域的一部分，且包含多个操作系统，那么每个操作系统使用的计算机名必须各不相同。 步骤 6 设置管理员帐户密码 在“管理员密码 “对话框中，键入最多不超过 127 个英文字符的密码。为了具有最高的系统安全性，密码至少要 7 个字符（非强制性） ，并应采用大写字母、小写字母和数字以及其他字符（例如 *、? 或 $）的混合形式。 在“确认密码 “对话

6、框，再次键入密码。 由于管理员帐户在 Windows 2000 中的特殊性，出于对系统安全性的考虑，用户要格外重视这个帐户。安装程序在计算机上创建了一个称作 Administrator 的用户帐户，它具有管理计算机全部配置的管理权限。管理这台计算机的人员一般使用此 Administrator 帐户。出于安全考虑，建议为 Administrator 帐户指定密码。将“管理员密码“设置为空，表明该帐户没有密码。在“确认密码 “框内输入的密码必须与“管理员密码“中输入的密码完全一致。一定要谨记并保护好用户的密码。 在安装完成之后，为了获得最好的安全性，要更改 Administrator 帐户名（但不

7、能删除它）并始终为该帐户设置一个安全性高的密码。 作者： 众达计算机学校 2006-6-20 10:26 回复此发言 -2 WIN2000 服务器的安装方法 步骤 7 选择 Windows 2000 组件 在“Windows 2000 组件“对话框，选择系统运行所需组件。对于 TCP/IP 网络用户通常需要的组件包括 DHCP、 DNS 和 WINS。要选取这些组件，可在安装过程中，在“Windows 2000 组件“ 对话框内，选择“网络服务“，并单击“详细资料“ ，然后选择所需的一个或多个组件。 如果在完成安装后，确定还需要其他组件，可以在以后添加这些必要的组件。要这样做，请在运行完安装程

8、序之后，单击“开始“ ，指向“设置“，然后单击“ 控制面板“，在控制面板上，双击“添加 /删除程序“ 。在添加/删除程序中，单击“ 添加/ 删除 Windows 组件“。 步骤 8 设置日期和时间 在“日期和时间设置 “对话框中设置正确日期、时间和时区。如果想让系统自动调整夏时制，请选中“根据夏时制自动调整时钟 “复选框。 步骤 9 设置网络选项 如果允许 Windows 2000 安装程序分配或获取 IP 地址，则在“网络设置“ 对话框中，单击“典型设置 “。 Windows 2000 安装程序将检查域中是否有 DHCP 服务器。如果域内有 DHCP 服务器，则该服务器会提供 IP 地址。如

9、果域内没有 DHCP 服务器，自动专用 IP 寻址 (APIPA) 功能会自动为这台计算机分配一个 IP 地址。 如果希望为计算机指定静态 IP 地址及 DNS 和 WINS 的设置则执行以下步骤 1.在“网络设置 “对话框，单击 “自定义设置“。 2.在“网络组件 “对话框内，单击 “Internet 协议 (TCP/IP)“。 3.在“Internet 协议 (TCP/IP) 属性“对话框内，单击“使用下面的 IP 地址“ 。 4.在“IP 地址“ 和“子网掩码“内，键入适当的数字（如果需要，还可指定 “默认网关“） 。 5.在“使用下面的 DNS 服务器地址“下，键入首选的 DNS 服务

10、器地址和备用的 DNS 服务器地址（可选） 。如果本服务器是首选或备用 DNS 服务器，则要键入在上一步已分配好相同的 IP 地址。 6.如果要使用 WINS 服务器，可单击 “高级“，然后单击“高级 TCP/IP 设置“对话框的“WINS“选项卡，添加一个或多个 WINS 服务器的 IP 地址。如果本服务器是 WINS 服务器，则键入第 5 步为本机分配好的 IP 地址。 步骤 10 指定工作组名或域名 在此用户需要选择本机是属于工作组还是将本机加入到一个域中，并指定工作组名或域名。 在安装向导完成 Windows 2000 Server 的安装后，计算机重新启动。至此用户已经完成了 Win

11、dows 2000 Server 的基本安装。下面进一步配置 Windows 2000 Server。 系统重新启动后，以管理员身份登录，屏幕上将出现配置服务器程序，利用它用户可以轻松地进行进一步的服务器配置。用户也可以通过单击“开始“ ，指向“程序“，再指向“ 管理工具“，然后单击 “配置服务器 “，启动配置服务器程序。下面介绍以下“配置服务器“ 所提供的配置选项的详细信息。 Active Directory 设置用户帐户、组帐户及其策略、域、服务器角色、权限，还可以帮助维护系统的安全性、跟踪用户信息。 文件系统 设置和管理共享文件夹及其他共享网络资源。 打印服务器 设置和管理打印机、打印机

12、队列以及其他与打印相关的元素。 对于 Web/Media 服务器还需完成下列几项工作： 创建管理 Internet 或企业内部网中的 Web 站点、多媒体站点、FTP 站点和其他功能。要使用这些服务，必须在 Windows 2000 Server 内安装相应的组件。 网络 选择、设置网络协议、远程访问和路由选择，包括 DNS 和 DHCP 服务 应用程序服务器 对消息队列、组件服务和跨网络的分布式应用程序的相关支持，也包括终端服务。 高级 Windows 2000 Resource Kit 支持工具和可选组件，例如远程安装、终端服务器、证书授权及在“基本安装 “过程中未安装的组件。 注意：如果

13、用户不想在每次登陆时都启动 Windows 2000 配置服务器，则运行 Regedit.exe 将 HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionSetupWelcomesrvwiz 的值改为 0 即可。 WIN2000 服务器安全配置 2 三、 安全配置 WIN2000 SERVER 即使正确的安装了 WIN2000 SERVER，系统还是有很多的漏洞，还需要进一步进行细致地配置。 1端口：端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口

14、会比较安全，配置的方法是在网卡属性-TCP/IP- 高级-选项-TCP/IP 筛选中启用 TCP/IP 筛选，不过对于win2000 的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。 2IIS：IIS 是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的 IIS 默认安装又实在不敢恭维，所以 IIS 的配置是我们的重点，现在大家跟着我一起来： 首先，把 C 盘那个什么 Inetpub 目录彻底删掉，在 D 盘建一个 Inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在 IIS 管理器中将主

15、目录指向D:Inetpub； 其次，那个 IIS 安装时默认的什么 scripts 等虚拟目录一概删除（罪恶之源呀，忘http:/ 了？我们虽然已经把Inetpub 从系统盘挪出来了，但是还是小心为上） ，如果你需要什么权限的目录可以自己慢慢建，需要什么权限开什么。 （特别注意写权限和执行程序的权限，没有绝对的必要千万不要给） 第三，应用程序配置：在 IIS 管理器中删除必须之外的任何无用映射，必须指的是ASP, ASA 和其他你确实需要用到的文件类型，例如你用到 stml 等（使用 server side include） ，实际上 90%的主机有了上面两个映射就够了，其余的映射几乎每个都有

16、一个凄惨的故事：htw, htr, idq, ida想知道这些故事？去查以前的漏洞列表吧。什么？找不到在哪里删？在 IIS 管理器中右击主机 -属性-WWW 服务编辑-主目录配置-应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿） 。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想 ASP 出错的时候用户知道你的程序/网络/ 数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。 为了对付日益增多的 cgi 漏洞扫描器，还有一个小技巧可以参考，在 IIS 中将HTTP404 Object Not Found 出错页

17、面通过 URL 重定向到一个定制 HTM 文件，可以让目前绝大多数 CGI 漏洞扫描器失灵。其实原因很简单，大多数 CGI 扫描器在编写时为了方便，都是通过查看返回页面的 HTTP 代码来判断漏洞是否存在的，例如，著名的 IDQ 漏洞一般都是通过取 1.idq 来检验，如果返回 HTTP200，就认为是有这个漏洞，反之如果返回HTTP404 就认为没有，如果你通过 URL 将 HTTP404 出错信息重定向到 HTTP404.htm 文件，那么所有的扫描无论存不存在漏洞都会返回 HTTP200，90%的 CGI 扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手（武侠

18、小说中常说全身漏洞反而无懈可击，难道说的就是这个境界？）不过从个人角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。 最后，为了保险起见，你可以使用 IIS 的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复 IIS 的安全配置。还有，如果你怕 IIS 负荷过高导致服务器满负荷死机，也可以在性能中打开 CPU 限制，例如将 IIS 的最大 CPU 使用率限制在 70%。 3账号安全： Win2000 的账号安全是另一个重点，首先，Win2000 的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的

19、用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1 来禁止 139 空连接，实际上 win2000 的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项 RestrictAnonymous（匿名连接的额外限制） ，这个选项有三个值： 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts an

20、d shares（不允许枚举 SAM 帐号和共享）2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）0 这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum 等等，对服务器来说这样的设置非常危险。 1 这个值是只允许非 NULL 用户存取 SAM 账号信息和共享信息。 2 这个值是在 win2000 中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为 1 比较好。 好了，入

21、侵者现在没有办法拿到我们的用户列表，我们的账户安全了慢着，至少还有一个账户是可以跑密码的，这就是系统内建的 administrator，怎么办？我改改改，在计算机管理-用户账号中右击 administrator 然后改名，改成什么随便你，只要能记得就行了。 不对不对，我都已经改了用户名了，怎么还是有人跑我管理员的密码？幸好我的密码够长，但是这也不是办法呀？嗯，那肯定是在本地或者 Terminal Service 的登录界面看到的，好吧，我们再来把HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon 项中的 Dont Display Last User Name 串数据改成 1，这样系统不会自动显示上次的登录用户名。 将服务器注册表 HKEY_LOCAL_ MACHINESOFTWAREMicrosoft WindowsNTCurrentVersionWinlogon 项中的 Dont Display Last User Name 串数据修改为1，隐藏上次登陆控制台的用户名。