网管人员培训2.ppt

无线网络WLAN的常见故障与排除方法,江南大学信息化管理中心 乐红兵,2,如果你的无线网络出现了问题，其原因可能是来自各个方面。当你试图解决这一问题时，可能会涉及硬件结构以及网络配置等诸多因素。 乱花渐欲迷人眼，如何才能拨开云雾现青天？,引入,江南大学信息化管理中心 乐红兵,3,了解WLAN网络几种常见问题 了解WLAN网络排错思路及方法 了解Network Stumbler的使用 了解无线客户端的几种典型配置,江南大学信息化管理中心 乐红兵,4,无线网络的排错技巧,当一个无线网络发生问题时，应该首先从几个关键问题入手进行排错。 1、射频环境 2、AP、无线客户端配置 3、硬件 介绍在不同的网络故障环境下，如何进行无线网络的故障排错。,江南大学信息化管理中心 乐红兵,5,无线客户端检测不到信号,排错思路： 单个用户报错： 1、查看报错无线客户端处是否有无线信号。可使用一些专业的器材或软件。 批量用户报错： 1、查看报错无线客户端处是否有无线信号。可使用一些专业的器材。 2、检查相关软硬件是否正确安装。包括AP电源、网卡、驱动等。,江南大学信息化管理中心 乐红兵,6,解决方法,1、确认报错无线客户端网卡是否正确安装，包括有无适配的驱动程序。 2、可以使用Network Stumbler等软件或专业的信号强度测试仪器查看报错无线客户端周围是否有无线信号，并将无线客户端放置到WLAN信号较好处。 3、注意家具的移动，金属文件柜的移动，微波炉的安装或其它使用无线的家电出现。 4、靠近AP，并使用Network Stumbler等软件或专业的信号强度测试仪器确定AP在正常工作。 5、如果在AP周围查看到的信号强度较弱，可查看天线安装是否正确。 6、如果在AP周围没有查看到信号，可先查看AP是否正常启动，如电源是否安装、无线接口是否正常工作等。如AP工作正常，可查看天线安装是否正确。 7、可尝试将AP回复出厂配置后再次配置或重启AP。,江南大学信息化管理中心 乐红兵,7,有信号无法连接上AP,排错思路： 单个用户报错： 1、查看无线客户端检测到的WLAN信号强度。可通过查看无线客户端自带的信号强度查看程序。 2、查看无线客户端是否做出相应配置。如是否配置SSID、认证加密方式是否正确。 3、查看无线客户端处是否有干扰。可通过专业器材或软件查看。 批量用户报错： 1、查看无线客户端处是否有干扰。可通过专业器材或软件查看。 2、查看AP是否工作正常。 3、可通过专业器材或软件查看附近是否有“非法”AP。,江南大学信息化管理中心 乐红兵,8,解决方法,1、确认报错无线客户端网卡是否正确安装，包括有无适配的驱动程序。 2、可以使用Network Stumbler等软件或专业的信号强度测试仪器查看报错无线客户端周围信号强度是否足够。 3、可以使用Network Stumbler等软件或专业的信号强度测试仪器查看报错无线客户端周围是否有ISM设备的射频干扰。如相邻WLAN设备、微波炉、对讲机等。 4、检查报错无线客户端是否配置正确的SSID信息和认证加密方式。如果此处配置与欲连接AP配置不符，无法进行连接。 5、测试从AP上是否可以与网关通信。 6、可尝试将AP回复出厂配置后再次配置或重启AP。 7、查找出是否有“非法”AP配置与“合法”AP相同的SSID。,江南大学信息化管理中心 乐红兵,9,连接上后无线客户端无法正常工作,排错思路： 单个用户报错： 1、查看无线客户端检测到的WLAN信号强度，并做评估。可通过查看无线客户端自带的信号强度查看程序。 2、查看无线客户端是否做出相应配置。如认证加密方式是否正确。 3、查看无线客户端处是否有干扰。可通过专业器材或软件查看。 4、客户端是否配置静态IP地址，此静态IP地址是否合法。,江南大学信息化管理中心 乐红兵,10,连接上后无线客户端无法正常工作,排错思路： 批量用户报错： 1、查看无线客户端处是否有干扰。可通过专业器材或软件查看。 2、查看AP是否工作正常。 3、主网络的DHCP等功能是否工作正常。 4、AP是否开启用户隔离功能。 5、是否有很多用户连接在同一AP上。 6、是否用用户在使用P2P等会占用大量带宽的应用程序。 7、是否有网络病毒或黑客攻击。 8、可通过专业器材或软件查看附近是否有“非法”AP。,江南大学信息化管理中心 乐红兵,11,解决方法,1、确认无线客户端是否获得正确的IP地址。如没有，可查看主网络DHCP等功能是否工作正常或无线客户端设置的静态IP地址是否正确。 2、查看无线客户端所检测到的WLAN信号强弱，如较弱，可将无线客户端放置到WLAN信号较好处。 3、查看无线客户端认证加密方法是否与AP匹配。 4、查看AP是否配置了用户隔离功能。 5、可尝试将AP回复出厂配置后再次配置或重启AP。 6、查找出是否有“非法”AP配置与“合法”AP相同的SSID。,江南大学信息化管理中心 乐红兵,12,室外覆盖注意点,1、 从两个不同射频卡连接出的天线不能太靠近，否则会产生干扰，从而引起AP与无线客户端之间流量降低。建议两个AP间的天线在水平方向上间距要超过6米，在垂直方向上超过4米，如果在垂直方向上天线间有金属物体隔离，则距离可以缩至1米，天线不能背靠背安装。一个射频卡连接出的两个天线可以安放在一起。 2、 当客户端接收到的AP信号强度足够大时，可适当将AP的发射功率调低，以避免超过无线客户端的接收电平所带来的流量降低。,江南大学信息化管理中心 乐红兵,13,Network Stumbler使用方法,MAC:AP的MAC地址 Channel:AP工作的信道 SNR:无线网卡接收到的信噪比,江南大学信息化管理中心 乐红兵,14,配置无认证加密情况下Windows客户端,无线网络连接属性-添加-关联 网络验证：开放式 数据加密：已禁用,江南大学信息化管理中心 乐红兵,15,配置WEP加密情况下Windows客户端,无线网络连接属性-添加-关联 网络验证：开放式/共享式； 数据加密：WEP； 网络密钥：5/13/10/26； 密钥索引：与AP一致,江南大学信息化管理中心 乐红兵,16,配置802.1x+WPA认证加密情况下的Windows客户端,无线网络连接属性-添加-关联 网络验证：WPA 数据加密：TKIP,江南大学信息化管理中心 乐红兵,17,配置802.1x+WPA认证加密情况下的Windows客户端,验证-属性-配置 可配置EAP类型、是否验证服务器证书以及是否使用windows登录名、密码作为802.1x认证用户名、密码。,江南大学信息化管理中心 乐红兵,18,启动Wireless Zero Configuration服务,计算机管理-服务-Wireless Zero Configuration-启动,江南大学信息化管理中心 乐红兵,19,启动Wireless Zero Configuration服务,无线网络连接-无线网络配置,Windows server 2003中的服务和应用配置,江南大学信息化管理中心 乐红兵,21,DNS基本概念,DNS是域名系统（Domain Name System）的缩写，是一个用于网络上寻找计算机和其他资源的命名系统。 DNS是域名系统（Domain Name System）的缩写，是一个用于网络上寻找计算机和其他资源的命名系统。,江南大学信息化管理中心 乐红兵,22,安装DNS,选择“控制面板”“添加/删除程序”，在“添加/删除程序”窗口中单击“添加/删除Windows组件”选项，弹出“Windows组件向导”对话框。 选择“网络服务”选项，单击详细资料按钮，弹出网络服务对话框，该对话框列出了网络服务的子组件。 选择“域名系统（DNS）”复选框。单击确定按钮。单击下一步按钮，安装程序将自动安装。 安装完成后，弹出“完成Windows组件向导”对话框，单击完成按钮,江南大学信息化管理中心 乐红兵,23,设置DNS服务,打开“开始”菜单，单击“程序”“管理工具”DNS命令，打开DNS窗口。 单击“操作”“连接到DNS服务器”命令，如果用户要在本机上运行DNS服务器，选择“这台计算机”单选按钮。否则，选择“下列计算机”单选按钮，输入要运行DNS服务器的计算机名称或IP地址。如果用户希望立即与这台计算机进行连接，选中“立即连接到指定计算机”复选框。 单击确定按钮，返回到DNS窗口，这时在控制台目录树中将显示代表DNS服务器的图标和计算机的名称。,江南大学信息化管理中心 乐红兵,24,创建DNS区域,用户选定了运行DNS服务器的计算机以后，就等于为该服务器选定了硬件设备。而实现DNS域名服务功能还需要软件支持，其中最重要的是为DNS服务器创建区域。该区域其实是一个数据库，它提供DNS名称和相关数据，如IP地址或网络服务间的映射。 正向搜索区域使得DNS服务器能够向前查找，对于DNS服务器，必须配置至少一个正向搜索区域。在Windows 2003中，可以配置以下3种类型的正向搜索区域：主要区域、辅助区域、存根区域。新创建的区域通常是主要区域类型。选择辅助区域或存根区域类型时，需要指定另一个 DNS 服务器的 IP 地址，作为获得此区域的更新信息的源。 反向搜索区域把计算机的IP地址映射到对用户友好的域名。,江南大学信息化管理中心 乐红兵,25,配置DNS服务 在DNS控制台中选择想要配置属性的DNS服务器，然后单击“操作”“属性”命令，打开“属性”对话框，如图。其中有8个选项卡。,江南大学信息化管理中心 乐红兵,26,DHCP的配置,什么是DHCP 动态主机分配协议DHCP（Dynamic Host Configuration Protocol），是一个简化主机IP地址分配管理的TCP/IP标准协议。主要用来给网络客户机分配动态IP地址，这些被分配的IP地址是DHCP服务器预先保留的一个由多个地址组成的地址集，一般是一段连续的地址。,江南大学信息化管理中心 乐红兵,27,DHCP分配地址的方式 DHCP服务器有3种为DHCP客户机分配TCPIP地址的方式。 手工分配方式 自动分配方式 动态分配方式,江南大学信息化管理中心 乐红兵,28,安装DHCP,与安装DNS步骤1）2）完全相同，在步骤3）中选择“动态主机配置协议（DHCP）”复选框，单击确定按钮。 安装完毕后，关闭配置服务器向导,就可以使用服务器软件了。 单击“开始”“程序”“管理工具”DHCP命令，打开DHCP控制台窗口。 单击“操作”“添加服务器”命令，弹出“添加服务器”对话框。在“搜索结果”列表框中选择设置DHCP服务器的计算机和其所在的域。 单击确定按钮，返回到 “选择计算机”主对话框，在“输入要选择的对象名称”文本框中填有用户刚才所选的计算机名，单击确定按钮，完成安装DHCP服务器的操作。,江南大学信息化管理中心 乐红兵,29,授权DHCP服务器,单击“开始”“程序”“管理工具”DHCP命令，打开DHCP控制台窗口。选择DHCP，并单击“操作”“管理授权的服务器”命令，弹出“管理授权的服务器”对话框。 单击授权按钮，弹出“授权DHCP服务器”对话框。输入所要授权DHCP服务器的名称或IP地址。 单击确定按钮，弹出确认授权对话框，在名称文本框中输入主机名称。 单击确定按钮，在“管理授权的服务器”中添加了被授权的服务器。 单击确定按钮，完成授权DHCP服务器的操作，在DHCP控制台窗口中列有授权了的DHCP服务器。,江南大学信息化管理中心 乐红兵,30,创建DHCP作用域,单击“开始”“程序”“管理工具”DHCP命令，打开DHCP控制台窗口。选择要创建作用域的DHCP服务器，单击“操作”“新建作用域”命令，弹出“新建作用域向导”对话框。按照向导完成即可。,江南大学信息化管理中心 乐红兵,31,配置DHCP服务,以系统管理员身份登录Windows 2003 Server，打开DHCP控制台窗口。选择一个授权的DHCP服务器，单击“操作”“属性”命令，打开服务器属性对话框，有3个选项卡。 常规选项卡 DNS选项卡 高级选项卡,江南大学信息化管理中心 乐红兵,32,DHCP服务的测试,DHCP服务正式启动后，可以在客户机上进行测试。 把客户机的IP地址选项设为“自动获取IP地址”，重新启动客户机。在客户机的“运行”对话框中键入“ipconfig/all”命令，看到DHCP服务器给客户机分配到的动态IP地址。,江南大学信息化管理中心 乐红兵,33,FTP服务的配置,FTP（File Transfer Protocol）是Internet上用来传送文件的协议，即文件传输协议。其中规定了Internet网上文件如何传送，通过FTP协议用户可以上传（Upload）或下载（Download）FTP服务器上的文件。,江南大学信息化管理中心 乐红兵,34,配置FTP服务器,单击“开始”“程序”“管理工具”Internet 信息服务管理器，打开Internet 信息服务窗口，如图。,江南大学信息化管理中心 乐红兵,35,右击“默认FTP站点”，弹出“默认FTP站点属性”对话框，有5个选项卡。 “FTP站点”选项卡 安全帐户选项卡 消息选项卡 主目录选项卡 “目录安全性”选项卡 分别对5个选项卡进行设置即可,江南大学信息化管理中心 乐红兵,36,WWW服务的配置,WWW全称World Wide Web，中文名称为万维网或Web网。它是Internet上一种高级的基于超文本的信息检索和浏览方式，也是使用的最多的信息查询服务系统。 IIS是Internet信息服务（InternetInfomationServer）的缩写。它是一种Web服务，主要包括WWW服务器、FTP服务器等。它使得在Intranet（局域网）或Internet（因特网）上发布信息成了一件容易的事情。,江南大学信息化管理中心 乐红兵,37,配置WWW服务器,IP地址考虑 IIS的安装 创建Web站点 配置Web站点属性 检验web站点 虚拟服务器与虚拟目录,江南大学信息化管理中心 乐红兵,38,VPN 概述,远程拨号访问,江南大学信息化管理中心 乐红兵,39,用户远程访问网络的安全性,用户远程访问网络的安全性主要包括两个方面： 一是不允许非授权用户访问内部网络，如通过用户身份识别ID和密码验证用户，或采用RADIUS等安全协议验证用户等； 二是保证授权用户安全连接、访问内部网络，即远程用户连接内部网络，访问内部网络资源的信道是安全的，防止别有用心的人的窃听、对信息的截获和篡改等操作。,江南大学信息化管理中心 乐红兵,40,安全隧道连接客户机和服务器,江南大学信息化管理中心 乐红兵,41,采用VPN所带来的好处,采用VPN所带来的好处有： (1)降低费用。 (2)增强的安全性。 (3)网络协议支持。 (4)IP地址安全。,江南大学信息化管理中心 乐红兵,42,VPN使用两种隧道协议,VPN使用的两种隧道协议是： (1)点到点隧道协议（PPTP）。 (2) 第二层隧道协议（L2TP）。,江南大学信息化管理中心 乐红兵,43,使用VPN连接两个局域网,使用VPN连接两个局域网,江南大学信息化管理中心 乐红兵,44,构造VPN网络环境,模拟的VPN环境,江南大学信息化管理中心 乐红兵,45,VPN服务器的安装,使用Windows Server 2003安装VPN 服务器，具体的操作步骤如下： 步骤一，启动“路由和远程访问”管理应用程序。单击“开始”/“程序”/“管理工具”，运行“路由和远程访问”管理应用程序，打开“路由和远程访问”管理控制台窗口。,江南大学信息化管理中心 乐红兵,46,VPN服务器的安装,步骤二，设置服务器状态。在控制台左窗格中单击与本地服务器名称匹配的服务器图标。如果该图标左下角有一个红圈，则说明尚未启用“路由和远程访问”服务。如果该图标左下角有一个指向上方的绿色箭头，则说明已启用“路由和远程访问”服务。如果先前已启用“路由和远程访问”服务，则需要重新配置服务器。若要重新配置服务器，需完成下列操作步骤： 1. 鼠标右击服务器对象，单击“禁用路由和远程访问”，单击“是”继续。,江南大学信息化管理中心 乐红兵,47,VPN服务器的安装,2. 鼠标右击服务器图标，单击“配置并启用路由和远程访问”启动“路由和远程访问服务器安装向导”，如图所示。单击“下一步”继续。,江南大学信息化管理中心 乐红兵,48,VPN服务器的安装,3. 在出现如图所示向导对话框中，单击“远程访问（拨号或 VPN）”选项，以允许远程客户端通过拨号或安全的虚拟专用网络连接到此服务器，单击“下一步”继续。,江南大学信息化管理中心 乐红兵,49,VPN服务器的安装,步骤三，选择远程访问服务器模式。在出现如图所示向导对话框中，根据应用模式选择服务器的角色，选择 “VPN” 或“拨号”，这里我们选择“VPN”。,江南大学信息化管理中心 乐红兵,50,VPN服务器的安装,步骤四，配置远程访问服务器外网连接地址。在出现如图所示向导对话框的“网络接口”窗口中，选择连接到 Internet 的网络接口，如本例中名称是“本地连接-外”、IP地址为210.43.23.3的网络接口连接着外网。然后单击“下一步”。,江南大学信息化管理中心 乐红兵,51,VPN服务器的安装,步骤五，配置远程访问服务器内网连接地址。在出现如图所示的向导对话框中，为VPN服务器所连接的内部网络指派一个接口。在“网络连接”窗口中，单击连接到内部网络的接口，如本例中名称是“本地连接-内”、IP地址为192.168.0.1的网络接口连接着内网。然后单击“下一步”。,江南大学信息化管理中心 乐红兵,52,VPN服务器的安装,步骤六，对远程客户指派IP地址。如图所示，如果要使用 DHCP 服务器给远程客户端分配地址，在 IP 地址指定设置对话框中选择“自动”；如果给远程客户端分配静态IP地址，选择“来自一个指定的地址范围”。采用DHCP管理分配IP地址更简单方便，但若网络中没有安装DHCP服务，则必须指定一个地址范围。单击“下一步”继续。,江南大学信息化管理中心 乐红兵,53,VPN服务器的安装,步骤七， 如果选择了“来自一个指定的地址范围”，出现如图所示地址范围分配对话框。单击“新建”按钮，指定“起始 IP 地址”和“结束 IP 地址”。Windows 将自动计算地址的数目。单击“确定”以返回到地址范围分配窗口。本例中为远程访问客户分配了从192.168.0.1至192.168.0.20共20个IP地址。远程访问客户在VPN客户端设置时，可以选择该范围中的任何一个IP地址分配。单击“下一步”继续。,江南大学信息化管理中心 乐红兵,54,VPN服务器的安装,步骤八，在出现如图所示的身份验证模式对话框中，选择默认选项“否，使用路由和远程访问对连接请求进行身份验证”，此时远程访问用户使用本服务器中管理的用户账号连接本VPN服务器，并且该账号已经授予远程访问权限。如果网络中存在RADIUS服务器，可以集成该服务器验证远程访问客户。然后单击“下一步”继续。,江南大学信息化管理中心 乐红兵,55,VPN服务器的安装,步骤九，在出现对话框中，单击“完成”按钮，结束安装。系统启用路由和远程访问服务并将该服务器配置为远程访问服务器。,江南大学信息化管理中心 乐红兵,56,配置远程访问策略,步骤一，单击“开始”/“程序”/“管理工具”，运行“路由和远程访问”应用程序。 步骤二，在出现如图所示窗口中，选择本地远程访问服务器MSI，单击“远程访问策略”，在右边窗口中鼠标右击“到Microsoft路由选择和远程访问服务器的连接”，单击“属性”菜单项。,江南大学信息化管理中心 乐红兵,57,配置远程访问策略,步骤三，在出现的如图所示“属性”对话框中，我们可以对远端客户端的远程访问权限进行设置，如果允许远程客户端通过Internet访问该服务器，则选择“授予远程访问权限”；反之，选择“拒绝远程访问权限”。,江南大学信息化管理中心 乐红兵,58,配置远程访问策略,如果还需要对配置文件进行设置，单击“编辑配置文件”按钮，出现如图所示“编辑拨入配置文件”对话框。,江南大学信息化管理中心 乐红兵,59,配置远程访问策略,步骤四，在“编辑拨入配置文件”对话框中单击IP选项卡，根据需要选择IP地址的分配。共有四种选择，其含义如下： （1）选择“服务器必须提供一个IP地址”选项，则需要在用户“属性”对话框中给远程登录用户配置一个静态的IP地址，用户属性配置参见用户管理，分配用户静态IP地址如图所示。,江南大学信息化管理中心 乐红兵,60,配置远程访问策略,（2）选择“客户端可以请求一个IP地址”选项，VPN客户可以设置使用VPN服务器地址池中的任意IP地址，此时VPN用户拥有固定的内网IP地址。 （3）选择“服务器设定IP地址分配”选项，VPN客户端无需配置内部网络IP地址，VPN客户端软件连接VPN服务器时，自动从VPN服务器的IP地址池中获取一个内部IP地址。 （4）选择“分配一个静态IP地址”选项，VPN服务器只为VPN客户端提供一个固定的IP地址，因此，一个时刻只允许远端一台客户机登录VPN服务器。 对上述内容设置完成后单击“确定”，完成对“远程访问策略”的设置。,江南大学信息化管理中心 乐红兵,61,修改同时连接的数目,江南大学信息化管理中心 乐红兵,62,配置用户的属性,对于允许远程连接的客户账户必须设定其“允许远程访问”，具体步骤如下： 步骤一，选择“开始”/“控制面板”/“管理工具”/“计算机管理”，打开“计算机管理”窗口，选择“本地用户和组”，单击“用户”。如图所示。 步骤二，在用户窗口中选择要设置的用户，鼠标右击用户选择“属性”菜单项。,江南大学信息化管理中心 乐红兵,63,配置用户的属性,步骤三，在出现的“属性”窗口中单击“拨入”选项，然后在出现的如图所示窗口中，选择“允许访问”或“通过远程访问策略控制访问”，则该用户具有远程连接权力。反之，不允许用户远程访问该服务器。若选择“通过远程访问策略控制访问”，则需要按前面配置“远程访问控制策略”。点击“确定”按钮完成设置。,江南大学信息化管理中心 乐红兵,64,新建“虚拟专用连接”,在客户计算机上新建“虚拟专用连接”，步骤如下： 步骤一，在客户计算机上，确认与 Internet 的连接配置正确。 步骤二，“控制面板”，单击“网络连接”。单击网络任务下的“创建一个新的连接”，然后单击“下一步”。 步骤三，在连接建立向导上，选择“连接到我的工作场所的网络”，如图所示，单击“下一步”。,江南大学信息化管理中心 乐红兵,65,新建“虚拟专用连接”,步骤四，在出现的对话框中单击“虚拟专用网络连接”，然后单击“下一步”。 步骤五，在公司名称对话框中为连接键入一个描述性的名称，即对公司名称的一个简单描述，然后单击“下一步”。 步骤六，在出现如图对话框中，键入目标地址即 VPN 服务器的 IP 地址或主机名。然后单击“下一步”。,江南大学信息化管理中心 乐红兵,66,新建“虚拟专用连接”,步骤七，在出现的对话框中，如果要允许登录到该计算机的任何用户都能访问此拨号连接，则选择“任何人使用”选项；如果限制使此连接仅供当前登录用户使用，则选择“只是我使用”选项。单击“下一步”。 步骤八，单击“完成”按钮以保存新建的连接。,江南大学信息化管理中心 乐红兵,67,建立与VPN服务器的连接,win2003 服务器 安全设置,江南大学信息化管理中心 乐红兵,69,用户安全设置,1、禁用Guest账号 在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。 2、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。,江南大学信息化管理中心 乐红兵,70,用户安全设置,3、把系统Administrator账号改名 大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户。 4、创建一个陷阱用户 什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。,江南大学信息化管理中心 乐红兵,71,用户安全设置,5、把共享文件的权限从Everyone组改成授权用户 任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。 6、开启用户策略 使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。,江南大学信息化管理中心 乐红兵,72,用户安全设置,7、不让系统显示上次登录的用户名 默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。,江南大学信息化管理中心 乐红兵,73,密码安全设置,1、使用安全密码 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。 2、设置屏幕保护密码 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。,江南大学信息化管理中心 乐红兵,74,密码安全设置,3、开启密码策略 注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。 4、考虑使用智能卡来代替密码 对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。,江南大学信息化管理中心 乐红兵,75,系统权限的设置,、磁盘权限系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限。系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。 系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、文件只给 Administrators 组和SYSTEM 的完全控制权限。 删除inetpub目录。,江南大学信息化管理中心 乐红兵,76,系统权限的设置,2、本地安全策略设置 A、本地策略审核策略 审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败,江南大学信息化管理中心 乐红兵,77,系统权限的设置,2、本地安全策略设置 B、本地策略用户权限分配关闭系统：只有Administrators组、其它全部删除。 通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除 C、本地策略安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举 启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 帐户：重命名来宾帐户重命名一个帐户 帐户：重命名系统管理员帐户重命名一个帐户,江南大学信息化管理中心 乐红兵,78,系统权限的设置,、禁用不必要的服务 开始-运行-services.msc TCP/IP NetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 Server支持此计算机通过网络的文件、打印、和命名管道共享Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件，不需要可禁用 Distributed linktracking client：用于局域网更新连接信息，不需要可禁用,江南大学信息化管理中心 乐红兵,79,系统权限的设置,、禁用不必要的服务 开始-运行-services.mscError reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLM Security support provide：telnet服务和Microsoft Serch用的，不需要可禁用 Print Spooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 Workstation 关闭的话远程NET命令列不出用户组以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。,江南大学信息化管理中心 乐红兵,80,修改注册表让系统更强壮,1、隐藏重要文件/目录可以修改注册表实现完全隐藏HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ Advanced/Folder/Hidden/SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。,江南大学信息化管理中心 乐红兵,81,修改注册表让系统更强壮,2、防止SYN洪水攻击 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters 新建DWORD值，名为SynAttackProtect，值为2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 0,江南大学信息化管理中心 乐红兵,82,修改注册表让系统更强壮,3. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface 新建DWORD值，名为PerformRouterDiscovery 值为0 4. 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters 将EnableICMPRedirects 值设为0,江南大学信息化管理中心 乐红兵,83,修改注册表让系统更强壮,5. 不支持IGMP协议 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters 新建DWORD值，名为IGMPLevel 值为0 6、禁止IPC空连接：cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA/RestrictAnonymous 把这个值改成”1”即可。,江南大学信息化管理中心 乐红兵,84,修改注册表让系统更强壮,7. 删除默认共享 一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是Windows为管理而设置的默认共享，HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters 新建DWORD值，名为AutoShareServer 值为0,江南大学信息化管理中心 乐红兵,85,IIS站点设置,1、将IIS目录数据与系统磁盘分开，存在专用磁盘空间内。 2、启用父级路径 3、在IIS管理器中删除必须之外的任何没有用到的映射（保留asp等必要映射即可） 4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件 5、Web站点权限设定（建议）读 允许写 不允许脚本源访问 不允许目录浏览 建议关闭日志访问 建议关闭索引资源 建议关闭执行 推荐选择 “仅限于脚本”,江南大学信息化管理中心 乐红兵,86,IIS站点设置,6、建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control）。,江南大学信息化管理中心 乐红兵,87,IIS站点设置,7、程序安全:1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限;2) 需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。3) 防止ASP主页.inc文件泄露问题;4) 防止编辑器生成some.asp.bak文件泄露问题。,江南大学信息化管理中心 乐红兵,88,IIS站点设置,8、删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件来防止数据库被下载。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。