服务器授权模式每服务器,同时连接数与每设备或每用户的区别
每服务器认证:指允许服务可以同时有多少个并发客户端用户访问的数量;
每客户认证:指你的每个客户端都有认证许可,客户端通过这个认证访问服务器;
举例如下:
公司有两台服务器:Server1,Server2;
客户端:100台;
若你选择每服务器认证,这个你就需要为Server1,Server2各选择100个认证,共计200个认证,才能满足100个客户端同时访问;
若你选择每客户认证,你只需100个客户认证,就能满足100个客户端访问的需求;
用户可以根据自己的需求选择不同的认证方式.
将本地服务器更改为每设备或每用户授权
1.在要配置的服务器上,打开“选择授权模式”。
2. 在“产品”中,单击要更改授权模式的产品。
3.单击“每设备或每用户”。
要打开某个“控制面板”项目,请单击“开始”,单击“控制面板”,然后双击“授权”。
Web 服务器权限
可以配置 IIS 指定 Web 站点目录的下列权限,如读访问权限和目录浏览权限。理解 Web 服务器权限和 NTFS 权限之间的区别很重要。和 NTFS 不同,Web 服务器权限适用于访问 Web 和 FTP 站点的所有用户。NTFS 权限只适用于拥有有效 Windows 帐号的特定用户或用户组。NTFS 控制对服务器上物理目录的访问,而 Web 和 FTP 权限控制对 Web 或 FTP 站点上虚拟目录的访问。
如果您选择“每设备或每用户”模式,那么访问运行 Windows Server 2003 家族产品的服务器的每台设备或每个用户都必须具备单独的“客户端访问许可证 (CAL)”。通过一个 CAL,特定设备或用户可以连接到运行 Windows Server 2003 家族产品的任意数量的服务器。拥有多台运行 Windows Server 2003 家族产品的服务器的公司大多采用这种授权方法。
相反,每服务器许可证是指每个与此服务器的并发连接都需要一个单独的 CAL。换句话说,此服务器在任何时间都可以支持固定数量的连接。例如,如果您选择具有五个许可证的“每服务器”客户端授权模式,那么该服务器可以一次具有五个并发连接(如果每一个客户端需要一个连接,那么一次允许存在五个客户端)。使用这些连接的客户端不需要任何其他许可证。
每服务器授权模式常常是只有一台服务器的小公司的首选。在客户端计算机可能没有被授权为 Windows Server 2003 家族产品的网络客户端的情况下,这种授权模式对于 Internet 或远程访问服务器也很有用。可以指定并发服务器连接的最大数量并拒绝任何额外的登录请求。
如果您不能确定使用何种模式,那么请选择“每服务器”,因为您可以从“每服务器”模式更改为“每设备”或“每用户”模式,而无需任何代价。
每服务器和每客户端的区别(转)
理解安装window2003时每服务器和每客户端的区别
在安装WIN2003时,教材上都提到选择“每服务器”还是“每客户端”,教材上的解释一直不太清楚,给学生上课时学生更听不明白了。今天干脆给微软公司打了个电话8008203800,总算搞明白了。
安装使用一套WIN2003系统需要交二份钱:WIN2003软件的钱和用户许可的钱。WIN2003的官方报价是3万多,每个用户许可是340元。下面以某公司为例说明。
设某公司有50台电脑,接成局域网,另有一台服务器安装WIN2003系统,公司用户同时访问服务器的的数量不会超过30台(同时访问是指通过网上邻居共享文件或共享打印机之类),则需要花费的钱是:1套WIN2003价3万、30个用户许可价340X30。在安装WIN2003时选择每服务器模式,用户数填30。
如果过段时间该公司还要安装另一台WIN2003系统,同时访问该服务器的用户数也有30人,则该公司还得花费:3万+340X30的钱。
以上情况公司电脑只有50台,但由于同时访问二台服务器,每台的访问人数最多有30人,所以用以上每服务器的方式来比较费钱,更好的方案是公司内部的WIN2003换成每客户模式。这样公司需要花的钱总共为:3万X2套+340X50台,而且以后公司如果再添加WIN2003服务器,也只需要一套WIN2003的钱,而不再需要为客户添加许可了,除非公司中新增用户电脑。
需要注意的还有二下几点:
1、以上面的举例中,客户端电脑是非正版与为WIN2003购买的用户许可没关系,即就算客户电脑已经是XP正版用户了,如果想使用WIN2003提供的网络服务,还得购买用户许可。
2、3万购买的WIN2003只是软件本身的价格,如果用户需要访问WIN2003的共享文件、共享打印还得购买用户许可。
3、如果WIN2003不提供用户共享之类的服务,而只是当一台WEB服务器使用,则除了花费3万购买WIN2003外,还得购买一个WEB访问许可,WEB访问许可与同时访问网站的用户数没关系。一个WEB访问许可的报价是2万多。
4、公司花这么多钱买到的用户许可并不是具体的程序或软件,而只是一个微软公司签发的许可合同,表明你公司是在合法使用软件,否则都称为D版
下面我就结合自己的经验和教训总结一下服务器安全设置的一些技巧和方法。
一、操作系统的安装
我这里说的操作系统以Windows 2000为例,高版本的Windows也有类似功能。
格式化硬盘时候,必须格式化为NTFS的,绝对不要使用FAT32类型。
C盘为操作系统盘,D盘放常用软件,E盘网站,格式化完成后立刻设置磁盘权限,C盘默认,D盘的安全设置为Administrator和System完全控制,其他用户删除,E盘放网站,如果只有一个网站,就设置Administrator和System完全控制,Everyone读取,如果网站上某段代码必须完成写操作,这时再单独对那个文件所在的文件夹权限进行更改。
系统安装过程中一定本着最小服务原则,无用的服务一概不选择,达到系统的最小安装,在安装IIS的过程中,只安装最基本必要的功能,那些不必要的危险服务千万不要安装,例如:FrontPage 2000服务器扩展,Internet服务管理器(HTML),FTP服务,文档,索引服务等等。
二、网络安全配置
网络安全最基本的是端口设置,在“本地连接属性”,点“Internet协议(TCP/IP)”,点“高级”,再点“选项”-“TCP/IP筛选”。仅打开网站服务所需要使用的端口,配置界面如下图。
进行如下设置后,从你的服务器将不能使用域名解析,因此上网,但是外部的访问是正常的。这个设置主要为了防止一般规模的DDOS攻击。
三、安全模板设置
运行MMC,添加独立管理单元“安全配置与分析”,导入模板basicsv.inf或者securedc.inf,然后点“立刻配置计算机”,系统就会自动配置“帐户策略”、“本地策略”、“系统服务”等信息,一步到位,不过这些配置可能会导致某些软件无法运行或者运行出错。
四、WEB服务器的设置
以IIS为例,绝对不要使用IIS默认安装的WEB目录,而需要在E盘新建立一个目录。然后在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射,只保留asp和asa,其余全部删除。
五、ASP的安全
在IIS系统上,大部分木马都是ASP写的,因此,ASP组件的安全是非常重要的。
ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell组件使用这个命令删除:regsvr32 WSHom.ocx /u
WScript.Network组件使用这个命令删除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
禁止guests用户执行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests
FSO组件的禁用比较麻烦,如果网站本身不需要用这个组件,那么就通过RegSrv32 scrrun.dll /u命令来禁用吧。如果网站本身也需要用到FSO,那么请参看这篇文章。
另外,使用微软提供的URLScan Tool这个过滤非法URL访问的工具,也可以起到一定防范作用。当然,每天备份也是一个好习惯。
利用gpedit.msc(组策略)禁止目录执行某些文件。
首先:
运行-----输入 gpedit.msc ----计算机配置---windows 设置----安全设置↓软件限制策略(如果旁边没有什么东西。点右键创建一个策略)---其他规则----(点右键)新建立一个路径规则(p)。
如图1:
这样d:\wwwroot\目录就无法执行任何exe.bat.com文件了。 不管你是什么权限。即使是system都无法执行。
这样大大的提高了被使用exp提升权限的安全性。
当然这里提一个思路。 。大家都知道c:\windows\temp\是临时文件夹。 基本都是所有用户都可以写的。它是不需要执行权限的。
当然我们这里可以给他加一个规则。让c:\windows\temp\无执行权限。 方法如上。
原理:基于软件策略从这些目录都无法运行程序,增加安全。