标签： windows

TPM (Trusted Platform Module) 受信任的平台模块，技术旨在提供基于硬件的安全相关功能。 TPM 芯片是一种安全的加密处理器，旨在执行加密操作。 该芯片包含多个物理安全机制以使其防篡改，并且恶意软件无法篡改 TPM 的安全功能。 使用 TPM 技术的一些主要优点是你可以实现以下目的：生成、存储和限制使用加密密钥。通过使用刻录到其自身的 TPM 的唯一 RSA 密钥，将 TPM 技术用于平台设备身份验证。通过采用并存储安全措施可帮助确保平台的完整性。

作者简介

王春海，1993年开始学习计算机，1995年开始从事网络方面的工作，曾经主持组建过省国税、地税、市铁路分局（全省范围）的广域网组网工作，近几年一直从事政府、企事业单位、集团公司等单位的虚拟化建设、网络安全评估与网络升级、改造与维护工作，经验丰富，在多年的工作中，解决过许多疑难问题。

此外，作者还熟悉Microsoft系列虚拟机、虚拟化技术，熟悉Windows操作系统、Microsoft的Exchange、ISA、OCS、MOSS等服务器产品，是2009年度Microsoft Management Infrastructure方面的MVP（微软最有价值专家）、2010～2011年度Microsoft Forefront（ISA Server）方面的 MVP、2012～2014年度Virtual Machine方面的MVP。

序言

在以前的网络组建中，每台服务器都是安装在单独的物理服务器上，而在虚拟化与云计算的时代，大多数的服务器都是安装在虚拟化平台中。伴随着基础架构的改变，我们的组网方式也会略有变动。以前直接配置每台服务器即可，现在则需要先选择配置虚拟化基础平台，配置好虚拟化基础平台之后，再创建对应的虚拟机，在虚拟机中安装配置组网中所需的服务器。所以，对于现在的网络组建与应用来说，虚拟化（或云计算）平台的配置与搭建则是基础的内容。
本书遵循“系统规划→服务器硬件选择与配置→网络及交换机规划与配置→虚拟化基础平台搭建→应用服务器配置→Windows应用平台搭建”的原则，按照企业网络中，从规划到实施的方式写作。在本书的最后两章，还介绍了企业网络中的一些典型案例，以及企业网络中遇到的问题及解决思路、解决方法。
本书共分为8章，笔者接下来对每章的内容和读者的学习建议进行一一讲解，恳请各位读者仔细阅读，以便能对本书建立起基本轮廓，奠定后面的学习基础。
第1章，硬件产品选择与基本配置。
在实施虚拟化的过程中，如何规划与选择服务器，设计存储的大小、存储中磁盘RAID的划分方式。另外，如何选择交换机，都需要在实施虚拟化之前进行考虑。本章介绍了虚拟化应用概述、交换机配置与网络规划、服务器的底层管理、常见服务器的RAID卡配置、IBM V3500存储配置等内容。
第2章，组建VMware虚拟化基础应用平台。
在组建Windows网络时，大多数的产品都可以部署在虚拟化平台中。当前提供服务器虚拟化的流行平台主要有两个：分别是VMware ESXi及Microsoft的Hyper-V Server。至于选择哪种做虚拟化基础应用平台可以根据企业的需求及管理员的喜好来决定，但一般的选择原则是，如果物理服务器的数量较多，并且使用共享存储，则可以使用VMware vSphere；如果物理服务器数量较少，则可以选择Hyper-V Server简化管理。本章介绍了基于VMware vSphere虚拟化基础应用平台的安装、配置、使用及管理，包括介绍虚拟化主机VMware ESXi的安装配置，以及新建虚拟机、在虚拟机中安装系统、修改虚拟机配置等内容。
第3章，组建Hyper-V虚拟化基础应用平台。
在组建Windows的网络过程中，如果物理服务器数量较少，也可以选择Hyper-V作为基础应用平台，在Hyper-V的基础上，创建各个应用系统的虚拟机。Hyper-V具有安装配置简单、使用方便的特点，另外由于其特有的Windows界面，可以让管理员很方便入手。本章介绍Windows Server 2012 R2的Hyper-V的应用，包括Hyper-V的安装、在Hyper-V中创建第一代、第二代虚拟机、在虚拟机中安装操作系统、使用差异磁盘，介绍了Hyper-V 复制、在Hyper-V中使用物理硬盘、在Windows Server 2012 R2中配置故障转移群集实现高可用虚拟机的内容。
第4章，企业网络基础架构服务器安装与配置。
所谓企业的“网络基础架构服务器”，是指为了组建Windows网络平台所需的一些“基础应用”服务器。首先Windows的Active Directory（活动目录）服务器是必不可少的。而为了管理好、使用好Windows网络，还需要配置DHCP（用于自动分配IP地址）、DNS（用于域名解析）、WSUS（提供Windows操作系统、Server、应用程序、IE、Office等工具软件的补丁升级）、WDS（Windows部署服务，在网络中为裸机安装操作系统）等服务。除了这些服务外，还可以根据需要，安装配置“第三方”的软件或产品，例如VMware 的ThinApp，可以用来将常用软件打包，减少安装与部署的时间等。本章将对这些内容进行介绍。
第5章，安全连接Internet。
在组建Windows网络中，不得不提到一个产品：Microsoft Forefront Threat Management Gateway（简称TMG）。Forefront TMG是Microsoft的安全产品，是一个软件防火墙，运行在64位的Windows Server 2008或Windows Server 2008 R2系统中，它是集防火墙、VPN、缓存于一体的服务器产品。本章介绍了Forefront TMG的基础知识，Forefront TMG的第一个主要功能：安全连接Internet，即让内部的计算机访问Internet的内容。这些内部的计算机包括Forefront TMG计算机本身、Forefront TMG所保护的工作站与服务器。如果从网络的“方向”看，这些设置是从“内”到“外”的网络行为。还介绍了TMG的配置缓存、恶意软件检查、为TMG启用ISP冗余功能，最后介绍在TMG与核心交换机之间添加Panabit进行流量控制，以弥补TMG的不足。
第6章，发布服务器到Internet。
本章介绍Forefront TMG的第二个主要功能：发布服务器到Internet。主要介绍发布Web服务器、https的Web服务器、发布终端服务器、发布邮件服务器、发布FTP服务器到Internet的方法。
第7章，中小企业网络应用与解决方案。
虽然我们已经学习了网络组建，并且从基础讲起。但在真实的企业环境中，可能会碰到这样或那样的问题，而这些问题，书中并没有对应的答案。这个时候就需要开动我们的大脑，依靠我们的经验判断解决。“他山之石，可以攻玉”，在本章中，我将近几年碰到的一些“疑难杂症”及解决的思路，以方案的方式再现，通过这些内容，希望对你的工作有所帮助。这些内容包括：在局域网中，使用“Internet打印共享”，解决打印机共享难题；为SQL Server配置固态硬盘提升性能、配置镜像提升安全性方案；使用智能DNS与多线路解决高校教育网费用难题；用ISA Server做VPN路由代替专线，降低单位互连费用问题；使用智能卡提供BitLocker驱动器加密功能，以提高移动设备及计算机硬盘数据安全性；介绍Windows Server 2012 R2共享文件夹使用、手机上网、虚拟机在教学中的应用等多个案例。
第8章，经验与故障排除。
在本章中，介绍近几年作者本人升级、管理网络中所碰到的一些故障及相关的解决方法，这些包括操作系统部分、Forefront TMG与ISA Server部分、系统安装、VMware虚拟化产品等内容，希望这些对你有所帮助。
【说明】由于第7章、第8章内容过多，部分内容将在本书配套光盘中，以电子版的方式提供，请大家注意。
作者介绍
尽管在写作本书时，我精心设计了每个场景、案例，已经考虑到一些相关企业的共性问题，但就像天下没有完全相同的两个人一样，每家企业都有自己的特点，都有自己的需求。所以，这些案例可能并不能完全适合你的企业，在实际应用时需要根据企业的情况进行改动。
在写作本书时，我是尽自己最大的努力来完成的。这些技术类的图书，有时看一遍可能会不懂，这没关系，只要多想想，再看几遍即可掌握了。技术类的图书，并不像现在流行的一些“网络小说”一样，随便看一眼就能明白。现在的某些网络小说，更多的是像快餐一样，一带而过。而技术类的图书，需要多加思考。技术，尤其是专业一些的技术，相对来说，都是比较枯燥的。
本书作者王春海，1993年开始学习计算机，1995年开始从事网络方面的工作，曾经主持组建过省国税、地税、市铁路分局（全省范围）的广域网组网工作，近几年一直从事政府、企事业单位、集团公司等单位的虚拟化建设、网络安全评估与网络升级、改造与维护工作，经验丰富，在多年的工作中，解决过许多疑难问题。
此外，作者还熟悉Microsoft系列虚拟机、虚拟化技术，熟悉Windows操作系统、Microsoft的Exchange、ISA、OCS、MOSS等服务器产品，是2009年度Microsoft Management Infrastructure方面的MVP（微软最有价值专家）、2010～2011年度Microsoft Forefront（ISA Server）方面的 MVP、2012～2014年度Virtual Machine方面的MVP。
本书的出版得到了荆波编辑的大力支持与帮助，另外河北经贸大学郝江华、河北科技大学任文霞也编写了本书的部分内容。河北经贸大学信息技术学院的吴国立、刘京准、李晓东、张清泉、罗长玲5名同学，根据本书内容搭建了实验环境，并对本书的内容进行了验证与测试，在此一并致谢！
由于编者水平有限，并且本书涉及的系统与知识点很多，尽管笔者力求完善，但仍难免有不妥和错误之处，诚恳地期望广大读者和各位专家不吝指教。有关本书的意见反馈和更新消息以及读者在学习中遇到问题，可以通过下列方式获得支持。 （更多…）

解决这个问题，其实只需要结束 explorer ，再重启 explorer ，就可以去掉水印了。不过这样挺麻烦的，为了不用每次手动，建立个快捷方式，让开机后自动执行，也是个办法。 新建立个快捷方式 – 输入 cmd.exe /c taskkill.exe /f /im explorer.exe && start explorer.exe 命令，然后就是把它加入到开机启动。 开机启动目录：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限
将所有盘符的权限,全部改为只有
administrators组  全部权限
system  全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.

4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的

5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators  全部权限
system  全部权限
单独建立的用户(或者IUSER)  选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.

如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.

6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc ‘xp_cmdshell’
exec sp_dropextendedproc ‘xp_dirtree’
exec sp_dropextendedproc ‘xp_enumgroups’
exec sp_dropextendedproc ‘xp_fixeddrives’
exec sp_dropextendedproc ‘xp_loginconfig’
exec sp_dropextendedproc ‘xp_enumerrorlogs’
exec sp_dropextendedproc ‘xp_getfiledetails’
exec sp_dropextendedproc ‘Sp_OACreate’
exec sp_dropextendedproc ‘Sp_OADestroy’
exec sp_dropextendedproc ‘Sp_OAGetErrorInfo’
exec sp_dropextendedproc ‘Sp_OAGetProperty’
exec sp_dropextendedproc ‘Sp_OAMethod’
exec sp_dropextendedproc ‘Sp_OASetProperty’
exec sp_dropextendedproc ‘Sp_OAStop’
exec sp_dropextendedproc ‘Xp_regaddmultistring’
exec sp_dropextendedproc ‘Xp_regdeletekey’
exec sp_dropextendedproc ‘Xp_regdeletevalue’
exec sp_dropextendedproc ‘Xp_regenumvalues’
exec sp_dropextendedproc ‘Xp_regread’
exec sp_dropextendedproc ‘Xp_regremovemultistring’
exec sp_dropextendedproc ‘Xp_regwrite’
drop procedure sp_makewebtask
go
删除所有危险的扩展.

7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe   root用户   所有权限
net.exe   root用户   所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令

8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC

9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.

10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation

11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除

12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改    成功,失败
审核系统事件    成功,失败
审核帐户登陆事件    成功,失败
审核帐户管理    成功,失败

拒绝服务器重新启动

一般情况下，在Windows 2003 Server系统中安装完补丁程序后，系统总会提示要重新启动一下服务器。可是许多朋友往往无法容忍Windows 2003 Server服务器“慢吞吞”的启动操作，于是希望打完安全补丁之后服务器不再重新启动。其实，Windows 2003 Server服务器是否会重新启动，跟当前的系统补丁特性有一定的关系。对于那些强制需要系统启动的安全补丁，一般是无法让服务器拒绝的；但对于那些没有强制要求系统启动特性的补丁来说，可以采取如下办法：

1.在Windows 2003 Server服务器系统桌面中，依次单击“开始”/“运行”命令，在随后打开的系统运行对话框中，输入字符串命令“cmd”，单击“确定”按钮之后，将系统工作模式切换到MS-DOS状态下；

2.在DOS命令行中，通过“cd”命令将当前目录切换到补丁程序所在的目录，然后执行“aaa /？”字符串命令（其中aaa就是当前需要安装的系统补丁名称），在其后出现的提示界面中，检查一下当前补丁是否带有“-z”参数，要是带有该参数的话，就表明当前补丁在安装完毕后可以不强制要求系统进行重新启动；

3.接着在DOS命令行中，再输入字符串命令“aaa -z”，单击回车键后，该补丁程序就会自动安装到系统中，并且不会要求服务器系统进行重新启动。

取消对服务器的限制访问

为了提高员工的工作效率，单位最近打算把Windows 2003终端服务器的访问权限向每一个员工进行开放，但考虑到安全性，网络管理人员仅为所有员工提供了相同的一个帐号来登录Windows 2003终端服务器。可是员工们在用该帐号登录终端服务器时，发现同一时间内服务器只能允许一个人登录进服务器，而且后来的员工一登录进服务器后，前一个员工就会“被迫”退出终端服务器的登录。出现这种现象到底是怎么回事呢，那有没有办法让所有员工在同一时间内，使用同一帐号都能顺利登录进行服务器呢？

其实上述这种现象，主要是由于Windows 2003终端服务器在默认状态下，启用了“限制每一个用户只能使用一个会话”功能造成的，取消其就能解决问题。

1.“开始”菜单，依次执行其中的“设置”/“控制面板”命令，然后双击其中的“管理工具”图标，进入到终端服务配置窗口；

2.在该配置窗口中，用鼠标双击一下“服务器设置”处的“限制每一个用户只能使用一个会话”选项，在其后出现的选项设置对话框中，将其的复选框取消选中，“确定”。并重新启动一下服务器系统，这样员工们日后使用相同的帐号，就能同时登录进Windows 2003终端服务器系统中了。

远程查看服务器日志文件

 网管完全可以利用服务器的日志文件，来实现保护服务器安全的目的。不过，服务器的日志文件通常只能在服务器本地查看到，可是万一网络管理人员出远门，该如何保证远程察看？Windows 2003服务器提供了远程维护功能，不过默认状态下并没有开通，需要手工启动。

这个并不是什么难事，不过这里介绍几种方法，原因是因为一台电脑的声卡驱动over了，但是这台电脑没有光驱，C盘式ntfs格式的。所以直接安装的话没有办法格式化c盘。

那么ISO的镜像文件在没有光驱的情况下如何安装呢？之前都是使用win pe安装，进入到win pe 然后在格式化c盘，使用虚拟光驱然后加载ISO安装系统，这个方法并不是很好，没有光驱，平时我也不留着PE所以到用的时候还要去下在。

另外一个方法是，网上有一款叫做 超级dos硬盘安装器 这款软件可以让ISO引导启动，在D盘放入D:\winiso。可以实现无光驱启动。不过值得说一下的是他不能支持ntfs如果你D盘也是ntfs那么很遗憾这个是不能读取的。

还有就是最简单的ghost，这个不是用iso了，使用gho文件，ghost8.3以后都是支持ntfs，这个是简单易用的。