当前位置：首页 > 范文大全 > 实用文>WIN技巧：详述WIN验证机制的安全测试

WIN技巧：详述WIN验证机制的安全测试

2023-08-06 08:55:09 收藏本文下载本文

“小冲猴”通过精心收集，向本站投稿了10篇WIN技巧：详述WIN验证机制的安全测试，以下是小编为大家整理后的WIN技巧：详述WIN验证机制的安全测试，欢迎参阅，希望可以帮助到有需要的朋友。

篇1：WIN技巧：详述WIN验证机制的安全测试

身份验证机制是用户登录操作系统必须要过的一个“关卡”，只有通过验证用户才录系统，Windows的身份验证是非常严密和复杂的，这也是保证系统安全的基础。那么，是否意味着Windows的身份验证机制就无懈可击呢?笔者最近对Windows的验证机制进行了一番测试，测试中发现了其身份验证的一些缺陷。下面笔者将再现测试过程，然后结合实验分析其验证机制，揭示其验证过程中存在的问题。

一、实验探索Windows验证机制

(一)环境描述

有两台测试主机，Test1和Test2，其IP地址分别为192.168.1.10和192.168.1.20。在它们上创建同一用户名Fr，并且为其设置同样的密码，另外还有用户名相同但密码不同的administrator帐户。同时在Test2上创建了共享文件夹share，通过帐户的改变来访问该文件夹用以研究Windows的难机制。

(二)关于帐户验证

1.帐户验证机制

Windows的帐户验证机制称为LSA，具体的实现过程依靠的是lasaa.exe。Windows的认证机制是基于Principal(角色)验证的，它是Windows验证的主体，可以是单个的帐户，也可以是一用户组还可以是一台计算机。比如对我的计算机来说我就是一个Principal，是计算机要难的一个主体，当系统启动后我们通过winlogon.exe提交的帐户和密码称之为Credential(证据)，就是证明Principal的证据，当我们提交了Credential后，系统就会调用lsass,exe将提交信息与本地计算机SAM数据库中的信息进行比较，来完成验证，

2.验证实验

为了更好地管理帐户，我们可以使用域进行帐户管理，当使用域来进行帐户管理时时，每次都是

通过Windows系统中的netlogon服务来完成的，具体的实现是依靠lsass.exe启动本地计算机的netlogon服务，与远程域控制器上的netlogon服务建立连接，来实现验证。我们下面要进行的所有实现都是基于LAS的本地验证机制的。

(1).启动Test1和Test2电脑，都使用Fr帐户来登录系统，然后在Test1计算机的“运行”栏中输入“\192.168.1.20share”，Test1可以直接访问到Test2。测试结果说明：两台计算机使用相同的帐户和密码登录系统后，可以实现共享的直接访问。(图1)

(2).重新启动计算机Test1和Test2，都使用administrator帐户进行登录，同样在“运行”栏中执行刚才的命令，Test1电脑在访问Test2的时候弹出了如图2所示的对话框，需要输入帐户和密码才行，我们输入帐户administrator和密码test后成功访问。测试结果说明：使用不同的帐户进行登录，即便是计算机上存在相同的帐户，但由于密码不同也不可以直接访问共享。(图2)

总结：由实验1和实验2我们得出了一个结论，只有两台计算机上的登录帐户和密码完全相同才可以实现直接访问。这个实验结论其实就是LSA验证的一个特点，在网络中不使用的域这两台计算机，只要登录帐户和密码完全相同，就可以实现互访，而不需要输入帐户和密码。

篇2：WIN技巧：验证WINServer03群集安装

使用“群集管理器”(CluAdmin.exe)，在节点 1 上验证群集服务安装，

验证群集安装

1. 依次单击开始、所有程序和管理工具，然后单击群集管理器，

2. 确认所有的资源均顺利地实现了联机，如下面的图 1 所示。

图 1：“群集管理器”验证所有的资源均顺利地实现联机

请注意：原则上，不要将任何东西放到群集组中，不要从群集组中取出任何东西，也不要使用群集组中的任何东西执行群集管理以外的操作。

篇3：WIN技巧：用安全加强WIN的安全

Windows NT家族的操作系统DDWindows XP、Windows 、NT 4.0和NT 3.x一直以缺乏安全性饱受争议，但实际上，这些操作系统（包括Novell Netware和各种UNIX变种）都具有相当好的安全性，它们都装备了数以千计的“锁”DD这是一些操作系统用来确保安全性的部件，能够让我们作出只允许用户A可以在对象B上实施动作C之类的规定。

NT和Netware之间的区别在于，虽然两种操作系统都提供了这类锁，但一个新装的Netware系统中这些锁默认是锁上的，管理员根据需要有选择地打开某些锁；而在一个新装的N T操作系统中，大部分的锁默认处于打开状态，管理员的任务是关闭某些可能引起安全隐患的锁。（Windows Server 的情况有所不同，它的设计改用了Netware策略。相比之下，Win 2K默认锁上的选项要多于NT 4.0，而新装的XP又比Win 2K Pro有更多的安全限制。）

对于NT系列平台的管理员来说，这些锁带来的是一个两难的局面：从理论上看，它们确实提供了保障服务器和工作站安全的机制；但实际操作起来却要耗费大量的时间。XP是一个优秀的操作系统，但如果要我们检查每一台机器，依次调整数十种授权和权限选项来保证系统的安全，很多人会把XP或其他NT系列的操作系统看成代价昂贵和浪费时间的代名词。我们需要一种快速配置安全选项的办法，它能够根据要求自动批量设定所有与安全有关的配置。

这种办法确实存在，它就是安全模板。安全模板是一种ASCII文本文件，它定义了本地权限、安全配置、本地组成员、服务、文件和目录授权、注册表授权等方面的信息。创建好安全模板之后，我们只要一个命令就可以将它定义的信息应用/部署到系统，所有它定义的安全配置都立即生效DD原本需要数小时修补注册表、倒腾管理控制台“计算机管理”单元以及其他管理工具才能完成的工作，现在只需数秒就可以搞定。

安全模板并非Windows Server 2003或XP独创的功能，第一次提出这个概念的是NT 4.0 SP 4。安全模板是每一个管理员都必须了解的重要工具。安全模板不会让你修改不能通过其他方式修改的安全选项，它只是提供了一种快速批量修改安全选项的办法。凡是可以利用安全模板设置的安全选项，同样可以使用Windows的GUI工具手工修改，但后者耗费的时间肯定多得多。

一、安全模板可以批量修改的五类和安全有关的设置

1．管理组

模板能够调整本地的组成员。如果你的用户使用的是NT系列的桌面系统，或许你也在为这样的问题烦恼：授予用户哪些控制桌面系统的权限才合适？有的公司让每一位用户都拥有本地管理员权限，有些则授予Power Users权限，还有的只授予Users权限。

如果限制了用户对自己桌面系统的管理权限，可以肯定的是，某些时候你不得不放宽限制，至少是临时性地放宽。例如，假设设置一个工作站时只允许本地的Administrator帐户成为本地Administrators组的成员，后来有一个维护人员为了方便“临时”地将普通用户帐户提升为Administrators组的成员，本来他打算稍后恢复原来的设置，但后来却忘记了。如果我们定义了一个“只有Administrator才能加入本地Administrators组”的安全模板，只要重新应用一下这个模板就可以防止其他用户进入Administrators组。

当然，模板不是随时监视安全设置选项确实已被采纳的守护神，确保安全设置策略已被执行的最好办法是定期重新应用整个模板，或者创建一个组策略来应用模板（组策略大约每隔90分钟重新应用自己的设置信息）。凡是安全模板能够做到的事情，组策略同样都能够做到，但如果使用组策略的话就要有一个Active Directory（AD）域，而模板却没有这方面的要求。

2．调整NTFS权限

安全模板能够调整NTFS权限。例如，假设我们想要授予C:Stuff目录System/完全控制和Aministrators/完全控制的NTFS权限，但禁止任何其他用户访问，模板可以方便地设定这些授权和限制，

另外，由于模板可以应用到多台机器（倘若使用组策略的话），我们可以将同样的NTFS授权应用到整个域。如果你和大多数NT管理员一样，那么也一定对NT默认的目录权限（Everyone/完全控制）大为不满，并决定加强ACL设置。但是，这个过程很容易出错，以至于把ACL调整到没有一个人能够正常使用机器的地步。因此最好先做一些试验，找出适当的平衡点，然后将平衡点的权限配置用模板表达出来，再将模板应用到所有的系统。

3．启用和禁用服务

模板可以启用或关闭服务，控制谁有权启动或关闭服务。你想要关闭大部分机器的IIS服务，只留下个别服务器运行IIS吗？这可不是一件轻松的工作，因为默认情况下，Win 2K和NT 4.0会把IIS安装到所有服务器上（可喜的是，Windows Server 2003改正了这一做法。）除了IIS，你可能还希望禁止许多其他不必要的服务，可能还想对Server、Computer Browser、Index、Wireless Zero Configuration之类的服务痛下杀手，但是，到每一台机器上逐个禁用这些服务实在太麻烦了，好在模板能够帮助我们迅速完成这些工作。

安全模板允许我们停止（针对服务运行的状态）以及禁用（针对服务的启动方式）服务。当你开始了解模板时，会惊奇地发现模板允许我们控制哪些人有权开启和关闭服务DD了解Windows服务的ACL的人可能不是很多，但模板却提供了调整这些ACL的途径。例如，如果你想让Mary有权开启和关闭Server服务，却又不想让Mary成为管理员，现在可以通过模板来设置。

4．调整注册表授权

安全模板允许我们调整注册表的授权。注册表包含了大量只能读取、不能修改的信息。例如，假设有一个NT 4.0的工作站安装了AutoCAD，现在把它升级到了Win 2K，但却发现用户需要本地管理员权限才能运行AutoCAD。注册表中究竟发生了什么事情才导致如此怪异的现象？

注重细节的应用程序会在两个注册键下面保存其配置信息：HKEY_LOCAL_MACHINESOFTWARE和HKEY_CURRENT_USERSoftware。具有管理员权限的用户负责初始的安装以及大部分的配置，这些配置信息保存在HKEY_LOCAL_MACHINESOFTWARE注册键下。但是，每一个用户又必须根据自己的需要和爱好调整应用程序，应用程序需要一个适当的位置来保存这部分配置信息。如果应用程序把所有的配置信息都保存在HKEY_LOCAL_MACHINESOFTWARE，普通用户每次要修改配置时都要找管理员才行。

正是考虑到该问题，注重细节的应用程序会把非关键性的配置选项（用户个人的配置选项）保存在HKEY_CURRENT_USERSoftware注册键下，所以我们应该让用户拥有对该注册键的写入权限。也就是说，如果用户没有管理员权限，那么他至少要有HKEY_LOCAL_MACHINESOFTWARE注册键的读取权限、HKEY_CURRENT_USERSoftware注册键的读取和写入权限。

遗憾的是，许多软件厂商还没有重视HKEY_LOCAL_MACHINESOFTWARE、HKEY_CURRENT_USERSoftware这两个注册键的区别，而是把所有配置信息都保存到了HKEY_LOCAL_MACHINESOFTWARE注册键下。在NT 4.0下，这种处置办法不会引起问题，因为NT 4.0默认允许所有用户写入HKEY_LOCAL_MACHINE，由于NT 4.0控制HKEY_LOCAL_MACHINE的ACL非常宽松，所以即使普通用户也不会遇到问题。但在Win 2K中，注册表ACL的默认配置已经变化，非管理员的用户只有读取HKEY_LOCAL_MACHINE的权限，所以用户必须以本地管理员身份登录才能正常运行AutoCAD。

如何解决这类问题呢？获取一份应用软件的新版本，或者将XP、Win2K的注册表ACL放宽到NT 4.0的程序。如果采用后面的解决办法，我们既可以用注册表编辑器（对于XP或Windows Server 2003，使用Regedit，对于Win2K，使用Regedt32）手工执行修改，也可以用模板来调整注册表的授权。

其实，我们根本不必自己创建修改注册表授权的模板，微软已经提供了一个：winntsecurity emplatescompatws.inf。微软提供的另一个模板winntsecurity emplatesasicws.inf能够把注册表授权恢复到Win 2K的默认状态。

篇4：WIN技巧：如何保护日志服务器安全？

Web日志记录了web服务器接收处理请求，以及其运行时的错误等各种原始信息，通过对日志进行统计、分析、综合，就能有效地掌握服务器的运行状况，发现和排除错误、了解客户访问分布等，方便管理员更好地加强服务器的维护和管理。另外，Web日志也是判断服务器安全的一个重要依据，通过其可以分析判断服务器是否被入侵，并通过其可以对攻击者进行反向跟踪等。因此，对于Web日志攻击者往往以除之而后快。

一、攻击者清除日志的常用伎俩

1、Web服务器系统中的日志

以Windows Server 2003平台的Web服务器为例，其日志包括：安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看，WWW日志和FTP日志以log文件的形式存放在硬盘中。具体来说这些日志对应的目录和文件为：

(1).安全日志文件:C:WINDOWSsystem32configSecEvent.Evt

(2).系统日志文件:C:WINDOWSsystem32configSysEvent.Evt

(3).应用程序日志文件:C:WINDOWSsystem32configAppEvent.Evt

(4).FTP日志默认位置:C:WINDOWSsystem32LogfilesMSFTPSVC1

(5).WWW日志默认位置:C:WINDOWSsystem32LogfilesW3SVC1

2、非法清除日志

上述这些日志在服务器正常运行的时候是不能被删除的，FTP和WWW日志的删除可以先把这2个服务停止掉，然后再删除日志文件，攻击者一般不会这么做的，

系统和应用程序的日志是由守护服务Event Log支持的，而它是没有办法停止的，因而是不能直接删除日志文件的。攻击者在拿下Web服务器后，一般会采用工具进行日志的清除，其使用的工具主要是CL和CleanIISLog。

(1).利用CL彻底清除日志

这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等，使用的操作非常简单。

在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。其原理就是先把FTP、WWW、Task Scheduler服务停止再删除日志，然后再启动三个服务。(图2)

篇5：WIN技巧：多点出击加强WIN注册表安全

对于Windows系统来说，注册表和系统的安全稳定运行休戚相关，正因如此，它也成了系统的软肋，任何不当操作或者恶意破坏都会造成灾难性的后果。其实，为了减少因为上述安全风险，注册表有一些内建的安全限制(比如注册表默认限制某些区域只能被特定用户看到，例如HKLMSAM和HKLMSECURITY就只能被LocalSystem用户看到)。但仅仅有这些安全措施还远远不能保证注册表的安全，我们还应该进行更加严格的安全控制。下面笔者和大家分享自己在这方面的一些经验。

说明：下面的所有操作是在Windows Server 上进行的，其中绝大多少适用于其他Windows系统，只有极少的部分是就要Server 2008的。

1、设置对注册表工具(Regedit.exe)的运行限制

保护注册表不受未经授权访问的做好办法之一是让恶意用户根本无法访问注册表。对于服务器来说，这意味着要严格控制服务器的物理安全，只允许管理员本地登录。对于其他系统，或者无法防止用户本地登录到服务器的情况下，则可以针对Regedit.exe和Reg.exe配置访问权限，使其更安全。另外，我们也可以尝试从系统中删除注册表编辑器以及Reg命令，但这会导致其他问题，造成管理员系统管理的麻烦，尤其是当管理员需要从远程访问注册表的时候，这样的做法有些自断后路，

我们可以采取一个比较折中的方法，就是修改注册表编辑器的访问权限，以限制其它非授权用户对其进行访问。访问%SystemRoot%文件夹，找到注册表编辑器程序Regedit.exe，右键单击该工具选择“属性”。在属性对话框中打开“安全”选项卡，可以看到如图所示的界面。在该界面中我们根据需要添加或者删除用户或者组，然后设置其必要的访问权限。这里的权限设置和对文件(文件夹)的权限设置是一样的，我们可以选择一个对象，然后允许或者拒绝特定的权限。除了Regedit.exe的设置外，我们还需要对命令行下的注册表访问工具Reg.exe进权限设置。打开%SystemRoot%System32文件夹，用鼠标右键单击该程序，选择“属性”。同样在属性对话框中打开“安全”选项卡，默认情况下该命令可以被一般用户管理员使用，我们可以根据需要在该界面中进行用户授权和权限设置。以笔者的经验，大家不要通过组统一授权，因为这样该组中的所有用户都具有相应的权限。我们可以删除组，只为具体的用户授权，这样攻击者通过添加到组实施对注册表的控制就行不通了。(图1)

图1 设置对注册表工具(Regedit.exe)的运行限制

需要说明的是，Windows系统中还有一个名为Regedit32的注册表工具，其实这个工具只是一个到Regedit.exe的链接。如果我们设置了Regedit.exe的权限后，并不需要对Retdit32.exe也进行类似的权限设置。

篇6：WIN技巧：巧打补丁保护服务器安全

作为网络管理员，为了保护单位重要服务器系统的运行安全，他们常常需要在各个服务器现场来回跑个不停，这不，最近伴随着网络病毒的疯狂肆虐，局域网中的不少服务器系统频频遭受到网络病毒的袭击。为了保证单位中的每一台服务器系统能够始终稳定运行，单位领导要求网络管理员迅速采取有效措施，来加强服务器系统的安全性能，避免由于网络病毒的泛滥影响单位的正常工作。接到命令后，网络管理员经过仔细分析，发现服务器系统之所以容易遭受病毒袭击，主要是因为许多病毒都充分利用了各种系统漏洞，只要想办法及时为服务器系统打上各种安全补丁程序，堵住服务器系统中的各种漏洞，就能避免服务器系统遭受网络病毒的袭击。

由于系统补丁程序不停更新，如果每次都要到现场为服务器系统安装补丁程序，那工作量无疑是非常巨大的，于是网络管理员们都想到了通过远程安装的方法及时为服务器系统打上各种补丁程序。在对服务器系统进行远程安装补丁程序时，许多人都认为通过远程桌面功能可以很轻松地做到这一点，事实上在默认状态下远程桌面连接功能并不支持文件的远程传输功能，那样一来我们就无法将本地的服务器补丁程序通过网络拷贝到远程服务器系统中;即使我们在服务器中开通了远程桌面连接的文件传输功能，但这一功能很容易被局域网中的一些非法攻击者趁机使用，那样一来服务器系统可能会遭受更大的安全威胁。为了既能实现不到服务器现场也能安装补丁程序目的，又能实现服务器安全防护目的，我们可以使用“远程控制任我行”这款专业程序来为服务器远程安装系统补丁程序，这款专业程序不但可以有效弥补远程桌面的安全隐患，而且能非常轻松地实现本地主机与远程服务器之间的文件传输目的，还能对服务器系统执行远程启动一系列特殊操作，借助这款专业程序的“帮忙”，我们可以高效、及时地为局域网中的多台服务器打上各种系统补丁程序，从而免除了网络管理员在各个服务器现场来回不停奔跑的麻烦，最终大大提高了服务器的管理维护效率!

1、生成远程连接控制程序

由于服务器系统自带的远程桌面连接功能如果轻易开通的话，会给服务器系统招惹更大的安全麻烦，为此我们肯定不能利用远程桌面连接功能来连接服务器，

为了能够在本地工作站与局域网中的各台服务器建立远程连接，我们可以先利用“远程控制任我行”这款专业程序来生成远程连接控制程序，并将生成的控制程序事先拷贝到每一台需要远程管理的服务器系统中，日后局域网中的任意一台普通工作站都能通过该程序轻易与服务器系统建立远程连接了。

要生成远程连接控制程序，我们可以先将“远程控制任我行”这款专业程序下载到本地工作站系统中，从下载得到的解压包文件中用鼠标双击“netsys.exe”文件，打开如图1所示的“远程控制任我行”主操作界面，在该操作界面的工具栏中单击“配置服务器”功能按钮，随后屏幕上将会自动出现一个标题为“选择配置类型”的设置对话框，从这里我们看到“远程控制任我行”这款专业程序为用户同时提供了正、反两种远程连接模式，用户可以根据实际需要进行随意选择使用。设置好远程连接模式后，在其后出现的设置窗口中我们可以单击“生成服务器”按钮，那样一来远程连接控制程序就会自动生成了，该控制程序会被系统自动保存到“远程控制任我行”这款专业程序的安装根目录下。紧接着打开本地工作站系统的资源管理器窗口，进入“远程控制任我行”程序安装根目录窗口，找到前面自动生成的远程连接控制程序文件DD“服务器程序.exe”，将该文件拷贝到闪盘中，之后再从闪盘中粘贴到需要远程安装安全补丁程序的服务器系统中，最后再在服务器系统中用鼠标双击“服务器程序.exe”文件，将该远程连接控制程序启动起来，以便局域网中的其他工作站能够与之建立远程连接。

图1

篇7：WIN技巧：用WINServer03搭建安全服务器

Windows Server 的管理工具中有一项功能叫做“管理您的服务器”，启动该工具之后以看到当前服务器上启用的所有服务，并可对这些服务进行管理，

点击该界面上的“添加或删除角色”链接，将启动一个配置服务器的向导。点击“下一步”进入到“服务器角色”步骤，在Windows Server 2003支持的角色列表中选择文件服务器并点击“下一步”，开始启用和配置文件服务的过程。

根据系统提示进行配额设置，磁盘配额功能可以限制用户对磁盘空间的使用，方便进行磁盘空间管理。将磁盘空间限制设置为300MB，将警告设置为260MB，并勾选“拒绝将磁盘空间给超过配额限制的用户”这一选项。

这种情况下用户将无法使用超过300MB以上的硬盘空间，并且当用户使用的空间达到设置的260MB的警戒线时记录一个系统事件。

完成配额设置后点击“下一步”进入索引服务设置界面，默认的选项是不启用索引服务。虽然索引服务可以加快文件检索的速度，但是由于它要消耗不少的服务器资源，所以如果不需要很频繁检索文件的话，建议保留默认的设置。

在确认以上设置之后，安装向导会弹出一个用于建立共享文件夹的向导。首先需要选择共享文件夹的路径，例如C:/Inetpub/home。之后进入维护共享名和关于该共享描述的界面，通常情况下维持默认设置即可。点击下一步开始为共享设置权限，基本的权限包括了完全访问和读写权限。

选择“使用自定义共享和文件夹权限”，点击自定义按钮之后弹出自定义权限设置界面。在这里可以根据需要对不同用户设置不同的权限，例如可以对Administrators用户组设置完全控制以赋予所有管理员对该共享文件夹的全部管理权限，为Guest用户设置读取权限，使匿名用户可以下载该文件夹中的文件，同时删除原有的Everyone这项，屏蔽所有其他用户权限。

至此就完成了基本的共享设置，如果还有其他文件夹需要设置成共享，可以在关闭该向导之前勾选“关闭后再次运行该向导”的选项继续进行下一个共享的设置。结束所有向导之后，可以看到“管理您的服务器”界面中多了一项文件服务器的内容，点击“管理此文件服务器”链接就可以打开文件服务器管理界面，在此可以进行各种文件服务的管理。

另外，在进入右键菜单的属性条目时，也可以进行共享和权限等管理，但是只有在点击的对象是磁盘分区的时候才能应用配额功能，因为配额功能是针对磁盘卷来执行的，而且该卷必须是NTFS格式的。

文件的备份与还原

由于数据的安全性和可用性对于文件服务器来说也是非常重要的，所以在设置完文件服务器的权限和配额等参数之后，需要对文件进行备份和还原工作。Windows Server 2003的备份功能使用了称为卷影副本（Volume Shadow Copy）的技术。

在文件服务器管理界面可以找到“备份文件服务器”链接，在命令行执行ntbackup命令可以获得与点击该链接相同的效果，即执行备份向导。

将“总是以向导模式启动”的选项勾掉，在下次执行该命令的时候即可直接进入“备份工具”界面。在该界面中可以看到，Windows Server 2003除了备份和还原功能之外还包括了一项称为自动系统恢复向导（AMR）的功能，该功能主要用于对系统分区进行备份，这里主要讲解以卷影副本技术为基础的标准备份功能，用户可以根据系统指示进行操作。

卷影副本功能以事先计划的时间间隔为存储在共享文件夹中的文件创建备份，并且可以将文件恢复成任意一次备份时的版本。卷影副本的恢复行为可以在客户端进行，有效地提高数据还原的效率，不用每次都麻烦管理员来进行操作，用户也可以随时进行和自己数据相关的还原操作。

进行这些操作需要客户端机器上安装卷影副本客户端程序，通过这台客户端机器浏览到文件服务器上的共享之后，对该共享或该共享中的文件点击右键，其属性对话框中有一个“以前的版本”选项页。在这里显示了文件以前保存过的所有版本，可以将其恢复成任意一个版本。

只有管理员组的成员可以设置卷影副本功能，并且卷影副本必须在NTFS格式的磁盘卷上才能实现。卷影副本默认在启用该功能的卷上保留10%的空间用以保存备份数据（最少100MB），一旦超过空间的限制将覆盖早先创建的副本。

启用卷影副本功能非常简单，在文件服务器管理界面中找到“配置卷影副本”链接，也可以在NTFS卷的右键属性菜单里找到卷影副本的选项页，通过这两种方式可以进入同样的管理界面，实现对卷影副本的启用、禁用以及容量和时间计划等设置。

在“备份工具”管理界面中，用户可以指定哪些文件（包括系统注册表数据及引导文件等）需要参与到备份计划中来，也可以指定执行这些备份操作的时间计划。这些备份操作都是基于卷影副本技术的，备份的结果文件要稍大于备份的内容。

建议用户维护一个按周进行的备份操作，将所有数据重新备份一次，备份过的文件将被标记为“已备份过”；在此同时维护一个按日进行的差异备份计划，备份那些每天修改过的文件。应用这种组合计划进行数据备份更加便于管理，而且能够有效保证数据的可恢复性。

需要注意的是：卷影副本备份占用空间的数量不仅仅取决于备份文件的大小，更决定于文件修改的频率，对于系统分区这样有很多交换文件操作的分区来说，不要进行整个磁盘卷的备份操作。

分布式文件系统

分布式文件系统是Windows系统网络存储构架的核心技术之一，可以实现将网络上位于不同位置的文件挂接在统一命名空间之下。在管理工具中启动“分布式文件系统”工具，首先要建立一个根目录。用右键点击管理界面左侧的“分布式文件系统”，选择“新建根目录”，按照向导填写所需要的信息就可以完成操作。

继续用右键点击刚刚建立的根目录，选择“新建链接”，可以将位于网络中其它计算机上的共享目录链接到刚才建立的根目录上。将所有要汇集到这个根目录上的共享目录都链接过来之后，就可以通过浏览这个根目录下的目录树访问这些文件，而不再需要通过访问多个实际的网络位置使用这些文件，

后记

在这篇文章中笔者介绍了在一台Windows Server 2003服务器上配置文件服务功能，并着重讲解了建立共享、配额管理、权限设置和备份方面的操作。本文中的大部分内容也适用于Windows 服务器。Windows Server 2003还有一些更高级的文件功能可以在文件服务器上进行应用，例如文件加密、虚拟磁盘等。

Windows Server 2003的管理工具中有一项功能叫做“管理您的服务器”，启动该工具之后，可以看到当前服务器上启用的所有服务，并可对这些服务进行管理。

这种情况下用户将无法使用超过300MB以上的硬盘空间，并且当用户使用的空间达到设置的260MB的警戒线时记录一个系统事件。

文件的备份与还原

在文件服务器管理界面可以找到“备份文件服务器”链接，在命令行执行ntbackup命令可以获得与点击该链接相同的效果，即执行备份向导。

分布式文件系统

继续用右键点击刚刚建立的根目录，选择“新建链接”，可以将位于网络中其它计算机上的共享目录链接到刚才建立的根目录上。将所有要汇集到这个根目录上的共享目录都链接过来之后，就可以通过浏览这个根目录下的目录树访问这些文件，而不再需要通过访问多个实际的网络位置使用这些文件。

后记

在这篇文章中笔者介绍了在一台Windows Server 2003服务器上配置文件服务功能，并着重讲解了建立共享、配额管理、权限设置和备份方面的操作。本文中的大部分内容也适用于Windows 2000服务器。Windows Server 2003还有一些更高级的文件功能可以在文件服务器上进行应用，例如文件加密、虚拟磁盘等。

篇8：WIN技巧：安全支招：构筑密码城堡

在本篇文章中，你可以了解到如何加强PC用户密码的安全性的方法，另外我还将向大家介绍一款具有对密码及更多项目强大控制功能的免费工具。

继前二次介绍的“不要轻意相信你的数据是安全的”及“微软的程序存在漏洞”这二篇专题后，今天讲的第三篇主要针对密码安全问题，正如一句话形容的那样，同一密码使用时间越长，系统的安全性就越低。保护系统安全最简单和便宜的方法就是要在设定密码上下点功夫，并经常对其进行更新。

以下的这些小贴士能够有效的加强密码的安全性，尽管这其中的一些并不适用于管理员制定了其自身密码政策的网络计算机。

加强密码安全性

Windows 2000和XP都允许用户把密码设置成任何字母序列，虽然这样做有其固定的好处，但在很多情况下也给用户带来了不便。而且其也允许用户不设置密码，幸好，你可以使用本地安全策略工具来强制所有的Windows XP用户都采纳输入安全密码措施。操作方法是：点击“开始”，选择“控制面板”，在展开的窗口中点击“控制工具”DD本地安全策略，将会打开本地安全策略窗口（具体步骤可能会根据不同的系统有所变化，如果你使用的是公司网络，那么选项可能是“本地安全策略或安全设置”）。在本地安全设置窗口的左侧，点击“帐户策略”旁边的“加号”，选择“密码策略”，现在你就可以对各密码策略进行设置了。

控制密码最小值：如果想让所有的用户都设置有效的密码，操作方法是：双击“密码长度最小值”（如果你没有看到此选项，请核查是否已经选中了“本地安全设置”窗口左侧的“密码策略”），在弹出的窗口中指定密码的最小位数，可指定范围在1至14之间，微软建议用户将密码设定在最少6位数，输入完毕后，点击“确定”。

强制密码复杂性：双击“密码必须符合复杂性要求”，在弹出的设置框中选择“已启用”，然后点击“确定”。该命令操作能够要求用户在进行密码设置时，至少包括以下三种字符：大写字母、小写字母、数字和符号（例如使用标点符号）；而且，密码中不能包含你的用户名。注意在密码中最好不要使用e-mail地址（此项并非密码复杂性要求）。

你要尽量使密码让人难以猜测，但也要同时保证其方便记忆。一个好方法是使用一句话的缩写，例如：PCWis#12me （“PC World is number 1 to me”）。

密码最长保留期：为了防止密码使用时间过长，你可以选择“密码最长保留期”，在弹出的窗体中设置密码使用多少天后，系统会要求用户更改其密码。默认的42天应该能够满足大部分情况，输入新数值后，点击“确定”完成设置，

密码“保鲜”：为了避免某个用户在设定密码时，总是交换使用同样的两个密码，双击“强制密码历史”，在弹出的窗口中设置Windows系统需要记住的密码个数。例如，如果你输入的是8，那么用户在创建新密码时，便不允许使用最近前8次设置的密码。设置完毕后点击“确定”按钮。同样，你也可以设定新密码必须使用的最少天数，以避免某人想要在一天中对其密码进行数次改变，直到改变次数满足强制密码历史中记录的个数，这样他们就又可以重新使用原来的密码了，操作方法是：双击“密码最短存留期”，在跳出的窗口中输入天数，然后点击“确定”完成操作。

拒绝可还原的加密技术：你也许被“密码策略”窗口中的最后一项“为域中所有用户使用可还原的加密来储存密码”所吸引，该设置选项能够让Windows系统把用户的密码存储为纯文本形式。但是，还原加密只有对那些要求使用Windows密码的应用程序才能起作用。除非你有这样的应用程序，你最好还是关闭还原加密储存密码（默认设置为停用），这样你的系统会更加安全。

使用帐户锁定功能：在默认状态下，所有人都可以通过多次密码尝试，直到输入正确的密码为止，这一方式来登陆你的帐户。这就是所谓密码攻击的暴力入侵方式。避免这种情况发生的一种方法是，限制用户输入密码的次数。操作方法是：选择“本地安全设置”窗口左侧“帐户策略”下方的“帐户锁定策略”，在右侧窗体中，双击“帐户锁定阈值”。在弹出的窗口中输入在发生多少次无效登陆后，帐户锁定，一般来说3至5次便足够了。当你修改这项设置后，系统会自动将其它两项帐户锁定策略值都设置为30分钟，这两项的分别是：具有控制帐户锁定后，重新输入密码的时间间隔作用的“帐户锁定时间”项目：“复位帐户锁定计数器”则决定再次从零开始计数尝试登陆次数前，系统要等待多长时间。如果需要改变这两项的值，只需双击它们，输入相应的时间即可。设置完成后，点击“确定”完成操作。

对帐户期限的“例外”设置：如果你为紧急情况保留了平时很少使用的管理员密码，你可能不希望这个密码过期，完成上面的操作步骤后，如果还有特殊需要设置期限的密码，你可以执行以下操作：在开始菜单中选择“运行”，然后输入“lusrmgr.msc”，然后点击“确定”按钮，在弹出的窗口中，双击“用户”，然后双击不需设定期限的用户，在“属性”设置窗口中勾选“密码永不过期”项，设置完成后，点击“确定”按钮。

密码时间提醒设置：通过对Windows注册表进行编辑，你可以实现提醒用户某个密码即将过期。当然任何对注册表进行的修改都具有风险性，所以在修改前请确认你已经进行了相应的备份。然后在“开始”菜单中选择“运行”，输入“regedit”然后点击“确定”打开“注册表编辑器”窗口，在左侧的中窗格中，找到并选择HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.在右侧的窗体中，双击passwordexpirywarning（如果你没看到该项目，可以通过在窗格中右击鼠标，选择“新建”DD“DWORD值”，然后在文本框中输入该名称），选中“十进制”项，在“数值数据”中输入你希望系统在密码到期前多少天提醒用户修改密码。