Configuring Windows Time service to use an internal hardware clock
To configure the Windows Time service to use an internal hardware clock, you can change the announce flag on the authoritative time server. Changing the announce flag forces the computer to announce itself as a reliable time source and to use the built-in complementary metal oxide semiconductor (CMOS) clock. To configure the Windows Time service to use an internal hardware clock, follow these steps.
Warning Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall your operating system. Microsoft cannot guarantee that these problems can be solved. Modify the registry at your own risk.
1.Click Start, click Run, type regedit, and then click OK.
2.Locate and then click the following registry entry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\
3.In the right pane, right-click AnnounceFlags, and then click Modify.
4.In the Edit DWORD Value dialog box, under Value data, type 5, and then click OK.
5.Enable NTPServer.
a.Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\N
tpServer\
b.In the right pane, right-click Enabled, and then click Modify.
c.In the Edit DWORD Value dialog box, type 1 under Value data, and then click OK.
Exit Registry Editor.
At the command prompt, type the following command to restart the Windows Time service, and then press ENTER:
net stop w32time && net start w32time
To reset the local computers' time against the time server, run the following command on all the computers except the time server:
w32tm /resync /rediscover
Note You must not configure the time server to synchronize with itself. If you configure the time server to synchronize with itself, the following events are logged in the Application log:
The time provider NtpClient cannot reach or is currently receiving invalid time data from 192.168.1.1
(ntp.m|0x0|192.168.1.1:123->192.168.1.1:123).
No response has been received from Manual peer 192.168.1.1 after 8 attempts to contact it. This peer will be discarded as a time source and NtpClient will attempt to discover a new peer from which to synchronize.
The time provider NtpClient is configured to acquire time from one or more time sources. However, none of the sources are currently accessible. No attempt to contact a source will be made for 960 minutes. NtpClient has no source of accurate time.
When the time server runs by using an internal time source, the following event is logged in the Application log:
Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source. We recommend that you either configure a reliable time service in the root domain, or that you manually configure the PDC to synchronize with an external time source. Otherwise, this computer will function as the authoritative time source in the domain hierarchy. If an external time source is not configured or used for this computer, you may choose to disable the NtpClient.
This text notifies you that the time server is configured not to use an external time source and that the time server can be ignored.
For more information about the w32tm command, type the following command at a command prompt:
w32tm /?
Registry
MaxPosPhaseCorrection
Entry
Path HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Notes This entry specifies the largest positive time correction in seconds that the service makes. If the service determines that a change larger than this is required, it logs an event. Special case:
0xFFFFFFFF means always make time correction. The default value for domain members is
0xFFFFFFFF. The default value for stand-alone clients and servers is 54,000 (15 hours).
MaxNegPhaseCorrection
Registry
Entry
Path HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Notes This entry specifies the largest negative time correction in seconds that the service makes. If the service determines that a change larger than this is required, it logs an event instead. Special
case: -1 means always make time correction, The default value for domain members is
0xFFFFFFFF. The default value for stand-alone clients and servers is 54,000 (15 hours).
MaxPollInterval
Registry
Entry
Path HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Notes This entry specifies the largest interval, in log seconds, allowed for the system polling interval.
Note that while a system must poll according to the scheduled interval, a provider can refuse to
produce samples when requested. The default value for domain members is 10. The default value for stand-alone clients and servers is 15.
SpecialPollInterval
Registry
Entry
Path HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient Notes This entry specifies the special poll interval in seconds for manual peers. When the SpecialInterval 0x1 flag is enabled, W32Time uses this poll interval instead of a poll interval determine by the
operating system. The default value on domain members is 3,600. The default value on stand-
alone clients and servers is 604,800.
MaxAllowedPhaseOffset
Registry
Entry
Path HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Notes This entry specifies the maximum offset, in seconds, for which W32Time attempts to adjust the computer clock by using the clock rate. When the offset exceeds this rate, W32Time sets the
computer clock directly. The default value for domain members is 300. The default value for
stand-alone clients and servers is 1.
设置NTP时间服务器的方法 NTP服务器设置: 1.打开注册表,找到下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters ,在右窗格中,双击项“Type ",修改“数值数据"为NTP, 然后单击“确定"。 2.修改以下选项的键 HKEY_LOCAl__MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer ,修改项「Enabled」设定为1,打开NTP服务器 功能。(默认是不开启NTP Server服务,除非计算机升级成为域控制站) 3.修改以下键值 HKEY_LOCAl__MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config ,修改项AnnounceFlags 的数据为5,该设定强制主机将它自身宣布 为可靠的时间源,从而使用内置的互补金属氧化物半导体(CMOS时钟。该设定强制主机将它自身宣告为可靠的时间源,从而运用内置的互补金属氧化物 半导体(CMOS)时钟。假如要采用外面的时间服务器,就用默认的a值即可. 4.在dos命令行,启动以下服务: w32time 需要管理员权限,改完重启机器 wi ndows time 其他:如果该服务器和internet 连接,那么为了避免服务器和internet 上的ntp同步,最好追加以下配置: HKEY_LOCAl__MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient 的「enable」设定为0,以防止作为客户端自动 同步外界的时间服务。 客户端配置: 1.修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient ,项「enable」设定为1,以便 作为客户端自动同步外界的时间服务。项SpecialPollInterval 的值修改成十进制43200 (单位为秒,43200为12小时,该值为更新时间间隔) 2.修改默认更新服务器 进入“日期和时间"窗口,点击“Internet 时间",进入“Internet 时间设置"页面,勾选“与Internet 时间服务器同步",并输入目标服务 器的IP或域名,点击“确定"保存。 3.重启Windows Time 服务
在WINDOWS下中用W32Time服务架设NTP服务器 需要在局域网中架设一台时间同步服务器,统一各客户端及服务器的系统时间,在网上查找大多是基于Linux下的确NTP服务器.搜索,实验及总结,写一篇采用Windwos2003自带的W32Time服务用于时间同步.在Windows 2003 Server 系统下配置成功. 1.默认情况下,独立服务器WINDOWS SERVER 2003 是作为NTP客户端工作的,所以必须通过修改注册表,以使系统作为NTP服务器运行。工作之前请先备份注册表文件。 2.修改以下选项的键值HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\W32Time\TimeProviders\NtpServer内的「Enabled」设定为1,打开NTP服务器功能(默认是不开启NTP Server服务,除非电脑升级成为域控制站) 3 修改以下键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time \Config\AnnounceFlags设定为5.该设定强制主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体 (CMOS) 时钟。(设定好后就要确定本机的电池要耐用了,做成时间服务器,时间一出错就头大了,呵呵)如果要采用外面的时间服务器就用默认的a值即可. 4.我这边的服务器同步用外部服务器,地址为210.72.145.44 (中国国家授时中心) 5.重启Win32Time服务: net stop w32Time && net start W32Time 6.至此,已完成服务器端设定. 7.客户端的设定更改注册表即可. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpC lient SpecialPollInterval 值修改成十进制43200 (单位为秒,43200为12小时)SpecialPollTimeRemaining 值修改成[时间同步服务器],0 如:192.168.1.1,0 8.完成.
Windows Server系统自身安全防护措施 提示: 为慎重操作,可以先在测试机做关闭测试,最好通过与厂方工程师商定后再设置。 一、关闭服务器不必要端口 利用win2003自带防火墙关闭所有端口,如就留一个端口:80 。(设置有两种方法,一个使用windows自带防火墙设,一个实在TCP/IP属性里设。) 设置方法: 1、在“网络连接”属性里设置windows防火墙。 2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。
二、在服务中关闭不必要的服务 以下服务可以关闭: Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序
windows服务器NTP自动对时服务 开启方法和应用 第1章开启服务器NTP服务 1.打开系统“服务”选项,双击打开“Windows Time”服务 2.在系统服务中设置W32Time服务启动模式为自动 3.点击运行或者win+R调出运行窗口,输入regedit打开Windows注册表
4.在注册表找到如下位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Ti me\Config 找到AnnounceFlags 双击修改值为5保存 5.在注册表找到如下位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Ti me\TimeProviders\NtpServer
找到Enable并修改其值为1 6.键盘“win+R”,打开系统CMD命令(注意一定要以管理员身份运行) 在命令提示符中输入:net stop w32Time,回车等待NTP服务停止。 然后再输入:net start w32Time,回车启动NTP服务。
7.系统提示“Windows Time 服务已经启动成功”即说明NTP服务已正常启 动。 第2章设置硬盘录像机的NTP自动对时服务 1)硬盘录像机须和服务器设置在同一网段。 2)登录硬盘录像机后台,找到“系统设置”→“时间配置”→“NTP校时” 3)输入服务器的IP,NTP端口固定为123,校时时间间隔设置为1分钟。 4)设置完成后,等待一分钟硬盘录像机的时间自动与服务器时间同步,说 明NTP功能开启成功。 第3章其他应用方向 1)为其他局域网内的电脑提供授时功能。 2)能为局域网内摄像头提供NTP授时服务(摄像头须支持NTP功能)。
P43页 Windows 2008服务器安全加固方案 来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一)因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
PC、硬盘录像机时间同步设置 一.原理:利用NTP服务实现。NTP服务器【Network Time Protocol(NTP)】是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS 等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,W AN 上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。 二.如何使局域网内的电脑时钟同步 首先要在互联网上寻找一台或几台专门提供时间服务的电脑(以下称为“主时间服务器”),在百度和Google里搜索一下,时间服务器还是很多的,笔者推荐pool.ntp.org这个地址。其次设置局域网时钟服务器。选择单位中能上外网的一台电脑,让它与主时间服务器同步,然后把它设为局域网内部的时间服务器(以下称为时间服务器),以后局域网内所有电脑依它为准进行时间校对。 最后设置客户端。如果客户机为win2000、XP或Linux系统,不需要安装任何软件。如客户机为Win98系统时要根据时间服务器类型的不同而区别对待:如果时间服务器选用SNTP协议进行时钟同步,则Win98机上需安装一个sntp客户端软件,如时间服务器由Windows电脑通过netbios协议提供,则Win98上也不需要安装任何软件。 三.如何设置时间服务器 以下分Win2000、XP分别介绍,而且只介绍sntp服务的架设。 1.Windows2000、XP做时间服务器 第一步:指定主时间服务器。在DOS里输入“net time /setsntp:pool.ntp.org”,这里我们指定pool.ntp.org是主时间服务器。 第二步:与主时间服务器同步。先关闭windows time服务,再开启该服务。在DOS里输入“net stop w32time”、“net start w32time”。 第三步:设置电脑的Windows time服务的启动方式为自动,在“管理工具”的“服务”界面下完成(xp系统默认是自动)。 注意:这台windows主机不能加入任何域,否则无法启动windows time服务。此时,这台windows电脑已经是互联上主时间服务器的客户了,以后每次电脑启动时,都会自动与主时间服务器校对时间。如果网络不通,电脑也会过45分钟后再次自动校对时间。需要提醒的是电脑的时钟与标准时间误差不能超过12个小时,否则不能自动校对,只有手动校正了。
如何查看Windows服务器运行了多长时间 前言:有时候管理、维护Windows服务器需要定期重启服务器(为什么需要重启,你懂的),但是这个“定期”有时候会受很多因素影响,例如某台服务器忘了重启;某台服务器那个时间段业务繁忙,不能重启;那个时间段你忘了重启服务器.....。诸如此类。当你的Schedule 被打乱了。这个时候,你就需要查看服务器运行了多长时间,下面介绍一下如何查看Wind ows服务器运行时间的方法 方法一:如果这台Windows服务器是数据库服务器,那么可以通过查看SQL SERVER启动时间来间接判断Windows服务器上次启动时间。 这个时间是否准确的前提条件是SQL SERVER服务是自动启动,而且中途没有重启过SQ L SERVER服务。如果Windows服务器是应用服务器,那么没法使用这个方法。 1.1 :SQL SERVER服务每次启动时,都会重新创建tempdb,所以可以以tempdb 的创建时间来判断SQL Server服务的启动时间 --系统数据库tempdb创建的时间 1:SELECT CREATE_DATE AS StartDateTime 2: 3:FROM sys.databases 4: 5:WHERE NAME='TEMPDB' 1.2:通过查看系统兼容性视图master..sysprocesses获取。会话Id 为1的是SQL S erver启动时创建的。 1:SELECT CONVERT(VARCHAR(30), LOGIN_TIME,120) AS StartD ateTime
2: 3:FROM master..sysprocesses WHERE spid=1 1.3 通过查看DMV sys.dm_os_sys_info获取,这个动态管理视图中的字段sqlser ver_start_time 表示SQL Server 上次启动时的日期和时间 1:SELECT sqlserver_start_time AS StartDateTime 2: 3:FROM sys.dm_os_sys_info 1.4 通过查看DMV sys.dm_exec_requests获取。会话Id 为1的是SQL Server 启动时创建的。它的start_time(请求到达时的时间戳)可以判定SQL Server服务启动的时间。 1:SELECT start_time AS StartDateTime 2:FROM sys.dm_exec_requests WHERE session_id = 1 1.5 : 通过查看sys.traces目录视图。该目录视图包含当前在系统中运行的跟踪 1:SELECT start_time AS StartDateTime 2: 3:FROM sys.traces 4: 5:WHERE is_default=1 方法2:通过systeminfo命令或systeminfo | find "System Boot Time" 命令查看服务器启动时间。
服务器安全加固(以Windows Server 2008为示例,Windows server 2003与Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字与特殊字符组成等复杂度要求。(请回答) 2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原得加密来储存密码已禁用 4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下得“帐户锁定策略”进行安全加固,参数设置参考如下;(请截 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟 2、服务器安全事件审核安全加固。(请截图) 1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下得“审核策略”进行安全设置,将其下得所有审核都设置成
“成功”、“失败”(默认为“无审核”)。 2)设置日志系统得安全加固,打开“控制面板-管理工具-事件查瞧器”中,在“Windows 日志”中选择一个日志类型,右击鼠标,设置“属性”得存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)
3、关闭服务器共享资源,可通过“控制面板-管理工具-计算机管理”中,选择“共 享文件夹-共享”查瞧系统共享资源,删除不必要得多余共享资源。(请截图) 4、自动锁屏设置 桌面点击右键-属性-屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。(请截图)
Windows Server时间服务器配置方法 1 时间服务器经常会碰到客户端机器需要和服务器在时间上保持同步,否则会出现各种问题,特别是有时间相关的触发功能的时候。 为解决各设备间时间统一的问题,我们可在网络中设置一台服务器使其作为基准时间,其它设备通过NTP协议与其同步时间。这样很容易做到各设备时间差异小于1s。 NTP----- Network Time Protocol 2 服务端配置 适用于Windows Server 类系统 1) 开放防火墙123 UDP端口; 2) 运行中输入“gpedit.msc”; 3) 展开“策略”下的“计算机配置”中的“管理模板\系统\Windows 时间服务\全局配置设置”; 4) 将其状态改变为“已启用”; 5) 改变AnnounceFlags参数值为5, 6) 展开“策略”下的“计算机配置”中的“管理模板\系统\Windows 时间服务\时间提供程序\ 启用Windows NTP服务器” 7) 将其状态改变为“已启用”; 8) 在Windows 服务中启动Windows Time服务,并设置启动类型为“自动”; 9) 完成。 3 客户端配置
适用于Windows XP、Windows Server 2003、Windows Vista、Windows 7,windows 8以及Windows Sever 类系统。 1)运行中输入“gpedit.msc”; 2) 展开“策略”下的“计算机配置”中的“管理模板\系统\Windows 时间服务\时间提供程序\启用Windows NTP客户端” 】3) 将其状态改变为“已启用”; 4) 展开“策略”下的“计算机配置中的“管理模板\系统\Windows 时间服务\时间提供程序\ 配置Windows NTP客户端” 5) 将其状态改变为“已启用”; 6) 改变NtpServer参数中的IP为时间服务器地址:xxx.xxx.xxx.xxx,0x9; 7) 改变Type参数NTP; 8) 在Windows 服务中启动Windows Time服务,并设置启动类型为“自动”; 9)双击任务栏右下角“时间”,打开 [ 时间和日期属性 ] 设置对话 框 10)选择 [ Internet时间 ] 标签 11) 选中 [ 自动与Internet时间服务器同步 ] 选项,在 [ 服务器 ] 中填入“xxx.xxx.xxx.xxx”。点击 [ 应用 ] 并按 [ 立即更新 ] 可直接同步。看是否出现“windows在于XXX进行同步时出错”的信息,还是出现“时钟在2014/11/27 12:12:00与XXX同步成功” 12)点击 [ 应用 ] 并按 [ 立即更新 ] 可直接同步。看是否出现“windows在于XXX进行同步时出错”的信息,还是出现“时钟在2014/11/27 12:12:00 与XXX同步成功”
IBM X系列服务器Windows操作系统安装步骤
引言 本文介绍采用IBM Server Guide光盘引导安装Windows操作系统,使用IBM Server Guide光盘安装会清除硬盘上的分区和数据,安装前请务必向客户说明,确认是否需要备份数据。 一、工具准备 IBM ServerGuide光盘一张, windows操作系统安装光盘一套(以windows2003为例), IBM ServeRAID Manager 安装光盘一张。 需要注意的是,根据服务器型号不同,所需要的IBM ServerGuide光盘 版本也不同,下面给出两者对应关系,请根据服务器型号选择合适版本。 二、具体安装步骤 1、设置服务器从光驱启动,开机按F1-startup进行设置。 2、用ServerGuide CD光盘启动服务器,光盘启动后,显示如下画面 选择使用本引导盘的语言(注意:此时语言为ServerGuide引导程序语言,与所要安装操作系统无关),出现如下画面,选择English) 3、选择键盘布局以及国家或地区画面,在这里全部选择United States,然后 点击Next 4、出现许可协议界面,阅读许可协议内容,点击I accept继续即可 中文用户可以在Language选项中选择Chinese 阅读中文协议 5、查看概述了解ServerGuide 功能,请在使用前仔细查看相关使用说明,点击Next继续 6、在这里可以选择要安装的操作系统,选择后点击Next 7、列表显示接下来将要做的配置,目前提示要设置日期和时间,点击Next 8、设置正确的日期和时间后点击Next 9、当出现清除硬盘信息界面时,请根据需要选择,如果需要保留已有的阵列信息,请选择Skip this task,但硬盘上的数据和分区仍然会被清除掉,选择clear all hard …会直接清除阵列及硬盘信息,如无特殊要求,我们一般选择第二项clear all hard disk drives and restore servraid to defaults,选择后点击Next继续
本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除! == 本文为word格式,下载后可方便编辑和修改! == Windows服务器安全设置攻略 前言 其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。 本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。 基本的服务器安全设置 安装补丁 安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是201X则确定安装上了SP4,如果是201X,则最好安装上SP1,然后点击开始→WindowsUpdate,安装所有的关键更新。 安装杀毒软件 虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿201X,据说201X可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。 不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。 设置端口保护和防火墙、删除默认共享 都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。 权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害 减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪 明的朋友应该看完这个就能解决问题了。 权限设置的原理 WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。 在【开始→程序→ 管理工具→计算机管理→本地用户和组】管理系统用户 和用户组。 NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后 我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→ 安全】在这里管理NTFS文件(夹)权限。 IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用 户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的 时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。 权限设置的思路 要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一 个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。 在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控 制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。 设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个 文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。 这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。 我的设置方法 我是先创建一个用户组,以后所有的站点的用户都建在这个組里,然后设 置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在 的文件夹里的权限。 因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该 懂了,除非不知道怎么添加系统用户和組,不知道怎么设置文件夹权限,不知 道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来, 具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会 写我的具体设置方法,很傲能还会配上图片。 改名或卸载不安全组件
?示例准备 ?知识了解 ?读取AD域信息示例 ?DirectorySearcher.Filter属性扩充说明?用户属性扩充说明(含图文属性对照) ?常规 ?地址 ?帐户 ?电话 ?组织 ?示例下载
新建层次关系如下:
下面我们开始连接域,并读取出示例准备中键好的组织单位和用户 首先编写代码用LDAP尝试对域进行访问 形式:LDAP://Domain #region## 是否连接到域 ///
Configuring Windows Time service to use an internal hardware clock To configure the Windows Time service to use an internal hardware clock, you can change the announce flag on the authoritative time server. Changing the announce flag forces the computer to announce itself as a reliable time source and to use the built-in complementary metal oxide semiconductor (CMOS) clock. To configure the Windows Time service to use an internal hardware clock, follow these steps. Warning Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall your operating system. Microsoft cannot guarantee that these problems can be solved. Modify the registry at your own risk. 1.Click Start, click Run, type regedit, and then click OK. 2.Locate and then click the following registry entry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\ 3.In the right pane, right-click AnnounceFlags, and then click Modify. 4.In the Edit DWORD Value dialog box, under Value data, type 5, and then click OK. 5.Enable NTPServer. a.Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\N tpServer\ b.In the right pane, right-click Enabled, and then click Modify. c.In the Edit DWORD Value dialog box, type 1 under Value data, and then click OK. Exit Registry Editor. At the command prompt, type the following command to restart the Windows Time service, and then press ENTER: net stop w32time && net start w32time To reset the local computers' time against the time server, run the following command on all the computers except the time server: w32tm /resync /rediscover
windows server2008 r2 服务器维护(企业版) 1:系统运行状况检查 1.1:事件日志检查(应用程序/安全性/系统) :每日检查 :发现有错误的日志出现需要检查出原因并排除错误 1.2:共享文件夹检查 :每日检查 :发现有未经允许的共享文件夹,马上删除 1.3:本地用户和组检查 :每日检查 :发现有未经允许的用户和组,马上删除 1.4:磁盘大小和碎片检查 :每日检查 :发现磁盘空间低于警戒值(30%可用),需要清理无用的磁盘文件 :发现磁盘碎片大于警戒值(70%碎片),需要在服务器空闲时间进行碎片整理 1.5:系统服务和应用程序检查 :每日检查 :发现未经允许的系统服务和应用程序的安装,马上删除 1.6:IIS的检查 : 每日检查 :发现有未经允许的web网站运行,马上删除 1.7:进程和应用程序检查 :每日多次检查 :发现有可疑的进程和应用程序,马上关闭并找到运行文件进行删除 1.8:检查cpu使用和内存的占用情况 :每日多次检查 :发现cpu长时间占用过高(90%)检查主要原因,看情况重启服务器 2:数据库状态检查维护 2.1:检查数据库的日常维护的运行结果 :每日检查 :保证数据和日志按要求正确备份,运行失败的重新手工备份且排除出错原因 2:2:检查数据库的事务日志 :每日检查 :当事务日志大于300M时候,需要完整备份日志后对日志进行收缩操作 2.3:检查数据库文件的碎片 :每半月检查 :当数据库的碎片大于警戒值,需要进行碎片整理工作 :方法1
declare @table_idint set @table_id=object_id('Employee') dbccshowcontig(@table_id) 如果扫描密度与平均页面密度小于100%表示有碎片产生,此两项应保持较高的百分比。而逻辑与扇区扫描碎片应尽可能接近于0,一般不应超过10。 dbccdbreindex('database_name.dbo.Employee','',90) 3:web系统检查 3.1:web系统的登陆检查 :每日检查 :确保web系统能正常登陆 3.2:web系统的响应检查 :每日检查 :检查web系统的请求和响应速度,如果响应过慢或者无响应,需要检查原因和排除. 3.3:web系统的文件检查 :每月检查 :检查和备份web系统的程序文件 4:web流量检查 4.1:web流量检查 :每日检查 :确保流量正常,发现流量异常的情况,需要查明原因和解决掉。 特别项 1.“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“创建软件限制策略”命令;用鼠标双击“强制”组策略项目,打开如图1所示的设置对话框,选中其中的“除本地管理员以外的所有用户”选项,其余参数都保持默认设置,再单击“确定”按钮结束上述设置操作 2.拒绝网络病毒藏于临时文件 组策略编辑命令“gpedit.msc”依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新建路径规则”命令,打开如图2所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入Windows Server 2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定” 3.防止非法PING 字符串命令“gpedit.msc”“计算机配置”节点选项,并从目标节点下面逐一点选“Windows 设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所
ntp时间同步,各种配置方法 1 Windows xp NTP服务器的配置(2003配置方式一样) 1) 首先需要关闭作为NTP服务器的windows系统自带的防火墙,否则将同步不成功。 2) 单击―开始‖,单击―运行‖,键入regedit,然后单击―确定‖。 找到下面的注册表项然后单击它: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\ 在右窗格中,右键单击―AnnounceFlags‖,然后单击―修改‖。 在―编辑DWORD 值‖对话框中的―数值数据‖下,键入5,然后单击―确定‖。 3) 启用NTPServer。 a. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpSer ver\ b. 在右窗格中,右键单击―Enabled‖,然后单击―修改‖。 c. 在―编辑DWORD 值‖对话框中的―数值数据‖下,键入1,然后单击―确定‖。
4) 关闭NTP client 找到并单击下面的注册表子项: a) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\Ntpclie nt\ b) 在右窗格中,右键单击―Enabled‖,然后单击―修改‖。 c) 在―编辑DWORD 值‖对话框中的―数值数据‖下,键入0,然后单击―确定‖。 5) 退出注册表编辑器。 在命令提示符处,键入以下命令以重新启动Windows 时间服务,然后按Enter: net stop w32time && net start w32time 2 Windows(2003、XP)系统的NTP同步配置 2.1 Windows客户端的设置 1) 首先需要关闭作为NTP客户端的windows系统自带的防火墙,否则将同步不成功。 2) 设定同步时间间隔,在―开始‖菜单→―运行‖项下输入―Regedit‖进入注册表编辑器。 展开 [ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient ]
一、服务端 1.关闭防火墙 2.windows+R 输入gpedit.msc 计算机配置/Windows 设置/安全设置/本地策略/安全选项/用户:来宾帐号状态--启用 计算机配置/Windows 设置/安全设置/本地策略/用户权限分配/拒绝从网络访问这台计算机--右键-属性-点击Guest-点删除-确定
3.重启windows time 服务,设置为自动 目的是下次开机自动启动windows time 服务 二、客户端 如果修改过w32time注册表,输入以下三行 Dos窗口输入:net stop w32time,先关闭windows time服务 Dos窗口输入:w32tm /register,重新注册windows time服务 Dos窗口输入:net start w32time,重新启动windows time服务 1.启动windows time 服务,设置为自动 目的是下次开机自动启动windows time 服务 2.新建文本文档,内容为: 重命名为XX.bat 注意空格 3.windows 2003开始-附件-系统工具-任务计划,windows server 2008和win7点击“开始”,输入“任务计划”,点击“任务计划程序”;win8/win8.1搜索“计划任务” 本文档介绍win7
4.右键“任务计划程序(本地)”,点击“创建任务” 5.在创建任务中点击“常规” 注意:右下角“确定”最后再点
6.点击“触发器”,点“新建” 7.点击“操作”,点“新建”
8.点击“条件”,全部取消勾选
9.点击“设置”
微软Windows时间服务器故障解决方法 昆钢多数人用的都是微软windows系统,习惯用PC上网的朋友想必已经发现了一个问题:从上个月开始电脑屏幕右下角的时间就不准了,特别是win10 系统右下角显示的时间比实际北京时间晚了一小时。(没有联网的台式电脑不算) 从上图可以看到北京时间与我win10系统桌面右下角的系统时间整整相差 一小时,这有可能造成没看手机、手表只看PC桌面时间的话就会延误或者迟到。 根据外媒The Next Web的报道,微软近日遭遇了一个巨大的技术问题,导致其Windows Time Service向世界各地的众多用户和数据中心发出错误的时间(在某些情况下比实际时间稍差一个小时),因此这两天可能有网友发现,在Windows看到的时间是错误的。
目前虽然微软在一定程度上对这种情况进行了控制,但其服务器仍然未完全同步。Windows设备和Internet Information Services服务器最有可能受到错误的 影响。 国外Reddit和Twitter上的众多用户首次发现这个问题,目前还不清楚可能导致该问题的具体原因,但有人推测,Windows时间服务器可能会丢失与外部同步源的连接,从而影响了整个网络。 根据网络时间协议的相关规定,发出错误的时间可能会对用户造成一系列的问题。用户的所有系统事件不仅会被标上错误的时间戳,同时许多安全机制也取决于时钟的准确性。判断Windows Time Service是否将正确的时间转发到系统,可以通过一种方法进行:ping其服务器并查看他们返回的时钟层。如果服务器返回“stratum 16”,那么您的设备就是不同步的。 说简单点就是微软https://www.doczj.com/doc/2712972868.html,时间服务器有问题造成系统时间与真 实时间同步出错,那我们应该怎么解决呢? 故障解决办法: 1.打开“运行”对话框(通常按Win+R组合键就可以打开),然后输入“services.msc” 进入服务管理界面。