局域网服务器安全配置 局域网服务器配置要求
局域网配置服务器问题
1. 硬件是否连通
创新互联建站是一家集网站建设,余干企业网站建设,余干品牌网站建设,网站定制,余干网站建设报价,网络营销,网络优化,余干网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。
我们在计算机的连机之前首先要确认的就是这两台计算机在网络上是否已经连接好了,也就是说硬件部分是否连通。可以通过开始-运行中用ping命令来检测。将两台计算机都最好是各自手动设置IP(比如172.192.0.1 子网掩码 255.255.255.0 而另一个是 172.192.0.2 子网掩码相同)使用命令ping 172.192.1.2(在IP是172.192.0.1 的计算机上使用) 使用ping 172.192.0.1 (IP是172.192.0.2上使用) 看两台电脑是否已经连通。若连通了就可以了,若没那就要检查硬件的问题了,比如网卡是不是好的 有没有插好 网线是不是好的 一般也就这3个情况了。
关于IP的具体设置步骤:
我的电脑-控制面板-网络连接-本地连接右键属性-常规-找到TCP/IP协议-点下面的属性-常规-选择使用下面的IP地址,然后填IP和子网掩码就可以了。
2.在网络邻居看不到对方
请确认自己的工作组是否正确 双方应在相同的工作组里面 具体的操作如下:
电击“我的电脑右键-属性-计算机名”可以看到你的工作组。要修改的话就点“更改”就可以了。
3. 出现字句“您可能没有权限使用网络资源,请与这台服务器的管理员联系以查明您是否有访问权限”
在说明时没有特别指出的话我们都以默认的guest帐户连机
⑴当你在自己的电脑上点机网络邻居的时候出现的,可能的原因有:
① XP本身所自带的网络防火墙没有关闭,请关闭。设置如下:
我的电脑-控制面板-网络连接-本地连接右键属性-高级 就可以看到了,把那个勾去掉,不用管它的提示。
⑵当你在网络邻居的查看工作组计算机里面看到了对方,但点击的时候出现上面字句的原因:
①恭喜你原因是出在对方的计算机上的
②对方没有关掉防火墙(自身的,后来装的都有可能)
③对方没有开启guest帐户
④位于我的电脑-控制面板-管理工具-安全设置-本地安全策略-用户权利指派 中的“拒绝从网络登陆”看看有没,有guest 就删除
⑸对方在注册表里做过一些修改如下:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001 ;禁止空连接 若改2则匿民用户无法连接你的IPC共享
把这个删除就可以了。
4.连机是不是一定要开启guest帐户
答案是否定的,连机不一定非要开启guest帐户。只要你愿意,你甚至可以有管理员帐户登陆,只要更改相关的设置就可以了。设置如下:
我的电脑-控制面板-管理工具-安全设置-本地安全策略-安全选项 中“网络访问:本地帐户的共享和安全模式”(默认是来宾)改为“经典”即可。然后连机点击对方的时候,用户那一栏是可以自己填的,可以用对方电脑上的任何已经开启了的用户进行登陆。不过需要注意的一点是在这个安全选项中还有一项那就是“帐户:使用空白密码的本地帐户只允许进行控制台登陆”也就是说对方电脑上的别的帐户,比如说管理员帐户密码是空的反而不能登陆。这时可以关掉这个项或者让对方给需要登陆的帐户设置个密码。
5.关于guest帐户的一些问题
一要使用guest帐户登陆,需要开启guest帐户。
可以用两种方法去开启。方法一.我的电脑-控制面板-管理工具-计算机管理-本地用户和组-用户 找到guest点击右键属性,将帐户已停用前面的勾去掉。方法二.我的电脑-控制面板-用户帐户 中直接开启guest 不过需要指出的是这两种方法在连机上效果是一样的。但对于本机还是有一些区别的,稍后就会讲到。
二关于guest的一些认识
首先我们要涉及到3个东西,先在前面说下后面就直接用简写。a.位于计算机管理-本地用户和组-用户中的guest的开启。b.位于控制面板中的用户帐户中的来宾帐户开启机制。 c.位于我的电脑-控制面板-管理工具-安全设置-本地安全策略-用户权利指派 中的“拒绝从网络本地登陆”。请看下图:
a
*******************
*计算机管理-本地用户和组*
*的用户中的guest的开启 *
*******************
b * * c
***************** ********************
*控制面板中的用户帐户 * *本地安全策略用户权利指派*
*中的来宾帐户开启机制 * *中的拒绝从网络本地登陆 *
****************** ********************
说明:关于guest帐户的开启有两个等级 。第一个等级(最高等级)就是a它的管制权利是最高的 ;第二级就是b和c 。现在来说下它们,a就是管理这台计算机到底要不要开启guest 帐户,不管是你自己本地用guest帐户登陆还是网络用guest帐户登陆,要是a说我禁止了,那就都不行。假设a已经打开了,那么你说我要在自己的电脑上用guest登陆,那就需要把b打开了,这样你就可以在本机上用guest帐户登陆了。接着你又要求别人能通过网络用guest帐户来登陆你的电脑,那你就在c里面看看,有guest那就登陆不了了,删除就可以了。
三 关于guest的另外一个问题
d.位于我的电脑-控制面板-管理工具-安全设置-本地安全策略-用户权利指派 中的“拒绝本地登陆”。我发现在d与b是互通的。比如说你在“拒绝本地登陆”中添加了guest那么b中的来宾帐户就会自动关闭。如果你又把来宾帐户打开,那“拒绝本地登陆”中的guest就会自动消失。但是如果你在计算机管理中禁止了guest,那在“拒绝本地登陆”中设置就没用。细心的人应该发现其实还有“本地登陆”这一项,不过经过我实验发现根本没什么用,起不到任何的效果。另外在默认的时候计算机管理中的guest是禁止的,“拒绝本地登陆”和“拒绝从网络登陆”“本地登陆”中都有guest 。我的系统是这样的。
补充:
在实际的网络运用中,安装Windows XP系统的电脑有时会出现不能与Windows 98、Windows 2000的电脑互相访问的问题,即使是开启Guest账号、安装NetBEUI协议、设置共享文件夹,问题也得不到解决。今天,e博士就来说说这个常见的网络故障。
右键点击Windows桌面上的“我的电脑”,选择“属性”,进入“计算机名”选项卡,查看该选项卡中出现的局域网工作组名称,如“MSHOME”,然后点击“网络ID”按钮,进入“网络标识向导”,单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”,再单击“下一步”选择“公司使用没有域的网络”,随后输入局域网的工作组名,如“MSHOME”,再次单击“下一步”按钮。最后点击“完成”按钮完成设置。重新启动计算机后,局域网内的计算机就可以互访了。
经过这样的设置后,即使局域网内的计算机设置了不同的工作组,但在“网上邻居”中单击“查看工作组计算机”,在“其它位置”再单击“Microsoft Windows Network”,右面的窗口中就会出现所有工作组的名称,从而实现了对不同工作组的互访。
8.xp在中局域网访问其它的电脑没有权限
悬赏分:15 - 解决时间:2007-9-4 14:03
我有五台电脑,其中有一台做主机。我在网络邻居中可以看到那四台共享文件,想打开共享文件就会弹出《你没有权限访问这台计算机,请与这台计算机的管理员联系》
提问者: 匿名
最佳答案
局域网共享教程!
前言:局域网共享是个头疼的问题,只要找到的正确的设置方法,其实也很简单。原版也需要设置,否则也不能进行共享!
第一章:共享的前提工作:
1.更改不同的计算机名,设置相同的工作组!
2.我的电脑右键-管理-计算机管理-本地用户和组-用户:更改管理员用户名
3.手动设置IP,将ip设置在同一个网段,子网掩码和DNS解析相同
4.如何设置DNS解析:首先你可以使用自动获取,然后在开始-运行里面输入cmd后回车,在命令里面输入ipconfig/all后回车
5.运行里输入services.msc回车打开服务
第二章:共享的准备工作(注意设置完成后最好重启一下生效):
1.开始-设置-控制面板-防火墙-例外-勾选“文件和打印机共享”!当然你也可以关闭防火墙。
2.运行里面输入secpol.msc回车进入本地安全设置-本地策略-安全选项
将“网络访问:不允许SAM账户的匿名枚举”停用 注意此点只对来宾起效,将在第六章说到。
将“账户:使用空白密码的本地账户只允许进行控制台登录”停用
3.双击我的电脑打开资源管理器-工具-文件夹选项-查看-将“使用简单的文件夹共享”前面的勾去除!
4.设置共享文件夹或共享盘符(我这里设置D盘为共享盘符,当然你可以自己设置磁盘里面的任意文件夹为共享文件)
打开资源管理器-右键D盘-共享和安全-左键点选打开
注意:经过上两个图的共享资源设置,偶们进入对方的机子只有“只读”权限,只能看不能动的哦!
这可是XP默认的这安全性呵呵!当然你可以设置完全控制。这样你就可以为所欲为了哈哈。
第三章:用管理员登录的局域网共享方式
经过上面两章的设置,我们已经可以访问计算机today了
1.在主机中双击网上邻居-点击查看工作组计算机
2.双击today或是右键打开
3.还有一个更快捷的访问方法就是在主机的地址栏里面直接输入[url=file://\\today]\\today[/url]后回车,出现的界面和上面相同。
4.在登录框输入用户名play和密码(这里密码为空,所以不用输入),确定后就进入today的共享盘符了
小提示:以后我们再次登录today的时候就不用再输入用户名和密码了呵呵
第四章:以来宾登录的局域网共享方式
经过第一和第二两章的设置,我们还要进一步设置才能做到来宾共享
1.“我的电脑”右键-管理-本地用户和组-用户-启用来宾(注意:在这里启用来宾的效果和在控制面板-用户账户里面启用来宾是一样的。区别就是在此启用后面板里面的来宾还是显示没有启用的,而在面板里面启用来宾的话这里也就启用了。)
2..运行里输入secpol.msc启动“本地安全设置”-“用户权利指派”-将“拒绝从网络访问这台计算机”里面的guest用户删除。
3.运行里输入secpol.msc启动“本地安全设置”-“安全选项”-“网络访问:本地账户的共享和安全模式”-将“经典”改为“仅来宾”。
4.运行里输入secpol.msc启动“本地安全设置”-“用户权利指派”-将“拒绝作为服务器和批作业”里面的用户删除
注意:以上设置需重启后生效
5.我们现在可以象第三章的进入方法进入today的共享资源了。区别就是来宾登录的共享方式没有弹出登录框,不用输入用户名和密码就可以直接进入了。
小提示:从以上的设置方法我们可以看出,管理员登录的共享方式是狭义的共享,而来宾登录的共享方式就是广义的共享。
可以这么说:来宾共享里面已经包含了管理员共享的方式。不过启用来宾登录的方式就去除了管理员登录的方式了呵呵
第五章:用磁盘映射,将today的共享资源直接映射到主机中。以后在主机资源管理器里面就可以直接打开了。前提就是today在局域网内也必须开机。
1.在主机中右键“网上邻居”-点选“映射网络驱动器”
2.浏览today的共享盘符
3.完成后在主机里面出现了today的共享盘符
第六章:局域网访问常见的故障及解决方法
1.访问对方电脑时不弹出用户名框,打不开对方电脑上的共享文件夹
原因为本机的管理员用户名为Administrator,将其改为任意名即可!
注意:这个现象是用来宾登录的共享方式才会出现的。!
2.访问对方机子时,登录对话框中的用户名始终为灰色的guest不可选
解决方法:本地策略-安全选项-“网络访问:本地账户的共享和安全模式”改为“经典-本地用户以自己的身份验证”即可!
注意:以上这种现象是用来宾登录的共享方式以后,我们不注意禁用了来宾才出现的。禁用了来宾后我们就变成了以管理员登录的共享方式了呵呵!
3.以管理员登录的共享方式登录对方的机子时出现没有权限使用网络资源的现象
这是我们正常的共享使用之中因为在安装某些安全软件的时候给关闭了。我们只要再次把“使用简单的文件共享”前面的勾去除即可!
4.以来宾登录的共享方式在局域网使用中突然也会出现第3点的情况。原因也是使用了某些安全软件把我们的SAM账户恢复为默认的启用状态了。
我们只要进入组策略禁用后重启即可!
友情提示:需要注意的是我们安装有些软件比如金山杀毒软件,它会关闭了我们的共享设置里面的某些服务导致不能正常共享。我们只要按照以上各章的设置和本章的设置就可以解决了。
第七章:增加局域网安全性,为来宾用户设置密码。
其实我们在第二章的共享盘符设置里面已经提到权限的设置了,默认是只读这本身已经很安全了。
不过就是局域网内所有人都可以访问你。如果我们设置了密码,其他人就不可随意访问你的共享资源了。
1.运行里面输入control userpasswords2回车
2.设置密码后重启
3.设置密码后登录today出现灰色对话框,此对话框和第六章的故障可不同的哦。我们只要输入密码确定即可进入了。
4.在计算机管理里面-共享文件夹-会话里面就可以看到登录方式了
服务器有哪些安全设置?
1)、系统安全基本设置
1.安装说明:系统全部NTFS格式化,重新安装系统(采用原版win2003),安装杀毒软件(Mcafee),并将杀毒软件更新,安装sp2补钉,安装IIS(只安装必须的组件),安装SQL2000,安装.net2.0,开启防火墙。并将服务器打上最新的补钉。
2)、关闭不需要的服务
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助 其他服务有待核查
3)、设置和管理账户
1、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码
2、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于10位
3、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
4、计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效 时间为30分钟
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、 在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户,Aspnet账户
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
4)、打开相应的审核策略
审核策略更改:成功
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败
5)、 其它安全相关设置
1、禁止C$、D$、ADMIN$一类的缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的 窗口中新建Dword值,名称设为AutoShareServer值设为0
2、解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0
4、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为SynAttackProtect,值为2
5、 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0
6. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0
7、 不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为IGMPLevel 值为0
8、禁用DCOM:运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子 文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属 性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。
9、终端服务的默认端口为3389,可考虑修改为别的端口。
修改方法为: 服务器端:打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 处找到类似RDP-TCP的子键,修改PortNumber值。 客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会 生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。
6)、配置 IIS 服务
1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。
4、删除不必要的IIS扩展名映射。 右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映 射。主要为.shtml, .shtm, .stm
5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。 目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。 如果没有特殊的要求采用UrlScan默认配置就可以了。 但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要 %WINDIR%System32InetsrvURLscan,文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添 加debug谓词,注意此节是区分大小写的。 如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。 如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset 如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
7)、配置Sql服务器
1、System Administrators 角色最好不要超过两个
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
use master sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除 访问注册表的存储过程,
删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默 认的1433端口。
8)、修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认 文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系统日志文件:%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日 志 Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日 志 Scheduler(任务计划)服务日志默认位置:%systemroot%\schedlgu.txt 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 删掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本 // AutoShareServer 对server版本 // 0
禁止管理共享admin$,c$,d$之类默认共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用户无法列举本机用户列表 //0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动
9)、本地安全策略
1.只开放服务需要的端口与协议。 具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→ TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP 口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口 用于POP3。常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。 8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。 封TCP端口: 21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧) 封所有ICMP,即封PING 以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的
2、禁止建立空连接 默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139, 通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两 种方法禁止建立空连接:
(1) 修改注册表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。
(2) 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的 RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。 首先,Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来 是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得 到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接, 实际上Windows 2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里) 就有RestrictAnonymous选项,其中有三个值:“0”这个值是系统默认的,没有任何限制,远程用户 可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等;“1” 这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows 2000才支 持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较 好。
10)、防止asp木马
1、基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除
2.基于shell.application组件的asp木马
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //删除
3.将图片文件夹的权限设置为不允许运行。
4.如果网站中不存在有asp的话,禁用asp
11)、防止SQL注入
1.尽量使用参数化语句
2.无法使用参数化的SQL使用过滤。
3.网站设置为不显示详细错误信息,页面出错时一律跳转到错误页面。
4.不要使用sa用户连接数据库
5、新建一个public权限数据库用户,并用这个用户访问数据库 6、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
最后强调一下,以上设置可能会影响到有些应用服务,例如导至不能连接上远程服务器,
因此强烈建议,以上设置首先在本地机器或虚拟机(VMware Workstation)上做好设置,确定没事之后然后再在服务器上做。
如何搭建局域网服务器
问题一:如何组建一个局域网服务器 “局域网”在狭义上,指的是硬件。
也就是说,你将服务器、各客户机的网卡接上网线,把网线接到交换机上,你的局域网就OK了,呵呵。
至于这个局域网你会不会用,怎么用,那就是你的事了,正象我们的组装电脑,硬件OK了,但是软件、及设置还得自个来啊,呵呵。
如果你没有经验,如果你只是想让客户机通过服务器能上网,那很容易,保证服务器能正常上网后。
去服务器中:
右键点 网上邻居-》属性-》对着上网对应的那个网络(如果是ADSL拔号,请对着对应的拔号的那个东西)点右键-》“高级”页-》把Internet联接共享的钩钩上,并选择用于联接局网的网卡作为“家庭网络联接”用。确认后,服务器的IP会自动设成192.168.0.1,并打开HDCP服务(注意,这个HDCP服务是不受控的,不能在控制面版里的HDCP里设定)。
各客户机:
网络邻居的属性中,让各客户机的IP为自动分配便可(安装后默认它们就是)。
这种方法架好后,在服务器先起动的情况下,各客户机会自动从服务器分配好IP,IP的前三位为192.168.0。
注意,这种方法是没有防护能力的,各客户端可以自由抢带宽,只要服务器能正常上网,开着,客户端都开着。如果有人不自觉,使用多线程下载,甚至BT下载类的东西,别的客户端的网速将受到严重影响。
使用软件的方法有使用CCproxy等专用软件,可管理性强,网络自由度高,安全性强,可对客户端行为做一些控制,比如限制线程、限制BT等。缺点是通用性不怎么好,某些网络游戏等东西会受一定的影响。
使用硬件路由,一般的个人用路由也没有多少防护能力,但比win自身的防护力强一些。最大的好处是稳定性强,并且它便宜,只要150元左右。而且它的通用性好,绝大多数的软件、游戏都没问题。最大的问题是很多地区的电信等对它的便用作了针对性的限制。
问题二:如何建立(公司)内部使用的局域网服务器? 这要看公司信息点多少,要达到什么要求了。
1、组建内网。如果几十台电脑,用二层交换机甚至HUB连在一起,配好IP,就是一个简答的小局域网了。如果数百台以上,为了方便管理,抑制网络风暴,就需要三层交换机划分VLAN。
2、控制计算机上网。现在一般都在防火墙上做设置,这是电脑连接外网的最后一道出口。在防火墙可配置那些IP允许连接外网,那些IP不能。如果公司规模小,没有防火墙,可在路由器上做mac过滤来控制。
3、局域网内部管理,可搭建域服务器来实现管理。
无论是交换机配置,还是防火墙配置,域管理,都有很深的学问在里面,需要刻苦研究。你可以把具体情况和要求说一说,大家研究一下。
问题三:怎么在Win7系统中搭建局域网Web服务器 参考百度经验上的相关操作方法:
jingyan.baidu/...a
问题四:局域网时间服务器怎么搭建? 1.默认情况下,独立服务器WINDOWS SERVER 2003 是作为NTP客户端工作的 ,所以必须通过修改注册表,让它作为NTP服务器运行。工作之前最好先备份注册表文件。 2.修改以下选项的键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer内的「Enabled」设定为1,打开NTP服务器功能(默认是不开启NTP Server服务,除非电脑升级成为域控制站) 3 修改以下键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags设定为5.该设定强制主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体 (CMOS) 时钟。(设定好后就要确定本机的电池要耐用了,做成时间服务器,时间一出错就头大了,呵呵) 如果要采用外面的时间服务器就用默认的a值即可. 4.我这边的服务器同步用外部服务器,地址为210.72.145.44 (中国国家授时中心) 5.重启Win32Time服务: net stop w32Time net start W32Time 6.至此,已完成服务器端设定. 7.客户端的设定更改注册表即可. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient SpecialPollInterval 值修改成十进制43200 (单位为秒,43200为12小时) SpecialPollTimeRemaining 值修改成[时间同步服务器],0 如:192.168.1.1,0
问题五:怎么只用一个路由器搭建局域网? 三台电脑全部接在路由器的LAN口上,不要接在WAN口上。三台电脑要设置在同一个网段,而且每个电脑要安装网络共享服务,你可以查下相关资料。
1、局域网里的每台电脑设采用指定的IP地址;这样方便访问;
2、每台电脑的共享模式采用简单共享
3、关闭每台电脑的windows防火墙;
4、如果电脑安装的杀毒软件是瑞星,则需设置白名单为你局域网的IP网段;并且允许局域网内的电脑互ping;
5、设置每台电脑上的打印机为共享;
6、点开始――运行,输入\\192.168.1.X(某台电脑的IP地址)
7、在随后出现的共享打印机的图标上点右键,点连接,即可完成。
注:有些电脑设置了访问口令,如果不是特别设置的用户名,则需输入对方电脑的访问口令,如果删除了administrator管理员帐号,有可能会无法访问打印机。
zhidao.baidu/question/101024233?si=1
一、先选定一台电脑连接打印机,并安装好打印机驱动,并设为共享打印机。
1、共享打印机必须在网络上把文件夹和打印机共享的协议添加上。在win98系统在网上邻居的右键属性,在里面把文件夹和打印机共享的协议。在2000/XP上在本地连接的右键属性,在网络的文件和打印机共享打上勾。作为了这台计算机就是打印服务机。
2、在安装打印机后的打印机图标上按右键,设为共享。
3、记住这台设为打印机服务的电脑的计算机名。
二、在局域网中其他计算机上搜索这台打印服务的计算机,出来的结果,点击这台计算机,进入后在再点击共享的打印机,就能共享打印机了。如果这个打印机服务电脑设有密码,提示你要输入的话,第一次访问时,输入打印机服务器的计算机名和密码,并选择保存。
(注:Win98安装共享必须在工作端本机安装打印机程序,在添加的时候提示要驱程,要把打印机的驱动程序放入光盘,指定路径,在不同系统下工作客户端有可能要使用到打印机驱动程序)。
注意端口问题:
1、打印机一般有两种接口:1是LPT,2是USB,或者是两种并存,但有些打印机安装后默认为LPT1,如果你的是USB,在安装后的打印机图标上按右键,属性,在端口上选择USB for printer port。
用打印并口的就是LPT1。如果你接的是USB口,但在端口上没有找USB端口,那就是你的打印机驱动程序没有装好。
2、如果你的工作端电脑本身有打印机,或者曾经安装过打印机,在打印的时候要注册选择网络共享的打印机。除非你已经在共享的打印机图标上按右键设为默认。
zhidao.baidu/question/32604930?si=3
问题六:要组建局域网服务器网络,有什么要求 吞吐量是指在单位时间内中央处理器(CPU)从存储设备读取-处理-存储信息的量。
影响吞吐量因素:
1、存储设备的存取速度,即从存储器读出数据或数据写入存储器所需时间;
2、CPU性能:1)时钟频率;
2)每条指令所花的时钟周期数(即CPI);
3)指令条数;
3、系统结构,如并行处理结构可增大吞吐量。
所以具体数值要根据你的应用综合的来衡量。
问题七:如何搭建一个局域网流媒体服务器 所谓流媒体技术,是指将连续的影像和声音信息经过压缩处理后放在网站服务器上,让用户能够一边下载一边观看、收听(即所谓的“在线欣赏”),而不需要等整
个压缩文件下载到自己的机器上才可以欣赏的网络传输技术。目前,在这个领域中的竞争者主要有微软、RealNetworks、Apple三家公司,例如微
软新近发布了Windows Media Services 9、RealNetworks公司新近发布的Helix
Platform、Apple新近发布的Darwin streaming server 4.1,意图在流媒体领域大干一场。
一般来说,一个完整的流媒体服务系统需要三个部分组成:编码器、流服务器和播放器。编码器通过对内容来源(如MP3文件或者麦克风输入)进行编码,并将编
码过的内容发送到流服务器;流服务器再将它们发布到Internet,这样客户端的播放器只要连接到流服务器就可以进行在线播放了。
利用Winamp架设MP3网络电台
当我们静静地在欣赏美妙的MP3音乐时,你是否曾经考虑过将这些原本属于个人的MP3音乐通过网络在局域网内进行发布,甚至还可以通过Internet进
行发布?这样就可以让遍布世界的朋友们与你一起共享MP3音乐之旅。其实,要做到这一点并不难,你只要将本机创建为一台MP3流媒体服务器,将自己所喜爱
的MP3音乐不停播放,然后通知朋友们访问你的这台MP3服务器就可以了。
说起MP3的播放,使用最广泛的莫过于Winamp了。对于MP3流媒体服务这个领域,Winamp的开发者Nullsoft公司当然不会放弃,专门发布
了面向MP3的流服务器SHOUTcast Server。虽然它的功能没有Windows Media Server和Real
Server强大,但它不仅对硬件的要求极低,更关键的是完全免费,使用起来没有后顾之忧。另外你还需要下载一个名为SHOUTcast DSP
Plug-in的插件,只有安装了这个不起眼的插件,Winamp才能支持流媒体服务。
首先打开Winamp(请注意版本号必须在2.22以上),切换到“Options” | “Preferences”|
“DSP/Effect”标签页,选中“Nullsoft SHOUTcast Source DSP
v1.8.2a[dsp_sc.dll]”下的“Configure”按钮。打开“SHOUTcast
Source”窗口,选择“Output”标签页,如图1所示,在“Address”栏内填入本机的IP地址。如果你想在Internet上广播MP3音
乐,则必须键入本机的外部IP地址,然后就可以从程序组中运行SHOUTcast
DAAS(GUI)程序以启动SHOUTcast服务。这时系统会自动连接到服务器,接下来请返回图1窗口点击“Connect”按钮。如果连接成功,该
按钮会变为“disconnect”字样,这样我们就完成了在本机架设MP3流服务器的全部过程。
架设REAL格式的视频点播中心
如果是架设视频点播服务器,那么选择Real格式是非常明智的。因为RealProducer Plus这款功能强大的软件操作相当简单,每次使用时会弹出一个向导对话框进行操作提示。目前最新版本是10.0,我们只要选择8.5.1以上的版本即可。
从“工具”菜单下选择“创建网页”命令,此时会弹出一个如图2所示的向导式对话框,点击“前进”按钮选择你希望用于创建Web页面的Real多媒体文件。
随后RealProducer会询问是创建......
问题八:如何建立局域网内客户端和服务器连接? 因WIN2003的安全设置较复杂,所以从低版本的XP、2000系统进行连接需要进行下列几项配置:1、在服务器上设置个共享文件夹,如果能访问就可以了;2、如果不能访问就关防火墙,服务器开guest帐户;3、在组策略里把拒绝从网络访问这台计算机中的guest删除;4、登陆方式改成以本地方式登陆;5、若服务器与客户端在不同网段或工作组,须配置WINS服务; 查看原帖
问题九:如何组建公司内部局域网 这要看公司信息点多少,要达到什么要求了。
1、组建内网。如果几十台电脑,用二层交换机甚至HUB连在一起,配好IP,就是一个简答的小局域网了。如果数百台以上,为了方便管理,抑制网络风暴,就需要三层交换机划分VLAN。
2、控制计算机上网。现在一般都在防火墙上做设置,这是电脑连接外网的最后一道出口。在防火墙可配置那些IP允许连接外网,那些IP不能。如果公司规模小,没有防火墙,可在路由器上做mac过滤来控制。
3、局域网内部管理,可搭建域服务器来实现管理。
无论是交换机配置,还是防火墙配置,域管理,都有很深的学问在里面,需要刻苦研究。你可以把具体情况和要求说一说,大家研究一下。
问题十:小公司怎么建立局域网共享服务器? 做ftp吧,更不同的部门建立不通的帐号关联不通文件夹不同的权限
做局域网服务器的电脑需要什么配置?
看你多少员工要做咨询了,如果人不多,又不是集中做的话,一般电脑(CPU,2GHz左右,内存1G以上)就可以了,如果你做的是集中,大量的数据,你的CPU,内存够大就可以了,CPU最好双核,内存2G以上,才可以
。
网站标题:局域网服务器安全配置 局域网服务器配置要求
文章起源:http://hbruida.cn/article/ddciech.html