扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
技术在近年来获得前所未有的增长。云技术如今已被运用到银行、学校、政府以及大量的商业组织。但是云计算也并非万能的,和其他IT部署架构一样存在某些难以弥补的缺陷。例如公有云典型代表:服务器,用户数据存储在云计算基础平台的存储系统中,但敏感的信息和应用程序同样面临着网络攻击和黑客入侵的威胁。以下就是壹基比小喻要讲的服务器面临的九大安全威胁。
创新互联是一家专业的成都网站建设公司,我们专注网站制作、网站建设、网络营销、企业网站建设,卖链接,一元广告为企业客户提供一站式建站解决方案,能带给客户新的互联网理念。从网站结构的规划UI设计到用户体验提高,创新互联力求做到尽善尽美。
哪些因素会对服务器安全有危害?
一、数据漏洞
云环境面临着许多和传统企业网络相同的安全威胁,但由于极大量的数据被储存在服务器上,服务器供应商则很可能成为盗取数据的目标。供应商通常会部署安全控件来保护其环境,但最终还需要企业自己来负责保护云中的数据。公司可能会面临:诉讼、犯罪指控、调查和商业损失。
二、密码和证书
数据漏洞和其他攻击通常来源于不严格的认证、较弱的口令和密钥或者证书管理。企业应当权衡集中身份的便利性和使储存地点变成攻击者首要目标的风险性。使用服务器,建议采用多种形式的认证,例如:一次性密码、手机认证和智能卡保护。
三、界面和API的入侵
IT团队使用界面和API来管理和与服务器互动,包括云的供应、管理、编制和监管。API和界面是系统中最暴露在外的一部分,因为它们通常可以通过开放的互联网进入。服务器供应商,应做好安全方面的编码检查和严格的进入检测。运用API安全成分,例如:认证、进入控制和活动监管。
四、已开发的系统的脆弱性
企业和其他企业之间共享经验、数据库和其他一些资源,形成了新的攻击对象。幸运的是,对系统脆弱性的攻击可以通过使用“基本IT过程”来减轻。尽快添加补丁——进行紧急补丁的变化控制过程保证了补救措施可以被正确记录,并被技术团队复查。容易被攻击的目标:可开发的bug和系统脆弱性。
五、账户劫持
钓鱼网站、诈骗和软件开发仍旧在肆虐,服务器又使威胁上升了新的层次,因为攻击者一旦成功**、操控业务以及篡改数据,将造成严重后果。因此所有云服务器的管理账户,甚至是服务账户,都应该形成严格监管,这样每一笔交易都可以追踪到一个所有者。关键点在于保护账户绑定的安全认证不被窃取。有效的攻击载体:钓鱼网站、诈骗、软件开发。
六、居心叵测的内部人员
内部人员的威胁来自诸多方面:现任或前员工、系统管理者、承包商或者是商业伙伴。恶意的来源十分广泛,包括窃取数据和报复。单一的依靠服务器供应商来保证安全的系统,例如加密,是最为危险的。有效的日志、监管和审查管理者的活动十分重要。企业必须最小化暴露在外的访问:加密过程和密钥、最小化访问。
七、APT病毒
APT通过渗透服务器中的系统来建立立足点,然后在很长的一段时间内悄悄地窃取数据和知识产权。IT部门必须及时了解最新的高级攻击,针对服务器部署相关保护策略(ID:ydotpub)。此外,经常地强化通知程序来警示用户,可以减少被APT的迷惑使之进入。进入的常见方式:鱼叉式网络钓鱼、直接攻击、USB驱动。
八、永久性的数据丢失
关于供应商出错导致的永久性数据丢失的报告已经鲜少出现。但居心叵测的黑客仍会采用永久删除云数据的方式来伤害企业和云数据中心。遵循政策中通常规定了企必须保留多久的审计记录及其他文件。丢失这些数据会导致严重的监管后果。建议云服务器供应商分散数据和应用程序来加强保护:每日备份、线下储存。
九、共享引发潜在危机
共享技术的脆弱性为服务器带来了很大的威胁。服务器供应商共享基础设施、平台以及应用程序,如果脆弱性出现在任何一层内,就会影响所有。如果一个整体的部分被损坏——例如管理程序、共享的平台部分或者应用程序——就会将整个环境暴露在潜在的威胁和漏洞下
Windows2000安全配置教程
Windows2000绝版安全配置教程:前段时间,中美网络大战,我看了一些被黑的服务器,发现绝大部分被黑的服务器都是Nt/win2000的机器,真是惨不忍睹。Windows2000 真的那么不安全么?其实,Windows2000 含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000将会是一个很安全的操作系统。我抽空翻了一些网站,翻译加凑数的整理了一篇checklist出来。希望对win2000管理员有些帮助。本文并没有什么高深的东西,所谓的清单,也并不完善,很多东西要等以后慢慢加了,希望能给管理员作一参考。
具体清单如下:
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
8.使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。
9.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
11.运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1.利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
高级篇
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具计算机管理共享文件夹共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator
和Backup Operators组成员才可连接,Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径,比如 c:\winnt
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机
3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板系统属性高级启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
时间相差过大校不了真的是因为安全问题,比如自架的时间服务器时间突然蹦到2028年去了,如果不限制的话,所有的被授时机时间都飞了,这样就会就是一个事故,所以微软默认限制了一下(默认限制为日期为同一天才能校时间),于是这样时间服务器就算出问题也不会导致被校时机时间按年跳跃。以下是解除方式:
方法一:
定位到注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
修改以下2项的值
"MaxNegPhaseCorrection"
"MaxPosPhaseCorrection"
修改改为ffffffff
方法二:
将下面的4行复制到一个新建的文本文档里保存后,将文件的扩展名改为.reg后双击运行
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"MaxNegPhaseCorrection"=dword:ffffffff
"MaxPosPhaseCorrection"=dword:ffffffff
修改好后重启下时间服务(或者重启电脑)
开始-运行-输入CMD
停止时间服务:net stop w32time
启动时间服务:net start w32time
立即校时:w32tm /resync
这样无论时间相差有多大都可以同步。(但是有一定的风险,比如源服务器时间出现问题,你的时间可能被校为过去或者N年以后)
为了防止局域网中的用户随意修改服务器系统中的共享资源,网络管理员往往会在服务器系统中对目标共享资源进行共享访问权限设置操作或其他一些安全设置操作,并且还可能对共享资源所在的文件夹做好定期备份操作;用户日后登录到服务器系统中后,就能轻松访问到其中的共享资源,从而可以大大地提高工作效率。
可是,在实际访问共享资源的过程中,不少朋友总是抱怨说在访问服务器系统中的目标共享资源时,那些被错误删除或修改的共享文件不能象本地回收站那样被正常还原;如果网络管理员简单地通过服务器系统自带的数据还原功能将其恢复的话,又可能导致某些访问用户的共享内容返回到数据备份之前的状态,显然简单地对误删除的共享内容进行还原也是不可取的。事实上,在安装了Windows Server 2008系统的服务器环境中,我们可以巧妙地利用该系统不断强化的卷影拷贝功能,来实现随心所欲地数据恢复操作,最终让Windows Server 2008共享资源能够“时光倒流”。
实现思路
尽管Windows Server 2003服务器系统已经具有了卷影拷贝功能,不过该功能在Windows Server 2008系统环境得到了显著强化,合理地借用卷影拷贝功能我们可以为服务器中的目标共享文件夹创建即时点副本,日后一旦发生共享资源被用户误删除或误修改现象时,我们可以尝试访问对应时间点的共享文件夹副本,来将特定时间点的共享内容恢复到误删除或误修改操作之前的状态。当然,要想正确使用卷影拷贝功能,我们既要在Windows Server 2008服务器系统中安装、配置好该功能,又要在局域网工作站系统中安装合适的客户端程序。
在服务器系统中配置、安装好卷影拷贝功能后,我们必须记得在共享文件夹状态正常的时候及时创建好即时点副本,以后遇到目标共享内容被意外修改或删除时,局域网用户只需要在客户端系统打开共享文件夹的属性设置对话框,再进入其中的“以前的版本”选项设置页面,选择该页面中列出的某个时间点卷影副本,最后单击“还原”按钮就可以让目标共享资源实现“时光倒流”了。当然,在创建即时点卷影副本时,我们必须选择好时间点,尽量在目标共享文件夹每次发生重大变化时创建一次卷影副本,而不能频繁创建卷影副本,否则我们日后很难准确、快速地选择到合适的时间点进行数据恢复。
实现步骤
要让Windows Server 2008服务器系统中的目标共享文件夹“时光倒流”,我们首先需要针对该目标共享文件夹启用卷影拷贝功能,在进行这种操作时,我们必须先以特权账号登录到Windows Server 2008服务器系统桌面,依次单击"开始"/"程序"/"附件"/"Windows资源管理器"命令,在弹出的系统资源管理器窗口中找到保存目标共享文件夹的磁盘分区,同时用鼠标右击该磁盘分区选项,并点选右键菜单中的属性选项,进入对应磁盘分区的属性对话框;点选该对话框中的卷影副本选项卡,进入如图1所示的选项设置界面,从中将保存目标共享文件夹的磁盘卷选中,再单击对应界面中的“启用”按钮,当系统屏幕上出现一个如图2所示的提示对话框时,单击该对话框中的“是”按钮,那样一来Windows Server 2008服务器系统就能自动按照默认设置启用好目标共享文件夹的卷影拷贝功能了。
为了能够对目标共享文件夹真正实现“时光倒流”,我们在启用好目标共享文件夹的卷影拷贝功能后,我们还必须在服务器系统中对该功能进行一下适当的参数设置操作。在设置卷影拷贝功能时,我们可以用鼠标右键单击“计算机”窗口中的目标磁盘分区图标,执行快捷菜单中的"属性"命令,进入该磁盘分区的属性窗口,点选其中的“卷影副本”选项卡,在其后出现的选项设置页面中选择启用了卷影拷贝功能的目标磁盘分区,再点选“设置”按钮,这时屏幕上会出现一个如图3所示的设置窗口,我们可以在这里对运行计划参数、最大值参数、存储区域参数等进行有针对性设置。
在默认状态下,Windows Server 2008服务器系统每天会自动约定,在上午7点钟和中午12点钟对共享文件夹所在的磁盘分区执行即时点卷影副本创建操作,也就是服务器系统每天会自动对目标共享文件夹创建两个即时点备份文件;如果我们认为该创建时间不符合自己的实际工作要求时,可以直接在图3所示设置窗口的"计划"位置处单击"计划"按钮,随后服务器系统会自动打开计划设置对话框,在其中我们只要依照实际情况来随意定义创建即时点卷影副本的操作时间,比方说如果目标共享资源的内容变化不太频繁时,我们只要设置一天创建一次即时点卷影副本就可以了。
如果Windows Server 2008服务器系统所在主机的硬盘空间资源比较紧张时,我们可以在图3所示设置窗口的"最大值"位置处,指定系统用于保存目标共享资源即时点卷影副本的最大空间量,Windows Server 2008服务器系统默认会将该数值设置成保存共享资源的指定磁盘分区空间的10%,也就是说如果共享资源所在的磁盘分区空间为20G大小时,那么服务器系统只会自动分配2G大小的空间保存即时点卷影副本;当然如果目标共享文件夹与对应的即时点卷影副本不是保存在相同的磁盘分区中时,那么我们此时就可以将"最大值"参数设置为专门用于存储即时点卷影副本的整个磁盘卷空间大小。
此外,Windows Server 2008服务器系统在缺省状态下会自动将即时点卷影副本保存在与目标共享资源相同的磁盘分区中,很显然这不利于连续保存多个即时点卷影副本;为此,我们可以在图3所示设置窗口的"存储区域"位置处,自行调整即时点卷影副本的存储位置,尽量让其不和目标共享文件夹保存在相同的磁盘分区中;不过,我们只有在任何一个即时点卷影副本都还没有成功创建好的时候,才可以对它的存储位置进行调整;如果已经有即时点卷影副本存在时,我们应该先将目标磁盘分区中的所有即时点卷影副本全部删除掉,之后才可以修改即时点卷影副本的存储位置。在确认上面的各项参数都设置正确后,再单击图3所示设置窗口中的"确定"按钮完成卷影副本设置任务。
在Windows Server 2008服务器系统中完成好卷影拷贝功能的启用、配置操作后,局域网中的任意一位用户就可以在本地客户端系统打开服务器主机中的目标共享文件夹属性设置对话框,再进入其中的"以前的版本"选项设置页面,从中找到合适的即时点卷影副本选项,再单击"确定"按钮就能将误修改或误删除的目标共享资源恢复到自己想要的那个时间点状态了,这样就能真正实现"时光倒流"的目的了。
当然,有的时候在Windows Server 2008服务器系统中完成好卷影拷贝功能的启用、配置操作后,我们从局域网的普通工作站中打开服务器系统中的目标共享文件夹属性设置对话框时,仍然找不到"以前的版本"选项卡,出现这种情况时,我们还需要在局域网工作站系统中安装一下卷影拷贝功能的客户端控制程序,我们可以通过网上邻居窗口,从Windows Server 2008服务器系统中的"WindowsSystem32clientstwclientx86"文件夹窗口中,将"twcli32.msi"控制程序拷贝到本地工作站硬盘中,之后用鼠标双击该控制程序进行常规安装。一般来说,如果局域网中的普通工作站中已经安装了Windows XP SP2以上版本的系统时,那么我们就不需要在工作站本地安装"twcli32.msi"控制程序了,毕竟这些操作系统已经将卷影拷贝客户端控制程序集成在其中了。
一旦我们能够从客户端系统正常看到"以前的版本"选项功能时,我们就可以在对应的功能页面中,来实现共享资源的"时光倒流"目的了;例如,要是我们想把某个共享文件夹恢复到误删除操作发生之前的某一个时间点状态时,只要先从局域网工作站中打开服务器系统的目标共享文件夹属性设置对话框,单击该对话框中的"以前的版本"选项卡,并在对应选项设置页面的版本列表中选择一个适当的即时点选项(我们可以通过点击"查看"按钮,来选择合适的即时点),最后点选"还原"按钮,就能将目标共享文件夹中的数据内容恢复到自己想要的正常状态了。
管理副本
在Windows Server 2008服务器系统工作一段时间之后,我们或许已经在其中创建了很多个即时点卷影副本,为了便于以后可以快速找到误删除操作之前的那个即时点卷影副本,我们必须对服务器系统中的每一个即时点卷影副本进行合适的管理操作。在管理即时点卷影副本时,我们只要按照下面的步骤来进行就可以了:
首先打开Windows Server 2008服务器系统桌面中的"开始"菜单,从中依次点选"程序"、"服务器管理器"选项,打开对应系统的服务器管理器窗口,用鼠标展开左侧列表窗格中的"配置"分支选项,再从该分支选项下面点选磁盘管理项目;
其次用鼠标右击被选中的磁盘管理项目,再从其后出现的右键菜单中依次单击"所有任务"、"配置卷影副本"命令,此时系统屏幕上将会出现一个如图4所示的设置窗口,我们可以在该设置窗口中依照实际情况来将那些比较陈旧的即时点卷影副本删除掉,也可以重新创建一个新的即时点卷影副本,甚至还能将某个目标磁盘卷恢复到一个指定即时点卷影副本上。只是我们需要提醒各位朋友注意的是,在还原某个目标磁盘卷时,我们必须要非常慎重,毕竟这种操作不能被撤消。
实战技巧
在让Windows Server 2008共享资源"时光倒流"的过程中,我们可以有许多技巧可以利用,这样不但能够保证服务器系统中目标共享资源的安全性,而且还能提高数据恢复的效率:
1.Windows Server 2008系统允许每一个磁盘分区最多只能存储64个即时点卷影副本,因此在实际创建卷影副本的过程中,一旦我们发现目标磁盘分区中的即时点卷影副本数量已经达到最大数值时,必须先将那些过时的即时点卷影副本删除掉,以便腾出适当的空间确保新的即时点卷影副本可以成功创建,而且这种删除操作是一次性的,日后往往无法被恢复。
2.Windows Server 2008系统只能在NTFS磁盘分区中,对共享文件夹创建即时点卷影副本,对其他格式磁盘分区中的共享文件夹无法创建即时点卷影副本,因此我们必须将服务器系统中的一些重要资源全部保存到NTFS磁盘分区中;同时需要提醒大家的是,创建即时点卷影副本操作只能针对磁盘分区,而不能针对具体的某一个共享文件夹。
3.为了提高Windows Server 2008服务器系统的运行效率,我们建议各位尽量使用独立的磁盘卷来存储即时点卷影副本,这样可以有效减少服务器系统的I/O工作负荷;此外,用来存储即时点卷影副本的磁盘空间容量至少要大于100M,并且在这种条件下,只能保存一个即时点卷影副本;要是存储区域的空间容量大小确实有限,我们应该能保证该区域可以保存计划之中的所有即时点卷影副本。
4.在删除某个陈旧的即时点卷影副本时,我们应该先将对应即时点卷影副本的任务创建计划删除掉,否则的话会容易导致系统任务计划运行失败的现象;并且,卷影拷贝功能不能正常替代那些常用的数据备份程序,所以我们还应该结合一些专业的数据备份工具来定期对Windows Server 2008服务器系统进行数据备份。
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流