关于Windows 2008 R2 Web服务器环境搭建、安全流程

hao0089

　　Windows Server 2008R2服务器安装及设置教程；
第一篇：系统安装与设置
前言：
本安装及设置教程适用于使用Windows2008R2为操作系统的服务器，目的是让服务器实现下列环境。
语言脚本环境：ASP、ASP.Net1.1、ASP.Net2.0、ASP.Net3.0、ASP.Net3.5、PHP（FastCGI模式）。
数据库环境：Access、MSSQL、MySQL。
FTP环境：Ser-U
常见组件：AspJpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite。
　　
一、系统准备
　　
　　操作系统：Windows2008R2原版安装文件、服务器硬件驱动程序、SQL SERVER 2000安装盘、SQL SERVER 2000 SP4补丁，MySQL安装包，PHP压缩包，Zend Optimizer安装包，Serv-U 囧.0.6，Aspjpeg 2.0，JMail 4.5，LyfUpload，动易组件 1.8.6，ISAPI_ReWrite，GHOST。
Windows2008R2和SQL SERVER 2000安装文件可以购买正版光盘或其他途径获得。Windows2008R2最好是原版，SQL SERVER 2000可以选择企业版或者标准版。
SQL SERVER 2000 SP4可以直接从微软网站下载获得。
服务器硬件驱动应该在购买服务器的同时附带了。
MySQL安装文件，PHP安装文件，Zend Optimizer安装文件可以到其官方网站免费下载，或到其他下载网站获得。
Serv_U，Aspjpeg，Jmail，LyfUpload，动易组件，ISAPI_ReWrite和GHOST等均可以通过购买或者其他途径来获得。
　　
二、系统安装
　　
分区：
服务器的硬盘是320Ｇ，分成了4个区，C盘做系统盘（30G），D盘做数据库和软件盘（50G），E盘做网站目录（150G），F盘做备份盘（90G），以NTFS格式对4个区进行格式化。
安装系统：
启动服务器，设置BIOS为光盘启动，重启，插入Windows2008R2安装盘至光驱中，根据提示安装操作系统。
设置登录时不弹出“管理您的服务器”窗口：
启动计算机，弹出“管理您的服务器”窗口，勾选窗口左下方的“登录时不要显示此页”。
启动自动更新：
选择初始配置任务--启动自动更新和反馈--启动自动更新和反馈。
下载并安装更新：
选择初始配置任务--下载并安装更新--更改设置--重要更新--选择下载更新，但是让我选择是否安装更新--确定
修改计算机名：
选择初始配置任务--提供计算机名和域--更改--输入计算机名--确定--重启
安装驱动：
系统安装更新完毕，进入系统，按照主板-显卡-声卡-网卡-其他设备的顺序安装各类驱动程序。

　　安装WEB服务器：
01.进入服务器管理器
02.选择角色，添加角色
03选择WEB服务器，下一步
04.选择除FTP服务器外的所有选项，下一步
05.安装
　　
安装.net 3.5功能：
01.进入服务器管理器
02.选择功能，添加功能
03.选择.net Framework 3.51功能，选择Windows 进程激活服务，选择XPS查看器
04.下一步，安装
　　
安装更新：
点击右下角更新图标，选择更新，安装更新，重启计算机。
启用父路径
打开Internet 信息服务(IIS)管理器，选择本地服务器，选择ASP，选择启用父路径，将False改为True。

　　远程访问服务
一.启动远程访问服务
01.选择服务器管理器--启用远程桌面
02.选择允许运行任意版本远程桌面的计算机连接(较不安全)。备注：方便多种版本Windows远程管理服务器。
03.确定
　　
二.修改远程访问服务端口
01.在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方
02.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
03.找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口
04.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
05.找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为同上的端口
06.在控制面板--Windows 防火墙--高级设置--入站规则--新建规则
07.选择端口--协议和端口--TCP/特定本地端口：同上的端口
08.下一步，选择允许连接
09.下一步，选择公用
10.下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。[TCP 同上的端口]
11.删除远程桌面(TCP-In)规则
12.重新启动计算机
　　
堵住资源共享隐患
打开“本地连接”界面，选择“属性”，左键点击“Microsoft网络客户端”，再点击“卸载”，在弹出的对话框中“是”确认卸载。点击“Microsoft网络的文件和打印机共享”，再点击“卸载”，在弹出的对话框中选择“是”确认卸载。
　　
解除Netbios和TCP/IP协议的绑定
打开“本地连接”界面，选择“属性”，在弹出的“属性”框中双击“Internet协议版本（TCP/IPV4）”，点击“属性”，再点击“高级”—“WINS”，选择“禁用TCP/IP上的NETBIOS”，点击“确认”并关闭本地连接属性。
　　
禁止默认共享
点击“开始”—“运行”，输入“Regedit”，打开注册表编辑器，打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”，在右边的窗口中新建Dword值，名称设为AutoShareServer，值设为“0”。

　　提高系统性能
右键点击“计算机”，选择“属性”—“高级系统设置”—“高级”—“设置”，选择“调整为最佳性能”；确定。
　　
修改虚拟内存的位置或禁用虚拟内存
两者选择其一，在内存足够大的情况下可以禁用虚拟内存。如果内存不是非常大，还是修改虚拟内存到硬盘的非系统盘。一般情况下不建议禁用虚拟内存。
1、        修改虚拟内存的位置：右键点击“计算机”，选择“属性”—“高级系统设置”—“高级”—“设置”—“高级”—“虚拟内存”—“更改”，取消勾选“自动管理所有驱动器的分页文件大小”，在“驱动器”选择框里面选中系统盘，选择“无分页文件”，在非系统盘如D盘，选择“自定义大小”，输入“初始大小”和“最大值”，点击“设置”，并确认修改。
2、        禁用虚拟内存：右键点击“计算机”，选择“属性”—“高级系统设置”—“高级”—“设置”—“高级”—“虚拟内存”—“更改”，取消勾选“自动管理所有驱动器的分页文件大小”，对所有驱动器都选择“无分页文件”，然后点击“设置”并确认修改。
　　
本地安全策略
更改管理员账号和来宾账号
本地策略-安全选项-账户，重命名系统管理员账户，把Administrator改名。重命名来宾账户，把Guest用户改名为Administrator，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到"密码"里去。
　　
组策略
计算机配置—Windows设置—安全设置—本地策略—安全选项
交互式登陆：不显示最后的用户名（启用）
　　
关闭自动播放
控制面板，自动播放，取消勾选，保存。
点击“开始”—“运行”，输入“Gpedit.msc”，打开组策略编辑器，依次展开“计算机配置”—“管理模板”—“Windows组件”，在右侧窗口找到“自动播放策略”选项并打开，双击右侧关闭自动播放，在打开的对话框上部选择“已启用”，在对话框下部选择“所有驱动器”，点击“确定”完成设置。
　　
备份系统
至此重启服务器，对刚刚做好的操作系统做一个GHOST。