《系统安全运行与维护项目化教程》项目一 操作系统及其服务器的安全管理与维护

项目一操作系统及其服务器的安全管理与维护模块1操作系统安全管理与维护模块2操作系统服务器安全管理与维护返回模块1操作系统安全管理与维护任务1使用“组策略对象编辑器”进行本地计算机策略设置【任务情境】作为公司的网络管理员，在部署生产服务器之前，需要在服务器上对本地计算机策略进行设置：阻止/启用关闭计算机功能；密码策略选项；赋予用户权限；配置用户登录提示。并对这些设置进行测试，以保证其正常工作。【操作步骤】（1）把组策略对象编辑器添加到“SH-SVR2MMC”控制台中。下一页返回模块1操作系统安全管理与维护1）选择SH-SVR2计算机，以本地管理员Administrator登录到计算机中，如图1−1所示。2）从“开始”菜单，单击“运行”命令，输入“MMC”，打开控制台1，如图1−2所示。3）单击“文件”菜单，选择“添加或删除管理单元”，打开对话框，如图1−3所示。4）双击“组策略对象编辑器”，打开对话框，如图1−4所示。5）默认“本地计算机”组策略对象，单击“完成”按钮，如图1−5所示。上一页下一页返回模块1操作系统安全管理与维护6）单击“确定”按钮，在“控制台1”页面，单击“文件”菜单，选择“另存为”命令，在“保存在”页面，单击左窗格中的“桌面”，在“文件名”文本框输入“sh-svr2MMC”，然后单击“保存”按钮。（2）用本地策略，设置阻止用户关闭服务器。1）在SH-SVR2MMC管理控制台树中，展开“本地计算机策略”管理单元，展开“用户配置”，再展开“管理模板”，然后单击“‘开始’菜单和任务栏”，如图1−6所示。2）在细节窗格中，双击“删除并阻止访问‘关机’命令”选项，如图1−7所示。上一页下一页返回模块1操作系统安全管理与维护3）双击“删除并阻止访问‘关机’‘重新启动’‘睡眠’和‘休眠’”选项，在弹出的对话框中，单击“已启用”单选按钮，然后单击“确定”按钮，如图1−8所示。4）单击“开始”菜单并验证“关机”按钮已从“开始”菜单中删除，如图1−9所示。5）重新打开“删除并阻止访问‘关机’‘重新启动’‘睡眠’和‘休眠’”对话框，单击“未配置”单选按钮，然后单击“应用”按钮，如图1−10所示。6）单击“开始”菜单，检查“关机”“重新启动”按钮重新出现在菜单中，如图1−11所示。上一页下一页返回模块1操作系统安全管理与维护（3）配置密码策略。按如下配置密码策略：●密码必须符合复杂性要求；●密码长度最小值：7；●密码最短使用期限：3天；●密码最长使用时间：60天；●强制密码历史：3；●账户锁定阈值：3；●账户锁定时间：30分钟；上一页下一页返回模块1操作系统安全管理与维护●复位账户锁定计数器：30分钟。1）打开SH-SVR2MMC管理控制台。2）依次单击“计算机配置”—“Windows设置”—“安全设置”—“账户策略”—“密码策略”，如图1−12所示。3）在详细窗格中，双击“密码必须符合复杂性要求”，单击“已启用”单选按钮，单击“确定”按钮，如图1−13所示。4）在详细窗格中，双击“密码长度最小值”，在“密码必须至少是”文本框输入“7”，单击“确定”按钮，如图1−14所示。上一页下一页返回模块1操作系统安全管理与维护5）在详细窗格中，双击“密码最短使用期限”，在“在以下天数后可以更改密码”文本框输入“3”，单击“确定”按钮，如图1−15所示。6）在详细窗格中，双击“密码最长使用期限”，在“密码过期时间”文本框输入“60”，单击“确定”按钮，如图1−16所示。7）在详细窗格中，双击“强制密码历史”，在“保留密码历史”文本框输入“3”，单击“确定”按钮，如图1−17所示。8）在SH-SVR2MMC控制台中，单击“账户锁定策略”，然后在详细窗格中，双击“账户锁定阈值”，在文本框输入“3”，单击“确定”按钮，如图1−18所示。上一页下一页返回模块1操作系统安全管理与维护9）在弹出的“建议的数值改动”对话框，单击“确定”按钮，如图1−19所示。10）测试新的密码策略。①从“开始”菜单，单击“管理工具”，然后选择“计算机管理”，如图1−20所示。②展开“本地用户和组”，右键单击“用户”，选择“新用户”，如图1−21所示。③在“新用户”页面，在“用户名”文本框输入“test”，在“密码”文本框输入“123”，在“确认密码”文本框输入“123”，单击“创建”按钮，如图1−22所示。上一页下一页返回模块1操作系统安全管理与维护④弹出错误提示的对话框，显示密码不满足密码策略的要求，如图1−23所示。⑤重新创建一个用户，用户名：test，密码：P@ssw0rd，选择“密码永不过期”，如图1−24所示。（4）配置用户权限分配：赋予test用户修改系统时间的权限。1）在SH−SVR2MMC控制台上，依次单击“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“用户权限分配”，如图1−25所示。2）双击“更改系统时间”，如图1−26所示。上一页下一页返回模块1操作系统安全管理与维护3）在“更改系统时间”页面，单击“添加用户或组”，在弹出的对话框中，输入“test”，单击“确定”按钮，如图1−27所示。4）单击“开始”菜单，切换当前用户，以test用户登录。5）在桌面右下角双击系统时间。6）单击“日期和时间”选项。7）在“日期和时间”页面，在“日期和时间”选项卡，单击“更改日期和时间”按钮，如图1−28所示。8）检查是否能修改时间。9）注销当前用户，以本地管理员登录计算机。（5）配置安全选项：设置用户登录的提示信息。上一页下一页返回模块1操作系统安全管理与维护1）在SH-SVR2MMC控制台上，依次单击“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”，如图1−29所示。2）在详细窗格中，双击“交互式登录：试图登录的用户的消息标题”，在文本框中输入“welcome”，如图1−30所示。3）双击“交互式登录：试图登录的用户的消息文本”，在文本框中输入“欢迎使用Windowsserver2008企业版操作系统”，如图1−31所示。任务2配置账户和安全策略设置【任务情境】上一页下一页返回模块1操作系统安全管理与维护苏州帝联信息技术有限公司IT企业管理员规划了公司的网络安全策略，包括账户密码策略、无线网络策略等。【操作步骤】（1）启动虚拟机，然后以Administrator身份登录。1）单击SH-DC1旁边的启动。2）以Administrator的身份登录SH-DC1，密码为Pa$$w0rd，如图2−1所示。（2）创建域的账户策略。1）单击“开始”菜单，指向“管理工具”，然后单击“组策略管理”，如图2−2所示。上一页下一页返回模块1操作系统安全管理与维护2）展开“林：”，单击“域”，再单击“”，然后单击“组策略对象”文件夹，如图2−3所示。3）在详细信息窗格中，右键单击“DefaultDomainControllersPolicy”，然后单击“编辑”，如图2−4所示。4）在组策略管理编辑器中，依次展开“计算机配置”—“策略”—“Windows设置”—“安全设置”—“账户策略”，然后单击“密码策略”，如图2−5所示。5）在详细信息窗格中，双击“密码长度最小值”，设置值为“8”，然后单击“确定”按钮，如图2−6所示。上一页下一页返回模块1操作系统安全管理与维护6）双击“密码最短使用期限”，设置值为“19”，然后单击“确定”按钮，如图2−7所示。7）双击“密码最长使用期限”，设置值为“30”，然后单击“确定”按钮，如图2−8所示。8）在左侧窗格中，单击“账户锁定策略”，如图2−9所示。9）在详细信息窗格中，双击“账户锁定阈值”，设置值为“5”，然后单击“确定”按钮，如图2−10所示。10）在“建议的数值改动”对话框中，单击“确定”按钮，接受30分钟的设置，然后单击“确定”按钮，如图2−11所示。上一页下一页返回模块1操作系统安全管理与维护11）关闭组策略管理编辑器，然后保持组策略管理打开。（3）配置WindowsVista客户端的本地策略设置。1）启动SH-CL1，以shixun\Administrator身份登录，密码为Pa$$w0rd。2）单击“开始”菜单，然后在“开始搜索”文本框中输入“MMC”，单击Enter键，打开一个新的Microsoft管理控制台，如图2−12所示。3）单击“文件”菜单，单击“添加/删除管理单元”，如图2−13所示。上一页下一页返回模块1操作系统安全管理与维护4）在“添加或删除管理单元”对话框中，选中“组策略对象编辑器”复选框，单击“添加”按钮，单击“完成”按钮，然后单击“确定”按钮。5）展开“本地计算机策略”—“计算机配置”—“Windows设置”—“安全设置”—“本地策略”，然后单击“安全”选项。在详细信息窗格中，双击“账户：管理员账户状态”，单击“已启用”单选框，然后单击“确定”按钮，如图2−14所示。6）单击“文件”菜单，然后单击“添加/删除管理单元”，如图2−15所示。上一页下一页返回模块1操作系统安全管理与维护7）在“添加或删除管理单元”对话框中，选中“组策略对象编辑器”复选框，单击“添加”按钮，然后单击“浏览”按钮，如图2−16所示。8）在“浏览组策略对象”对话框中，单击“用户”选项卡，选择“非管理员”，单击“确定”按钮，单击“完成”按钮，然后单击“确定”按钮，如图2−17所示。9）展开“本地计算机”“非管理员策略”，展开“用户配置”，展开“管理模板”，单击“开始”菜单和任务栏，双击“从「开始」菜单中删除‘运行’菜单”，单击“已启用”单选框，然后单击“确定”按钮，如图2−18所示。上一页下一页返回模块1操作系统安全管理与维护10）关闭控制台1窗口，不要保存修改。（4）创建WindowsVista客户端的无线网络GPO。1）切换到SH-DC1。2）在组策略管理中，右键单击“组策略对象”文件夹，然后单击“新建”命令。3）在“新建GPO”对话框中，在“名称”字段中输入“Wireless”，然后单击“确定”按钮，如图2−19所示。4）右键单击“Wireless策略”，然后单击“编辑”命令，如图2−20所示。上一页下一页返回模块1操作系统安全管理与维护5）在组策略管理编辑器中，展开“计算机配置”—“策略”—“Windows设置”—“安全设置”，右键单击“无线网络（IEEE802.11）策略”，然后单击“创建一个新WindowsVista策略”。6）在“新建Vista无线网络策略属性”对话框中，在“常规”选项卡中单击“添加”按钮，然后单击“结构”按钮，如图2−21所示。7）在“新建配置文件属性”对话框中，在“配置文件名”字段中输入“Corporate”。8）在“网络名称（SSID）”字段中，输入“Corp”，然后单击“添加”按钮，如图2−22所示。上一页下一页返回模块1操作系统安全管理与维护9）单击“安全”选项卡，设置“身份验证”为“WPA2-企业”，然后单击“确定”按钮，如图2−23所示。10）单击“网络权限”选项卡，然后单击“添加”按钮，如图2−24所示。11）在“新建权限项目”对话框中，在“网络名称（SSID）”字段中输入“Research”，设置“权限”为拒绝，然后单击“确定”按钮两次，如图2−25所示。12）关闭组策略管理编辑器。13）右键单击“”，然后单击“链接现有GPO”命令。上一页下一页返回模块1操作系统安全管理与维护14）在“选择GPO”对话框中，选择“Wireless”，然后单击“确定”按钮，如图2−26所示。（5）配置在所有域控制器上禁止某个服务的GPO。1）在组策略管理中，打开“组策略对象”文件夹，右键单击“DefaultDomainControllersPolicy”，单击“编辑”命令，如图2−27所示。2）展开“计算机配置”—“策略”—“Windows设置”—“安全设置”，然后单击“系统服务”，如图2−28所示。上一页下一页返回模块1操作系统安全管理与维护3）在详细信息窗格中，双击“RemoteRegistry”，选中“定义这个策略设置”，单击“已禁用”单选框，然后单击“确定”按钮，如图2−29所示。4）关闭组策略管理编辑器，保持组策略管理打开。任务3实施细粒度密码策略【任务情境】根据苏州帝联信息技术有限公司网络安全规划，需要针对IT管理员实施细粒度密码策略。【操作步骤】上一页下一页返回模块1操作系统安全管理与维护（1）使用ADSIEdit创建PSO。1）在SH-DC1上，单击“开始”菜单，单击“运行”命令，输入“adsiedit.msc”，然后单击“确定”按钮，如图3−1所示。2）在ADSIEdit控制台上，右键单击“ADSIEdit”，然后单击“连接到”命令。3）在“连接设置”对话框中，单击“确定”按钮，如图3−2所示。4）依次展开“默认命名上下文”—“DC=shixun，DC=com”—“CN=System”，右键单击“CN=PasswordSettingsContainer”，指向“新建”，然后单击“对象”命令，如图3−3所示。上一页下一页返回模块1操作系统安全管理与维护5）在“创建对象”对话框中，单击“msDS-PasswordSettings”，然后单击“下一步”按钮，如图3−4所示。6）在“值”文本框中输入“ITAdmin”，然后单击“下一步”按钮，如图3−5所示。7）在msDS-PasswordSettingsPrecedence“值”文本框中，输入“10”，然后单击“下一步”按钮，如图3−6所示。8）在msDS-PasswordReversibleEncryptionEnabled“值”文本框中，输入“false”，然后单击“下一步”按钮，如图3−7所示。9）在msDS-PasswordHistoryLength“值”文本框中，输入“30”，然后单击“下一步”按钮，如图3−8所示。上一页下一页返回模块1操作系统安全管理与维护10）在msDS-PasswordComplexityEnabled“值”文本框中，输入“true”，然后单击“下一步”按钮，如图3−9所示。11）在msDS-MinimumPasswordLength“值”文本框中，输入“10”，然后单击“下一步”按钮，如图3−10所示。12）在msDS-MinimumPasswordAge“值”文本框中，输入“−5184000000000”，然后单击“下一步”按钮，如图3−11所示。13）在msDS-MaximumPasswordAge“值”文本框中，输入“−6040000000000”，然后单击“下一步”按钮，如图3−12所示。上一页下一页返回模块1操作系统安全管理与维护14）在msDS-LockoutThreshold“值”文本框中，输入“3”，然后单击“下一步”按钮，如图3−13所示。15）在msDS-LockoutObservationWindow“值”文本框中，输入“，然后单击“下一步”按钮，如图3−14所示。16）在msDS-LockoutDuration“值”文本框中输入“，单击“下一步”按钮，然后单击“完成”按钮，如图3−15所示。17）关闭ADSIEdit控制台，不要保存任何改动。（2）将ITAdminPSO分配给ITAdmins全局组。上一页下一页返回模块1操作系统安全管理与维护1）单击“开始”菜单，选择“管理工具”，然后单击“ActiveDirectory用户和计算机”。2）单击“查看”菜单，然后再单击“高级功能”按钮，打开对话框，如图3−16所示。3）展开“”—“System”，然后单击“PasswordSettingsContainer”，在详细信息窗格中，右键单击“ITAdmin”，然后单击“属性”命令，如图3−17所示。4）在“ITAdmin属性”对话框中，单击“属性编辑器”选项卡，向下滚动，选中“msDS-PSOAppliesTo”，然后单击“编辑”按钮，如图3−18所示。上一页下一页返回模块1操作系统安全管理与维护5）在“具有安全主体的多值可分辨名称编辑器”对话框中，单击“添加Windows账户”按钮。6）输入“itadmins”，然后单击“确定”按钮三次，如图3−19所示。7）关闭“ActiveDirectory用户和计算机”。任务4配置受限制的组和软件限制策略【任务情境】管理员组具有超级的权限，因此需要严格限制管理员组的成员身份。为此，需要在组策略中限制管理员组的成员身份，同时需要限制客户端使用某些软件。上一页下一页返回模块1操作系统安全管理与维护【操作步骤】（1）为本地管理员组配置受限制的组。1）单击“开始”菜单，指向“管理工具”，然后单击“组策略管理”，如图4−1所示。2）展开“林：”—“域”—“”，然后单击“组策略对象”文件夹，如图4−2所示。3）在详细信息窗格里，右键单击“DefaultDomainPolicy”，然后单击“编辑”命令，如图4−3所示。上一页下一页返回模块1操作系统安全管理与维护4）在“组策略管理编辑器”中，展开“计算机配置”—“策略”—“Windows设置”—“安全设置”，右键单击“受限制的组”，然后单击“添加组”命令，如图4−4所示。5）在“添加组”对话框中，输入“Administrators”，然后单击“确定”按钮，如图4−5所示。6）在“Administrators属性”对话框中，单击“这个组的成员”文本框旁的“添加”按钮。7）在“添加成员”对话框中，输入“shixun\itadmins”，然后单击“确定”按钮，如图4−6所示。上一页下一页返回模块1操作系统安全管理与维护8）在“Administrators属性”对话框中，单击“添加”按钮。9）在“添加成员”对话框中输入“shixun\DomainAdmins”，然后单击“确定”按钮两次，如图4−7所示。10）关闭组策略管理编辑器。（2）禁止InternetExplorer和VBS脚本在域控制器上运行。1）在组策略管理控制台上，在详细信息窗格中，右键单击“DefaultDomainControllersPolicy”，然后单击“编辑”命令。2）在“组策略管理编辑器”中，依次展开“计算机配置”—“策略”—“Windows设置”—“安全设置”，然后单击“软件限制策略”，如图4−8所示。上一页下一页返回模块1操作系统安全管理与维护3）右键单击“软件限制策略”，然后单击“创建软件限制策略”，如图4−9所示。4）在详细信息窗格中，右键单击“其他规则”，然后单击“新建哈希规则”，如图4−10所示。5）在“新建哈希规则”对话框中，单击“浏览”按钮，浏览到C:\ProgramFiles\InternetExplorer\iexplore.exe，然后单击“打开”按钮，如图4−11所示。6）确定“安全级别”设置为不允许，然后单击“确定”按钮，如图4−12所示。上一页下一页返回模块1操作系统安全管理与维护7）右键单击“其他规则”，然后单击“新建路径规则”。8）在“路径”字段中，输入“*.vbs”，然后单击“确定”按钮，如图4−13所示。9）关闭组策略管理编辑器。任务5配置安全模板【任务情境】安全模板可以很方便地帮助管理员定义服务器的安全设置。你需要利用安全模板定义服务器的基本的安全设置，利用安全配置向导完成服务器的安全设置。上一页下一页返回模块1操作系统安全管理与维护【操作步骤】（1）打开运行窗口。1）单击“开始”菜单，在“开始搜索”文本框中输入“MMC”，然后单击“确定”按钮，如图5−1所示。2）单击“文件”菜单，然后单击“添加/删除管理单元”命令，如图5−2所示。3）在“添加或删除管理单元”对话框中，下拉滚动条，单击“安全模板”，单击“添加”按钮，然后单击“确定”按钮，如图5−3所示。上一页下一页返回模块1操作系统安全管理与维护4）展开“安全模板”，右键单击“C:\Users\Administrator\Documents\Security\Templates”，然后单击“新加模板”，如图5−4所示。5）在“C:\Users\Administrator\Documents\Security\Templates”对话框中，在“模板名”字段中输入“FPSecurity”，然后单击“确定”按钮，如图5−5所示。6）展开“FPSecurity”—“本地策略”，然后单击“安全选项”，如图5−6所示。上一页下一页返回模块1操作系统安全管理与维护7）在详细信息窗格中，双击“账户：重命名系统管理员账户”，选中“在模板中定义这个策略设置”复选框，在文本框中输入“FPAdmin”，然后单击“确定”按钮，如图5−7所示。8）在详细信息窗格中，双击“交互式登录：不显示最后的用户名”，选中“在模板中定义这个策略设置”复选框，单击“已启用”单选框，然后单击“确定”按钮，如图5−8所示。9）在文件夹窗格中，右键单击“FPSecurity”，然后单击“保存”命令，如图5−9所示。10）关闭控制台1，不要保存任何改动。（2）启动SH-SVR2，加入域，并禁用Windows防火墙。上一页下一页返回模块1操作系统安全管理与维护1）启动SH-SVR2，以LocalAdmin的身份登录，密码为Pa$$w0rd。2）如果需要的话，打开“服务器管理器”，单击“更改系统属性”命令，如图5−10所示。3）在“计算机名”选项卡上，单击“更改”按钮。4）在“隶属于”区域中，单击“域”单选框，在文本框中输入“”，然后单击“确定”按钮，如图5−11所示。5）在“Windows安全”中输入“Administrator”和“Pa$$w0rd”，然后单击“确定”按钮。上一页下一页返回模块1操作系统安全管理与维护6）依次单击“确定”“关闭”“立即重新启动”按钮。计算机将重新启动。7）以shixun\Administrator的身份登录，密码为Pa$$w0rd，如图5−12所示。8）单击“开始”菜单，单击“控制面板”，双击“Windows防火墙”，然后单击“更改设置”，如图5−13所示。9）在“Windows防火墙设置”对话框中，单击“关闭”单选框，然后单击“确定”按钮，以关闭防火墙设置，如图5−14所示。10）关闭Windows防火墙窗口，然后关闭控制面板。（3）运行安全配置向导，并导入FPSecurity模板。上一页下一页返回模块1操作系统安全管理与维护1）在SH-DC1上，单击“开始”菜单，指向“管理工具”，然后单击“安全配置向导”。2）在“欢迎使用安全配置向导”页面，单击“下一步”按钮。3）在“配置操作”页面，单击“下一步”按钮，如图5−15所示。4）在“选择服务器”页面，输入“SH-SVR1”，然后单击“下一步”按钮，如图5−16所示。5）等待处理完成，单击“下一步”按钮。6）在“基于角色的服务配置”页面，单击“下一步”按钮。7）在“选择服务器角色”页面，取消选中“DNS服务器”复选框。上一页下一页返回模块1操作系统安全管理与维护8）选中“文件服务器”复选框。9）选中“打印服务器”复选框，然后单击“下一步”按钮，如图5−17所示。10）在“选择客户端功能”页面，单击“下一步”按钮，如图5−18所示。11）在“选择管理和其他选项”页面，单击“下一步”按钮，如图5−19所示。12）在“选择其他服务”页面，单击“下一步”按钮，如图5−20所示。上一页下一页返回模块1操作系统安全管理与维护13）在“处理未指定的服务”页面，单击“下一步”按钮，如图5−21所示。14）在“确认服务更改”页面，检查更改的服务，然后单击“下一步”按钮，如图5−22所示。15）在“网络安全”页面，单击“下一步”按钮，如图5−23所示。16）在“网络安全规则”页面，单击“下一步”按钮，如图5−24所示。17）在“注册表设置”页面，单击“下一步”按钮，如图5−25所示。上一页下一页返回模块1操作系统安全管理与维护18）在“要求SMB安全签名”页面，单击“下一步”按钮，如图5−26所示。19）在“出站身份验证方法”页面，单击“下一步”按钮，如图5−27所示。20）在“出站身份验证使用域账户”页面，选中“与选定的服务器的时钟进行了同步的时钟”复选框，然后单击“下一步”按钮，如图5−28所示。21）在“入站身份验证方法”页面，单击“下一步”按钮，如图5−29所示。上一页下一页返回模块1操作系统安全管理与维护22）在“注册表设置摘要”页面，单击“下一步”按钮，如图5−30所示。23）在“审核策略”页面，单击“下一步”按钮，如图5−31所示。24）在“系统审核策略”页面，单击“下一步”按钮，如图5−32所示。25）在“审核策略摘要”页面，单击“下一步”按钮，如图5−33所示。26）在“保存安全策略”页面，单击“下一步”按钮，如图5−34所示。上一页下一页返回模块1操作系统安全管理与维护27）在“安全策略文件名”页面，在路径“C:\Windows\security\msscw\Policies\”后添加“FPPolicy”，然后单击“包括安全模板”按钮，如图5−35所示。28）在“包括安全模板”对话框中，单击“添加”按钮，如图5−36所示。29）依次选择“文档”—“Security”—“Templates”—“FPSecurity.inf”，单击“打开”按钮，然后单击“确定”按钮，再单击“下一步”按钮，如图5−37～图5−41所示。30）在“应用安全策略”页面中，选择“现在应用”单选框，然后单击“下一步”，如图5−42所示。上一页下一页返回模块1操作系统安全管理与维护31）在“正在完成安全配置向导”页面中，单击“下一步”按钮，然后单击“完成”按钮，如图5−43所示。（4）将FPPolicy转换为GPO。1）在SH-DC1上，单击“开始”菜单，然后单击“命令提示符”选项，如图5−44所示。2）在“命令提示符”页面中，输入“scwcmdtransform/P“:C:\Windows\security\msscw\Policies\FPpolicy.xml”/g:FileServerSecurity”，然后单击Enter键，如图5−45所示。上一页下一页返回模块1操作系统安全管理与维护3）如果未打开组策略管理，那么重新打开，再选择“组策略对象”文件夹，双击“filesserversecurity”，然后单击“设置”选项卡，如图5−46所示。4）在“InternetExplorer”对话框中，单击“添加”按钮，再次单击“添加”按钮，然后单击“关闭”按钮。检查组策略设置信息，如图5−47所示。5）关闭组策略管理，然后从SH-DC1中注销。上一页返回模块2操作系统服务器安全管理与维护任务6提高Windows系统活动目录服务安全访问【任务情境】苏州帝联信息科技有限公司为保障公司办公网络数据业务的安全，为不同部门员工的计算机设置活动目录，由信息中心对活动目录进行安全管理，这样内部员工在复制资料时，需要登录活动目录进行身份验证，并获得信息中心分配到各个活动目录的安全权限。安装活动目录需要具备一定的条件：下一页返回模块2操作系统服务器安全管理与维护①安装者必须具有本地管理员权限。②操作系统版本必须满足条件。③本地磁盘至少有一个分区是NTFS文件系统。④有TCP/IP设置（IP地址、子网掩码等）。⑤有相应的DNS服务器支持。⑥有足够的可用空间。拓扑结构如图6−1所示。【操作步骤】（一）安装活动目录上一页下一页返回模块2操作系统服务器安全管理与维护1）使用本地管理员身份登录到SH-SVR2机器，如图6−2所示。2）单击“开始”按钮，打开“开始”菜单，选择“管理工具”，如图6−3、图6−4所示。3）选择“角色”，单击“添加角色”命令，单击“下一步”按钮，如图6−5所示。4）选择“角色”，选择“ActiveDirectory域服务”选项，然后单击“下一步”按钮，如图6−6所示。单击“下一步”按钮，打开“ActiveDirectory域服务”对话框，其中简要介绍了ActiveDirectory域服务的作用和注意事项，如图6−7所示。上一页下一页返回模块2操作系统服务器安全管理与维护5）单击“安装”按钮，正式进行安装ActiveDirectory域服务，如图6−8～图6−10所示。6）打开“开始”菜单，在“开始搜索”文本框输入“dcpromo.exe”，单击“确定”按钮启动安装向导，如图6−11、图6−12所示。7）单击“下一步”按钮，打开“操作系统兼容性”对话框，如图6−13所示。8）单击“下一步”按钮，打开“选择某一部署配置”对话框，如果是第一台域控制器，就选择第二个选项“在新林中新建域”，如果不是，就选择“现有林”，如图6−14所示。上一页下一页返回模块2操作系统服务器安全管理与维护9）单击“下一步”按钮，打开“命名林根域”对话框，在“目录林根级域的FQDN”文本框中输入你准备好的DNS域名，如，如图6−15所示。10）单击“下一步”按钮，开始检查该域名及其相应的NetBIOS名是否在网络中使用，完成后打开“设置林功能级别”对话框。安装向导提供3种模式，分别是Windows2000、WindowsServer2003、WindowsServer2008，根据网络中存在的最低Windows版本的域控制器来选择，如图6−16、图6−17所示。11）设置域功能级别，如图6−18、图6−19所示。上一页下一页返回模块2操作系统服务器安全管理与维护12）单击“下一步”按钮，开始检查DNS配置，并打开警告框，提示没有找到父区域，如图6−20所示。13）单击“是”按钮，打开“数据库、日志文件和SYSVOL的位置”对话框，为了提高系统性能，并便于日后出现故障时恢复，建议将数据库和日志文件夹指定为非系统分区，如图6−21所示。14）单击“下一步”按钮，打开“目录服务还原模式的Administrator密码”对话框，用于设置在还原目录服务时的密码，如图6−22所示。这一步很重要，在日后的维护还原时要用到，所以密码要牢记。（在活动目录恢复时就需要用到了）。上一页下一页返回模块2操作系统服务器安全管理与维护15）单击“下一步”按钮，打开“摘要”对话框，其中列出了前面所做的配置信息，如图6−23所示。16）单击“下一步”按钮，安装向导开始配置域服务。过程需要几分钟或几小时，因此，如果你很忙，也可选中“完成后重新启动”复选框，完成后系统自动重启，如图6−24所示。17）单击“完成”按钮，这时提示必须重启才能生效，如图6−25、图6−26所示。18）重启后，就可以登录域了。（二）安全管理活动目录上一页下一页返回模块2操作系统服务器安全管理与维护（1）启动虚拟机，然后登录。1）以Administrator身份登录到SH-DC1，密码为Pa$$w0rd，如图6−27所示。2）以LocalAdmin身份登录到SH-SVR1，密码为Pa$$w0rd，如图6−28所示。（2）验证林和域功能级别是否与RODC部署兼容。1）在SH-DC1上，打开“开始”菜单，指向“管理工具”，然后单击“ActiveDirectory用户和计算机”，如图6−29、图6−30所示。上一页下一页返回模块2操作系统服务器安全管理与维护2）右键单击“”，然后单击“属性”命令，如图6−31所示。3）在“

属性”对话框中，验证“域功能级别”和“林功能级别”都已设置为WindowsServer2003，如图6−32所示。4）单击“取消”按钮。（3）验证运行WindowsServer2008的可写域控制器的可用性。1）在“ActiveDirectory用户和计算机”中，展开“”，然后单击“DomainControllers”，如图6−33所示。2）右键单击“SH-DC1”，然后单击“属性”命令，如图6−34所示。上一页下一页返回模块2操作系统服务器安全管理与维护3）在“操作系统”选项卡上，确保操作系统“姓名”为“WindowsServer®2008Enterprise”，如图6−35所示。4）单击“确定”按钮，然后关闭“ActiveDirectory用户和计算机”。（4）配置RODC的计算机账户设置。1）在SH-SVR1上，打开“开始”菜单，指向“管理工具”，然后单击“服务器管理器”，如图6−36所示。2）在“服务器管理器”中，单击“更改系统属性”选项，如图6−37所示。3）在“计算机名”选项卡上，单击“更改”按钮，如图6−38所示。上一页下一页返回模块2操作系统服务器安全管理与维护4）在“计算机名”字段中，输入“TOR-DC1”，然后单击“确定”按钮，如图6−39所示。5）在“计算机名/域更改”对话框中，单击“确定”按钮，如图6−40所示。6）单击“关闭”按钮，然后单击“立即重新启动”按钮，如图6−41所示。（三）安装并配置RODC（1）预留RODC的计算机账户。1）在SH-DC1上，打开“开始”菜单，指向“管理工具”，然后单击“ActiveDirectory用户和计算机”，如图6−42、图6−43所示。上一页下一页返回模块2操作系统服务器安全管理与维护2）展开“”，右键单击“DomainControllersOU”，然后单击“预创建只读域控制器账户”命令，如图6−44所示。3）在“欢迎使用ActiveDirectory域服务安装向导”页面上，选中“使用高级模式安装”复选框，然后单击“下一步”按钮，如图6−45所示。4）在“操作系统兼容性”页面上，单击“下一步”按钮，如图6−46所示。5）在“网络凭据”页面上，确保“我的当前登录凭据”已选中，然后单击“下一步”按钮，如图6−47所示。上一页下一页返回模块2操作系统服务器安全管理与维护6）在“指定计算机名称”页面上，在“计算机名称”字段中，输入“TOR-DC1”，然后单击“下一步”按钮，如图6−48所示。7）在“请选择一个站点”页面上，单击“下一步”按钮，如图6−49所示。8）在“其他域控制器选项”页面上，清空“全局编录”复选框，然后单击“下一步”按钮，如图6−50所示。9）在“指定密码复制策略”页面上，确认除了“AllowedRODCPasswordReplicationGroup”之外的所有用户和组都已配置为拒绝凭据缓存，然后单击“下一步”按钮，如图6-51所示。上一页下一页返回模块2操作系统服务器安全管理与维护10）在“用于RODC安装和管理的委派”页面上，单击“设置”按钮，如图6−52所示。11）在“选择用户或组”对话框中，在“输入要选择的对象名称”文本框内输入“Administrator”，单击“确定”按钮，然后单击“下一步”按钮，如图6−53所示。12）在“摘要”页面上，复核你的选择，然后单击“下一步”按钮，创建RODC账户，如图6−54所示。13）在“完成ActiveDirectory域服务安装向导”页面上，单击“完成”按钮，如图6−55所示。上一页下一页返回模块2操作系统服务器安全管理与维护（2）以LocalAdmin身份登录到TOR-DC1虚拟机。以LocalAdmin身份登录，密码为Pa$$w0rd。（3）使用现有账户安装RODC，将shixun\Administrator作为拥有相应凭据，可以执行安装的账户。1）打开命令提示符。单击“开始”菜单，输入“cmd”后单击回车键，如图6−56、图6−57所示。2）输入“dcpromo/UseExistingAccount:Attach”，然后单击Enter键，如图6−58所示。上一页下一页返回模块2操作系统服务器安全管理与维护3）在“欢迎使用ActiveDirectory域服务安装向导”页面上，选中“使用高级模式安装”复选框，然后单击“下一步”按钮，如图6−59所示。4）在“网络凭据”页面上，输入“”。在“请指定用于执行安装的账户凭据”下，单击“备用凭据”单选框，然后单击“设置”按钮，如图6−60、图6−61所示。5）在“Windows安全”对话框中，输入“Administrator”作为用户名，输入“Pa$$w0rd”作为密码。单击“确定”按钮，然后单击“下一步”按钮，如图6−62所示。上一页下一页返回模块2操作系统服务器安全管理与维护6）在“选择域控制器账户”页面上，确认TOR−DC1被选中，然后单击“下一步”按钮。在“静态IP分配消息”框中，单击“是（Y）”按钮，该计算机将使用动态分配的IP地址（不推荐），如图6−63所示。注：此消息是指IPv6适配器，并且不会影响本实验。7）在“从介质安装”页面上，单击“下一步”按钮，如图6−64所示。8）在“源域控制器”页面上，单击“使用此特定的域控制器”单选框，单击“SH−DC1.”，然后单击“下一步”按钮，如图6−65所示。上一页下一页返回模块2操作系统服务器安全管理与维护9）在“数据库、日志文件和SYSVOL的位置”页面上，单击“下一步”按钮，如图6−66所示。10）在“目录服务还原模式的Administrator密码”页面上，在“密码”和“确认密码”文本框中输入“Pa$$w0rd”，然后单击“下一步”按钮，如图6−67所示。11）在“摘要”页面上，复核你的选择，然后单击“下一步”按钮，安装ADDNS，如图6−68所示。12）选中“完成后重新启动”复选框。等待安装完成，并等待服务器自动重新启动，如图6−69所示。上一页下一页返回模块2操作系统服务器安全管理与维护任务7加固Windows系统的DHCP服务的安全防御【任务情境】苏州帝联信息科技有限公司办公室网有200台办公用计算机，如果对网络中的主机进行静态IP地址分配，这将增加网络管理的难度，而且会经常遇到IP地址冲突的情况。为了解决这些问题，公司的信息中心在网络中搭建了一台DHCP服务器，解决IP地址自动分配的问题，同时为了保障网络中的DHCP服务器的安全性，需要对其进行安全管理。具体参数要求：上一页下一页返回模块2操作系统服务器安全管理与维护①配置DHCP作用域。在SH−DC1计算机的DHCP上创建作用域。作用域名称：总部办公室网络作用域地址池：—54排除范围：—0子网掩码：②配置DHCP作用域选项。网关：首选DNS：0上一页下一页返回模块2操作系统服务器安全管理与维护③使用客户端工作站测试作用域。在SH−CL1计算机上启用动态获取IP地址，输入命令：ipconfig/renew。【操作步骤】（一）配置DHCP（1）配置DHCP作用域和作用域选项。1）启动SH−SVR1计算机。2）打开“开始”菜单，指向“管理工具”，然后单击“DHCP”，打开“DHCP”管理控制台，如图7−1所示。上一页下一页返回模块2操作系统服务器安全管理与维护3）右键单击IPv4服务器图标，然后单击“新建作用域”命令。4）在“新建作用域向导”中，在欢迎页面上，单击“下一步”按钮，如图7−2所示。5）在“作用域名称”对话框中，输入该作用域的名称和描述。例如，“名称：总部办公室网络作用域”和“描述：shixun员工作用域”。单击“下一步”按钮，如图7−3所示。6）在“IP地址范围”页面，在“起始IP地址”框中输入“”；在“结束IP地址”框中输入“54”；在“长度”文本框中输入“16”。这样“子网掩码”文本框就会显示“”。单击“下一步”按钮，如图7−4所示。上一页下一页返回模块2操作系统服务器安全管理与维护7）在“添加排除”页面中，在“起始IP地址”框中输入“”，在“结束IP地址”框中输入“0”，单击“添加”按钮，然后单击“下一步”按钮，如图7−5所示。8）在“租用期限”文本框中，将该值更改为“1”小时，然后单击“下一步”按钮，如图7−6所示。9）在“配置DHCP选项”页面，选择“是，我想现在配置这些选项”单选框，然后单击“下一步”按钮，如图7−7所示。10）在“路由器（默认网关）”页面中，在“IP地址”框中输入“”，单击“添加”按钮，然后单击“下一步”按钮，如图7−8所示。上一页下一页返回模块2操作系统服务器安全管理与维护11）在“域名称和DNS服务器”页面，在“父域”框中输入“”，在“服务器名称”框中输入“SH−DC1”，在“IP地址”框输入“0”，然后单击“添加”按钮，再单击“下一步”按钮，如图7−9所示。12）在“WINS服务器”对话框中，在“服务器名称”框输入“SH−DCl”，在“IP地址”框中输入“0”，单击“添加”按钮，然后单击“下一步”按钮，如图7−10所示。13）在“激活作用域”页面，选择“是，我想现在激活此作用域”单选框，然后单击“下一步”按钮，如图7−11所示。上一页下一页返回模块2操作系统服务器安全管理与维护14）在该安装步骤完成后，单击“完成”按钮，完成DHCP作用域的配置，如图7−12所示。15）从DHCP控制台上，单击“IPv4”选项，可以看到新建的作用域，如图7−13所示。（2）配置DHCP客户端。1）选择SH−CL1计算机。2）在“网络连接”中，选择“本地连接”网卡，配置“TCP/IP属性”，选择“自动获得IP地址”单选框，单击“确定”按钮关闭，如图7−14所示。上一页下一页返回模块2操作系统服务器安全管理与维护3）使用“ipconfig/renew”命令获得IP地址，如图7−15所示。4）使用“ipconfig/all”命令验证IP地址，并检查租约期限，如图7−16所示。（3）验证地址租约。1）选择SH−DC1计算机。2）打开DHCP控制台，单击控制台树中的“地址租用”，验证租用的IP地址，如图7−17所示。（二）配置DHCP保留（1）为SH−CL1配置保留。上一页下一页返回模块2操作系统服务器安全管理与维护1）在DHCP控制台上，展开IPv4，展开“作用域[]”，如图7−18所示。2）右键单击“保留”，在弹出的快捷菜单中，单击“新建保留”命令，如图7−19所示。3）在“新建保留”对话框中，在“保留名称”文本框输入“SH−CL1”；在“IP地址”文本框输入“00”，如图7−20所示。4）打开SH−CL1计算机。5）打开“开始”菜单，单击“运行”命令，如图7−21所示。上一页下一页返回模块2操作系统服务器安全管理与维护6）输入“cmd”单击“确定”按钮，打开“命令”窗口，如图7−22所示。7）在命令窗口输入“ipconfig/all”，查看IP，如图7−23所示。8）查看SH−CL1计算机的MAC地址，并记下该MAC地址，如图7−24所示。9）回到SH−SVR1计算机的DHCP控制台。10）在“新建保留”对话框的“MAC地址”文本框输入刚才记下的MAC地址，如图7−25所示。11）单击“添加”按钮，完成新建保留的创建，如图7−26所示。上一页下一页返回模块2操作系统服务器安全管理与维护12）在SH−CL1计算机的命令窗口输入“ipconfig/renew”，查看是否收到00的IP地址，如图7−27所示。（2）刷新DHCP客户端。1）选择SH−CL1计算机。2）单击“开始”菜单，单击“运行”命令，输入“cmd”，打开命令窗口，如图7−28所示。3）使用“ipconfig/renew”命令获得IP地址，如图7−29所示。4）使用“ipconfig/all”命令验证IP地址，并检查租约期限，如图7−30所示。上一页下一页返回模块2操作系统服务器安全管理与维护（3）验证地址租约。1）选择SH−DC1计算机。2）打开DHCP控制台，单击控制台树中的“地址租用”，验证租用的IP地址，如图7−31所示。任务8提升Windows系统的IIS服务的安全防御【任务情境】上一页下一页返回模块2操作系统服务器安全管理与维护苏州帝联信息科技有限公司为了推广企业服务，宣传企业产品信息，在办公网中搭建了一台Web服务器，实现资源共享。办公网中的Web服务器可以通过Windows操作系统中的IIS程序实现。另外IIS程序对外提供Web服务，有可能会遭到企业内外网黑客的攻击，造成Web站点不稳定状态，信息中心需要在搭建IIS服务的同时，部署相关的服务安全策略。要求如下：（1）IIS的搭建。（2）部署WindowsIIS服务安全策略。【操作步骤】上一页下一页返回模块2操作系统服务器安全管理与维护（1）安装Web服务器角色。1）选择SVR2服务器，打开“服务器管理器”窗口，如图8−1所示。2）在详细信息窗格中，在“角色摘要”部分单击“添加角色”选项。3）在弹出的“添加角色向导”对话框中，单击“下一步”按钮，如图8−2所示。4）在“角色”框中，选择“Web服务器（IIS）”复选框，如图8−3所示。上一页下一页返回模块2操作系统服务器安全管理与维护5）弹出“添加角色向导”对话框，单击“添加必需的功能”按钮，如图8−4所示。6）单击“下一步”按钮，如图8−5、图8−6所示。7）在“选择角色服务”页面，按默认选择，单击“下一步”按钮，如图8−7所示。8）然后单击“安装”按钮，如图8−8所示。9）在该安装步骤完成后，单击“关闭”按钮，如图8−9所示。10）在“控制台”窗格中，展开“角色”，如图8−10所示。11）注意：已安装“Web服务器（IIS）”角色。上一页下一页返回模块2操作系统服务器安全管理与维护（2）验证IIS安装。1）打开“服务器管理器”，展开“角色”，然后单击“Web服务器（IIS）”，你会看到关于Web服务器角色的信息概要，“事件”部分会显示“Web服务器（IIS）”服务器角色相关的重要信息，如图8−11所示。2）在“系统服务”部分，核实万维网发布服务（W3SVC）已经启动，还会看到ApplicationHostHelperService（apphostsvc）和WindowsProcessActivationService（WAS）。如果这几项服务中的任意一项停止，单击并选择启动它。3）在角色服务部分，查看已经安装的角色服务的列表，并核实所有默认选项都已安装，如图8−12所示。上一页下一页返回模块2操作系统服务器安全管理与维护4）关闭“服务器管理器”对话框，单击“开始”—“所有程序”—“InternetExplorer”。5）打开WindowsInternetExplorer窗口。在地址栏中输入“http://localhost”，浏览到默认的IIS欢迎页面，如图8−13所示。6）注意：IIS7欢迎页面已加载，表示IIS成功安装并正在运行。（3）为IIS角色添加ASP.NET功能。1）在SH−SVR2中，在服务器管理器内，控制台窗格上，展开“角色”，再单击“Web服务器（IIS）”，如图8−14所示。2）右键单击“Web服务器（IIS）”，再单击“添加角色服务”命令，如图8−15所示。上一页下一页返回模块2操作系统服务器安全管理与维护3）在角色服务列表框中，打开“应用程序开发”，选择“ASP.NET”复选框，如图8−16所示。4）出现“添加角色服务”对话框。单击“添加必需的角色服务”按钮，如图8−17、图8−18所示。5）单击“下一步”按钮，再单击“安装”按钮，如图8−19所示。6）当安装结束时，单击“关闭”按钮，如图8−20所示。7）注意：在详细信息窗格中，在角色服务部分，ASP.NET被作为已安装列出。（4）创建一个网站webtest，IP地址都是0，网站域名是。上一页下一页返回模块2操作系统服务器安全管理与维护1）在“操作”窗格中，单击“添加网站”命令，如图8−21所示。2）在“添加网站”对话框中，在“网站名称”文本框中输入网站名称“webtest”；在“物理路径”文本框中输入该网站的主目录“c:\webtest”；在“IP地址”下拉列表中选择SVR2服务器默认的IP地址“0”；“端口”文本框的默认端口为“80”；在“主机名”文本框中，输入“”。单击“确定”按钮，新网站创建完成，如图8−22所示。3）在c:\webtest主目录下，创建文件“index.htm”，文件内容为“WEBTESTforHOSTNAME”，如图8−23所示。上一页下一页返回模块2操作系统服务器安全管理与维护4）选择DC1域控制器，在DC1域控制器上，在“管理工具”中，选择“DNS”，显示“DNS管理器”对话框，打开“新建区域向导”对话框，在“区域名称”中输入“”，如图8−24所示。5）选择区域“”，“新建主机名称”为“www”，“IP地址”为“0”，如图8−25所示。6）返回到SVR2服务器，打开WindowsInternetExplorer窗口。在地址栏中输入“”，检查显示内容，如图8−26所示。上一页下一页返回模块2操作系统服务器安全管理与维护1）“Internet信息服务(IIS)管理器”中，选择要添加虚拟目录的网站“webtest”，右键选择“添加虚拟目录”命令，如图8−27所示。2）在“添加虚拟目录”对话框中，在“别名”文本框中输入“microsoft”，在“物理路径”文本框中新建一个虚拟目录的主目录“c:\microsoft”，如图8−28所示。3）在c:\microsoft主目录下，创建文件“microsoft.htm”，文件内容为“WEBTEST”，如图8−29所示。4）打开WindowsInternetExplorer窗口，在地址栏中输入“/microsoft/microsoft.htm”，检查显示内容，如图8−30所示。上一页下一页返回模块2操作系统服务器安全管理与维护（6）在webtest网站创建应用程序Blog。1）在“Internet信息服务（IIS）管理器”中，选择要添加应用程序的Web网站“webtest”，右键选择“添加应用程序”。2）在“添加应用程序”对话框中，在“别名”文本框中输入“Blog”，在“物理路径”文本框中新建一个主目录“c:\Blog”，如图8−31所示。3）在c:\Blog主目录下，创建文件“Blog.htm”，文件内容为“BlogWEBTEST”，如图8−32所示。4）打开WindowsInternetExplorer窗口。上一页下一页返回模块2操作系统服务器安全管理与维护在地址栏中输入“http:///Blog/Blog.htm”，检查显示内容，如图8−33所示。（7）在Web服务器上，创建一个应用程序池AppPool2，并将应用程序Blog分配给应用程序池AppPool2。1）在“Internet信息服务（IIS）管理器”中，选择“应用程序池”，右键选择“添加应用程序池”命令，如图8−34所示。2）在“添加应用程序池”对话框中，输入应用程序池名“AppPool2”，单击“确定”按钮，如图8−35所示。3）在“连接”窗格中，选择应用程序“Blog”，在“操作”窗格中，单击“基本设置”，如图8−36所示。上一页下一页返回模块2操作系统服务器安全管理与维护4）出现“编辑应用程序”对话框。单击“选择”按钮，如图8−37所示。5）出现“选择应用程序池”对话框。在“应用程序池”列表中，单击“AppPool2”，然后单击“确定”按钮两次，如图8−38、图8−39所示。（二）阻止从域控制器上访问服务器网站为了安全，公司依照安全策略要求，阻止从域控制器DC1上访问SVR2服务器上的网站。1）在SH−SVR2上，在“Web服务器”角色中，添加“IPv4地址和域限制”角色服务，如图8−40～图8−44所示。上一页下一页返回模块2操作系统服务器安全管理与维护2）使用“IIS管理器”，选择“DefaultWebSite”网站，在中间的功能视图中双击“IPv4地址和域限制”，如图8−45所示。3）在中间视图“IPv4地址和域限制”中，右键选择“添加拒绝条目”命令，在“添加拒绝限制规则”窗口的“特定IPv4地址”输入“0”，如图8−46所示。4）在SH−DC1上，打开IE浏览器，输入“0”，看是否能打开网页，如图8−47所示。5）在SH−SVR1上，打开IE浏览器，输入“0”，看是否能打开网页，如图8−48所示。上一页下一页返回模块2操作系统服务器安全管理与维护6）在中间视图“IPv4地址和域限制”中，删除限制规则，如图8−49所示。7）在SH−DC1上，打开IE浏览器，输入“0”，看是否能打开网页，如图8−50所示。（三）启用Windows身份验证（1）在SH−SVR2上，在“Web服务器”角色中，添加“Windows身份验证”—“基本身份验证”—“摘要式身份验证”角色服务，如图8−51～图8−54所示。2）使用“IIS管理器”，选择“DefaultWebSite”网站，在中间的功能视图中双击“IPv4身份验证”。上一页下一页返回模块2操作系统服务器安全管理与维护检查默认设置的身份验证是哪个，如图8−55所示。3）选择“Windows身份验证”，然后在“操作”窗格中单击“启用”按钮，如图8−56所示。4）打开IE浏览器，输入“0”，看是否能打开网页，如图8−57所示。5）返回“IIS管理器”，选择“匿名身份验证”，然后在“操作”窗格中单击“禁用”按钮，如图8−58所示。6）打开IE浏览器，输入“0”，检查是否能打开网页；按提示输入登录信息。上一页下一页返回模块2操作系统服务器安全管理与维护输入用户名“Administrator”，密码“Pa$$w0rd