1.3 服务器安装操作系统

安装Windows操作系统时，建议采用最小化方式安装，只安装网络服务所必需的模块。当产生新的服务需求时，再安装相应的服务模块，并及时进行安全设置。本节中的内容适用于书中的所有Windows Server 2012 R2服务器。

1.3.1 安装前注意事项

安装Windows操作系统前，注意以下事项。

• 拔掉网线，断开网络，确认要安装的目标计算机没有连接网络，然后开始安装操作系统。

• 确保硬件设备的可靠性。建议操作系统以Raid 5方式运行或者运行于Raid 1的磁盘阵列中，确保服务器硬件环境的稳定。

• 不要在服务器上安装多系统启动环境，防止其他系统因为交叉启动控制造成引导区或者引导文件的丢失、损坏。

• 确保操作系统来源的合法性。不建议使用非正常渠道得到的Windows操作系统安装盘，防止在安装操作系统的同时就已经安装了木马或者恶意软件，防止其中隐藏被恶意修改后门程序的原始安装程序。

• 确保操作系统安装的目标分区使用NTFS格式。使用NTFS分区作为唯一的系统分区标准，不论当前计算机中划分多少个分区。NTFS属于日志性文件系统，使用日志和检查点信息，即使在系统崩溃或者电源故障时也能保证文件系统的一致性。

• 合理规划目标分区内容。分区内容规划根据实际需要而定，例如C盘安装操作系统、D盘安装数据库系统、E盘存储日志文件等。

• 规划分区。在安装操作系统的过程中，建议首先删除磁盘原有的所有分区，然后重新划分分区，如果安装目标操作系统是Windows Server 2012 R2，建议系统分区的磁盘空间为40GB以上。如果安装目标操作系统是Windows Server 2003，建议系统分区的磁盘空间为15GB以上。

• 格式化分区。在安装操作系统的过程中，删除磁盘中所有数据。在安装之前，确定磁盘中所有的数据都已经被删除干净，磁盘完好无损，最好将涉及的磁盘全部格式化。

• 在安装过程中，遵循Windows操作系统部署向导提供的内容。如果安装Windows Server 2003操作系统，在安装过程中需要键入管理员密码，密码必须符合强密码策略。如果安装Windows Server 2012 R2操作系统，在第一次登录时需要设置管理员密码。

• 在操作系统安装完成后但没有正式运行前，保证系统在安装的过程中不与任何公共系统相连，如果必须要有网络安装，要确保服务器在一个独立、可信并且安全的网段中。

• 如有可能，尽量安装英文版本的操作系统。因为微软公司总是最先发布英文版本的补丁，中文版本的补丁相对滞后一段时间。

• 服务器安装完成后，默认为独立服务器模式，如非必要不要加入到域中。Exchange应用中，边缘传输服务器角色所在的服务器不需要加入到域中。

1.3.2 设置管理员密码

Windows Server 2012 R2系统默认管理员用户为“Administrator”，它只能在系统安装完成后的第一次登录过程中设置密码。

1．密码

密码是登录系统的钥匙，密码是否安全直接影响到计算机系统是否安全。密码应当定期修改，尤其是当发现有不良攻击时，更应及时修改为复杂密码，以免被破解。为避免密码因过于复杂而忘记，可用笔记录下来，并保存在安全的地方，或随身携带，避免丢失。

在设置管理员用户密码时，应注意以下问题。

（1）切不可让账号与密码相同。

如果将用户账号与密码设置为相同，许多系统扫描工具就会默认将用户和密码作为相同的设置扫描系统，这无疑会省去攻击者的很多力气。

（2）切不可使用自己的姓名。

使用自己的姓或名，甚至是姓名作为密码，实在是不堪一击。对于本单位和熟悉本单位的人来讲，姓名无疑是攻击的首选，因为这几乎谁都能猜得到。另外，在许多黑客编写的字典中，往往将百家姓一一列出，并放在字典的前列。

（3）切不可使用英文词组。

一些常用或别致的英文单词往往是用户设置密码时的最爱，在他们看来，这类密码既便于记忆，又凸显自己的个性。但事实上，那些绝顶聪明的黑客也早已猜到并详细地将其编入字典，因此，英文词组绝不可用。

（4）切不可使用特定意义的日期。

以具有特定意义的日期作为密码是任何人都十分喜爱的，这一类日期通常有自己生日、父母生日、儿女生日、朋友生日、重大节日、个人纪念日等等。不用说熟悉的人可以猜到，即使是陌生人也可以通过穷举的方式而得手。在黑客字典中，以上所有的几个组合几乎全部被罗列，实在令人惊骇不已。

（5）切不可使用简单的密码。

越是字符数少、越是简单的密码，在破解时所用的时间也就越短。一个穷举软件每秒钟可以重试10万次之多，字数越少，字符越简单，排列组合的结果也就越少，也就越容易被攻破。

2．安全密码原则

要想保证用户密码的安全，应当遵循以下规则。即使管理员也难以得到。

• 用户密码应包含英文字母的大小写、数字、可打印字符，甚至是非打印字符，可将这些符号排列组合使用，以期达到最好的保密效果。

• 用户密码不要太规则，不要将用户姓名、生日和电话号码作为密码。不要用常用单词作为密码。

• 根据黑客软件的工作原理，参照密码破译的难易程度，以破解需要的时间为排序指标，设置密码长度时应遵循7位或14位的整数倍原则。

• 在通过网络验证密码过程中，不得以明文方式传输，以免被监听、截取。

• 密码不得以明文方式存放在系统中，确保密码以加密的形式写在硬盘上并确保包含密码的文件是只读的。加密的方法很多，如基于单向函数的密码加密，基于测试模式的密码加密，基于公钥加密方案的密码加密，基于平方剩余的密码加密，基于多项式共享的密码加密，基于数字签名方案的密码加密等。经过上述方法加密的密码，

• 密码应定期修改，避免重复使用旧密码，并采用多套密码的命名规则。

• 建立账号锁定机制。一旦同一账号密码校验错误若干次即断开连接并锁定该账号，经过一段时间才解锁它。

• 由网络管理员设置一次性密码机制，用户在下次登录时必须更换新的密码。

3．系统用户密码要求

在Windows Server 2012 R2系统中，安装系统的同时就要求管理员必须指定符合要求的安全密码，这大大提高了用户和系统的安全性。通常情况下，在Windows Server 2012 R2网络中，对用户密码要求如下。

• 不包含全部或部分的用户名。

• 长度至少为6个字符。

• 包含来自以下4个类别中的3个字符。

➢ 大写英文字母（从A到Z）。

➢ 小写英文字母（从a到z）。

➢ 10个基本数字（从0到9）。

➢ 非字母字符（例如！、$、#、%）。

对于未安装Active Directory服务的Windows Server 2003计算机或修改了Windows Server 2003/2008默认组策略的计算机，其用户密码可以随意设置。

强密码具有以下特征。

• 长度至少有7个字符。

• 不包含用户的生日、电话、用户名、真实姓名或公司名等。

• 不包含完整的字典词汇。

• 包含下列全部4组字符类型。大写字母（A、B、C……）、小写字母（a、b、c……）、数字（从0～9）、非字母字符（键盘上所有未定义为字母和数字的字符，如`、～、!、@、#、$、%、^、&、*、(、)、_、+、-、=、{、}、|、[、]、\、:、"、;、'、<、>、?、,、.、/等）。

除此之外，管理员用户的密码应当定期修改。其实，最安全的方法还是不使用常规密码，而采用电子密钥等一些几乎无法破解的登录方式，确保系统安全性。

4．锁定计算机

操作系统安装完成后，如果管理员没有和计算机交互，其默认在10分钟之内自动锁定当前的计算机。如果没有锁定计算机，相当于在10分钟的时间内，计算机处于完全开放状态，对任何人都是敞开的，任何人都可以对计算机做任何事情。

1.3.3 最小化组件安装

Windows Server 2012 R2安装完成后，默认没有安装任何角色和功能软件包，这就为操作系统本身提供一个可靠的安全基线。按照“最小化安装”原则，根据需要安装需要的组件，非必需组件不要安装。