微软的Windows Server 2003中防火墙的功能如此之简陋,让很多系统管理员将其视为鸡肋,它一直是一个简单的、仅支持入站防护、基于主机的状态防火墙.而随着Windows Server 2008的日渐向我们走近,其内置的防火墙功能得到了巨大的改进.下面让我们一起来看一下这个新的高级防火墙将如何帮助我们防护系统,以及如何使用管理控制台单元来配置它.

为什么你应该使用这个Windows的基于主机的防火墙?

今天许多公司正在使用外置安全硬件的方式来加固它们的网络。 这意味着，它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁，保护它们自然免受互联网上恶意攻击者的入侵。但是，如果一个攻击者能够攻 破外围的防线，从而获得对内部网络的访问，将只有Windows认证安全来阻止他们来访问公司最有价值的资产-它们的数据。

这是因为大多数IT人士没有使用基于主机的防火墙来加固他们的服务器的安全。为什么会出现这样的情况呢?因为多数IT人士认为，部署基于主机的防火墙所带来的麻烦要大于它们带来的价值。

我希望在您读完这篇文章后，能够花一点时间来考虑Windows这个基于主机的防火墙。在Windows Server 2008中，这个基于主机的防火墙被内置在Windows中，已经被预先安装，与前面版本相比具有更多功能，而且更容易配置。它是加固一个关键的基础服务器的 最好方法之一。具有高级安全性的 Windows 防火墙结合了主机防火墙和IPSec。与边界防火墙不同，具有高级安全性的 Windows 防火墙在每台运行此版本 Windows 的计算机上运行，并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全，使您可以对通信要求身份验证和数据保护。

这个Windows Server 2008中的内置防火墙现在“高级”了。这不仅仅是我说它高级，微软现在已经将其称为高级安全Windows防火墙(简称WFAS)。

以下是可以证明它这个新名字的新功能：

1、新的图形化界面。

现在通过一个管理控制台单元来配置这个高级防火墙。

2、双向保护。

对出站、入站通信进行过滤。

3、与IPSEC更好的配合。

具有高级安全性的Windows防火墙将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。

4、高级规则配置。

你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。

传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指 定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标 准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目(如果启用了日志记录)。

对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。

通过增加双向防护功能、一个更好的图形界面和高级的规则配置，这个高级安全Windows防火墙正在变得和传统的基于主机的防火墙一样强大，例如ZoneAlarm Pro等。

我知道任何服务器管理员在使用一个基于主机的防火墙时首先想到的是：它是否会影响这个关键服务器基 础应用的正常工作?然而对于任何安全措施这都是一个可能存在的问题，Windows 2008高级安全防火墙会自动的为添加到这个服务器的任何新角色自动配置新的规则。但是，如果你在你的服务器上运行一个非微软的应用程序，而且它需要入站 网络连接的话，你将必须根据通信的类型来创建一个新的规则。

在以前Windows Server中，你可以在去配置你的网络适配器或从控制面板中来配置Windows防火墙。这个配置是非常简单的。

对于Windows高级安全防火墙，大多数管理员可以或者从Windows服务器管理器配置它，或者从只有Windows高级安全防火墙MMC管理单元中配置它。以下是两个配置界面的截图：



图1、Windows Server 2008服务器管理器



图2、Windows 2008高级安全防火墙管理控制台

我发现启动这个Windows高级安全防火墙的最简单最快速的方法是，在开始菜单的搜索框中键入‘防火墙’，如下图：



图3、快速启动Windows 2008高级安全防火墙管理控制台的方法

由于使用这个新的防火墙管理控制台你可以配置如此众多的功能，我不可能面面俱道的提到它们。如果你曾经看过Windows 2003内置防火墙的配置图形界面，你会迅速的发现在这个新的Windows高级安全防火墙中躲了如此众多的选项。下面让我选其中一些最常用的功能来介绍给大家。

默认情况下，当你第一次进入Windows高级安全防火墙管理控制台的时候，你将看到Windows高级安全防火墙默认开启，并且阻挡不匹配入站规则的入站连接。此外，这个新的出站防火墙默认被关闭。

你将注意的其他事情是，这个Windows高级安全防火墙还有多个配置文件供用户选择。



图4、在Windows 2008高级安全防火墙中提供的配置文件

在这个Windows高级安全防火墙中有一个域配置文件、专用配置文件和公用配置文件。配置文件是一种分组设置的方法，如防火墙规则和连接安全规则，根据计算机连接的位置将其应用于该计算机。例如根据你的计算机是在企业局域网中还是在本地咖啡店中。

在我看来，在我们讨论过的Windows 2008高级安全防火墙的所有改进中，意义最重大的改进当属更复杂的防火墙规则。看一下在Windows Server 2003防火墙增加一个例外的选项，如下图：



图5、Windows 2003 Server防火墙例外窗口

再来对比一下Windows 2008 Server中的配置窗口。



图6、Windows 2008 Server高级防火墙例外设置窗口

注意协议和端口标签只是这个多标签窗口中的一小部分。你还可以将规则应用到用户及计算机、程序和服务以及IP地址范围。通过这种复杂的防火墙规则配置，微软已经将Windows高级安全防火墙朝着微软的IAS Server发展。

Windows高级安全防火墙所提供的默认规则的数量也是令人吃惊的。在Windows 2003 Server中，只有三个默认的例外规则。而Windows 2008高级安全防火墙提供了大约90个默认入站防火墙规则和至少40个默认外出规则。



图7、Windows 2008 Server高级防火墙默认入站规则

假如说你已经在你的Windows 2008 Server上安装了Windows版的Apache网站服务器。如果你已经使用了Windows内置的IIS网站服务器，这个端口自动会为你打开。但是，由于你现在使用一个来自第三方的网站服务器，而且你打开了入站防火墙，你必须手动的打开这个窗口。

以下是步骤：

·识别你要屏蔽的协议-在我们的例子中，它是TCP/IP(与之对应的则是UDP/IP或ICMP)。

·识别源IP地址、源端口号、目的IP地址和目的端口。我们进行的Web通信是来自于任何IP地址和任何端口号并流向这个服务器80端口的数据通信。(注意，你可以为一个特定的程序创建一条规则，诸如这儿的apache HTTP服务器)。

·打开Windows高级安全防火墙管理控制台。

·增加规则-点击在Windows高级安全防火墙MMC中的新建规则按钮，开始启动新规则的向导。



图8、Windows 2008 Server高级防火墙管理控制台-新建规则按钮

·为一个端口选择你想要创建的规则。

·配置协议及端口号-选择默认的TCP协议，并输入80作为端口，然后点击下一步。

·选择默认的“允许连接”并点击下一步。

·选择默认的应用这条规则到所有配置文件，并点击下一步。

·给这个规则起一个名字，然后点击下一步。

这时候，你将得到如下图的一条规则：



图9、创建规则后的Windows 2008 Server高级防火墙管理控制台

结论：大有改进 值得一试

具有防火墙配置文件、复杂的规则设置和原先30倍数量的默认规则，还有本文中未提到很多高级安全功 能，Windows 2008 Server高级安全防火墙的确名副其实，真正是一个微软所说的高级防火墙。我相信这个内置、免费、高级的基于主机的防火墙将确保Windows Server未来变得更加安全。但是，如果你不使用它，它不会对你有任何帮助。因此我希望你今天就来体验一下这个新的Windows高级防火墙

这篇Windows Server 2003的安全特性简介是读文网小编特地为大家整理的，希望对大家有所帮助!

过去，微软一直以在操作系统上捆绑许多额外特性而著称，这些额外特性大多数是以默认的服务访问权限进行安装的。Windows Server 2003打破了这种传统的模式，使得在Windows 2000 Server默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行。

在Windows 2003中，两个最重要的安全特性的革新在于直接处理IIS和Telnet服务器。IIS和Telnet在默认的情况下都没有安装，并且这两个服务是在两个新的账户下运行，新账户的权限比正常系统账户的权限要低。如果恶意的软件危及到这两个服务时，这种革新将直接改善服务器的安全性。

与IIS和Telnet上的服务账户改进一起，Windows 2003还包含了大量的新的安全特性，也许，这些新的安全特性将是你决定升级到Windows Server 2003的决定因素。

新的安全特性

1.Internet连接防火墙(ICF)ICF是一个软件防火墙，它为用户的网络服务器提供了基本的端口安全性。它与用户当前的安全设备一起工作，给用户的关键的基础设施增加了一层保护。

2.软件限制策略软件限制策略使用策略和强制执行机制，来限制系统上运行的未授权的可执行程序。这些限制是一些额外的手段，以防止用户执行那些不是该公司标准用户软件套件中的程序。

3.网页服务器的安全性当装载了IIS 6.0的默认安装时，网页服务器的安全性将达到最大化。新的IIS 6.0安全特性包括可选择的加密服务，高级的摘要认证以及可配置的过程访问控制。

4.新的摘要安全包新的摘要安全包支持在RFC 2617中定义的摘要认证协议。该包对IIS和活动目录(AD)提供了更高级的保护。

5.改善了以太局域网和无线局域网的安全性不论连接的介质是什么，基于IEEE 802.1X规范改进了以太局域网和无线局域网的安全性，促进了用户和计算机的安全认证和授权。这些改进也支持公钥证书和智能卡的自动注册，使得能够对传统的位于或者横跨公共场所的网络进行访问控制，例如大学校园的广域网(WAN)和横穿大城市的政府广域网(WAN)。

6.凭证管理器对于所有的用户凭证，包括口令密码和X.509证书，凭证管理器提供了一个安全的仓库。这个特性使得单一的签名特性可以获得多个领域的信任。

7.Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)控制远程的用户认证和授权访问。对于不同的连接类型，例如拨号上网，虚拟专用网(s)以及防火墙连接，该服务都是很实用的。

8.FIPS——广为认可的内核模式加密算法联邦信息处理标准(FIPS)算法支持SHA-1、DES、3DES和一个随机数发生器。这种政府级的加密模式用于加密通过使用第二层隧道协议(L2TP)和IP安全(IPSec)建立的连接，这种连接或是从客户端到服务器，或是从服务器到服务器，或是从网关到网关。

9.改进的SSL客户端认证安全套接字层(SSL)客户端认证的改进使得会话速度可以提高35%，而且多个进程可以缓存和共享会话。这样可以减少用户对应用程序的认证，从而减少应用程序服务器上的网络通信量和CPU工作周期。

10.增强的EFS加密文件服务(EFS)的改进允许管理员和用户提供给多个用户访问多组加密文件的可能。它还提供了额外的文件存储保护和最大数量的用户容量。

除了这些新的安全特性之外，微软已经发行了一个安全配置管理器，用于将整个操作系统的安全选项集合成一个管理控制台。

这篇Windows 2003的防火墙功能是读文网小编特地为大家整理的，希望对大家有所帮助!

3防火墙在校园网的日常管理与维护中，网络安全正日益受到人们的关注。校园网服务器是否安全将直接影响学校日常教育教学工作的正常进行。为了提高校园网的安全性，网络管理员首先想到的就是配备硬件防火墙或者购买软件防火墙，但硬件防火墙价格昂贵，软件防火墙也价格不菲，这对教学经费比较紧张的广大中小学来说是一个沉重的负担。在此笔者结合自己的工作经验，谈谈如何利用Windows 2003提供的防火墙功能为校园网服务器构筑安全防线。

Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在Windows Server 2003 Standard Edition和32位版本的Windows Server 2003Enterprise Edition 中。

Internet连接防火墙的设置：

在Windows 2003服务器上，对直接连接到Internet的计算机启用防火墙功能，支持网络适配器、DSL适配器或者拨号调制解调器连接到 Internet。诞生于Windows 2000 Server的Active Directory，作为微软的目录服务和Windows 2000网络的核心，在Windows Server 2003上有了许多增强与改进：如可以使用备份数据安装附加域控制器，拥有更多的Active Directory功能级别，更加顺畅的目录数据复制功能，更加方便的管理功能等。

在校园网的日常管理与维护中，网络安全正日益受到人们的关注。校园网服务器是否安全将直接影响学校日常教育教学工作的正常进行。为了提高校园网的安全性，网络管理员首先想到的就是配备硬件防火墙或者购买软件防火墙，但硬件防火墙价格昂贵，软件防火墙也价格不菲，这对教学经费比较紧张的广大中小学来说是一个沉重的负担。在此笔者结合自己的工作经验，谈谈如何利用Windows 2003提供的防火墙功能为校园网服务器构筑安全防线。

Windows 2003防火墙功能介绍

Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在 Windows Server 2003 Standard Edition和32位版本的 Windows Server 2003 Enterprise Edition 中。

Internet连接防火墙的设置

在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。

1. 启动/停止防火墙

(1)打开“网络连接”，右击要保护的连接，单击“属性”，出现“本地连接属性”对话框。

(2)单击“高级”选项卡，出现如图1所示启动/停止防火墙界面。如果要启用 Internet 连接防火墙，请选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框;如果要禁用Internet 连接防火墙，请清除以上选择。

2.防火墙服务设置

Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就可以监视并管理这些端口。

(1)标准服务的设置

我们以Windows 2003服务器提供的标准Web服务为例(默认端口80)，操作步骤如下:在图1所示界面中单击[设置]按钮，出现如图2所示“服务设置”对话框;在“服务设置”对话框中，选中“Web服务器(HTTP)”复选项，单击[确定]按钮。设置好后，网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务。

注:您可以根据Windows 2003服务器所提供的服务进行选择，可以多选。常用标准服务系统已经预置在系统中，你只需选中相应选项就可以了。如果服务器还提供非标准服务，那就需要管理员手动添加了。

(2)非标准服务的设置

我们以通过8000端口开放一非标准的Web服务为例。在图2“服务设置”对话框中，单击[添加]按钮，出现“服务添加”对话框，在此对话框中，填入服务描述、IP地址、服务所使用的端口号，并选择所使用的协议(Web服务使用TCP协议，DNS查询使用UDP协议)，最后单击[确定]。设置完成后，网络用户可以通过8000端口访问相应的服务，而对没有经过授权的TCP、UDP端口的访问均被隔离。

3.防火墙安全日志设置

在图2“服务设置”对话框中，选择“安全日志”选项卡，出现“安全日志设置”对话框，选择要记录的项目，防火墙将记录相应的数据。日志文件默认路径为C:WindowsPfirewall.log，用记事本可以打开。所生成的安全日志使用的格式为W3C扩展日志文件格式，可以用常用的日志分析工具进行查看分析。

注:建立安全日志是非常必要的，在服务器安全受到威胁时，日志可以提供可靠的证据。

Internet 连接防火墙应用思考

Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。以上是笔者在日常工作中的一些经验体会，希望能够给大家提供借鉴。

全球领先的企业网络解决方案，及数字家庭网络应用倡导者美国网件公司，他出产的网件netgear路由器设备功能强大，那么你知道网件WC9500和WC7600 LDAP With Windows 2003 AD SERVER吗?下面是读文网小编整理的一些关于网件WC9500和WC7600 LDAP With Windows 2003 AD SERVER的相关资料，供你参考。

网件WC9500和WC7600 LDAP With Windows 2003 AD SERVER的配置方法：

一、网络拓扑

拓扑说明：

WC9500和所有设备都接在非网管交换机JGS524上搭建好一个LAN网，在WC9500上启用DHCP

WC9500保持默认的IP地址192.168.0.250

2003 AD Server的IP地址为192.168.0.100

二、设备信息

WC9500： V3.2.0.5

WNDAP350

2003 AD SERVER

笔记本无线客户端

三、2003 AD Server的相关配置信息(注：关于Windows AD的具体配置可以参考Microsoft的技术文档或者致电Microsoft技术咨询)

在2003上创建根域wlantest.netgear.com.cn

添加域用户netgear 密码netgear

windows 2003 AD server的配置到此就完成了，如果有需要，还可以继续添加用户。

四、WC9500的LDAP配置步骤

登陆WC9500的管理界面192.168.0.250,这里注意要将WC9500的DNS指向windows 2003 AD server的IP地址192.168.0.100

配置WC9500的LDAP参数

这里需要注意填写的内容：

User Base DN: CN=Users,DC=wlantest,DC=netgear,DC=com,DC=cn

可以在2003 AD SERVER上用dsquery user查看此参数：

Workgroup Name: WLANTEST(2003 AD server的组名)

可以用nbtstat –A 192.168.0.100查看此参数

Admin Domain: WLANTEST.NETGEAR.COM.CN(根域的完整名称)

Domain Admin User: administrator(2003 AD server的管理员)

Domain Admin Password:(2003 AD server的登陆密码)

配置WC9500的LDAP认证

五：无线客户端的配置，测试无线连接的LDAP认证

在首选网络里面添加要测试的无线SSID：ldaptest

“验证”界面的配置

单击“属性”菜单

点击“配置”菜单

无线客户端配置好以后，点击右下角的提示

在弹出的验证窗口输入AD用户名和密码netgear

无线客户端成功的通过ldap认证获取到IP地址

看过文章“网件WC9500和WC7600 LDAP With Windows 2003 AD SERVER"

在局域网中我们常常需要在服务器上共享一些文件供局域网用户使用，本文以图文并茂的方式汇总了Windows2003 server共享文件设置的一些方法技巧。下面由读文网小编给你做出详细的Windows2003 server共享文件设置!希望对你有帮助!

Windows2003 server共享文件设置介绍：

Windows2003 server共享文件设置一、为不同用户设置不同的访问共享文件的权限，并且需要密码验证的共享文件设置。方法如下：

1.先开始设置文件共享。

假设你的公司有老板，部门经理，普通人员访问共享，怎样让他们有不同权限和级别，关键看你对他们用户权限的定义。假设老板取用户名为A，部门经理取名为：E，普通人员取名为：T，那么首先打开【开始】【管理工具】【计算机管理】中的【本地用户和组】，一一将这些用户添加进去，记住这三个用户均要设置密码，并且密码均不一样。

2.当所有用户都已添加完成时，然后就是给这些用户赋予权限了，赋予权限的不同，所操作共享的级别也不同。点击计算机管理左边目录树的组文件夹，在右边窗口空白处点击右键，选择添加新组。

3.设定一个组名成为G，然后再点击界面上的【添加】按钮，弹出对话框，点击【高级】，弹出对话框，点击【立即查找】,这是现面就显示出刚才你添加的哪几个用户了，双击admin，返回了上一个对话框，这是你看到ADMIN用户已添加到白色的添加框里了，再点击【高级】【立即查找】，双击easy,返回上一个对话框，再点击【高级】【立即查找】，双击temp,返回上一个对话框，如图所示，这时候这三个用户就都添加进去了，点击【确定】按钮,点击下个对话框里的【创建】按钮!点击【关闭】OK!

4.然后你在点击目录树用户文件夹，接着返回用户对话框里，右键点击T用户属性，点【隶属于】标签，发现t用户隶属于两个组，删处Users这个隶属组，让T用户直隶属于G这个组，依次改了A,E两个用户的隶属，让这三个用户只属于G组，为什么这样做，是因为如果他们属于两个组，当你设置某些文件夹共享属性时，当他们无法以G组用户成员查看时，却可以换身份以其他组成员身份进入，这样你设置的共享权限密码也就失去作用了。

至此，这三个用户身份的界定以完成。开始设置他们在共享文件夹中担当的角色和级别了。

5.假设我们在E盘有一个wmpub文件夹要设置在网络中共享，让大家都可以看到，首先我们右键点击WMPUB文件夹【共享和安全】，弹出对话框，选择【共享此文件夹】，点击【权限】，弹出的对话框中一定删除Everyone组或任何在上面的用户或组，这是为了保证除了你指定的用户，其他人都无法不经过你的允许就能查看到这个网络共享资源。然后点击【添加】按钮，【高级】【立即查找】，将刚才建立的G这个组双击添加进去。【确定】【确定】【应用】。

6.现在该文件夹基本共享属性已设置好了，下一步设置安全属性，在2003SERVER中，安全的级别与权限决定这共享开放能力和范围。

点击【安全】标签，点【添加】依次输入A/E/T这三个用户添进去， 点击A用户，看到底下显示到A的权限，完全修改、修改、读取或运行.....，这时候就看你要怎么管理这些帐号了，按照你的要求填写，按照前面的假设，我们为A用户设为：点击【完全控制】复选框，那么A即可以看也可以修改，为E设为：默认不动，那么EASY只能看读取但不能修改。根据前面假设你就可以改动为这三个用户不同级别了。如果你觉得上面的级别权限设置还不能满足的话，那么你再点击安全标签里下面的那个【高级】按钮，里面还有更详细的设置。

在实际中运用，你可以设置很多用户并规定不同权限，只要不嫌麻烦。

Windows2003 server共享文件设置二、设置不需要密码验证的共享文件访问权限，也即匿名访问共享文件，方法如下：

默认情况，在同一工作组模式下，访问Windows 2003 server机器中共享的文件夹时，由于本地安全策略的限制，在输入UNC路径后会提示输入具有相应权限的用户名及密码进行身份验证。以下仅介绍通过修改2003默认的本地策略及启用guest帐户实现匿名访问。

1、启用本地guest帐户，默认它是禁用的。(如果不启用guest帐户，而使用第4步，将会出现访问时出现对话框，要求输入用户名和密码，并且用户名处是Guest，呈灰色不可选状态，只能输入密码)

2、开始--运行--gpedit.msc，打开组策略编辑器。

3、依次展开"计算机配置"--"windows设置"--"安全设置"--"本地策略"--"用户权限分配"，在"拒绝从网络访问这台计算机"设置中删除guest(如果有的话)。

4、依次展开"计算机配置"--"windows设置"--"安全设置"--"本地策略"--"安全选项"，将"网络访问:本地帐户的共享和安全模式"修改为"仅来宾-本地帐户以来宾身份验证"。 将"帐户:使用空白密码的本地帐户只允许通过控制台登录"设置为"已禁用"。

5、开始--运行--gpupdate /force。(这个命令是用来更新策略)

6、 设置“共享权限”中 添加everyone 用户

如果系统的文件格式为NTFS 还要在“安全”一项中设置开放权限，同样是添加everyone (否则用户点击共享文件夹时会提示无权限访问)。

Windows2003 server共享文件设置三、如何监控共享文件访问，保护共享文件的安全?

共享文件夹设置好了，网管通常会将单位一些重要的共享文件放到这里供局域网用户访问。并且，为了保证用户更好地使用共享文件，很多网管员还给局域网用户分配了较高的权限，修改、剪切、删除、重命名等。这样，局域网用户在实际访问共享文件的时候，有可能不小心删除或修改了共享文件，当然也有一些对公司心怀不满的员工会恶意删除或修改单位的共享文件，从而影响了局域网其他用户对共享文件的使用，造成了极大的工作不便;同时，还一些员工私自拷贝单位的共享文件据为己有，或者通过某种途径泄露出去，从而给企业造成了重大损失。为此，网管员也需要实时管理共享文件的访问情况、实时监控共享文件的访问，便于责任到人，甚至在某些情况下调查取证。

但是，由于Windows Server2003或Server2008服务器操作系统提供的共享文件操作记录，只可以记录访问者使用的是服务器的本地用户访问情况。比如，服务器的登录用户名是Administrator。这样局域网张三可以用这个用户名登录，李四也可以用这个用户名登录，从而根本无法区分是张三还是李四对共享文件做了操作。因此，通过服务器自带的监控日志无法精确定位局域网用户对共享文件的具体访问情况。为此，我们还需要部署专门的共享文件审计软件才可以精确监视共享文件访问情况，保证共享文件的安全。

目前，国内市场能够有效记录共享文件操作记录的软件非常少。据笔者所知，大势至共享文件审计系统是国内唯一可以精确记录局域网用户对共享文件访问情况的安全审计系统。它可以有效记录共享文件的读取、复制、修改、剪切、删除、重命名等操作行为，而且还可以对重要共享文件进行特别保护，这样局域网用户有意或不小心删除共享文件的时候，就会报“权限不足，无法操作“，从而有力地保护了共享文件的安全。

看了“Windows2003 server共享文件设置介绍”文章的还看了：

server 2003 防火墙想要设置下，用什么方法好呢?下面由读文网小编给你做出详细的server 2003 防火墙设置方法介绍!希望对你有帮助!

防火墙主要类型

网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙(病毒除外，防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

[2] 根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

数据库防火墙

数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。

数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

看了“ server 2003 防火墙如何设置”文章的还看了：

windows server 2003 防火墙想要设置下!更好的防护我们电脑!该怎么样设置呢?下面由读文网小编给你做出详细的windows server 2003 防火墙设置介绍!希望对你有帮助!

windows server 2003 防火墙设置如下：

1、鼠标右键单击“网上邻居”，选择“属性”。

2、然后鼠标右键单击“本地连接”，选择“属性”，出现图1界面。如图选择“高级”选项，选中“Internet连接防火墙”，确定后防火墙即起了作用。

测试基本设置

1、在另为一台机子上ping本机，出现Request timed out表示ping不同本机

2、在另为一台机子上用漏洞扫描工具扫描本机发现没有打开的端口。

这两种测试通过后说明防火墙已经起了作用。

高级设置

点击图1中“设置(G)...”按钮出现图2界面可进行高级设置。1、选择要开通的服务

如图3所示，如果本机要开通相应的服务可选中该服务，本例选中了FTP服务，这样从其它机器就可FTP到本机，扫描本机可以发现21端口是开放的。可以按“添加”按钮增加相应的服务端口。2、设置日志

如图4所示，选择要记录的项目，防火墙将记录相应的数据，日志默认在c:windowspfirewall.log，用记事本就可以打开看看。

3、设置ICMP协议

如图5所示，最常用的ping就是用的ICMP协议，默认设置完后ping不通本机就是因为屏蔽了ICMP协议，如果想ping通本机只需将“允许传入响应请求”一项选中即可。

看了“windows server 2003 防火墙如何设置 ”文章的还看了：

要想更好的防护电脑!就要设置好防火墙!那么windows server 防火墙如何设置呢?下面由读文网小编给你做出详细的windows server 防火墙设置方法介绍!希望对你有帮助!

windows server 防火墙设置方法：

启用或关闭防火墙。如下图，点击“启用或关闭windows防火墙”可以配置防火墙选项。

2.启用/禁止上传服务器：如下图，“阻止所有传入连接”设置如果打上勾。

3.配置例外选项。所谓例外指的是防火墙对这些例外的应用程序使用的端口或者自行添加的端口不进行阻止，直接放行，适合于已知安全的应用，如杀软，公司应用以及windows相关组件的设置。

看了“windows server 防火墙如何设置 ”文章的还看了：

我的电脑防火墙今天很奇怪!一看机电脑就出现了不可识别windows防火墙的问题，如何解决呢?下面由读文网小编给你做出详细的介绍!希望对你有帮助!

不可识别windows防火墙解决方法1

你是不是设置了：

Application Layer Gateway Service

禁用(xp防火墙)

你的问题就是由于XP设置的问题

操作中心无法启动windows防火墙这是怎么回事呢？什么如何解决好？下面由读文网小编给你做出详细的操作中心无法启动windows防火墙解决方法介绍!希望对你有帮助!

操作中心无法启动windows防火墙解决方法1

系统损坏了，可能就是系统崩溃了，无法进入系统了。只能重做系统了，拿个ghost盘，然后一键安装

1、IE插件遭恶意破坏 网上有报道称在正常关机之后，再次开机，Windows XP系统却不能正常启动。WindowsXP系统开机后，在启动列表中无论是选择正常或者安全模式启动，均无法正常进入系统，而且机器随后自动重启，如此循环，使用系统修复等措施也无法启动系统。

后经分析发现了影响系统无法启动的文件"CnsMinKP.sys"。 CnsMinKP.sys 并不是windows提供的系统文件，而是一个第三方的驱动文件，在文件的属性里有某互联网公司的相关信息。驱动程序一般都是在系统的最底层工作，如果出现问题极其容易引起系统的不稳定。

提醒用户：此次现象还并不是病毒行为，也不会传染。如果系统出现此症状，不用惊慌，您的系统没有被完全损坏，请采用以下解决方案可以修复系统： 如果您的电脑存在双系统，请登录正常的系统，删除%systemroot%system32driversCnsMinKP.sys文件即可;如果您的电脑不存在双系统，请采用以下方法： 使用系统启动光盘引导系统，并删除系统文件夹中的以下文件 %systemroot%system32driversCnsMinKP.sys

2、IE6窗口不停地打开，直到最后死机 上网不久，IE6窗口就不停地打开，直到最后系统内存占用过多而死机。这是由于你浏览网页时，中了脚本病毒的缘故

脚本病毒的执行离不开WSH(全称“Windows Scripting Host”)，需要调用WScript.exe程序，该程序位于Windows所在的文件夹下，由于绝大多数普通用户不会使用它，因此你可以卸载之，这样来防止此类病毒的侵扰。 修复方法：在Windows 98中，单击“开始/设置/控制面板”，点击“添加/删除程序”，选择“Windows安装程序”;然后双击其中的“附件”选项，在弹出的窗口中，不勾选“Windows Scripting Host”项，最后两次点击“确定”将其卸载。 在Windows XP/2000中，单击“开始/搜索/文件或文件夹”，在系统目录(C:WINDOWSsystem32)下，查找WScript.exe文件，将之删除。

3、IE的主页设置被屏蔽锁定 恶意网页还可以通过修改你的注册表，锁定IE的主页设置项，使IE主页设置的许多选项变灰色、按扭不可用，禁止用户更改回来。

修复方法：单击“开始/运行”，键入“regedit”打开注册表，定位到HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer分支，新建“Control Panel”主键，然后在此主键下新建一个键值名为“HomePage”的DWORD值，值为“00000000” (“1”为禁用)，定位到HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel下，将HomePage的键值改为0; 接下来定位到HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControlPanel将其下的“Settings”、“Links”、“SecAddSites”全部都改为0即可。

注意：在HKEY_CURRENT_USERSoftwarePoliciesMicrosoft中，默认情况下只有主键“SystemCertificates”，一般没有“Internet Explorer”，如果你经过以上操作后，IE仍然还有其他的设置被禁用(变灰)，则可以将主键“Internet Explorer”删除即可。

4、在IE工具栏中有非法添加的按钮 恶意网页还可以在你的IE工具栏处中，添加各种非法按钮。 修复方法：启动IE，选中工具栏上的非法按钮，然后鼠标右键弹出菜单，选择“自定义”，在弹出的窗口中找到非法按钮，点“删除”即可。

5、IE默认的搜索引擎被篡改 在IE工具栏中有一个搜索引擎的工具按钮，点击之可以进行网络搜索。IE默认使用微软的搜索引擎，如果IE的搜索引擎被恶意网站篡改，只要你点击那个“搜索”按钮，就会链接到恶意

看了“ 操作中心无法启动windows防火墙如何解决”文章的还看了：

windows2003的服务器安全性一直都是大家关心的问题，那么Windows2003怎么设置安全设置呢?今天读文网小编与大家分享下Windows2003设置安全设置的具体操作步骤，有需要的朋友不妨了解下。

Windows2003设置安全设置方法

大家都很清楚，Windows Server 2003系统为增强其安全性，默认情况下，很多服务组件是不被安装的，要想使用，必须手工安装。“SCW”功能也是一样，虽然你已经成功安装了补丁包SP1，但也需要手工安装“安全配置向导(SCW)”组件。

进入“控制面板”后，运行“添加或删除程序”，然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项，最后点击“下一步”按钮后，就能轻松完成“SCW”组件的安装。

过程就这么简单，接下来就能根据自身需要，利用“SCW”配置安全策略，增强Windows Server 2003服务器安全。

配置“安全策略” 原来如此“简单”

在Windows Server 2003服务器中，点击“开始→运行”后，在运行对话框中执行“SCW.exe”命令，就会弹出“安全配置向导”对话框，开始你的安全策略配置过程。当然你也可以进入“控制面板→管理工具”窗口后，执行“安全配置向导”快捷方式来启用“SCW”。

1.新建第一个“安全策略”

如果你是第一次使用“SCW”功能，首先要为Windows Server 2003服务器新建一个安全策略，安全策略信息是被保存在格式为XML 的文件中的，并且它的默认存储位置是“C:WINDOWSsecuritymsscwPolicies”。因此一个Windows Server 2003系统可以根据不同需要，创建多个“安全策略”文件，并且还可以对安全策略文件进行修改，但一次只能应用其中一个安全策略。

在“欢迎使用安全配置向导”对话框中点击“下一步”按钮，进入到“配置操作”对话框，因为是第一次使用“SCW”，这里要选择“创建新的安全策略”单选项，点击“下一步”按钮，就开始配置安全策略。

2.轻松配置“角色”

首先进入“选择服务器”对话框，在“服务器”栏中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址，点击“下一步”按钮后，“安全配置向导”会处理安全配置数据库。

接着就进入到“基于角色的服务配置”对话框。在基于角色的服务配置中，可以对Windows Server 2003服务器角色、客户端角色、系统服务、应用程序，以及管理选项等内容进行配置。

所谓服务器“角色”，其实就是提供各种服务的Windows Server 2003服务器，如文件服务器、打印服务器、DNS服务器和DHCP服务器等 ， 一个Windows Server 2003服务器可以只提供一种服务器“角色”，也可以扮演多种服务器角色。点击“下一步”按钮后，就进入到“选择服务器角色”配置对话框，这时需要在“服务器角色列表框”中勾选你的Windows Server 2003服务器所扮演的角色。

注意：为了保证服务器的安全，只勾选你所需要的服务器角色即可，选择多余的服务器角色选项，会增加Windows Server 2003系统的安全隐患。如笔者的Windows Server 2003服务器只是作为文件服务器使用，这时只要选择“文件服务器”选项即可。

进入“选择客户端功能”标签页，来配置Windows Server 2003服务器支持的“客户端功能”，其实Windows Server 2003服务器的客户端功能也很好理解，服务器在提供各种网络服务的同时，也需要一些客户端功能的支持才行，如Microsoft网络客户端、DHCP客户端和FTP客户端等。根据需要，在列表框中勾选你所需的客户端功能即可，同样，对于不需要的客户端功能选项，建议你一定要取消对它的选择。

接下来进入到“选择管理和其它选项”对话框，在这里选择你需要的一些Windows Server 2003系统提供的管理和服务功能，操作方法是一样的，只要在列表框中勾选你需要的管理选项即可。点击“下一步”后，还要配置一些Windows Server 2003系统的额外服务，这些额外服务一般都是第三方软件提供的服务。

然后进入到“处理未指定的服务”对话框，这里“未指定服务”是指，如果此安全策略文件被应用到其它Windows Server 2003服务器中，而这个服务器中提供的一些服务没有在安全配置数据库中列出，那么这些没被列出的服务该在什么状态下运行呢?在这里就可以指定它们的运行状态，建议大家选中“不更改此服务的启用模式”单选项。最后进入到“确认服务更改”对话框，对你的配置进行最终确认后，就完成了基于角色的服务配置。

3.配置网络安全

以上完成了基于角色的服务配置。但Windows Server 2003服务器包含的各种服务，都是通过某个或某些端口来提供服务内容的，为了保证服务器的安全，Windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口，这种向导化配置过程与手工配置Windows防火墙相比，更加简单、方便和安全。

在“网络安全”对话框中，要开放选中的服务器角色，Windows Server 2003系统提供的管理功能以及第三方软件提供的服务所使用的端口。点击“下一步”按钮后，在“打开端口并允许应用程序”对话框中开放所需的端口，如FTP服务器所需的“20和21”端口，IIS服务所需的“80”端口等，这里要切记“最小化”原则，只要在列表框中选择要必须开放的端口选项即可，最后确认端口配置，这里要注意：其它不需要使用的端口，建议大家不要开放，以免给Windows Server 2003服务器造成安全隐患。

4.注册表设置

Windows Server 2003服务器在网络中为用户提供各种服务，但用户与服务器的通信中很有可能包含“不怀好意”的访问，如黑客和病毒攻击。如何保证服务器的安全，最大限度地限制非法用户访问，通过“注册表设置”向导就能轻松实现。

利用注册表设置向导，修改Windows Server 2003服务器注册表中某些特殊的键值，来严格限制用户的访问权限。用户只要根据设置向导提示，以及服务器的服务需要，分别对“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”进行严格设置，就能最大限度保证Windows Server 2003服务器的安全运行，并且免去手工修改注册表的麻烦。

5.启用“审核策略”

聪明的网管会利用日志功能来分析服务器的运行状况，因此适当的启用审核策略是非常重要的。SCW功能也充分的考虑到这些，利用向导化的操作就能轻松启用审核策略。

在“系统审核策略”配置对话框中要合理选择审核目标，毕竟日志记录过多的事件会影响服务器的性能，因此建议用户选择“审核成功的操作”选项。当然如果有特殊需要，也可以选择其它选项。如“不审核”或“审核成功或不成功的操作”选项。

6.增强IIS安全

IIS服务器是网络中最为广泛应用的一种服务，也是Windows系统中最易受攻击的服务。如何来保证IIS服务器的安全运行，最大限度免受黑客和病毒的攻击，这也是SCW功能要解决的一个问题。利用“安全配置向导”可以轻松的增强IIS服务器的安全，保证其稳定、安全运行。

在“Internet信息服务”配置对话框中，通过配置向导，来选择你要启用的Web服务扩展、要保持的虚拟目录，以及设置匿名用户对内容文件的写权限。这样IIS服务器的安全性就大大增强。

小提示：如果你的Windows Server 2003服务器没有安装、运行IIS服务，则在SCW配置过程中不会出现IIS安全配置部分。

完成以上几步配置后，进入到保存安全策略对话框，首先在“安全策略文件名”对话框中为你配置的安全策略起个名字，最后在“应用安全策略”对话框中选择“现在应用”选项，使配置的安全策略立即生效。

利用SCW增强Windows Server 2003服务器的安全性能就这么简单，所有的参数配置都是通过向导化对话框完成的，免去了手工繁琐的配置过程，SCW功能的确是安全性和易用性有效的结合点。如果你的Windows Server 2003系统已经安装了SP1补丁包，不妨试试SCW吧!

看过“Windows2003怎么设置安全设置”

win2003 虽然以出来很多年了,但还是有很大的用户群,那么Windows2003服务器怎么做好安全设置呢?今天读文网小编与大家分享下Windows2003服务器做好安全设置的具体操作步骤，有需要的朋友不妨了解下。

Windows2003服务器做好安全设置方法

正确划分文件系统格式，选择稳定的操作系统安装盘

为了提高安全性，服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版，这个一个完全破解了的版本，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本!保证操作系统本身无漏洞。

正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点：

1、系统盘权限设置

C:分区部分：

c:

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER 全部(只有子文件来及文件)

system 全部(该文件夹，子文件夹及文件)

IIS_WPG 创建文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹，子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

创建文件夹/附加数据

读取权限

c:Documents and Settings

administrators 全部(该文件夹，子文件夹及文件)

Power Users (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM全部(该文件夹，子文件夹及文件)

C:Program Files

administrators 全部(该文件夹，子文件夹及文件)

CREATOR OWNER全部(只有子文件来及文件)

IIS_WPG (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹，子文件夹及文件)

修改权限

SYSTEM全部(该文件夹，子文件夹及文件)

TERMINAL SERVER USER (该文件夹，子文件夹及文件)

修改权限

2、网站及虚拟机权限设置(比如网站在E盘)

说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理

E:

Administrators全部(该文件夹，子文件夹及文件)

E:wwwsite

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

service全部(该文件夹，子文件夹及文件)

E:wwwsitevhost1

Administrators全部(该文件夹，子文件夹及文件)

system全部(该文件夹，子文件夹及文件)

vhost1全部(该文件夹，子文件夹及文件)

3、数据备份盘

数据备份盘最好只指定一个特定的用户对它有完全操作的权限

比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限

4、其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.删除c:inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述

第三招：禁用不必要的服务，提高安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

??Task scheduler 允许程序在指定时间运行

??Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

??Removable storage 管理可移动媒体、驱动程序和库

??Remote Registry Service 允许远程注册表操作

??Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

??IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

??Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

??Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序#p#副标题#e#

第四招:修改注册表，让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

2、启动系统自带的Internet连接_blank">防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp]，看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

2、第二处HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

10. 删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer类型是REG_DWORD把值改为0即可

11. 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。

其它安全手段

1.禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

2. 账户安全

首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~!破完了才发现是个低级账户，看你崩溃不?

创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理

3.更改C:WINDOWSHelpiisHelpcommon404b.htm内容改为这样，出错了自动转到首页

4. 安全日志

我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义

5. 运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙

6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置，更改默认端口，和管理密码

7.设置ip筛选、用blackice禁止木马常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值.

打开 %SystemRoot%Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%Security下所有的.log文件移到这个新建的子文件夹中.

在%SystemRoot%Securitydatabase下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".

启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.

右击"安全配置和分析"->"打开数据库",浏览"C:WINNTsecurityDatabase"文件夹,输入文件名"secedit.sdb",单击"打开".

当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".

如果系统提示"拒绝访问数据库",不管他.

你会发现在"C:WINNTsecurityDatabase"子文件夹中重新生成了新的安全数据库,在"C:WINNTsecurity"子文件夹下重新生成了log文件.安全数据库重建成功.

看过“Windows2003服务器怎么做好安全设置”

Windows Server 2003中集成了自己的备份软件,可以实现我们所需的大部分功能。那么大家知道windows2003系统怎么备份吗?接下来大家跟着读文网小编一起来了解一下windows2003系统备份的解决方法吧。

windows2003系统备份方法

选择备份存储类型

备份存储设备可以是硬盘驱动器、单独的存储设备(如磁带机)，或者是由自动更改器组织和控制的整个磁带库。

磁带是首选备份设备，因为将备份存储到磁带之后，可以将磁带存放在计算机之外的其他地方。 这样，可以防止硬盘故障以及火灾或者其他灾难性事件所导致的数据丢失。

如果选择通过硬盘进行备份，则要确保将该硬盘与主硬盘隔离开，以防止主硬盘故障带来的影响。 备份到硬盘驱动器是非常方便的，但是不能防范灾难性事件。

有关选择备份存储设备类型的详细信息，请参阅 Microsoft TechNet 网站上的“Backing up and recovering data”，网址为go.microsoft.com/fwlink/?LinkId=22347。

选择备份计划

最好在夜间、周末或者服务器空闲状态下进行备份。 您可以备份打开的或正在使用的文件，但是“备份”可能忽略某些被其他进程保持打开的文件。 一个好的做法是，运行“备份”的同时关闭应用程序，以最小化未进行备份的文件的数量。

应制定一个每周普通备份计划，每周将所有数据普通备份一次，其中包括服务器的系统状态数据。 普通备份将复制您选定的所有文件，并将每个文件标识为已备份。 另外，我们建议您制定一个在未运行普通备份的星期里进行每周差异备份的计划。 差异备份将复制那些自上次普通备份后创建或更改过的文件。 它不将文件标识为已备份。所以，在下次进行普通备份时，更改过的文件也将被备份。 如果将普通备份和差异备份组合使用，恢复数据时需要提供最后一次的普通备份和差异备份。 服务器的系统状态数据包括由操作系统维护的、特定于系统的数据的集合，必须作为一个单元进行备份。 它并不是整个系统的备份。 系统状态数据包括注册表、COM+ 类注册数据库、系统文件、启动文件以及在 Windows 文件保护之下的文件。 而且，您应该确保备份您拥有的任何加密密钥。 有关加密密钥的信息，请参阅 Microsoft 网站，网址为 microsoft.com/resources/documentation/windowsserv/2003/standard/proddocs/en-us/default.asp。在网站的左窗格上，单击“Security”，然后单击“Encrypting File System”。

备份权限

备份文件和文件夹时需要特定的用户权限。 作为备份计划的一部分，系统会询问运行备份的当前用户身份信息。 如果您是本地计算机 Administrators 或 Backup Operators 组的成员，您便可以备份本地计算机上本地组范围内的任意文件和文件夹。 如果您是域控制器上 Administrators 或 Backup Operators 组的成员，您仅可以备份该域控制器的数据，而无法备份域中其他计算机上的数据，除非将 Built-in Administrators 组添加到 Domain Admins 组或将 Built-in Backup Operators 组添加到加入域的计算机的本地 Backup Operators 组。

如果您不是域的 Backup Operators 组的成员，但希望对文件进行备份，则您必须是要备份的文件和文件夹的所有者，或者必须对要备份的文件和文件夹拥有以下一个或多个权限： “读取”、“读取和执行”、“修改”或“完全控制”。

创建自动系统恢复 (ASR) 集

除了数据的常规备份之外，在您第一次将服务器投入运行或者系统进行较大改动前后(如软硬件升级)，您应使用备份功能创建自动系统恢复(ASR)集。 自动系统恢复 (ASR) 集由操作系统文件的备份和一个启动软盘构成。在计算机不能正常启动时，可以通过该 ASR 集启动计算机。 创建自动系统恢复 (ASR) 集之前，请准备一张 3.5 英寸软盘以便制作启动盘。 如果服务器没有软盘驱动器，您仍然可以通过将位于 systemrootepair 目录的 asr.sif 和 asrpnp.sif 文件复制到具有软盘驱动器的另一台计算机来进行 ASR 备份，然后将那些文件复制到软盘上。 但是，在运行 ASR 还原过程之前，您必须将软盘驱动器附加到服务器。

注意： 在 Windows Server 2003 中，ASR 集替代 Windows 2000 中提供的紧急修复磁盘 (ERD)。

在使用共享文件夹卷影副本功能之前

在通过共享文件夹为用户提供文件访问权限的文件服务器上，共享文件夹卷影副本功能应与常规备份计划一起使用。 通过共享文件夹卷影副本功能，用户不需要备份管理员的干预就可以恢复自己的文件，这有利于节约管理成本。 卷影复制不能替代常规备份，它不能用于永久性归档，而且可能会因存储限制和服务器上存在的卷影副本数量而被删除。

默认计划

启用共享文件夹卷影副本功能时，系统会创建一个默认计划。 如果保留默认设置，将于周一至周五每天上午七点和中午对卷执行卷影复制。 该计划可能适用于您的用户。但在使用默认计划之前，需要考虑用户的特定工作习惯，这一点非常重要。 需要考虑的问题包括：

•是否工作时间为周一至周五上午九点到下午五点的大部分用户都位于同一个时区?

•用户是否会跨时区工作? 这是否意味着每天需要更多的副本以覆盖所有的工作时段?

•您的用户损失得起多少工作时间? 一天两次(周一至周五上午七点和中午)的默认复制计划是否能够完全覆盖所有工作时段?

•在不需要添加额外存储空间的情况下，应多久提取一次副本?

•在达到 64 个卷影副本的限制之前，可以保留多少天的历史记录?

您可以创建一个初始计划并将其在小范围内进行测试，考察所计划的卷影复制是否位于所设置的存储范围内。 此外，还要在用户中进行调查，了解他们的工作习惯以及他们认为何时最适宜进行卷影复制。 这些信息可以帮助您为特定用户确定最佳计划。

默认存储设置

可以按卷启用共享文件夹卷影副本功能，即，您不能选择复制(或不复制)一个卷上的特定共享文件夹和文件。 默认情况下，卷影副本将存储于正在复制的卷上(源卷)。 如果服务器上具有多个驱动器，您应使用另一个磁盘上的独立的卷来存储卷影副本。 这样，可以消除高输入/输出 (I/O) 负载所导致的删除卷影副本的可能性。 对于负载繁重的服务器，这是推荐配置。

默认存储空间为源卷(正在复制的卷)的 10%。 可以指定的最小存储空间是 100 MB。 如果将卷影副本存储在一个独立的卷上，请更改默认设置以反应存储卷而不是源卷上的可用空间。 请注意，达到存储限制时，较早版本的卷影副本将会被删除，无法再被还原。

确定分配多少存储空间用于存储卷影副本时，必须考虑正在复制的文件的大小和数量以及副本更改的频率。 例如，每月更改一次的 100 个文件所需的存储空间要小于每天都要变化的 10 个文件。

一个卷上最多可以存储 64 个卷影副本。 达到该限制时，最早的卷影副本将被删除，无法再被检索到。

安装客户端软件

为了使客户端计算机能够使用共享文件夹卷影副本功能，必须在您组织中的客户端计算机上安装“早期版本”客户端软件。 “早期版本”是一项新功能，可供那些使用共享文件夹存放公司文档的员工使用。 如果使用位于网络中共享文件夹内的文件，您可以访问这些文件的早期版本。 建议您将安装包下载并存放到共享资源上之后，向用户发送一封电子邮件，告知用户客户端的工作原理以及如何进行安装。 请参阅本节后面的“电子邮件示例”。

如果组织中只有运行 Windows XP 的客户端计算机，可以在运行 Windows Server 2003 的计算机的以下位置找到“早期版本”客户端软件：

%systemroot%system32clientswclient directory

如果组织中具有运行 Windows 2000 和 Windows XP 的客户端计算机，您需要从 Microsoft 网站下载安装包 (ShadowCopyClient.msi)，网址为go.microsoft.com/fwlink/?LinkId=22346。此外，需要在 Windows Server 2003 上运行同一个安装包。这将设置一个注册表项，通过它，可以从运行 Windows 2000 的客户端计算机访问服务器。

电子邮件示例

组织成员：

提供一个称为“共享文件夹卷影副本”的新功能，可供那些使用共享文件夹存放公司文档的员工使用。 如果使用位于网络中共享文件夹内的文件，您可以访问这些文件的早期版本。 访问文件的早期版本是非常有用的，这是因为您可以：

•恢复意外删除的文件。 如果意外删除了一个文件，可以打开其早期版本并将其复制到安全的位置。

•恢复意外覆盖的文件。 如果意外覆盖了一个文件，可以恢复其早期版本。

•工作时比较文件的版本。 如果希望检查一个文件的两个版本之间的差异，您可以使用早期版本。

以下文件服务器上已启用了此功能： \NameOfServerSharedResource。 复制时间安排在周一至周五上午七点和中午。 请注意，文件副本是在这些时间提取的。 如果自上次复制文件后对文件进行了修改，并且需要将其恢复到早期的版本，您将丢失自上次复制文件后所做的任何更改。 经常保存所做的工作仍然是避免工作丢失的最佳方法。

若要安装用于访问桌面上早期版本的软件，请转至： \NameOfServerInstallationFolder，并双击 ShadowCopyClient.msi。

备份服务器

下节主要描述执行下列任务的过程：

•创建自动系统恢复 (ASR) 集

•备份文件和打印服务器

创建自动系统恢复 (ASR) 集

在第一次将服务器投入运行或者系统进行较大改动前后(如软硬件升级)，您应使用备份功能创建自动系统恢复(ASR)集。 自动系统恢复(ASR)集是系统恢复的最后手段，仅在所有其他选项都尝试不理想之后才使用，例如“安全模式”和“最后一次正确的配置”启动选项。

要求

•凭据： 若要执行此过程，您必须是本地计算机上 Administrators 或 Backup Operators 组的成员，或者您必须被委派了适当的权限。 如果将计算机加入域，Domain Admins 组的成员将可以执行此过程。

•工具： 备份。 此过程仅适用于运行 Microsoft® Windows Server™ 2003 的文件和打印服务器。

注意： 本文档中的屏幕快照反映的是测试环境。 实际环境中的域名和服务器名与这些屏幕快照中显示的会略有不同。

创建 ASR 集

1.依次单击“开始”、“运行”，然后键入 ntbackup，再单击“确定”。

2.此时将显示“备份或还原向导”。

如果您是高级用户，您可以选择在“高级模式”中更改备份和还原设置。 否则，单击“下一步”以使用该向导执行此过程。

3.在“备份或还原”向导页中，确保选中了“备份文件和设置”，然后单击“下一步”。

4.在“要备份的内容”页中，确保选中了“这台计算机上的所有信息”，然后单击“下一步”。

5.在“备份类型、目标和名称”页上，如果想要将文件和文件夹备份到文件，则在“选择备份类型”中选择“文件”;如果想要将文件和文件夹备份到磁带，则选择一个磁带设备。 在“选择保存备份的位置”中，单击下拉菜单或单击“浏览”选择保存备份的位置。 在“键入这个备份的名称”中，为该备份键入一个描述名称，然后单击“下一步”。

6.在“正在完成备份或还原向导”页上，验证所有信息是否正确，然后单击“完成”以开始创建 ASR 集。 创建 ASR 集的过程可能至少需要 15 分钟。

7.当出现“备份工具”消息时，按提示要求将一个 1.44 MB 软盘插入驱动器 A，然后单击“确定”。 如果服务器没有软盘驱动器，您仍然可以通过将位于systemrootepair 目录的 asr.sif 和 asrpnp.sif 文件复制到具有软盘驱动器的另一台计算机来进行 ASR 备份，然后将那些文件复制到软盘上。 但是，在运行 ASR 还原过程之前，您必须将软盘驱动器附加到服务器。

8.当“备份工具”消息提示您取出软盘时，请确保根据给出的信息标记软盘。

9.备份结束时，“备份进度”对话框将提示备份已完成。 若要查看备份过程中所发生事件的其他信息，请单击“报告”以在记事本中打开备份报告。 完成后，单击“关闭”。

10.创建了 ASR 集后，请仔细地为软盘和备份媒体贴上标签并将它们放在一起。 要使用备份媒体，您必须拥有使用由该媒体集创建的软盘。 不能使用在不同时间或由不同媒体集创建的软盘。 此外，执行自行系统故障恢复时，还必须具有安装光盘。

将 ASR 集存放在安全位置。 ASR 集包含有关系统配置的信息，使用这些信息可能会损坏您的系统。

备份文件和打印服务器

为了保护服务器，您应该制定常规备份所有数据的计划。 建议您制定每周普通备份计划，每周将所有数据普通备份一次，其中包括服务器的系统状态数据。 普通备份将复制您选定的所有文件，并将每个文件标识为已备份。 此外，建议您制定每周差异备份计划。 差异备份将复制那些自上次普通备份后创建或更改过的文件。

要求

•凭据： 若要执行此过程，您必须是本地计算机上 Administrators 或 Backup Operators 组的成员，或者您必须被委派了适当的权限。 如果将计算机加入域，Domain Admins 组的成员将可以执行此过程。

•工具： 备份。

制定每周普通备份计划

1.依次单击“开始”、“运行”，然后输入 ntbackup，再单击“确定”。

2.此时将显示“备份或还原向导”。 单击“下一步”。

3.在“备份或还原”向导页中，确保选中了“备份文件和设置”，然后单击“下一步”。

4.在“要备份的内容”页中，单击“让我选择要备份的内容”，然后单击“下一步”。

若要在计划备份中包括计算机上的所有数据，请单击“这台计算机上的所有信息”。

5.在“要备份的项目”页上，单击要展开其内容的项目。 选中包含应该定期进行备份的数据的任何驱动器或文件夹的复选框，然后单击“下一步”。

6.在“备份类型、目标和名称”页上，在“选择保存备份的位置”中，单击下拉菜单或单击“浏览”选择保存备份的位置。 在“键入这个备份的名称”中，为该备份键入一个描述名称，然后单击“下一步”。

7.在“正在完成备份或还原向导”页上，单击“高级”。

8.在“备份类型”页上，在下拉菜单中单击“正常”，然后单击“下一步”。

9.在“如何备份”页上，选中“备份后验证数据”复选框，然后单击“下一步”。

10.在“备份选项”页上，确保选择了“将这个备份附加到现有备份”选项，然后单击“下一步”。

11.在“备份时间”页上，在“什么时候执行备份”之下选择“以后”。

12.在“计划项”之下，在“作业名”文本框内输入一个描述名称，然后单击“设定备份计划”。

13.在“计划作业”对话框的“计划任务”中，从下拉菜单中单击“每周”。

14.在“开始时间”中，使用上下箭头选择适当的备份开始时间。 单击“高级”，指定计划任务的开始日期和结束日期，或者指定计划任务是否以特定时间间隔重复运行。

15.在“每周计划任务”中，选择您希望创建备份的某一天或多天，然后单击“确定”。

16.在“设置帐户信息”对话框中，在“运行方式”中输入授权执行备份和还原操作的帐户的域或者工作组以及用户名。 使用格式“域用户名”或“工作组用户名”。 在“密码”框中，输入用户帐户的密码。 在“确认密码”框中，重新输入密码，然后单击“确定”。

每当帐户的密码发生更改或者过期时，您都需要更新计划任务中指定的密码，从而确保备份作业按计划运行。

17.在“正在完成备份或还原向导”页上，确认这些设置，然后单击“完成”。

注意： 建议创建摘要备份日志，当定期对日志进行查看时，这将帮助确保备份已成功完成。 为此，请单击“工具”菜单，然后单击“选项”。 在“备份日志”选项卡上，选择“摘要”。

如果确定未发生备份，则查看计划任务的状态以找出可能的原因。 若要查看计划任务，请依次单击“开始”、“控制面板”，然后双击“任务计划”。

制定每周差异备份计划

1.依次单击“开始”、“运行”，然后输入 ntbackup，再单击“确定”。

2.此时将显示“备份或还原向导”。 单击“下一步”。

3.在“备份或还原”向导页中，确保选中了“备份文件和设置”，然后单击“下一步”。

4.在“要备份的内容”页中，单击“让我选择要备份的内容”，然后单击“下一步”。

5.在“要备份的项目”页上，单击要展开其内容的项目。 选中“系统状态”复选框，并选中包含应该定期进行备份的数据的任何驱动器或文件夹的其他复选框，然后单击“下一步”。

6.在“备份类型、目标和名称”页上，在“选择保存备份的位置”中，单击下拉菜单或单击“浏览”选择保存备份的位置。 在“键入这个备份的名称”中，为该备份键入一个描述名称，然后单击“下一步”。

7.在“正在完成备份或还原向导”页上，单击“高级”。

8.在“备份类型”页上，在“选择要备份的类型”中单击“差异”，然后单击“下一步”。

9.在“如何备份”页上，选中“备份后验证数据”复选框，然后单击“下一步”。

10.在“备份选项”页上，确保选择了“将这个备份附加到现有备份”选项，然后单击“下一步”。

11.在“备份时间”页上，在“什么时候执行备份”之下选择“以后”。 在“计划项”之下，在“作业名”文本框内输入一个描述名称，然后单击“设定备份计划”。

12.在“计划作业”对话框中，在“计划任务”中，从下拉菜单中选择“每周”。

13.在“开始时间”中，使用上下箭头选择适当的备份开始时间，然后选择每周想要运行差异备份的时间。 建议在未运行普通备份的某一天计划差异备份。 单击“高级”，指定计划任务的开始日期和结束日期，或者指定计划任务是否以特定时间间隔重复运行。 完成后单击“确定”。

14.在“设置帐户信息”对话框中，在“运行方式”中输入授权执行备份和还原操作的帐户的域或者工作组以及用户名。 使用格式“域用户名”或“工作组用户名”。 在“密码”框中，输入用户帐户的密码。 在“确认密码”框中，重新输入同一个密码，然后单击“确定”。

每当帐户的密码发生更改或者过期时，您都需要更新计划任务中指定的密码，从而确保备份作业按计划运行。

15.在“正在完成备份或还原向导”页上，确认您的设置，然后单击“完成”。

注意： 建议创建摘要备份日志，当定期对日志进行查看时，这将帮助确保备份已成功完成。 为此，请单击“工具”菜单，然后单击“选项”。 在“备份日志”选项卡上，选择“摘要”。

如果确定未发生备份，则查看计划任务的状态以找出可能的原因。 若要查看计划任务，请依次单击“开始”、“控制面板”，然后双击“任务计划”。

备份完成后验证数据

可以根据也存储在备份上的校验和对所备份的数据进行验证。 当备份数据时，会对备份的每个文件计算校验和。 备份将校验和与文件本身存储在一起。 当验证数据时，会从备份中读取文件;校验和会重新进行计算，并与存储在备份中的值进行比较。 建议您仅验证数据文件的备份;由于系统文件持续发生大量更改，因此难以对系统备份进行验证。 备份过程中正在使用的某些数据文件还可能造成验证错误，但是您通常可以忽略这些错误。 如果存在大量验证错误，则用于备份数据的媒体或文件可能有问题。 如果发生这种情况，则使用其他媒体或者指派其他文件并再次运行备份操作。

若要验证备份后的数据，请在“备份或还原向导”中，在“如何备份”页上，选中“备份后验证数据”复选框。

注意： 选择此选项可能大大增加执行备份所花的时间。

在文件服务器上启用共享文件夹卷影副本功能

在文件服务器上启用共享文件夹卷影副本功能时，将提取共享文件和文件夹内容的快照。 然后，可以使用“早期版本”客户端访问这些快照。 通过启用共享文件夹卷影副本功能，您也可以创建一个默认计划，在周一至周五上午七点和中午分别创建卷影副本。 对存储卷影副本的空间也有一定限制。 默认存储空间为源卷(正在复制的卷)的 10%。 达到存储限制时，卷影副本的较早版本将会被删除，无法再被还原。

要求

•凭据： 若要执行此过程，您必须是本地计算机上 Administrators 组的成员，或者您被委派了适当的的权限。 如果将计算机加入域，Domain Admins 组的成员将可以执行此过程。

•工具： 计算机管理。

要启用共享文件夹卷影副本功能

1.单击“开始”，指向“所有程序”，再指向“管理工具”，然后单击“计算机管理”。

2.在控制台树中，用鼠标右键单击“共享文件夹”，指向“所有任务”，然后单击“配置卷影副本”。

3.在“卷影副本”对话框中，单击要启用共享文件夹卷影副本功能的卷，然后单击“启用”。 此时将出现“启用卷影复制”对话框。 单击“是”确认在此卷上启用卷影复制功能。

若要创建所选卷的单个卷影副本，请单击“立即创建”。

注意： 若要更改默认计划设置，请单击“设置”。 在“设置”对话框中，单击“计划”。 根据需要更改任务计划程序中的设置。 默认计划为上午 7:00 和中午 12:00，星期一至星期五。 建议您不要计划每小时执行一次，而是将频率设为低于每小时一次。

4.在“卷影副本”对话框中，单击“确定”以完成该过程。

从备份还原文件

取决于要还原的文件以及系统是否正常启动，可以采用多种方法对服务器进行还原。 本节将描述以下过程：

•从备份还原文件

•使用自动系统恢复 (ASR) 集还原计算机

从备份还原文件

如果由于硬盘故障导致硬盘上的原始数据被意外删除、覆盖或者无法访问，可以从备份副本中将数据还原。

要求

•凭据： 若要执行此过程，您必须是本地计算机上 Administrators 或 Backup Operators 组的成员，或者您必须被委派了适当的权限。 如果将计算机加入域，Domain Admins 组的成员将可以执行此过程。

•工具： 备份。 如果将普通备份和差异备份组合使用，恢复文件和文件夹时需要提供最后一次的普通备份和差异备份。

从备份还原文件

1.依次单击“开始”、“运行”，然后输入 ntbackup，再单击“确定”。

2.此时将显示“备份或还原向导”。 单击“Next”(下一步)。

3.在“备份或还原”页上，单击“还原文件和设置”，然后单击“下一步”。

4.在“还原项目”页上，单击要展开其内容的项目。 选择包含应该被还原的数据的任何驱动器或文件夹，然后单击“下一步”。

5.在“正在完成备份或还原向导”页上，如果想要更改任何高级还原选项(例如还原安全设置和交接点数据)，则单击“高级”。 当您完成设置高级还原选项时，单击“确定”。 验证所有的设置是否正确，然后单击“完成”。

使用自动系统恢复(ASR)集还原计算机

自动系统恢复(ASR)集应是系统恢复的最后手段，仅在所有其他选项都尝试不理想之后才使用，例如“安全模式”和“最后一次正确的配置”启动选项。 有关这些还原选项以及其他还原选项的详细信息，请参阅本文档后面“相关信息”中的“修复概述”。

“自动系统恢复”无法还原数据文件。 有关详细信息，请参阅本文档前面的“从备份还原文件”部分。

要求

•执行此过程第一部分的人员必须亲临计算机处，不需要是本地计算机上 Administrators 或 Backup Operators 组的成员。 但是，若要在系统还原后将数据还原到计算机，他们必须是本地计算机上 Administrators 或 Backup Operators 组的成员，或者被委派了适当的权限。 如果将计算机加入域，Domain Admins 组的成员将可以执行此过程。

•工具： 以前创建的 ASR 集、以前创建的备份媒体和使用该媒体集创建的软盘以及原始的 Windows Server 2003 安装光盘。

从 ASR 集还原计算机

1.将原始的 Windows Server 2003 安装光盘插入 CD 驱动器中。

2.重新启动计算机。 如果提示您按某个键从光盘启动计算机，请按相应的键。

3.在纯文本模式安装的开始阶段，当出现提示时按 F2 键。 将提示您插入以前创建的 ASR 软盘。

4.根据屏幕提示继续操作。

还原文件和文件夹的早期版本

使用“早期版本”客户端，您可以访问位于网络中共享文件夹内的文件的早期版本。 如果在服务器上启用了共享文件夹卷影副本功能，则可以使用此功能。

访问文件的早期版本是非常有用的，这是因为您可以：

•工作时查看早期版本，对文件版本进行比较。 如果希望检查一个文件的两个版本之间的差异，您可以使用早期版本。

•恢复意外删除的文件。 如果意外删除了一个文件，可以打开其早期版本并将其复制到安全的位置。

•恢复意外覆盖的文件。 如果意外覆盖了一个文件，可以恢复其早期版本。

要求

•凭据： 若要执行此过程，您必须至少对文件拥有“读取”权限以查看或复制早期版本，以及“读取和执行”权限以还原文件。

•工具： “早期版本”客户端。 在运行 Windows Server 2003 的计算机上，该客户端是默认安装的。有关安装“早期版本”客户端的详细信息，请参阅本文档前面的 “开始使用共享文件夹卷影副本功能之前”。

查看文件或文件夹的早期版本

1.找到您希望查看其早期版本(在网络上)的文件，用鼠标右键单击该文件，然后单击“属性”。

2.在“早期版本”选项卡上，单击希望查看的版本，然后单击“查看”。

注意： 如果没有列出任何早期版本，则在提取最早的副本之后文件未发生任何更改。

如果没有看到“早期版本”选项卡，则未安装该客户端。

早期版本是只读的。 由于文件的早期版本保存在服务器上，因此无法对其进行更改。

将文件的早期版本复制到新位置

1.找到希望复制的文件(在网络上)，用鼠标右键单击该文件，然后单击“属性”。

2.在“早期版本”选项卡上，单击希望复制的文件的版本，然后单击“复制”。

3.在“复制项目”对话框中，单击放置文件的新位置，然后单击“复制”。

注意： 如果没有列出任何早期版本，则在提取最早的副本之后文件未发生任何更改。

如果没有看到“早期版本”选项卡，则未安装该客户端。

当使用“复制”时，权限将被设置为文件副本所在目录的默认权限。

还原文件的早期版本

1.找到希望还原的文件(在网络上)，用鼠标右键单击该文件，然后单击“属性”。

2.在“早期版本”选项卡上，单击希望还原的文件版本，然后单击“还原”。 此时将出现还原早期版本的警告信息。 单击“是”完成该过程。

注意： 还原早期版本将会删除当前版本。 如果选择还原一个文件夹的早期版本，该文件夹将还原为您备份该版本时(日期时间)其所处的状态。 您在该时间之后对文件夹中的文件所做的任何更改都将会丢失。 如果不希望删除文件或文件夹的当前版本，请使用“复制”将早期版本复制到另一个位置。

如果没有列出任何早期版本，则在提取最早的副本之后文件未发生任何更改。

如果没有看到“早期版本”选项卡，则未安装该客户端。

还原文件夹的早期版本时，将不会清除存在于当前文件夹中、但在该文件夹的早期版本中不存在的文件。

还原文件时，将不会更改文件的权限;权限将与还原前完全相同。 复制文件的早期版本时，文件权限将被设置为文件副本所在目录的默认权限。

还原大型目录时，将会给文件服务器带来很繁重的负载，并可能会导致删除其早期版本。 只要可能，请尽量还原单个文件，而不要还原整个目录。

恢复意外删除的文件

1.找到存储被删除文件的文件夹(在网络上)，用鼠标右键单击该文件夹，然后单击“属性”。

2.在“早期版本”选项卡上，双击要恢复的文件所在文件夹的最新版本。 此时将显示该早期版本中存储的文件列表。

3.用鼠标右键单击被意外删除的文件，然后单击“复制”。

4.用鼠标右键单击要保存文件的位置，然后单击“粘贴”。

注意：复制文件时，文件权限将被设置为文件副本所在目录的默认权限。

恢复被意外删除的文件时，实际上是在复制该文件的一个早期版本。 您将会丢失自创建上一个早期版本之后对文件所做的任何更改。

若要恢复被删除的文件夹，请转至父文件夹的早期版本查看并选择要复制的文件夹。

看过“windows2003系统怎么备份”