数据中心的采用哪些主流技术

1、采用云服务。

尽管"云计算"已然成为了一个被过度使用的流行术语，但是，在这些营销炒作背后，有一些确实是有价值的东西。您的企业可以借助基于云的服务器、应用程序和服务所提供的优势。云计算可以让帮助您迅速扩大业务，并符合成本效益。这也使得您的企业得以和更大的公司竞争，而交由云服务提供商们来处理后端基础设施的维护和保养工作。

2、部署虚拟化。

虚拟化与云计算齐头并进。您在云中部署的"服务器"最有可能是虚拟的服务器，在数据中心的某处一台单一的物理服务器将与其他许多虚拟服务器并行运行。无论您是在云中还是在自己的硬件内部实现服务器的部署，虚拟服务器都将比物理服务器更便宜、更高效。这可以帮助您实现拥有新的服务器，而无需额外的服务器或网络硬件投资，由一台单一的物理机器上运行多个虚拟服务器，可以确保让您充分利用您所支付的处理器和内存资源。

3、允许员工使用自备工具。

我不知道您是否有备忘录，但在过去几年的技术转变过程中。一些员工已经开始不再使用公司统一配发的笔记本电脑、智能手机或其他设备，员工们倾向于使用自己的设备工作。许多企业最初的反应是抵制这一趋势。毕竟，当涉及到管理和配套环境时，这一趋势带走了

相对统一性，而且似乎造成混乱，当谈到管理和支持环境。然而，无论您是否允许。

这些设备是您的员工自己的投资。其实，您可以通过引导员工们使用已有的设备来消除不必要的费用。您也可以通过补贴这一部分成本来达到双赢的效果。除了成本优势，允许员工使用自备工具还可以提高生产力。使用这些平台和技术，员工们感到很舒服，这就是为什么他们会花自己辛苦赚来的钱买这些设备的原因了。让员工们使用他们自己的设备工作，而

不是强迫他们使用一些他们不喜欢的设备，将使员工们工作的更开心，更具生产力。

4、确保移动设备的安全。

当您开始允许每个人都采用自己的笔记本电脑、智能手机和平板电脑进行工作，并通过远程连接到公司的服务器资源时，您也需要一些方法来执行基本的安全政策，保护可能包含

的公司任何数据。跨平台的移动安全工具可以帮助您在不同的产品和设备中监测和维护安

全。最起码，您必须有一个书面的政策界定基本安全要求。您还应该确保您的员工了解这些

安全控制措施，以便让他们在使用自己的设备时，充分利用他们的优势。

5、保护您企业的数据。

企业数据被破坏的案例几乎每天都在发生。虽然这其中有相当一部分是复杂的、精密的黑客攻击。其实，人们的错误和过失也往往容易把敏感数据泄露给任何外部攻击者。您应该在您的网络上设置安装必要的监测工具，监测出站通信，防止机密或敏感数据被泄露——不管是有意或无意的。如果没有监测工具，您需要确保对您所有的敏感数据进行加密，使其免受未经授权的访问。

Chipkill技术是IBM公司为了解决服务器内存中ECC技术的不足而开发的，是一种新的ECC内存保护标准。我们知道ECC内存只能同时检测和纠正单一比特错误，但如果同时检测出两个以上比特的数据有错误，则无能为力。ECC技术之所以在服务器内存中广泛采用，一则是因为在这以前其它新的内存技术还不成熟，再则在服务器中系统速度还是很高，在这种频率上一般来说同时出现多比特错误的现象很少发生，因为这样才使得ECC技术得到了充分地认可和应用，使得ECC内存技术成为几乎所有服务器上的内存标准。

但随着基于Intel处理器架构的服务器的CPU性能在以几何级的倍数提高，而硬盘驱动器的性能只提高少数的倍数，为了获得足够的性能，服务器需要大量的内存来临时保存CPU上需要读取的数据，这样大的数据访问量就导致单一内存芯片上每次访问时通常要提供4（32位）或8（64位）比特的数据，一次读取这么多数据，出现多位数据错误的可能性会大大地提高，而ECC又不能纠正双比特以上的错误，这样很可能造成全部比特数据的丢失，系统就很快崩溃了。IBM的Chipkill技术是利用内存的子系统来解决这一难题。内存子系统的设计原理是这样的，单一芯片，无论数据宽度是多少，只对于一个给定的ECC识别码，它的影响最多为一比特。举例来说，如果使用4比特宽的DRAM，4比特中的每一位的奇偶性将分别组成不同的ECC识别码，这个ECC识别码是用单独一个数据位来保存的，也就是说保存在不同的内存空间地址。因此，即使整个内存芯片出了故障，每个ECC识别码也将最多出现一比特坏数据，而这种情况完全可以通过ECC逻辑修复，从而保证内存子系统的容错性，保证服务器在出现故障时，有强大的自我恢复能力。采用这种技术的内存可以同时检查并修复4个错误数据位，服务器的可靠性和稳定得到了更充分的保障。 FB-DIMM(Fully Buffered-DIMM，全缓冲内存模组)是Intel在DDR2的基础上发展出来的一种新型内存模组与互联架构，既可以搭配DDR2内存芯片，也可以搭配未来的DDR3内存芯片。FB-DIMM可以极大地提升系统内存带宽并且极大地增加内存最大容量。

FB-DIMM技术是Intel为了解决内存性能对系统整体性能的制约而发展出来的，在现有技术基础上实现了跨越式的性能提升，同时成本也相对低廉。在整个计算机系统中，内存可谓是决定整机性能的关键因素，光有快的CPU，没有好的内存系统与之配合，CPU性能再优秀也无从发挥。因为CPU运算时所需的数据都是从内存中获取，如果内存系统无法及时给CPU供应数据，CPU不得不处在一种等待状态，形成资源闲置，性能自然无从发挥。对于普通的个人电脑来说，由于是单处理器系统，内存带宽已经能满足其性能需求；而对于多路的服务器来说，由于是多处理器系统，其对内存带宽和内存容量是极度渴求的，传统的内存技术已经无法满足其需求了。这是因为普通DIMM采用的是一种“短线连接”(Stub-bus)的拓扑结构，这种结构中，每个芯片与内存控制器的数据总线都有一个短小的线路相连，这样会造成电阻抗的不继续性，从而影响信号的稳定与完整，频率越高或芯片数据越多，影响也就越大。虽然Rambus公司所推出的的XDR内存等新型内存技术具有极高的性能，但是却存在着成本太高的问题，从而使其得不到普及。而FB-DIMM技术的出现就较好的解决了这个问题，既能提供更大的内存容量和较理想的内存带宽，也能保持相对低廉的成本。FB-DIMM与XDR相比较，虽然性能不及全新架构的XDR，但成本却比XDR要低廉得多。

与现有的普通DDR2内存相比，FB-DIMM技术具有极大的优势:在内存频率相同的情况下能提供四倍于普通内存的带宽，并且能支持的最大内存容量也达到了普通内存的24倍，系统最大能支持192GB内存。FB-DIMM最大的特点就是采用已有的DDR2内存芯片(以后还将采用DDR3内存芯片)，但它借助内存PCB上的一个缓冲芯片AMB(Advanced Memory Buffer，高级内存缓冲)将并行数据转换为串行数据流，并经由类似PCI Express的点对点高速串行总线将数据传输给处理器。

与普通的DIMM模块技术相比，FB-DIMM与内存控制器之间的数据与命令传输不再是传统设计的并行线路，而采用了类似于PCI-Express的串行接口多路并联的设计，以串行的方式进行数据传输。在这种新型架构中，每个DIMM上的缓冲区是互相串联的，之间是点对点的连接方式，数据会在经过第一个缓冲区后传向下一个缓冲区，这样，第一个缓冲区和内存控制器之间的连接阻抗就能始终保持稳定，从而有助于容量与频率的提升。

摘要：服务器是指具有固定的地址，并为网络用户提供服务的节点，它能提高访问速度，也可以起到防火墙的作用。市面上的服务器可按照体系架构进行分类，也可按照应用层次进行分类。服务器的组成结构与普通电脑非常相似，主要包括中央处理器、内存、芯片组、I/O总线、I/O设备、电源、机箱等等部分，接下来就和小编一起来看看吧。服务器的种类有哪些

一、按照体系架构分类

1、非x86服务器

非x86服务器包括大型机、小型机和UNIX服务器，它们是使用RISC（精简指令集）或EPIC（并行指令代码）处理器，并且主要采用UNIX和其它专用操作系统的服务器。这种服务器价格昂贵，体系封闭，但是稳定性好，性能强，主要用在金融、电信等大型企业的核心系统中。

2、x86服务器

x86服务器又称CISC（复杂指令集）架构服务器，即通常所讲的PC服务器，它是基于PC机体系结构，使用Intel或其它兼容x86指令集的处理器芯片和Windows操作系统的服务器。价格便宜、兼容性好、稳定性较差、安全性不算太高，主要用在中小企业和非关键业务中。

二、按照应用层次分类

1、入门级服务器

这类服务器是最基础的一类服务器，也是最低档的服务器。入门级服务器主要采用Windows或者NetWare网络操作系统，可以充分满足办公室型的中小型网络用户的文件共享、数据处理、Internet接入及简单数据库应用的需求。随着PC技术的日益提高，许多入门级服务器与PC机的配置差不多，所以也有部分人认为入门级服务器与“PC服务器”等同。

2、工作组服务器

工作组服务器是一个比入门级高一个层次的服务器，但仍属于低档服务器之类。从这个名字也可以看出，它只能连接一个工作组（50台左右）那么多用户，网络规模较小，服务器的稳定性也不像下面我们要讲的企业级服务器那样高的应用环境，当然在其它性能方面的要求也相应要低一些。

工作组服务器较入门级服务器来说性能有所提高，功能有所增强，有一定的可扩展性，但容错和冗余性能仍不完善、也不能满足大型数据库系统的应用，但价格也比前者贵许多，一般相当于2~3台高性能的PC品牌机总价。

3、部门级服务器

这类服务器是属于中档服务器之列，一般都是支持双CPU以上的对称处理器结构，具备比较完全的硬件配置，如磁盘阵列、存储托架等。部门级服务器的最大特点就是，除了具有工作组服务器全部服务器特点外，还集成了大量的监测及管理电路，具有全面的服务器管理能力，可监测如温度、电压、风扇、机箱等状态参数，结合标准服务器管理软件，使管理人员及时了解服务器的工作状况。

大多数部门级服务器具有优良的系统扩展性，能够满足用户在业务量迅速增大时能够及时在线升级系统，充分保护了用户的投资。它是企业网络中分散的各基层数据采集单位与最高层的数据中心保持顺利连通的必要环节，一般为中型企业的首选，也可用于金融、邮电等行业。

4、企业级服务器

企业级服务器是属于高档服务器行列，正因如此，能生产这种服务器的企业也不是很多。企业级服务器最起码是采用4个以上CPU的对称处理器结构，有的高达几十个。另外一般还具有独立的双PCI通道和内存扩展板设计，具有高内存带宽、大容量热插拔硬盘和热插拔电源、超强的数据处理能力和群集性能等。企业级服务器适合运行在需要处理大量数据、高处理速度和对可靠性要求极高的金融、证券、交通、邮电、通信或大型企业。

服务器的组成结构是什么

服务器系统的硬件构成与我们平常所接触的电脑有众多的相似之处，主要的硬件构成仍然包含中央处理器、内存、芯片组、I/O总线、I/O设备、电源、机箱和相关软件这几个主要部分，这也成了我们选购一台服务器时所主要关注的指标。

在信息系统中，服务器主要应用于数据库和Web服务，而PC主要应用于桌面计算和网络终端，设计根本出发点的差异决定了服务器应该具备比PC更可靠的持续运行能力、更强大的存储能力和网络通信能力、更快捷的故障恢复功能和更广阔的扩展空间，同时，对数据相当敏感的应用还要求服务器提供数据备份功能。而PC机在设计上则更加重视人机接口的易用性、图像和3D处理能力及其他多媒体性能。

服务器有什么作用

1、提高访问速度。因为客户要求的数据存于代理服务器的硬盘中，因此下次这个客户或其它客户再要求相同目的站点的数据时，就会直接从代理服务器的硬盘中读取，代理服务器起到了缓存的作用，对热门站点有很多客户访问时，代理服务器的优势更为明显。

2、服务器可以起到防火墙的作用。因为所有使用服务器的用户都必须通过服务器访问远程站点，因此在服务器上就可以设置相应的限制，以过滤或屏蔽掉某些信息。这是局域网网管对局域网用户访问范围限制最常用的办法，也是局域网用户为什么不能浏览某些网站的原因。拨号用户如果使用服务器，同样必须服从服务器的访问限制，除非你不使用这个服务器。

3、通过服务器访问一些不能直接访问的网站。互联网上有许多开放的服务器，客户在访问权限受到限制时，而这些服务器的访问权限是不受限制的，刚好服务器在客户的访问范围之内，那么客户通过服务器访问目标网站就成为可能。国内的高校多使用教育网，不能出国，但通过服务器，就能实现访问因特网，这就是高校内服务器热的原因所在。

4、安全性得到提高。无论是上聊天室还是浏览网站，目的网站只能知道你来自于代理服务器，而你的真实IP就无法测知，这就使得使用者的安全性得以提高。

服务器安全技术，一般都是采用软件辅助+手工服务的安全设置，有钱人都是买好几W的硬件来做服务器安全。但是对于我一个小小的站长，哪能承受的了。一年的服务器托管才5000多，建议你找专业做服务器安全的公司或者团队，来给你做服务器安全维护。安全这问题，很重要，我上次就是为了省钱，在网上搜索了一些服务器安全设置的文章，对着文章，我一个一个的设置起来，费了好几天的时间才设置完，没想到，服务器竟然瘫痪了，网站都打不开了，也最终明白了，免费的东西，也是最贵的，损失真的很大，数据库都给我回档了，我哪个后悔啊。娘个咪的。最后还是让机房把系统重装了，然后找的sine安全公司给做的网站服务器安全维护。跟他们还签了合同，真的是一份价格一份服务，专业的服务 安全非常稳定。也只有网站安全了，才能带来安全稳定的客户源。道理也是经历了才明白。说了这么多经历，楼主慢慢看，希望能帮到更多和我一样的网站站长。

目前服务器常用的操作系统有三类: -Unix -Linux -Windows NT/2000/2003 Server 这些操作系统都是符合C2级安全级别的操作系 统但是都存在不少漏洞,如果对这些漏洞不了 解,不采取相应的措施,就会使操作系统完全暴 露给入侵者 BJFU Info Department, QiJd第七章操作系统安全配置方案 UNIX系统 UNIX操作系统是由美国贝尔实验室开发的 一种多用户,多任务的通用操作系统 诞生于1969年,在GE645计算机上实现一 种分时操作系统的雏形 1970年给系统正式取名为Unix操作系统 到1973年,Unix系统的绝大部分源代码都 用C语言重新编写过,大大提高了Unix系统 的可移植性,也为提高系统软件的开发效率 创造了条件 BJFU Info Department, QiJd第七章操作系统安全配置方案 主要特色 UNIX操作系统经过20多年的发展后,已经成为一种成 熟的主流操作系统,并在发展过程中逐步形成了一些 新的特色,其中主要特色包括5个方面 -(1)可靠性高 -(2)极强的伸缩性 -(3)网络功能强 -(4)强大的数据库支持功能 -(5)开放性好 BJFU Info Department, QiJd第七章操作系统安全配置方案 Linux系统 Linux是一套可以免费使用和自由传播的 类Unix操作系统,主要用于基于Intel x86 系列CPU的计算机上 Linux是在GPL(General Public License)保护下的自由软件,版本有: Redhatlinux,Suse,Slackware, Debian等;国内有:XteamLinux,红旗 LinuxLinux流行的原因是免费并且功能 强大 BJFU Info Department, QiJd第七章操作系统安全配置方案 Linux典型的优点 (1)完全免费 (2)完全兼容POSIX 10标准 (3)多用户,多任务 (4)良好的界面 (5)丰富的网络功能 (6)可靠的安全,稳定性能 (7)支持多种平台 BJFU Info Department, QiJd第七章操作系统安全配置方案 Windows系统 Windows NT(New Technology)是微软 公司第一个真正意义上的网络操作系统, 发展经过NT30,NT40,NT50 (Windows 2000)和NT60(Windows 2003)等众多版本,并逐步占据了广大的 中小网络操作系统的市场 Windows NT众多版本的操作系统使用了 与Windows 9X完全一致的用户界面和完全 相同的操作方法,使用户使用起来比较方 便与Windows 9X相比,Windows NT的 网络功能更加强大并且安全 BJFU Info Department, QiJd第七章操作系统安全配置方案 Windows NT系列操作系统 Windows NT系列操作系统具有以下三方面的优点 (1)支持多种网络协议 -由于在网络中可能存在多种客户机,如Windows 95/98,Apple Macintosh,Unix,OS/2等等,而这些客户机可能使用了不同的 网络协议,如TCP/IP协议,IPX/SPX等Windows NT系列操作支 持几乎所有常见的网络协议 (2)内置Internet功能 -内置IIS(Internet Information Server),可以使网络管理员轻松 的配置WWW和FTP等服务 (3)支持NTFS文件系统 -NT同时支持FAT和NTFS的磁盘分区格式使用NTFS的好处主要 是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文 件,目录设置权限,这样当多用户同时访问系统的时候,可以增加 文件的安全性 BJFU Info Department, QiJd第七章操作系统安全配置方案 安全配置方案初级篇 安全配置方案初级篇主要介绍常规的操作 系统安全配置,包括十二条基本配置原 则: (1)物理安全,(2)停止Guest帐号, (3)限制用户数量 (4)创建多个管理员帐号,(5)管理员帐号改名 (6)陷阱帐号,(7)更改默认权限,(8)设置 安全密码 (9)屏幕保护密码,(10)使用NTFS分区 (11)运行防毒软件,(12)确保备份盘安全 BJFU Info Department, QiJd第七章操作系统安全配置方案 1,物理安全 服务器应该安放在安装了监视器的隔离房 间内,并且监视器要保留15天以上的摄像 记录 另外,机箱,键盘,电脑桌抽屉要上锁, 以确保旁人即使进入房间也无法使用电 脑,钥匙要放在安全的地方 2,停止Guest帐号 在计算机管理的用户里面把Guest帐号停用,任何时候都不允许 Guest帐号登陆系统 为了保险起见,最好给Guest 加一个复杂的密码,包含特殊字符,数 字,字母的长字符串 用它作为Guest帐号的密码并且修改Guest帐号的属性,设置拒绝 远程访问,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 3 限制用户数量 去掉所有的测试帐户,共享帐号和普通部门帐号 等等用户组策略设置相应权限,并且经常检查 系统的帐户,删除已经不使用的帐户 帐户很多是黑客们入侵系统的突破口,系统的帐 户越多,黑客们得到合法用户的权限可能性一般 也就越大 对于Windows NT/2000主机,如果系统帐户超过 10个,一般能找出一两个弱口令帐户,所以帐户 数量不要大于10个 BJFU Info Department, QiJd第七章操作系统安全配置方案 4 多个管理员帐号 虽然这点看上去和上面有些矛盾,但事实上是服 从上面规则的创建一个一般用户权限帐号用来 处理电子邮件以及处理一些日常事物,另一个拥 有Administrator权限的帐户只在需要的时候使 用 因为只要登录系统以后,密码就存储再 WinLogon进程中,当有其他用户入侵计算机的 时候就可以得到登录用户的密码,尽量减少 Administrator登录的次数和时间 5 管理员帐号改名 Windows 2000中的Administrator帐号是不能被停用的,这意味着 别人可以一遍又一边的尝试这个帐户的密码把Administrator帐户 改名可以有效的防止这一点 不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用 户,比如改成:guestone具体操作的时候只要选中帐户名改名就 可以了,如图所示 6 陷阱帐号 所谓的陷阱帐号是创建一个名为"Administrator"的本地帐 户,把它的权限设置成最低,什么事也干不了的那种,并 且加上一个超过10位的超级复杂密码 这样可以让那些企图入侵者忙上一段时间了,并且可以借 此发现它们的入侵企图可以将该用户隶属的组修改成 Guests组,如图所示 7 更改默认权限 共享文件的权限从"Everyone"组改成"授权用户""Everyone"在 Windows 2000中意味着任何有权进入你的网络的用户都能够获得这 些共享资料 任何时候不要把共享文件的用户设置成"Everyone"组包括打印共 享,默认的属性就是"Everyone"组的,一定不要忘了改设置某文 件夹共享默认设置如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 8安全密码 一些网络管理员创建帐号的时候往往用公司名, 计算机名,或者一些别的一猜就到的字符做用户 名,然后又把这些帐户的密码设置得比较简单, 这样的帐户应该要求用户首此登陆的时候更改成 复杂的密码,还要注意经常更改密码 这里给好密码下了个定义:安全期内无法破解出 来的密码就是好密码,也就是说,如果得到了密 码文档,必须花43天或者更长的时间才能破解出 来,密码策略是42天必须改密码 9屏幕保护密码 设置屏幕保护密码是防止内部人员破坏服务器的一个屏 障 还有一点,所有系统用户所使用的机器也最好加上屏幕保 护密码 将屏幕保护的选项"密码保护"选中就可以了,并将等待时 间设置为最短时间"1秒",如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 10 NTFS分区 把服务器的所有分区都改成NTFS格式NTFS文 件系统要比FAT,FAT32的文件系统安全得多 11防毒软件 Windows 2000/NT服务器一般都没有安装防毒软 件的,一些好的杀毒软件不仅能杀掉一些著名的 病毒,还能查杀大量木马和后门程序 要经常升级病毒库 BJFU Info Department, QiJd第七章操作系统安全配置方案 12备份盘的安全 一旦系统资料被黑客破坏,备份盘将是恢 复资料的唯一途径备份完资料后,把备 份盘防在安全的地方 把资料备份放在多台服务器上 BJFU Info Department, QiJd第七章操作系统安全配置方案 安全配置方案中级篇 安全配置方案中级篇主要介绍操作系统的安全策 略配置,包括十条基本配置原则: (1)操作系统安全策略, (2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略 (5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件 (8)不显示上次登陆名,(9)禁止建立空连接 (10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微 软提供了一套的基于管理控制台的安全配置和分析工具, 可以配置服务器的安全策略 在管理工具中可以找到"本地安全策略" 可以配置四类安全策略:帐户策略,本地策略,公钥策略 和IP安全策略在默认的情况下,这些策略都是没有开启 的 BJFU Info Department, QiJd第七章操作系统安全配置方案 2 关闭不必要的服务 Windows 2000的Terminal Services(终 端服务)和IIS(Internet 信息服务)等都 可能给系统带来安全漏洞 为了能够在远程方便的管理服务器,很多 机器的终端服务都是开着的,如果开了, 要确认已经正确的配置了终端服务 有些恶意的程序也能以服务方式悄悄的运 行服务器上的终端服务要留意服务器上 开启的所有服务并每天检查 Windows2000可禁用的服务 服务名说明 Computer Browser维护网络上计算机的最新列表以及提供这个 列表 Task scheduler允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由 服务 Removable storage管理可移动媒体,驱动程序和库 Remote Registry Service允许远程注册表操作 Print Spooler将文件加载到内存中以便以后打印要用打 印机的用户不能禁用这项服务 IPSEC Policy Agent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通 知 Com+ Event System提供事件的自动发布到订阅COM组件 3 关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵 的机会就会少一些,但是不可以认为高枕无忧了 用端口扫描器扫描系统所开放的端口,在 Winnt\system32\drivers\etc\services文件中有知名端口和服务的对 照表可供参考该文件用记事本打开如图所示 设置本机开放的端口 设置本机开放的端口和服务,在IP地址设置窗口 中点击按钮"高级",如图所示 设置本机开放的端口 在出现的对话框中选择选项卡"选项",选中 "TCP/IP筛选",点击按钮"属性",如图所示 设置本机开放的端口 设置端口界面如图所示 一台Web服务器只允许TCP的80端口通过就可以了 TCP/IP筛选器是Windows自带的防火墙,功能比较强 大,可以替代防火墙的部分功能 4 开启审核策略 安全审核是Windows 2000最基本的入侵检测方法当有人尝试对系 统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件 访问等等)入侵的时候,都会被安全审核记录下来 必须开启的审核如下表: 策略设置 审核系统登陆事件成功,失败 审核帐户管理成功,失败 审核登陆事件成功,失败 审核对象访问成功 审核策略更改成功,失败 审核特权使用成功,失败 审核系统事件成功,失败 审核策略默认设置 审核策略在默认的情况下都是没有开启的,如图所 示 设置审核策略 双击审核列表的某一项,出现设置对话框,将复 选框"成功"和"失败"都选中,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 5 开启密码策略 密码对系统安全非常重要本地安全设置 中的密码策略在默认的情况下都没有开 启需要开启的密码策略如表所示 策略设置 密码复杂性要求启用 密码长度最小值6位 密码最长存留期15天 强制密码历史5个 设置密码策略 设置选项如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 6 开启帐户策略 开启帐户策略可以有效的防止字典式攻击, 设置如表所示 策略设置 复位帐户锁定计数器30分钟 帐户锁定时间30分钟 帐户锁定阈值5次 BJFU Info Department, QiJd第七章操作系统安全配置方案 设置帐户策略 设置的结果如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 7 备份敏感文件 把敏感文件存放在另外的文件服务器中; 把一些重要的用户数据(文件,数据表和 项目文件等)存放在另外一个安全的服务 器中,并且经常备份它们 8 不显示上次登录名 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆 的帐户名,本地的登陆对话框也是一样黑客们可以得到系统的一些 用户名,进而做密码猜测 修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键 下修改子键: Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont DisplayLastUserName,将键值改成1,如图所示 9 禁止建立空连接 默认情况下,任何用户通过空连接连上服务器,进而可以 枚举出帐号,猜测密码 可以通过修改注册表来禁止建立空连接在 HKEY_LOCAL_MACHINE主键下修改子键: System\CurrentControlSet\Control\LSA\RestrictAnon ymous,将键值改成"1"即可如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 10 下载最新的补丁 很多网络管理员没有访问安全站点的习 惯,以至于一些漏洞都出了很久了,还放 着服务器的漏洞不补给人家当靶子用 经常访问微软和一些安全站点,下载最新 的Service Pack和漏洞补丁,是保障服务 器长久安全的唯一方法 BJFU Info Department, QiJd第七章操作系统安全配置方案 安全配置方案高级篇 高级篇介绍操作系统安全信息通信配置,包 括十四条配置原则: (1)关闭DirectDraw,(2)关闭默认共享 (3)禁用Dump File,(4)文件加密系统 (5)加密Temp文件夹(6)锁住注册表, (7)关机时清除文件 (8)禁止软盘光盘启动(9)使用智能卡, (10)使用IPSec (11)禁止判断主机类型,(12)抵抗DDOS (13)禁止Guest访问日志 (14)数据恢复软件 1 关闭DirectDraw C2级安全标准对视频卡和内存有要求关闭DirectDraw可能对一些 需要用到DirectX的程序有影响(比如游戏),但是对于绝大多数的 商业站点都是没有影响的 在HKEY_LOCAL_MACHINE主键下修改子键: SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeo ut,将键值改为"0"即可,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 2 关闭默认共享 Windows 2000安装以后,系统会创建一些隐藏的 共享,可以在DOS提示符下输入命令Net Share 查 看,如图所示 停止默认共享 禁止这些共享,打开管理工具>计算机管理>共享文件夹> 共享,在相应的共享文件夹上按右键,点"停止共享"即 可,如图所示 3 禁用Dump文件 在系统崩溃和蓝屏的时候,Dump文件是一份很有用资 料,可以帮助查找问题然而,也能够给黑客提供一些敏 感信息,比如一些应用程序的密码等 需要禁止它,打开控制面板>系统属性>高级>启动和故障 恢复,把写入调试信息改成无,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 4 文件加密系统 Windows2000强大的加密系统能够给磁盘,文 件夹,文件加上一层安全保护这样可以防止别 人把你的硬盘挂到别的机器上以读出里面的数 据 微软公司为了弥补Windows NT 40的不足,在 Windows 2000中,提供了一种基于新一代 NTFS:NTFS V5(第5版本)的加密文件系统 (Encrypted File System,简称EFS) EFS实现的是一种基于公共密钥的数据加密方 式,利用了Windows 2000中的CryptoAPI结 构 BJFU Info Department, QiJd第七章操作系统安全配置方案 5 加密Temp文件夹 一些应用程序在安装和升级的时候,会把 一些数据拷贝到Temp文件夹,但是当程序 升级完毕或关闭的时候,并不会自己清除 Temp文件夹的内容 所以,给Temp文件夹加密可以多一层保 护 6 锁住注册表 在Windows2000中,只有Administrators和Backup Operators才有从 网络上访问注册表的权限当帐号的密码泄漏以后,黑客也可以在远程 访问注册表,当服务器放到网络上的时候,一般需要锁定注册表修改 Hkey_current_user下的子键 Software\microsoft\windows\currentversion\Policies\system 把DisableRegistryTools的值该为0,类型为DWORD,如图所示 7 关机时清除文件 页面文件也就是调度文件,是Windows 2000用来存储没有装入内存 的程序和数据文件部分的隐藏文件 一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文 件中可能含有另外一些敏感的资料要在关机的时候清除页面文件, 可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键: -SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management -把ClearPageFileAtShutdown的值设置成1,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 8 禁止软盘光盘启动 一些第三方的工具能通过引导系统来绕过原有的 安全机制比如一些管理员工具,从软盘上或者 光盘上引导系统以后,就可以修改硬盘上操作系 统的管理员密码 如果服务器对安全要求非常高,可以考虑使用可 移动软盘和光驱,把机箱锁起来仍然不失为一个 好方法 BJFU Info Department, QiJd第七章操作系统安全配置方案 9 使用智能卡 对于密码,总是使安全管理员进退两难, 容易受到一些工具的攻击,如果密码太复 杂,用户把为了记住密码,会把密码到处 乱写 如果条件允许,用智能卡来代替复杂的密 码是一个很好的解决方法 BJFU Info Department, QiJd第七章操作系统安全配置方案 10 使用IPSec 正如其名字的含义,IPSec提供IP数据包的 安全性 IPSec提供身份验证,完整性和可选择的机 密性发送方计算机在传输之前加密数 据,而接收方计算机在收到数据之后解密 数据 利用IPSec可以使得系统的安全性能大大增 强 11 禁止判断主机类型 黑客利用TTL(Time-To-Live,生存时间)值可以鉴别操作系统的类 型,通过Ping指令能判断目标主机类型Ping的用处是检测目标主 机是否连通 许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据 对方的操作系统,是Windows还是Unix如过TTL值为128就可以认 为你的系统为Windows 2000,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 TTL值-判断主机类型 从表中可以看出,TTL值为128,说明改主机的操作系统 是Windows 2000操作系统下表给出了一些常见操作系 统的对照值 操作系统类型TTL返回值 Windows 2000128 Windows NT107 win9x128 or 127 solaris252 IRIX240 AIX247 Linux241 or 240 BJFU Info Department, QiJd第七章操作系统安全配置方案 修改TTL的值 修改TTL的值,入侵者就无法入侵电脑了比如将操作系统的TTL值 改为111,修改主键HKEY_LOCAL_MACHINE的子键: SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAME TERS 新建一个双字节项,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 修改TTL的值 在键的名称中输入"defaultTTL",然后双击改键名,选择 单选框"十进制",在文本框中输入111,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 修改TTL的值 设置完毕重新启动计算机,再用Ping指令,发现 TTL的值已经被改成111了,如图所示 12 抵抗DDOS 添加注册表的一些键值,可以有效的抵抗DDOS的攻击在键值 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcp ip\Parameters]下增加响应的键及其说明如表所示 增加的键值键值说明 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000000 "KeepAliveTime"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 基本设置 "EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击 "SynAttackProtect"=dword:00000002防止SYN洪水攻击 "TcpMaxHalfOpenRetried"=dword:00000080 "TcpMaxHalfOpen"=dword:00000100 仅在TcpMaxHalfOpen和 TcpMaxHalfOpenRetried设置 超出范围时,保护机制才会采取 措施 "IGMPLevel"=dword:00000000不支持IGMP协议 "EnableDeadGWDetect"=dword:00000000禁止死网关监测技术 "IPEnableRouter"=dword:00000001支持路由功能 BJFU Info Department, QiJd第七章操作系统安全配置方案 13 禁止Guest访问日志 在默认安装的Windows NT和Windows 2000中,Guest 帐号和匿名用户可以查看系统的事件日志,可能导致许多 重要信息的泄漏,修改注册表来禁止Guest访问事件日 志 禁止Guest访问应用日志 -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Application下添加键值名称为: RestrictGuestAccess,类型为:DWORD,将值设置为1 系统日志: -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\System下添加键值名称为: RestrictGuestAccess,类型为:DWORD,将值设置为1 安全日志 -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Security下添加键值名称为: RestrictGuestAccess,类型为:DWORD,将值设置为1 14 数据恢复软件 当数据被病毒或者入侵者破坏后,可以利用数据恢复软件 可以找回部分被删除的数据,在恢复软件中一个著名的软 件是Easy Recovery软件功能强大,可以恢复被误删除 的文件,丢失的硬盘分区等等软件的主界面如图所示 Easy Recovery 比如原来在E盘上有一些数据文件,被删除了,选择左边 栏目"Data Recovery",然后选择左边的按钮 "Advanced Recovery",如图所示 Easy Recovery 进入Advanced Recovery对话框后,软件自动扫描出目 前硬盘分区的情况,分区信息是直接从分区表中读取出来 的,如图所示 Easy Recovery 现在要恢复E盘上的文件,所以选择E盘,点击按 钮"Next",如图所示 Easy Recovery 软件开始自动扫描该盘上曾经有哪些被删除了文件,根据 硬盘的大小,需要一段比较长的时间,如图所示 Easy Recovery 扫描完成以后,将该盘上所有的文件以及文件夹显示出 来,包括曾经被删除文件和文件夹,如图所示 Easy Recoery 选中某个文件夹或者文件前面的复选框,然后点 击按钮"Next",就可以恢复了如图所示 Easy Recovery 在恢复的对话框中选择一个本地的文件夹,将文件保存到 该文件夹中,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 Easy Recovery 选择一个文件夹后,点击按钮"Next",就出现了恢复的 进度对话框,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 本章总结 本章分成三部分介绍Windows 2000的安 全配置 三部分共介绍安全配置三十六项,如果每 一条都能得到很好的实施的话,该服务器 无论是在局域网还是广域网,即使没有网 络防火墙,已经比较安全了 需要重点理解三大部分中的每一项设置, 并掌握如何设置