应用服务器配置与管理怎么安全配置Windows2000服务器??

服务器管理是一个比较复杂的工作，可以分为两块：

一、要懂一点硬件，包括各种服务器、硬盘、存储、阵列等，不需要太精通。

二、操作系统，这个是比较难的，包括各种主流的操作系统，Windows、Linux、Solaris等等，要去针对性的学习。

在windows2003Server下如何安装IIS6.0，在IIS6.0的配合下我们如何来安装和部署环境，以及它们之间关系，下面的内容将给大家一个解答。
1、使用"配置您的服务器向导"安装IIS6.01)从"开始"菜单，单击"管理您的服务器"。2)在"管理您的服务器角色"下，单击"添加或删除角色"。3)阅读"配置您的服务器向导"中的预备步骤，然后单击"下一步"。4)在"服务器角色"下，单击"应用程序服务器(IIS，ASP.NET)"，然后单击"下一步"。5)阅读概要信息，然后单击"下一步"。6)单击"完成"。
2、使用控制面板安装IIS、添加组件或删除组件1）从"开始"菜单，单击"控制面板"。2）双击"添加或删除程序"。3）单击"添加/删除Windows组件"。4）在"组件"列表框中，单击"应用程序服务器"。5）单击"详细信息"。6）单击"信息服务管理器"。7）单击"详细信息"以查看IIS可选组件的列表。8）选择要安装的所有可选组件。9）单击"确定"，直到返回到"Windows组件向导"。10）单击"下一步"，然后完成"Windows组件向导"。
三、在Windows2003Server安装ASP.NETWindowsServer2003家族利用ASP.NET和IIS集成改善了开发人员体验。ASP.NET识别大多数ASP代码，同时为创建可作为Microsoft.NETFramework的一部分工作的企业级Web应用程序提供更多的功能。使用ASP.NET允许我们充分利用公共语言运行库的功能，如类型安全、继承、语言互操作性和版本控制。IIS6.0还为最新的Web标准，包括XML、简单对象访问协议(SOAP)和协议版本6.0(IPv6.0)，提供支持。ASP.NET是一个统一的Web开发平台，它提供开发人员创建企业级Web应用程序所需的服务。尽管ASP.NET的语法基本上与ASP兼容，但是它还提供了一个新的编程模型和基础结构以提高应用程序的安全性、缩放性和稳定性。通过逐渐向现有的ASP应用程序增加ASP.NET功能，我们可以自由地使其增大。ASP.NET是一个编译的、基于.NET的环境；我们可以用任何.NET兼容的语言（包括MicrosoftVisualBasic.NET，MicrosoftVisualC#和MicrosoftJScript.NET）创作应用程序。另外，整个Microsoft.NETFramework可用于任何ASP.NET应用程序。开发人员可以很容易地从这些技术受益，这些技术包括管理的公共语言运行库环境、类型安全、继承等。ASP.NET的优点如下：1）可管理性：ASP.NET使用基于文本的、分级的配置系统，简化了将设置应用于服务器环境和Web应用程序的工作。因为配置信息是存储为纯文本的，因此可以在没有本地管理工具的帮助下应用新的设置。配置文件的任何变化都可以自动检测到并应用于应用程序。2）安全：ASP.NET为Web应用程序提供了默认的授权和身份验证方案。开发人员可以根据应用程序的需要很容易地添加、删除或替换这些方案。3）易于部署：通过简单地将必要的文件复制到服务器上，ASP.NET应用程序即可以部署到该服务器上。不需要重新启动服务器，甚至在部署或替换运行的已编译代码时也不需要重新启动。4）增强的性能：ASP.NET是运行在服务器上的已编译代码。与传统的ActiveServerPages(ASP)不同，ASP.NET能利用早期绑定、实时(JIT)编译、本机优化和全新的缓存服务来提高性能。5）灵活的输出缓存：根据应用程序的需要，ASP.NET可以缓存页数据、页的一部分或整个页。缓存的项目可以依赖于缓存中的文件或其他项目，或者可以根据过期策略进行刷新。6）国际化：ASP.NET在内部使用Unicode以表示请求和响应数据。可以为每台计算机、每个目录和每页配置国际化设置。7）移动设备支持：ASP.NET支持任何设备上的任何浏览器。开发人员使用与用于传统的桌面浏览器相同的编程技术来处理新的移动设备。8）扩展性和可用性：ASP.NET被设计成可扩展的、具有特别专有的功能来提高群集的、多处理器环境的性能。此外，信息服务(IIS)和ASP.NET运行时密切监视和管理进程，以便在一个进程出现异常时，可在该位置创建新的进程使应用程序继续处理请求。9）跟踪和调试：ASP.NET提供了跟踪服务，该服务可在应用程序级别和页面级别调试过程中启用。可以选择查看页面的信息，或者使用应用程序级别的跟踪查看工具查看信息。在开发和应用程序处于生产状态时，ASP.NET支持使用.NETFramework调试工具进行本地和远程调试。当应用程序处于生产状态时，跟踪语句能够留在产品代码中而不会影响性能。10）与.NETFramework集成：因为ASP.NET是.NETFramework的一部分，整个平台的功能和灵活性对Web应用程序都是可用的。也可从Web上流畅地访问.NET类库以及消息和数据访问解决方案。ASP.NET是独立于语言之外的，所以开发人员能选择最适于应用程序的语言。另外，公共语言运行库的互用性还保存了基于COM开发的现有投资。11）与现有ASP应用程序的兼容性：ASP和ASP.NET可并行运行在IISWeb服务器上而互不冲突；不会发生因安装ASP.NET而导致现有ASP应用程序崩溃的可能。ASP.NET仅处理具有.aspx文件扩展名的文件。具有.asp文件扩展名的文件继续由ASP引擎来处理。然而，应该注意的是会话状态和应用程序状态并不在ASP和ASP.NET页面之间共享。安装ASP.NET在WindowsServer2003家族、Windows2000（Professional、Server和AdvancedServer）以及WindowsXPProfessional上的客户端和服务器应用程序都支持ASP.NET。运行MicrosoftWindowsServer2003家族成员的服务器可以配置为应用程序服务器，并将ASP.NET作为在配置应用程序服务器角色时可以启用的选项。要向产品服务器部署ASP.NETWeb应用程序，在分发应用程序之前，必须确保在产品服务器中启用了ASP.NET和IIS角色。
1、使用"配置您的服务器"向导在运行WindowsServer2003的服务器中安装ASP.NET1）从"开始"菜单中，单击"管理您的服务器"；在"管理您的服务器"窗口中，单击"添加或删除角色"。2）在"配置您的服务器向导"中，单击"下一步"，并在"服务器角色"对话框中，选中"应用程序服务器(IIS、ASP.NET)"，然后单击"下一步"。3）在"应用程序服务器选项"对话框中，选中"启用ASP.NET"复选框，单击"下一步"，然后再单击"下一步"。4）如有必要，请将WindowsServer2003安装CD插入CD-ROM驱动器，然后单击"下一步"。5）当安装完成时，单击"完成"。
2、在运行WindowsServer2003的服务器中使用"添加或删除程序"安装ASP.NET1）从"开始"菜单中，指向"控制面板"，然后单击"添加或删除程序"。2）在"添加或删除程序"对话框中，单击"添加/删除Windows组件"。3）在"Windows组件"向导中的"组件"中，选中"应用程序服务器"复选框，然后单击"下一步"。4）当在"Windows组件"向导中完成对WindowsServer2003的配置时，单击"完成"。
3、在运行WindowsServer2003的服务器中的IIS管理器中启用ASP.NET1）从"开始"菜单中，单击"运行"。2）在"运行"对话框中的"打开"框中，键入mgr，然后单击"确定"。3）在IIS管理器中，展开本地计算机，然后单击"Web服务扩展"。4）在右侧窗格中，右键单击"ASP.NET"然后单击"允许"。ASP.NET的状态变为"允许"。

即使正确地安装了WIN2KServer，系统也有很多漏洞，还需要进一步进行细致的配置。
一、端口端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。
二、IISIIS是微软的组件中问题最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以IIS的配置是我们的重点。首先，删除C盘下的pub目录，在D盘建一个pub，在IIS管理器中将主目录指向D:pub。其次，把IIS安装时默认的scripts等虚拟目录也一概删除，如果你需要什么权限的目录可以以后再建（特别注意写权限和执行程序的权限）。然后是应用程序的配置。在IIS管理器中把无用映射都统统删除（当然必须保留如ASP、ASA等）。在IIS管理器中“主机→属性→WWW服务编辑→主目录配置→应用程序映射”，然后开始一个个删吧。接着再在应用程序调试书签内，将“脚本错误消息”改为“发送文本”。点击“确定”退出时别忘了让虚拟站点继承刚才设定好的属性。最后，为了保险起见，可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果怕IIS负荷过高导致服务器死机，也可以在性能中打开CPU限制，如将IIS的最大CPU使用率限制在70%。
三、账号安全首先，WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到你的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous=1来禁止空用户连接，实际上WIN2K的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有这样的选项RestrictAnonymous（匿名连接的额外限制），其中有三个值：“0”：None，Relyondefaultpermissions（无，取决于默认的权限）“1”：ountsandshares（不允许枚举SAM账号和共享）“2”：esswithoutexplicitanonymouspermissions（没有显式匿名权限就不允许访问）“0”这个值是系统默认的，没有任何限制，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等，对服务器来说这样的设置非常危险。“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息。“2”这个值只有WIN2K才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较好。
四、安全日志这里需要注意：WIN2K的默认安装是不开任何安全审核的！那么就应该到“本地安全策略→审核策略”中打开相应的审核，这里需要说明的是，审核项目如果太少的话，你万一想查看的时候发现没有记录那就一点办法都没有，但是审核项目如果太多，不仅会占用大量的系统资源，而且你也可能根本没空去全部看完，这样就失去了审核的意义。推荐的审核如下：“账户管理”、“登录事件”、“策略更改”、“系统事件”、“账户登录事件”需要把“成功”和“失败”都打开；“对象访问”、“特权使用”、“目录服务访问”就只打开“失败”。与之相关的还有，在“账户策略→密码策略”中设定：“密码复杂性要求启用”，“密码长度最小值6位”，“强制密码历史5次”，“最长存留期30天”；在“账户策略→账户锁定策略”中设定：“账户锁定3次错误登录”，“锁定时间20分钟”，“复位锁定计数20分钟”等。TerminalService的安全日志默认也是不启用的，可以在“TerminalServiceConfigration（远程服务配置）→权限→高级”中配置安全审核，一般来说只要记录登录、注销事件就可以了。
五、目录和文件权限为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（FullControl），你需要根据应用的需要进行权限重设。在进行权限控制时，请记住以下几个原则：
1.权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。
2.拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。
3.文件权限比文件夹权限高。
4.利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5.只给用户真正需要的权限，权限的最小化原则是安全的重要保障。
6.预防ICMP攻击：ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，WIN2K自带一个Routing