主流伺服器操作系統

1、伺服器操作系統有哪些？？大家推薦幾個、、

目前伺服器常用的操作系統有三類:
-Unix
-Linux
-Windows NT/2000/2003 Server.
這些操作系統都是符合C2級安全級別的操作系
統.但是都存在不少漏洞,如果對這些漏洞不了
解,不採取相應的措施,就會使操作系統完全暴
露給入侵者.
BJFU Info Department, QiJd第七章操作系統安全配置方案
UNIX系統
UNIX操作系統是由美國貝爾實驗室開發的
一種多用戶,多任務的通用操作系統.
誕生於1969年,在GE645計算機上實現一
種分時操作系統的雛形
1970年給系統正式取名為Unix操作系統.
到1973年,Unix系統的絕大部分源代碼都
用C語言重新編寫過,大大提高了Unix系統
的可移植性,也為提高系統軟體的開發效率
創造了條件.
BJFU Info Department, QiJd第七章操作系統安全配置方案
主要特色
UNIX操作系統經過20多年的發展後,已經成為一種成
熟的主流操作系統,並在發展過程中逐步形成了一些
新的特色,其中主要特色包括5個方面.
-(1)可靠性高
-(2)極強的伸縮性
-(3)網路功能強
-(4)強大的資料庫支持功能
-(5)開放性好
BJFU Info Department, QiJd第七章操作系統安全配置方案
Linux系統
Linux是一套可以免費使用和自由傳播的
類Unix操作系統,主要用於基於Intel x86
系列CPU的計算機上.
Linux是在GPL(General Public
License)保護下的自由軟體,版本有:
Redhatlinux,Suse,Slackware,
Debian等;國內有:XteamLinux,紅旗
Linux.Linux流行的原因是免費並且功能
強大.
BJFU Info Department, QiJd第七章操作系統安全配置方案
Linux典型的優點
(1)完全免費
(2)完全兼容POSIX 1.0標准
(3)多用戶,多任務
(4)良好的界面
(5)豐富的網路功能
(6)可靠的安全,穩定性能
(7)支持多種平台
BJFU Info Department, QiJd第七章操作系統安全配置方案
Windows系統
Windows NT(New Technology)是微軟
公司第一個真正意義上的網路操作系統,
發展經過NT3.0,NT40,NT5.0
(Windows 2000)和NT6.0(Windows
2003)等眾多版本,並逐步占據了廣大的
中小網路操作系統的市場.
Windows NT眾多版本的操作系統使用了
與Windows 9X完全一致的用戶界面和完全
相同的操作方法,使用戶使用起來比較方
便.與Windows 9X相比,Windows NT的
網路功能更加強大並且安全.
BJFU Info Department, QiJd第七章操作系統安全配置方案
Windows NT系列操作系統
Windows NT系列操作系統具有以下三方面的優點.
(1)支持多種網路協議
-由於在網路中可能存在多種客戶機,如Windows 95/98,Apple
Macintosh,Unix,OS/2等等,而這些客戶機可能使用了不同的
網路協議,如TCP/IP協議,IPX/SPX等.Windows NT系列操作支
持幾乎所有常見的網路協議.
(2)內置Internet功能
-內置IIS(Internet Information Server),可以使網路管理員輕松
的配置WWW和FTP等服務.
(3)支持NTFS文件系統
-NT同時支持FAT和NTFS的磁碟分區格式.使用NTFS的好處主要
是可以提高文件管理的安全性,用戶可以對NTFS系統中的任何文
件,目錄設置許可權,這樣當多用戶同時訪問系統的時候,可以增加
文件的安全性.
BJFU Info Department, QiJd第七章操作系統安全配置方案
安全配置方案初級篇
安全配置方案初級篇主要介紹常規的操作
系統安全配置,包括十二條基本配置原
則:
(1)物理安全,(2)停止Guest帳號,
(3)限制用戶數量
(4)創建多個管理員帳號,(5)管理員帳號改名
(6)陷阱帳號,(7)更改默認許可權,(8)設置
安全密碼
(9)屏幕保護密碼,(10)使用NTFS分區
(11)運行防毒軟體,(12)確保備份盤安全.
BJFU Info Department, QiJd第七章操作系統安全配置方案
1,物理安全
伺服器應該安放在安裝了監視器的隔離房
間內,並且監視器要保留15天以上的攝像
記錄.
另外,機箱,鍵盤,電腦桌抽屜要上鎖,
以確保旁人即使進入房間也無法使用電
腦,鑰匙要放在安全的地方.
2,停止Guest帳號
在計算機管理的用戶裡面把Guest帳號停用,任何時候都不允許
Guest帳號登陸系統.
為了保險起見,最好給Guest 加一個復雜的密碼,包含特殊字元,數
字,字母的長字元串.
用它作為Guest帳號的密碼.並且修改Guest帳號的屬性,設置拒絕
遠程訪問,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
3 限制用戶數量
去掉所有的測試帳戶,共享帳號和普通部門帳號
等等.用戶組策略設置相應許可權,並且經常檢查
系統的帳戶,刪除已經不使用的帳戶.
帳戶很多是黑客們入侵系統的突破口,系統的帳
戶越多,黑客們得到合法用戶的許可權可能性一般
也就越大.
對於Windows NT/2000主機,如果系統帳戶超過
10個,一般能找出一兩個弱口令帳戶,所以帳戶
數量不要大於10個.
BJFU Info Department, QiJd第七章操作系統安全配置方案
4 多個管理員帳號
雖然這點看上去和上面有些矛盾,但事實上是服
從上面規則的.創建一個一般用戶許可權帳號用來
處理電子郵件以及處理一些日常事物,另一個擁
有Administrator許可權的帳戶只在需要的時候使
用.
因為只要登錄系統以後,密碼就存儲再
WinLogon進程中,當有其他用戶入侵計算機的
時候就可以得到登錄用戶的密碼,盡量減少
Administrator登錄的次數和時間.
5 管理員帳號改名
Windows 2000中的Administrator帳號是不能被停用的,這意味著
別人可以一遍又一邊的嘗試這個帳戶的密碼.把Administrator帳戶
改名可以有效的防止這一點.
不要使用Admin之類的名字,改了等於沒改,盡量把它偽裝成普通用
戶,比如改成:guestone.具體操作的時候只要選中帳戶名改名就
可以了,如圖所示.
6 陷阱帳號
所謂的陷阱帳號是創建一個名為"Administrator"的本地帳
戶,把它的許可權設置成最低,什麼事也幹不了的那種,並
且加上一個超過10位的超級復雜密碼.
這樣可以讓那些企圖入侵者忙上一段時間了,並且可以借
此發現它們的入侵企圖.可以將該用戶隸屬的組修改成
Guests組,如圖所示.
7 更改默認許可權
共享文件的許可權從"Everyone"組改成"授權用戶"."Everyone"在
Windows 2000中意味著任何有權進入你的網路的用戶都能夠獲得這
些共享資料.
任何時候不要把共享文件的用戶設置成"Everyone"組.包括列印共
享,默認的屬性就是"Everyone"組的,一定不要忘了改.設置某文
件夾共享默認設置如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
8安全密碼
一些網路管理員創建帳號的時候往往用公司名,
計算機名,或者一些別的一猜就到的字元做用戶
名,然後又把這些帳戶的密碼設置得比較簡單,
這樣的帳戶應該要求用戶首此登陸的時候更改成
復雜的密碼,還要注意經常更改密碼.
這里給好密碼下了個定義:安全期內無法破解出
來的密碼就是好密碼,也就是說,如果得到了密
碼文檔,必須花43天或者更長的時間才能破解出
來,密碼策略是42天必須改密碼.
9屏幕保護密碼
設置屏幕保護密碼是防止內部人員破壞伺服器的一個屏
障.
還有一點,所有系統用戶所使用的機器也最好加上屏幕保
護密碼.
將屏幕保護的選項"密碼保護"選中就可以了,並將等待時
間設置為最短時間"1秒",如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
10 NTFS分區
把伺服器的所有分區都改成NTFS格式.NTFS文
件系統要比FAT,FAT32的文件系統安全得多.
11防毒軟體
Windows 2000/NT伺服器一般都沒有安裝防毒軟
件的,一些好的殺毒軟體不僅能殺掉一些著名的
病毒,還能查殺大量木馬和後門程序.
要經常升級病毒庫.
BJFU Info Department, QiJd第七章操作系統安全配置方案
12備份盤的安全
一旦系統資料被黑客破壞,備份盤將是恢
復資料的唯一途徑.備份完資料後,把備
份盤防在安全的地方.
把資料備份放在多台伺服器上.
BJFU Info Department, QiJd第七章操作系統安全配置方案
安全配置方案中級篇
安全配置方案中級篇主要介紹操作系統的安全策
略配置,包括十條基本配置原則:
(1)操作系統安全策略,
(2)關閉不必要的服務
(3)關閉不必要的埠,
(4)開啟審核策略
(5)開啟密碼策略,
(6)開啟帳戶策略,(7)備份敏感文件
(8)不顯示上次登陸名,(9)禁止建立空連接
(10)下載最新的補丁
1 操作系統安全策略
利用Windows 2000的安全配置工具來配置安全策略,微
軟提供了一套的基於管理控制台的安全配置和分析工具,
可以配置伺服器的安全策略.
在管理工具中可以找到"本地安全策略".
可以配置四類安全策略:帳戶策略,本地策略,公鑰策略
和IP安全策略.在默認的情況下,這些策略都是沒有開啟
的.
BJFU Info Department, QiJd第七章操作系統安全配置方案
2 關閉不必要的服務
Windows 2000的Terminal Services(終
端服務)和IIS(Internet 信息服務)等都
可能給系統帶來安全漏洞.
為了能夠在遠程方便的管理伺服器,很多
機器的終端服務都是開著的,如果開了,
要確認已經正確的配置了終端服務.
有些惡意的程序也能以服務方式悄悄的運
行伺服器上的終端服務.要留意伺服器上
開啟的所有服務並每天檢查.
Windows2000可禁用的服務
服務名說明
Computer Browser維護網路上計算機的最新列表以及提供這個
列表
Task scheler允許程序在指定時間運行
Routing and Remote
Access
在區域網以及廣域網環境中為企業提供路由
服務
Removable storage管理可移動媒體,驅動程序和庫
Remote Registry Service允許遠程注冊表操作
Print Spooler將文件載入到內存中以便以後列印.要用打
印機的用戶不能禁用這項服務
IPSEC Policy Agent管理IP安全策略以及啟動
ISAKMP/Oakley(IKE)和IP安全驅動程序
Distributed Link Tracking
Client
當文件在網路域的NTFS卷中移動時發送通
知
Com+ Event System提供事件的自動發布到訂閱COM組件
3 關閉不必要的埠
關閉埠意味著減少功能,如果伺服器安裝在防火牆的後面,被入侵
的機會就會少一些,但是不可以認為高枕無憂了.
用埠掃描器掃描系統所開放的埠,在
Winnt\system32\drivers\etc\services文件中有知名埠和服務的對
照表可供參考.該文件用記事本打開如圖所示.
設置本機開放的埠
設置本機開放的埠和服務,在IP地址設置窗口
中點擊按鈕"高級",如圖所示.
設置本機開放的埠
在出現的對話框中選擇選項卡"選項",選中
"TCP/IP篩選",點擊按鈕"屬性",如圖所示.
設置本機開放的埠
設置埠界面如圖所示.
一台Web伺服器只允許TCP的80埠通過就可以了.
TCP/IP篩選器是Windows自帶的防火牆,功能比較強
大,可以替代防火牆的部分功能.
4 開啟審核策略
安全審核是Windows 2000最基本的入侵檢測方法.當有人嘗試對系
統進行某種方式(如嘗試用戶密碼,改變帳戶策略和未經許可的文件
訪問等等)入侵的時候,都會被安全審核記錄下來.
必須開啟的審核如下表:
策略設置
審核系統登陸事件成功,失敗
審核帳戶管理成功,失敗
審核登陸事件成功,失敗
審核對象訪問成功
審核策略更改成功,失敗
審核特權使用成功,失敗
審核系統事件成功,失敗
審核策略默認設置
審核策略在默認的情況下都是沒有開啟的,如圖所
示.
設置審核策略
雙擊審核列表的某一項,出現設置對話框,將復
選框"成功"和"失敗"都選中,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
5 開啟密碼策略
密碼對系統安全非常重要.本地安全設置
中的密碼策略在默認的情況下都沒有開
啟.需要開啟的密碼策略如表所示
策略設置
密碼復雜性要求啟用
密碼長度最小值6位
密碼最長存留期15天
強制密碼歷史5個
設置密碼策略
設置選項如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
6 開啟帳戶策略
開啟帳戶策略可以有效的防止字典式攻擊,
設置如表所示.
策略設置
復位帳戶鎖定計數器30分鍾
帳戶鎖定時間30分鍾
帳戶鎖定閾值5次
BJFU Info Department, QiJd第七章操作系統安全配置方案
設置帳戶策略
設置的結果如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
7 備份敏感文件
把敏感文件存放在另外的文件伺服器中;
把一些重要的用戶數據(文件,數據表和
項目文件等)存放在另外一個安全的服務
器中,並且經常備份它們
8 不顯示上次登錄名
默認情況下,終端服務接入伺服器時,登陸對話框中會顯示上次登陸
的帳戶名,本地的登陸對話框也是一樣.黑客們可以得到系統的一些
用戶名,進而做密碼猜測.
修改注冊表禁止顯示上次登錄名,在HKEY_LOCAL_MACHINE主鍵
下修改子鍵:
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont
DisplayLastUserName,將鍵值改成1,如圖所示.
9 禁止建立空連接
默認情況下,任何用戶通過空連接連上伺服器,進而可以
枚舉出帳號,猜測密碼.
可以通過修改注冊表來禁止建立空連接.在
HKEY_LOCAL_MACHINE主鍵下修改子鍵:
System\CurrentControlSet\Control\LSA\RestrictAnon
ymous,將鍵值改成"1"即可.如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
10 下載最新的補丁
很多網路管理員沒有訪問安全站點的習
慣,以至於一些漏洞都出了很久了,還放
著伺服器的漏洞不補給人家當靶子用.
經常訪問微軟和一些安全站點,下載最新
的Service Pack和漏洞補丁,是保障服務
器長久安全的唯一方法.
BJFU Info Department, QiJd第七章操作系統安全配置方案
安全配置方案高級篇
高級篇介紹操作系統安全信息通信配置,包
括十四條配置原則:
(1)關閉DirectDraw,(2)關閉默認共享
(3)禁用Dump File,(4)文件加密系統
(5)加密Temp文件夾(6)鎖住注冊表,
(7)關機時清除文件
(8)禁止軟盤光碟啟動(9)使用智能卡,
(10)使用IPSec
(11)禁止判斷主機類型,(12)抵抗DDOS
(13)禁止Guest訪問日誌
(14)數據恢復軟體
1 關閉DirectDraw
C2級安全標准對視頻卡和內存有要求.關閉DirectDraw可能對一些
需要用到DirectX的程序有影響(比如游戲),但是對於絕大多數的
商業站點都是沒有影響的.
在HKEY_LOCAL_MACHINE主鍵下修改子鍵:
SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeo
ut,將鍵值改為"0"即可,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
2 關閉默認共享
Windows 2000安裝以後,系統會創建一些隱藏的
共享,可以在DOS提示符下輸入命令Net Share 查
看,如圖所示.
停止默認共享
禁止這些共享,打開管理工具>計算機管理>共享文件夾>
共享,在相應的共享文件夾上按右鍵,點"停止共享"即
可,如圖所示.
3 禁用Dump文件
在系統崩潰和藍屏的時候,Dump文件是一份很有用資
料,可以幫助查找問題.然而,也能夠給黑客提供一些敏
感信息,比如一些應用程序的密碼等
需要禁止它,打開控制面板>系統屬性>高級>啟動和故障
恢復,把寫入調試信息改成無,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
4 文件加密系統
Windows2000強大的加密系統能夠給磁碟,文
件夾,文件加上一層安全保護.這樣可以防止別
人把你的硬碟掛到別的機器上以讀出裡面的數
據.
微軟公司為了彌補Windows NT 4.0的不足,在
Windows 2000中,提供了一種基於新一代
NTFS:NTFS V5(第5版本)的加密文件系統
(Encrypted File System,簡稱EFS).
EFS實現的是一種基於公共密鑰的數據加密方
式,利用了Windows 2000中的CryptoAPI結
構.
BJFU Info Department, QiJd第七章操作系統安全配置方案
5 加密Temp文件夾
一些應用程序在安裝和升級的時候,會把
一些數據拷貝到Temp文件夾,但是當程序
升級完畢或關閉的時候,並不會自己清除
Temp文件夾的內容.
所以,給Temp文件夾加密可以多一層保
護.
6 鎖住注冊表 在Windows2000中,只有Administrators和Backup Operators才有從
網路上訪問注冊表的許可權.當帳號的密碼泄漏以後,黑客也可以在遠程
訪問注冊表,當伺服器放到網路上的時候,一般需要鎖定注冊表.修改
Hkey_current_user下的子鍵
Software\microsoft\windows\currentversion\Policies\system
把DisableRegistryTools的值該為0,類型為DWORD,如圖所示.
7 關機時清除文件 頁面文件也就是調度文件,是Windows 2000用來存儲沒有裝入內存
的程序和數據文件部分的隱藏文件.
一些第三方的程序可以把一些沒有的加密的密碼存在內存中,頁面文
件中可能含有另外一些敏感的資料.要在關機的時候清除頁面文件,
可以編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵:
-SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management
-把ClearPageFileAtShutdown的值設置成1,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
8 禁止軟盤光碟啟動
一些第三方的工具能通過引導系統來繞過原有的
安全機制.比如一些管理員工具,從軟盤上或者
光碟上引導系統以後,就可以修改硬碟上操作系
統的管理員密碼.
如果伺服器對安全要求非常高,可以考慮使用可
移動軟盤和光碟機,把機箱鎖起來仍然不失為一個
好方法.
BJFU Info Department, QiJd第七章操作系統安全配置方案
9 使用智能卡
對於密碼,總是使安全管理員進退兩難,
容易受到一些工具的攻擊,如果密碼太復
雜,用戶把為了記住密碼,會把密碼到處
亂寫.
如果條件允許,用智能卡來代替復雜的密
碼是一個很好的解決方法.
BJFU Info Department, QiJd第七章操作系統安全配置方案
10 使用IPSec
正如其名字的含義,IPSec提供IP數據包的
安全性.
IPSec提供身份驗證,完整性和可選擇的機
密性.發送方計算機在傳輸之前加密數
據,而接收方計算機在收到數據之後解密
數據.
利用IPSec可以使得系統的安全性能大大增
強.
11 禁止判斷主機類型
黑客利用TTL(Time-To-Live,生存時間)值可以鑒別操作系統的類
型,通過Ping指令能判斷目標主機類型.Ping的用處是檢測目標主
機是否連通.
許多入侵者首先會Ping一下主機,因為攻擊某一台計算機需要根據
對方的操作系統,是Windows還是Unix.如過TTL值為128就可以認
為你的系統為Windows 2000,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
TTL值-判斷主機類型
從表中可以看出,TTL值為128,說明改主機的操作系統
是Windows 2000操作系統.下表給出了一些常見操作系
統的對照值.
操作系統類型TTL返回值
Windows 2000128
Windows NT107
win9x128 or 127
solaris252
IRIX240
AIX247
Linux241 or 240
BJFU Info Department, QiJd第七章操作系統安全配置方案
修改TTL的值
修改TTL的值,入侵者就無法入侵電腦了.比如將操作系統的TTL值
改為111,修改主鍵HKEY_LOCAL_MACHINE的子鍵:
SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAME
TERS
新建一個雙位元組項,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
修改TTL的值
在鍵的名稱中輸入"defaultTTL",然後雙擊改鍵名,選擇
單選框"十進制",在文本框中輸入111,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
修改TTL的值
設置完畢重新啟動計算機,再用Ping指令,發現
TTL的值已經被改成111了,如圖所示.
12 抵抗DDOS
添加註冊表的一些鍵值,可以有效的抵抗DDOS的攻擊.在鍵值
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcp
ip\Parameters]下增加響應的鍵及其說明如表所示.
增加的鍵值鍵值說明
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000000
"KeepAliveTime"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
基本設置
"EnableICMPRedirects"=dword:00000000防止ICMP重定向報文的攻擊
"SynAttackProtect"=dword:00000002防止SYN洪水攻擊
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxHalfOpen"=dword:00000100
僅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried設置
超出范圍時,保護機制才會採取
措施
"IGMPLevel"=dword:00000000不支持IGMP協議
"EnableDeadGWDetect"=dword:00000000禁止死網關監測技術
"IPEnableRouter"=dword:00000001支持路由功能
BJFU Info Department, QiJd第七章操作系統安全配置方案
13 禁止Guest訪問日誌
在默認安裝的Windows NT和Windows 2000中,Guest
帳號和匿名用戶可以查看系統的事件日誌,可能導致許多
重要信息的泄漏,修改注冊表來禁止Guest訪問事件日
志.
禁止Guest訪問應用日誌
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\Application下添加鍵值名稱為:
RestrictGuestAccess,類型為:DWORD,將值設置為1.
系統日誌:
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\System下添加鍵值名稱為:
RestrictGuestAccess,類型為:DWORD,將值設置為1.
安全日誌
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\Security下添加鍵值名稱為:
RestrictGuestAccess,類型為:DWORD,將值設置為1.
14 數據恢復軟體
當數據被病毒或者入侵者破壞後,可以利用數據恢復軟體
可以找回部分被刪除的數據,在恢復軟體中一個著名的軟
件是Easy Recovery.軟體功能強大,可以恢復被誤刪除
的文件,丟失的硬碟分區等等.軟體的主界面如圖所示.
Easy Recovery
比如原來在E盤上有一些數據文件,被刪除了,選擇左邊
欄目"Data Recovery",然後選擇左邊的按鈕
"Advanced Recovery",如圖所示.
Easy Recovery
進入Advanced Recovery對話框後,軟體自動掃描出目
前硬碟分區的情況,分區信息是直接從分區表中讀取出來
的,如圖所示.
Easy Recovery
現在要恢復E盤上的文件,所以選擇E盤,點擊按
鈕"Next",如圖所示.
Easy Recovery
軟體開始自動掃描該盤上曾經有哪些被刪除了文件,根據
硬碟的大小,需要一段比較長的時間,如圖所示.
Easy Recovery
掃描完成以後,將該盤上所有的文件以及文件夾顯示出
來,包括曾經被刪除文件和文件夾,如圖所示.
Easy Recoery
選中某個文件夾或者文件前面的復選框,然後點
擊按鈕"Next",就可以恢復了.如圖所示.
Easy Recovery
在恢復的對話框中選擇一個本地的文件夾,將文件保存到
該文件夾中,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
Easy Recovery
選擇一個文件夾後,點擊按鈕"Next",就出現了恢復的
進度對話框,如圖所示.
BJFU Info Department, QiJd第七章操作系統安全配置方案
本章總結
本章分成三部分介紹Windows 2000的安
全配置.
三部分共介紹安全配置三十六項,如果每
一條都能得到很好的實施的話,該伺服器
無論是在區域網還是廣域網,即使沒有網
絡防火牆,已經比較安全了.
需要重點理解三大部分中的每一項設置,
並掌握如何設置.

2、目前網站主流的伺服器操作系統是什麼版本的？

樓主你好，大多數網站的伺服器用的操作系統是win2003.，有一些網站的伺服器用的系統是win2008或win2008 r2，還有一些網站的伺服器的系統用的是linux，就是這些了，win2003就相當於網站伺服器用的xp系統，win2008就相當於網站伺服器用的vista系統，所以2008系統對應的是vista，win2008 r2相當於網站用的win7系統，呵呵

3、主流的伺服器操作系統有哪些

老魏就拿目前國內主流的雲伺服器系統舉例子吧，

目前常用的是Windows和Linux這兩大類伺服器系統，細分起來類別就很多了。

win分為 20122016，每個版本裡面還可以細分為server 數據中心版英文、中文等版本。

linux包括的就更多了，有CentOS，Red Hat，Debian，Ubuntu等等。

4、網路伺服器有哪些主流操作系統

伺服器操作系統主要分為四大流派:WINDOWS、NETWARE、UNIX、LINUX。
WINDOWS伺服器操作系統大家應該都不會陌生，這是全球最大的操作系統開發商--Microsoft公司開發的。其伺服器操作系統重要版本WINNT 4.0 Server、Win2000/Advanced Server、Win2003/Advanced Server,也支撐起目前市面上應用最多的伺服器操作系統--Windows伺服器操作系統派應用。
NetWare伺服器操作系統對現在一些IT圈裡的朋友可能就比較陌生，由於種種原因，它的市場佔有率已經非常局限，主要應用在某些特定的行業中。也就是因為此，在很多朋友在劃分操作系統派系的時候，去除了NETWARE的代表權。其實，如果80年代前出生的老IT，對於NetWare這個名詞就會異常熟悉了，因為在當初各種設備和網路都比較落後的年代，NetWare在區域網應用中占據著絕對的高額市場;而就算是目前，在一些特定行業和事業單位中，NetWare優秀的批處理功能和安全、穩定的系統性能也有很大的生存空間。NetWare目前常用的版本主要有Novell的3.11、3.12、4.10、5.0等中英文版。
Unix伺服器操作系統由AT&T公司和SCO公司共同推出，主要支持大型的文件系統服務、數據服務等應用。由於一些出眾的伺服器廠商生產的高端伺服器產品中甚至只支持Unix操作系統，因而在很多人的眼中，Unix甚至成為高端操作系統的代名詞。目前市面上流傳的主要有SCO SVR、BSD Unix、SUN Solaris、IBM-AIX 。
Linux伺服器操作系統是國外幾位IT前輩，在Posix和Unix基礎上開發出來的，支持多用戶、多任務、多線程、多CPU。Linux開放源代碼政策，使得基於其平台的開發與使用無須支付任何單位和個人的版權費用，成為後來很多操作系統廠家創業的基石，同時也成為目前國內外很多保密機構伺服器操作系統采購的首選。

5、現在主流的 Linux 伺服器操作系統有哪些

幾大主流伺服器的操作系統特性概述

伺服器市場現階段的推動力主要由產品來主導，而產品的牽引主要由上游晶元廠商的性能提升來指向。更新年年有，今年特別多。越來越多、越來越快的伺服器硬體新品推出似乎產生了更多的商機，但有時候也讓使用者的眼神感覺疲憊。

產品總是為服務做准備，而伺服器應用的基礎是操作系統。本章中，筆者將把長期以來對於一些主流操作系統的應用體驗在此展示一下，希望在感覺一絲新意之餘，能夠為朋友們選擇伺服器操作系統提供些微的參考。

1、伺服器操作系統的分類

操作系統英文原稱Operating System(簡稱OS)，主要功能是實現計算機硬體與軟體的直接控制，並進行管理協調。

操作系統主要分為兩部分：內核(Kernel)，殼(Shell)。

顧名思義，內核主要實現計算機硬體與殼之間的信息傳遞與溝通，是一個操作系統最核心技術的體現；殼主要負責傳遞內核與應用程序之間的信息交流，將內核與軟體的內外部命令用利用底層語言進行相互轉譯，實現一個個的操作請求。對於Windows系統來說，內核與殼之間相互聯系，就如同一個只會外語的洋老闆與中國翻譯的位置，是一個管理與被管理的關系；對於Unix與Linux來說，由於將內核與殼完全分離，就如同一個廠商與一個代理商之間的關系，雙方互利協作，廠商可以隨時取消代理商的代理權來另找代理，而代理同時也可以不需要這個代理權。

伺服器操作系統，又名網路操作系統。相比個人版操作系統，在一個具體的網路中，伺服器操作系統要承擔額外的管理、配置、穩定、安全等功能，處於每個網路中的心臟部位，其網路操作系統的別稱也由此而來。

伺服器操作系統主要分為四大流派：WINDOWS、NETWARE、UNIX、LINUX。

WINDOWS伺服器操作系統大家應該都不會陌生，這是全球最大的操作系統開發商——Microsoft公司開發的。其伺服器操作系統重要版本WINNT 4.0 Server、Win2000/Advanced Server、Win2003/Advanced Server,也支撐起目前市面上應用最多的伺服器操作系統——Windows伺服器操作系統派應用。

NetWare伺服器操作系統對現在一些IT圈裡的朋友可能就比較陌生，由於種種原因，它的市場佔有率已經非常局限，主要應用在某些特定的行業中。也就是因為此，在很多朋友在劃分操作系統派系的時候，去除了NETWARE的代表權。其實，如果80年代前出生的老IT，對於NetWare這個名詞就會異常熟悉了，因為在當初各種設備和網路都比較落後的年代，NetWare在區域網應用中占據著絕對的高額市場；而就算是目前，在一些特定行業和事業單位中，NetWare優秀的批處理功能和安全、穩定的系統性能也有很大的生存空間。NetWare目前常用的版本主要有Novell的3.11、3.12、4.10、5.0等中英文版。

Unix伺服器操作系統由AT&T公司和SCO公司共同推出，主要支持大型的文件系統服務、數據服務等應用。由於一些出眾的伺服器廠商生產的高端伺服器產品中甚至只支持Unix操作系統，因而在很多人的眼中，Unix甚至成為高端操作系統的代名詞。目前市面上流傳的主要有SCO SVR、BSD Unix、SUN Solaris、IBM-AIX 。

Linux伺服器操作系統是國外幾位IT前輩，在Posix和Unix基礎上開發出來的，支持多用戶、多任務、多線程、多CPU。Linux開放源代碼政策，使得基於其平台的開發與使用無須支付任何單位和個人的版權費用，成為後來很多操作系統廠家創業的基石，同時也成為目前國內外很多保密機構伺服器操作系統采購的首選。目前國內主流市場中使用的主要有Novell的中文版Suse Linux 9.0、小紅帽系列、紅旗Linux系列等。

2、Windows伺服器操作系統

1)WINNT 4.0

WINNT Server可算得是開了直觀、穩定、安全的伺服器平台的先河。

當Windows操作系統以第一人性化的操作界面占據大片江山的時候，Windows系列產品在當時的主流的95、97系列中表現出的頻繁機、後門敞開等問題，卻成為競爭對手與用戶同時攻擊的對象。痛定思痛，在經過很長一段時間的閉門練功之後，Microsoft對自己的Windows系列產品與競爭對手的產品經過各方位測試比較，總結各自的優缺點，融入新的安全觀念，在人性化的直觀操作基礎上，開發出影響深遠的新技術NT架構內核。盡管由於技術的發展，後來的業內人員還是找出其中不少的缺點，但是其NT內核技術的開發與操作直觀、安全等理念的實現，對於伺服器操作系統的發展來說，仍然具有劃時代的意義。時至今日，雖然Microsoft已經取消了對NT版本的升級服務，但一些懷舊和追求簡單實用功能的IT人士，還是在一些特定的應用中使用到它。

優點：操作直觀，易於使用，功能實用，安全性能比較好，可用於單一的防火牆等伺服器上。

缺點：運行速度慢，功能不夠完善，當進行超出系統處理能力的多項並發處理時，單個線程的不響應將會系統由於不堪重負產生機現象，需要對伺服器進行重啟操作，Microsoft已停止對其進行所有升級服務，市面上已無正版產品的銷售。

2)Win2000/Advanced Server

Win2000/Advanced Server是在NT技術上發展起來的，當越來越多的人指責NT系統運行速度慢如蝸牛時，Microsoft對NT內核的殼部分進行了很大程度的響應與傳輸優化，並在NT基礎上增加了很多的附加管理功能，這樣就誕生了Win2000/Advanced Server的初始版本(Advanced Server版本相對Server版本所具有的管理功能更加全面)。Win2000系列伺服器操作系統秉承了Windows一貫的直觀易用的優良傳統，並在原有的基礎上實現了速度與功能的提升，在安全上也修補了所有以往的後門，是目前為止Windows伺服器操作系統中市場使用最普遍的一款伺服器，為Windows市場分額的直線提升立下了汗馬功勞。但隨著時間的推移，Windows一貫的後門失守現象也越來越多的呈現在大眾的面前，而且目前Microsoft公司也已經停止此系列產品的銷售與系統升級服務，不免使得很多仍執著跟隨的朋友產生了很多遺憾。

優點：操作直觀，易於使用，功能隨著時代的發展具有大幅的提升，管理更加全面，相對NT版本，當單個線程不響應時，其他線程的處理仍然可以繼續進行，系統無需重啟，現代社會的很多應用仍然能夠實現。

缺點：運行速度雖然較NT版本有不小的提升，但是在有一部分追求完美的應用者來說，仍然有恨鐵不成鋼的情緒；由於是在原有完整NT內核的基礎上對所有的高端功能應用進行開發的，系統的穩定與安全性有部分的削弱；Microsoft已停止對Win2000系列伺服器進銷售與升級服務支持。

3)Win2003/Advanced Server

Win2003/Advanced Server繼承了有歷以來最具人性化的WinXP界面，對於原由內核處理技術進行了更大程度的改良，在安全性能上相對以前版本也有很大的提升，在管理功能上增加了許多流行的新技術，目前在Windows系列伺服器中，其實際應用的比例與2000系列伺服器產品基本相當。

優點：操作易用性是除了XP以外最人性化的版本，安全性是目前為止Windows全系列伺服器產品中最好的，線程處理速度跟隨硬體的發展有不小的提升，管理能力也有不小的提升，是目前Windows伺服器中主流產品。

缺點：安全性能仍有待更加完善，由於管理功能的增加，需要處理的線程更加繁雜，如果使用同樣的硬體，2000系列比2003系列產品在處理速度上會稍快。

3、UNIX伺服器操作系統

Unix伺服器操作系統最初是由AT&T與SCO兩家公司共同推出，由於看到其系統的高穩定性與安全性，兼且對於大型文件系統、大型資料庫系統的支持，使得在伺服器領域具有卓越硬體研發功力的SUN與IBM兩家公司也忍不住誘惑，加入其中，並且在其伺服器操作系統推出不久，就藉助其在伺服器硬體領域的市場，推動了兩家伺服器操作系統趕超UNIX創始人的局面。

1)SCO SVR、BSD Unix

Unix由，Unix SCO SVR就是Unix技術創始人之一SCO公司的產品。由SCO公司開發的Unix SCO SVR和由AT&T主導的BSD Unix能夠支持所有Unix系統都能實現的網路大型文件系統、資料庫系統的支持，並且隨著時代發展，能夠支持越來越多的軟體應用。此外，由於Unix系列的所有系統都屬於非開源代碼，而其系統的技術研發層面沒有得到更多的推廣，在外界對其知曉並不是很多的情況下，其本來就高高在上的系統穩定性與安全性地位就更加顯得無法動搖。

優點：系統安全性與穩定性猶如業界無法動搖的泰山，能夠支持大型文件系統與資料庫系統，處於技術創始人地位的兩位元老級Unix，一直在業界受到無數人狂熱的追捧；

缺點：所有操作都需要輸入代碼式的命令觸動，人性化顯得非常差，這樣也絆住了其對於中低端伺服器市場的發展；雖然廠家位於技術創始人的地位，而且產品對於應用軟體的支持一直都有所改善，但是臨到後來，因為其本身的高端伺服器操作系統定義，深層的技術研發沒有得到更多的推廣，導致這些改善的結果並未有太大的起色。

2)SUN Solaris、IBM-AIX

之所以把以上的四家產品只分為兩組來談，主要原因是筆者以實際應用的角度來看：四者其實都是定位於高端伺服器操作系統市場的，在實際應用中，四者在處於高端定位上的技術差別非常微小，如果非要分一個具體的差別，那就從四位歷史的起源與科技的進一步發展狀況來區別——SCO與AT&T屬於創業始祖，SUN與IBM屬於後來居上者。而從結果中所得的猜測是，由於本組所談的這兩者的伺服器產品市場佔有率稍高，伺服器廠商對於己身的伺服器操作系統支持比較足夠，這就對兩這伺服器的市場佔有率和技術含量起了很大的推動力。

優點：支持大型文件系統與資料庫，傳承了UNIX一貫的高能級系統安全性、穩定性，對於系統應用軟體的支持比較完善。

缺點：沾染了Unix系操作系統的通病，人性化界面肯定談不上好了；由於IBM-AIX屬於非開源代碼，技術層面未能得到有效推廣，使得相關維護人員的僱傭成本比較高，不利於佔有率更多的中低端市場的進一步推廣與普及；SUN對於源代碼的開放時日尚短，目前也還沒有享受到開源代碼比較新穎的技術創新推動；兩者面向企業的伺服器端都是採取收費服務的方式，用戶在享受兩家高穩定性與安全性的硬體產品同時與伺服器操作系統技術支持服務之時，「物美價廉」的想法是可以作罷了。

4、Linux伺服器操作系統

1)小紅帽系列、紅旗Linux

Linux在中國的商用，很大程度上是政府采購的推動。考慮到機密數據的安全性，在前幾年的一次政府采購中，具有開放的源代碼基礎的Linux操作系統似乎意外但也帶有些必然性的中標，對於伺服器操作系統市場來說，無意於引起了一場大地震，而官方獲利最大的紅旗和民間流傳最廣的小紅帽也就成為國內Linux系統的代表。但其實在真正的使用中，除了在圖標與細枝末節的功能差別外，這兩個Linux廠商代表的核心技術都是無差別化的雷同。

優點：源代碼的開放，使得該類伺服器操作系統的技術完善從民間得到了其他廠商無法比擬的雄厚力量，在此基礎上所形成的一件伺服器操作系統成品是任何力量都不可忽視的，因而其所具有的兼容、安全、穩定的Linux特性也是其他伺服器操作系統廠商不容易實現的；Linux

缺點：由於其是基於Unix系統所做的開發修補，屬於類Unix模式，這就決定了其系統的兼容性相比其他伺服器操作系統兼容的軟體來說，還是具有一定差距的；Linux的操作基本也是利用輸入代碼命令進行應用實現的方式，使得其在人性化方面還是處於相當的劣勢，其後果必然導致維護成本的相對偏高。

2)Suse Linux

其實在本組中筆者要提到的是Suse Linux10，不過因為其推出的時間只是上月末，離現在剛剛半個月的時間，在市面上最多的還是它的前輩Suse Linux9.0，所以筆者在之前Linux技術與產品介紹中提到的只是大家都比較熟悉的9.0版本。

很幸運，在Novell將Suse Linux10正式發布後第二天，筆者一位同事通過一些渠道獲得其試用版，並且在筆者身旁做完了長達三天的測試，筆者也切身體驗了這個結合Linux開源與微軟人性化的新伺服器操作系統。以下的優缺點分析也就是筆者要談到的Suse Linux10的特點。

優點：具有Linux一貫穩定、安全的系統性能，兼容性相對目前主流的伺服器操作系統也有很大的提升，具有相當於微軟系列操作系統般的人性化設計，增加操作系統中絢麗而高難的三維立體空間顯示，屬於另一個劃時代的產品。

缺點：雖然相對以前各家的軟體兼容性有不小的提高，但因為市場中對於Linux系統支持的軟體開發商本來就不多，所以它還是延續了Linux兼容性暫時差於微軟的特性；系統所需的立體空間顯示技術，並不是如同發布會當天Novell發言人所說的那樣，只需要四五年前的主流PC的CPU性能和主板集成的顯卡就可以完成。筆者看到的實際情況是，在微軟系統中播放正常的一集美國大片，當在Suse Linux10.0上以三維立體空間技術播放時，播放了不到30秒鍾，音頻就一楨楨的跳著繼續，視頻更是好象播放劃花的盜版光碟一樣，在顯示器上顯示一個大花臉和不斷顫動的波紋。

5、Netware伺服器操作系統

Netware伺服器操作系統的誕生比較早，在信息發展相對比較落後的年代，由於其對當時主流操作系統DOS命令的兼容，讓很多使用者的入門與提高非常容易，這樣就使得其對市場的推廣更加有利。而當其版本一代代進行升級後，越來越多的人看到了它對基礎設備低要求、很方便的實現網路聯接與支持、對無盤工作站的優化組建、支持更多應用軟體的優勢。這樣，隨著時間的推移，Netware就漸漸成長成為當時區域網伺服器操作系統的一方霸主。

隨著信息技術的進一步前進以及Windows系統的出世，便宜性的人性化操作系統時代趨勢擋住了其前進的步伐，並一再迫使其業績走向滑坡。在目前社會的應用中，只有在金融這些需要無盤工作站的特定行業以及設備成本預算比較少的教育部門、小型企業等還維系其生存。

優點：操作相對方便，對設備的要求很低，對於網路的組建具有先天的優勢，相對DOS能夠支持更多的應用，能夠支持金融行業所需的無盤工作站同時節省成本，能夠支持很多游戲軟體的開發環境搭建，系統穩定性和Unix系統基本處於對等水平。

缺點：由於操作仍然大部分依靠手工輸入命令來實現，人性化顯得比較弱勢；對於硬碟的識別最高只能達到1G，無法滿足現在社會對於大容量伺服器的需求；各版本的升級只是實現了部分功能的實現與軟體支持，沒有更深層次的技術革新。

總結：筆者在此只是就伺服器操作系統的應用在比較宏觀的應用感官層面發表一下自己的意見。而其實除了以上我所提供的一些體驗參考外，在選用伺服器操作系統時，還存在很多包括具體方案、伺服器規格、網路配套、軟體應用、成本計算等諸多現實環境因素要考慮，可以的話，還是建議朋友們經過慎重考慮之後才確定——畢竟一個伺服器建立以後，可能就需要馬上控制一個或多個重要業務系統的管理了。

6、目前主流的伺服器操作系統有哪幾種優點

伺服器操作系統主要分為四大流派：WINDOWS、NETWARE、UNIX、LINUX。

WINDOWS伺服器操作系統大家應該都不會陌生，這是全球最大的操作系統開發商——Microsoft公司開發的。其伺服器操作系統重要版本WINNT 4.0 Server、Win2000/Advanced Server、Win2003/Advanced Server,也支撐起目前市面上應用最多的伺服器操作系統——Windows伺服器操作系統派應用。

NetWare伺服器操作系統對現在一些IT圈裡的朋友可能就比較陌生，由於種種原因，它的市場佔有率已經非常局限，主要應用在某些特定的行業中。也就是因為此，在很多朋友在劃分操作系統派系的時候，去除了NETWARE的代表權。其實，如果80年代前出生的老IT，對於NetWare這個名詞就會異常熟悉了，因為在當初各種設備和網路都比較落後的年代，NetWare在區域網應用中占據著絕對的高額市場；而就算是目前，在一些特定行業和事業單位中，NetWare優秀的批處理功能和安全、穩定的系統性能也有很大的生存空間。NetWare目前常用的版本主要有Novell的3.11、3.12、4.10、5.0等中英文版。

Unix伺服器操作系統由AT&T公司和SCO公司共同推出，主要支持大型的文件系統服務、數據服務等應用。由於一些出眾的伺服器廠商生產的高端伺服器產品中甚至只支持Unix操作系統，因而在很多人的眼中，Unix甚至成為高端操作系統的代名詞。目前市面上流傳的主要有SCO SVR、BSD Unix、SUN Solaris、IBM-AIX 。

Linux伺服器操作系統是國外幾位IT前輩，在Posix和Unix基礎上開發出來的，支持多用戶、多任務、多線程、多CPU。Linux開放源代碼政策，使得基於其平台的開發與使用無須支付任何單位和個人的版權費用，成為後來很多操作系統廠家創業的基石，同時也成為目前國內外很多保密機構伺服器操作系統采購的首選。目前國內主流市場中使用的主要有Novell的中文版Suse Linux 9.0、小紅帽系列、紅旗Linux系列等。

7、主流的伺服器操作系統有哪些？

windows,linux,unix

windows 2003
windows 2008
red hat
centos
freebsd
AIX
還有很多，用的也很多

8、目前主流的伺服器操作系統有哪些？

伺服器操作系統主要分為四大流派：WINDOWS、NETWARE、UNIX、LINUX。

Windows派：WINNT 4.0 Server、Win2000/Advanced Server、Win2003/Advanced Server

NETWARE派：Novell的3.11、3.12、4.10、5.0等中英文版

Unix派：SCO SVR、BSD Unix、SUN Solaris、IBM-AIX

Linux派：中文版Suse Linux 9.0、小紅帽系列、紅旗Linux系列等