如何作好Windows2003服務器安全策略

時間 2020-07-10

標籤如何作好 windows2003 windows 服務器安全策略欄目 Windows 简体版

原文原文鏈接

windows server2003是目前最爲成熟的網絡服務器平臺，安全性相對於windows 2000有大大的提升,可是2003默認的安全配置不必定適合咱們的須要，因此，咱們要根據實際狀況來對win2003進行全面安全配置。說實話，安全配置是一項比較有難度的網絡技術，權限配置的太嚴格，好多程序又運行不起，權限配置的太鬆，又很容易被******，作爲網絡管理員，真的很頭痛，所以，我結合這幾年的網絡安全管理經驗，總結出如下一些方法來提升咱們服務器的安全性。php

第一招：正確劃分文件系統格式，選擇穩定的操做系統安裝盤html

爲了提升安全性，服務器的文件系統格式必定要劃分紅NTFS（新技術文件系統）格式，它比FAT1六、FAT32的安全性、空間利用率都大大的提升，咱們能夠經過它來配置文件的安全性，磁盤配額、EPS文件加密等。若是你已經分紅FAT32的格式了，能夠用CONVERT 盤符 /FS：NTFS /V 來把FAT32轉換成NTFS格式。正確安裝windows 2003 server,最好裝windows 2003的企業可升級版，能夠直接網上升級,咱們安裝時儘可能只安裝咱們必需要用的組件，安裝完後打上最新的補丁，到網上升級到最新版本！保證操做系統自己無漏洞。切忌必定要設置自動更新，微軟發佈的每一個漏洞補丁都要打上去。這是最重要也是最基本的。前端

第二招：正確設置磁盤的安全性,具體以下(虛擬機的安全設置，咱們以asp程序爲例子)
重點：mysql

一、系統盤權限設置linux

C:分區部分：ios

c:\web

administrators 所有(該文件夾，子文件夾及文件)算法

CREATOR OWNER 所有(只有子文件來及文件)sql

system 所有(該文件夾，子文件夾及文件)shell

IIS_WPG 建立文件/寫入數據(只有該文件夾)

IIS_WPG(該文件夾，子文件夾及文件)

遍歷文件夾/運行文件

列出文件夾/讀取數據

讀取屬性

建立文件夾/附加數據

讀取權限

c:\Documents and Settings

administrators 所有(該文件夾，子文件夾及文件)

Power Users (該文件夾，子文件夾及文件)

讀取和運行

列出文件夾目錄

讀取

SYSTEM所有(該文件夾，子文件夾及文件)

C:\Program Files

administrators 所有(該文件夾，子文件夾及文件)

CREATOR OWNER所有(只有子文件來及文件)

IIS_WPG (該文件夾，子文件夾及文件)

讀取和運行

列出文件夾目錄

讀取

Power Users(該文件夾，子文件夾及文件)

修改權限

SYSTEM所有(該文件夾，子文件夾及文件)

TERMINAL SERVER USER (該文件夾，子文件夾及文件)

修改權限

二、網站及虛擬機權限設置(好比網站在E盤)

說明：咱們假設網站所有在E盤wwwsite目錄下，而且爲每個虛擬機建立了一個guest用戶，用戶名爲vhost1...vhostn而且建立了一個webuser組，把全部的vhost用戶所有加入這個webuser組裏面方便管理

E:\

Administrators所有(該文件夾，子文件夾及文件)

E:\wwwsite

Administrators所有(該文件夾，子文件夾及文件)

system所有(該文件夾，子文件夾及文件)

service所有(該文件夾，子文件夾及文件)

E:\wwwsite\vhost1

Administrators所有(該文件夾，子文件夾及文件)

system所有(該文件夾，子文件夾及文件)

vhost1所有(該文件夾，子文件夾及文件)

三、數據備份盤

數據備份盤最好只指定一個特定的用戶對它有徹底操做的權限

好比F盤爲數據備份盤，咱們只指定一個管理員對它有徹底操做的權限

四、其它地方的權限設置

請找到c盤的這些文件，把安全性設置只有特定的管理員有徹底操做權限

下列這些文件只容許administrators訪問

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.刪除c:\inetpub目錄，刪除iis沒必要要的映射，創建陷阱賬號，更改描述

第三招：禁用沒必要要的服務，提升安全性和系統效率

Computer Browser 維護網絡上計算機的最新列表以及提供這個列表

Task scheduler 容許程序在指定時間運行

Routing and Remote Access 在局域網以及廣域網環境中爲企業提供路由服務

Removable storage 管理可移動媒體、驅動程序和庫

Remote Registry Service 容許遠程註冊表操做

Print Spooler 將文件加載到內存中以便之後打印。要用打印機的朋友不能禁用這項

IPSEC Policy Agent 管理IP安全策略以及啓動ISAKMP/OakleyIKE)和IP安全驅動程序

Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知

Com+ Event System 提供事件的自動發佈到訂閱COM組件

Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序

Messenger 傳輸客戶端和服務器之間的 NET SEND 和警報器服務消息

Telnet 容許遠程用戶登陸到此計算機並運行程序

第四招:修改註冊表，讓系統更強壯

一、隱藏重要文件/目錄能夠修改註冊表實現徹底隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」，鼠標右擊「CheckedValue」，選擇修改，把數值由1改成0

二、啓動系統自帶的Internet鏈接_blank'>防火牆，在設置服務選項中勾選Web服務器。

三、防止SYN洪水***

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名爲SynAttackProtect，值爲2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止響應ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface

新建DWORD值，名爲PerformRouterDiscovery 值爲0

5. 防止ICMP重定向報文的***

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設爲0

6. 不支持IGMP協議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名爲IGMPLevel 值爲0

7.修改終端服務端口

運行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進制狀態下改爲你想要的端口號吧，好比7126之類的，只要不與其它衝突便可。

二、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號和上面改的同樣就好了。

八、禁止IPC空鏈接：

cracker能夠利用net use命令創建空鏈接，進而***，還有net view，nbtstat這些都是基於空鏈接的，禁止空鏈接就行了。打開註冊表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改爲」1」便可。

九、更改TTL值

cracker能夠根據ping回的TTL值來大體判斷你的操做系統，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實際上你能夠本身更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改爲一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄***你也不必定哦

10. 刪除默認共享
有人問過我一開機就共享全部盤，改回來之後，重啓又變成了共享是怎麼回事，這是2K爲管理而設置的默認共享，必須經過修改註冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改成0便可

11. 禁止創建空鏈接

默認狀況下，任何用戶經過經過空鏈接連上服務器，進而枚舉出賬號，猜想密碼。咱們能夠經過修改註冊表來禁止創建空鏈接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改爲」1」便可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地鏈接-屬性-Internet協議（TCP/IP）屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就沒法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。

2. 帳戶安全
首先禁止一切帳戶，除了你本身，呵呵。而後把Administrator更名。我呢就順手又建了個Administrator帳戶，不過是什麼權限都沒有的那種，而後打開記事本，一陣亂敲，複製，粘貼到「密碼」裏去，呵呵，來破密碼吧~！破完了才發現是個低級帳戶，看你崩潰不？

建立2個管理員用賬號

雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規則的。建立一個通常權限賬號用來收信以及處理一些*常事物，另外一個擁有Administrators 權限的賬戶只在須要的時候使用。可讓管理員使用「 RunAS」命令來執行一些須要特權才能做的一些工做，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改成這樣，出錯了自動轉到首頁

4. 安全日誌

我遇到過這樣的狀況，一臺主機被別人***了，系統管理員請我去追查兇手，我登陸進去一看：安全日誌是空的，倒，請記住：Win2000的默認安裝是不開任何安全審覈的！那麼請你到本地安全策略->審覈策略中打開相應的審覈，推薦的審覈是：

帳戶管理成功失敗

登陸事件成功失敗

對象訪問失敗

策略更改成功失敗

特權使用失敗

系統事件成功失敗

目錄服務訪問失敗

帳戶登陸事件成功失敗

審覈項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審覈項目太多不只會佔用系統資源並且會致使你根本沒空去看，這樣就失去了審覈的意義

5. 運行防毒軟件

我見過的Win2000/Nt服務器歷來沒有見到有安裝了防毒軟件的，其實這一點很是重要。一些好的殺毒軟件不只能殺掉一些著名的病毒，還能查殺大量***和後門程序。這樣的話，「***」們使用的那些有名的***就毫無用武之地了。不要忘了常常升級病毒庫,咱們推薦mcafree殺毒軟件+blackice_blank'>防火牆

6.sqlserver數據庫服務器安全和serv-u ftp服務器安全配置，更改默認端口，和管理密碼

7.設置ip篩選、用blackice禁止***經常使用端口

通常禁用如下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和組策略的設置,若是你在設置本地安全策略時設置錯了，能夠這樣恢復成它的默認值.

打開 %SystemRoot%\Security文件夾,建立一個 'OldSecurity'子目錄,將%SystemRoot%\Security下全部的.log文件移到這個新建的子文件夾中.

在%SystemRoot%\Security\database\下找到'Secedit.sdb'安全數據庫並將其更名,如改成'Secedit.old'.
啓動'安全配置和分析'MMC管理單元:'開始'->'運行'->'MMC',啓動管理控制檯,'添加/刪除管理單元',將'安全配置和分析'管理單元添加上.

右擊'安全配置和分析'->'打開數據庫',瀏覽'C:\WINNT\security\Database'文件夾,輸入文件名'secedit.sdb',單擊'打開'.
當系統提示輸入一個模板時,選擇'Setup Security.inf',單擊'打開'.
若是系統提示'拒絕訪問數據庫',無論他.

你會發如今'C:\WINNT\security\Database'子文件夾中從新生成了新的安全數據庫,在'C:\WINNT\security'子文件夾下從新生成了log文件.安全數據庫重建成功.

WEB服務器最重要的設置： IIS的相關設置：刪除默認創建的站點的虛擬目錄，中止默認web站點，刪除對應的文件目錄c：inetpub，配置全部站點的公共設置，設置好相關的鏈接數限制，帶寬設置以及性能設置等其餘設置。配置應用程序映射，刪除全部沒必要要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對於php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對於數據庫，儘可能採用mdb後綴，不須要更改成asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C：WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日誌保存目錄，調整日誌記錄信息。設置爲發送文本錯誤信息。修改403錯誤頁面，將其轉向到其餘頁，可防止一些掃描器的探測。另外爲隱藏系統信息，防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息，可使用winhex手工修改或者使用相關軟件如banneredit修改。對於用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數據庫備份和該站點的日誌。若是一旦發生***事件可對該用戶站點所在目錄設置具體的權限，圖片所在的目錄只給予列目錄的權限，程序所在目錄若是不須要生成文件（如生成html的程序）不給予寫入權限。由於是虛擬主機日常對腳本安全沒辦法作到細緻入微的地步，更多的只能在方法用戶從腳本提高權限： ASP的安全設置：設置過權限和服務以後，防範asp***還須要作如下工做，在cmd窗口運行如下命令： regsvr32/u C：\WINNT\System32\wshom.ocx del C：\WINNT\System32\wshom.ocx regsvr32/u C：\WINNT\system32\shell32.dll del C：\WINNT\system32\shell32.dll 便可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp***經過wscript或shell.application執行命令以及使用***查看一些系統敏感信息。另法：可取消以上文件的users用戶的權限，從新啓動IIS便可生效。但不推薦該方法。另外，對於FSO因爲用戶程序須要使用，服務器上能夠不註銷掉該組件，這裏只提一下FSO的防範，但並不須要在自動開通空間的虛擬商服務器上使用，只適合於手工開通的站點。能夠針對須要FSO和不須要FSO的站點設置兩個組，對於須要FSO的用戶組給予c：winntsystem32scrrun.dll文件的執行權限，不須要的不給權限。從新啓動服務器便可生效。對於這樣的設置結合上面的權限設置，你會發現海陽***已經在這裏失去了做用！ PHP的安全設置：默認安裝的php須要有如下幾個注意的問題： C：\winnt\php.ini只給予users讀權限便可。在php.ini裏須要作以下設置： Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [默認是on，但需檢查一遍] open_basedir =web目錄 disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod 默認設置com.allow_dcom = true修改成false[修改前要取消掉前面的；] MySQL安全設置：若是服務器上啓用MySQL數據庫，MySQL數據庫須要注意的安全設置爲：刪除mysql中的全部默認用戶，只保留本地root賬戶，爲root用戶加上一個複雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候，並限定到特定的數據庫，尤爲要避免普通客戶擁有對mysql數據庫操做的權限。檢查mysql.user表，取消沒必要要用戶的shutdown_priv，relo ad_priv，process_priv和File_priv權限，這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去。能夠爲mysql設置一個啓動用戶，該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限（此目錄存放了mysql數據庫的數據信息）。對於mysql安裝目錄給users加上讀取、列目錄和執行權限。 Serv-u安全問題：安裝程序儘可能採用最新版本，避免採用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個複雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口範圍（4001—4003）在本地服務器中設置中作好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截「FTP bounce」***和FXP，對於在30秒內鏈接超過3次的用戶攔截10分鐘。域中的設置爲：要求複雜密碼，目錄只使用小寫字母，高級中設置取消容許使用MDTM命令更改文件的日期。更改serv-u的啓動用戶：在系統中新建一個用戶，設置一個複雜點的密碼，不屬於任何組。將servu的安裝目錄給予該用戶徹底控制權限。創建一個FTP根目錄，須要給予這個用戶該目錄徹底控制權限，由於全部的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，不然沒法操做文件。另外須要給該目錄以上的上級目錄給該用戶的讀取權限，不然會在鏈接的時候出現530 Not logged in， home directory does not exist.好比在測試的時候ftp根目錄爲d：soft，必須給d盤該用戶的讀取權限，爲了安全取消d盤其餘文件夾的繼承權限。而通常的使用默認的system啓動就沒有這些問題，由於system通常都擁有這些權限的。數據庫服務器的安全設置對於專用的MSSQL數據庫服務器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對於MSSQL首先須要爲sa設置一個強壯的密碼，使用混合身份驗證，增強數據庫日誌的記錄，審覈數據庫登錄事件的「成功和失敗」。刪除一些不須要的和危險的OLE自動存儲過程（會形成企業管理器中部分功能不能使用），這些過程包括以下： Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不須要的註冊表訪問過程，包括有： Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 去掉其餘系統存儲過程，若是認爲還有威脅，固然要當心Drop這些過程，能夠在測試機器上測試，保證正常的系統能完成工做，這些過程包括： xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin sp_addextendedproc 在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測，可修改默認使用的1433端口。除去數據庫的guest帳戶把未經承認的使用者據之在外。例外狀況是master和 tempdb 數據庫，由於對他們guest賬戶是必需的。另外注意設置好各個數據庫用戶的權限，對於這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去鏈接任何數據庫。網絡上有建議你們使用協議加密的，千萬不要這麼作，不然你只能重裝MSSQL了。 ***檢測和數據備份 ***檢測工做做爲服務器的平常管理，***檢測是一項很是重要的工做，在日常的檢測過程當中，主要包含平常的服務器安全例行檢查和遭到***時的***檢查，也就是分爲在***進行時的安全檢查和在***先後的安全檢查。系統的安全性遵循木桶原理，木桶原理指的是：一個木桶由許多塊木板組成，若是組成木桶的這些木板長短不一，那麼這個木桶的最大容量不取決於長的木板，而取決於最短的那塊木板。應用到安全方面也就是說系統的安全性取決於系統中最脆弱的地方，這些地方是平常的安全檢測的重點所在。平常的安全檢測平常安全檢測主要針對系統的安全性，工做主要按照如下步驟進行： 1.查看服務器狀態：打開進程管理器，查看服務器性能，觀察CPU和內存使用情況。查看是否有CPU和內存佔用太高等異常狀況。 2.檢查當前進程狀況切換「任務管理器」到進程，查找有無可疑的應用程序或後臺進程在運行。用進程管理器查看進程時裏面會有一項taskmgr，這個是進程管理器自身的進程。若是正在運行windows更新會有一項wuauclt.exe進程。對於拿不許的進程或者說不知道是服務器上哪一個應用程序開啓的進程，能夠在網絡上搜索一下該進程名加以肯定[進程知識庫：http://www.zj988.cn/一般的後門若是有進程的話，通常會取一個與系統進程相似的名稱，如svch0st.exe，此時要仔細辨別[一般迷惑手段是變字母o爲數字0，變字母l爲數字1] 3.檢查系統賬號打開計算機管理，展開本地用戶和組選項，查看組選項，查看administrators組是否添加有新賬號，檢查是否有克隆賬號。 4.查看當前端口開放狀況使用activeport，查看當前的端口鏈接狀況，尤爲是注意與外部鏈接着的端口狀況，看是否有未經容許的端口與外界在通訊。若有，當即關閉該端口並記錄下該端口對應的程序並記錄，將該程序轉移到其餘目錄下存放以便後來分析。打開計算機管理==》軟件環境==》正在運行任務[在此處能夠查看進程管理器中看不到的隱藏進程]，查看當前運行的程序，若是有不明程序，記錄下該程序的位置，打開任務管理器結束該進程，對於採用了守護進程的後門等程序可嘗試結束進程樹，如仍然沒法結束，在註冊表中搜索該程序名，刪除掉相關鍵值，切換到安全模式下刪除掉相關的程序文件。 5.檢查系統服務運行services.msc，檢查處於已啓動狀態的服務，查看是否有新加的未知服務並肯定服務的用途。對於不清楚的服務打開該服務的屬性，查看該服務所對應的可執行文件是什麼，若是肯定該文件是系統內的正常使用的文件，可粗略放過。查看是否有其餘正常開放服務依存在該服務上，若是有，能夠粗略的放過。若是沒法肯定該執行文件是不是系統內正常文件而且沒有其餘正常開放服務依存在該服務上，可暫時中止掉該服務，而後測試下各類應用是否正常。對於一些後門因爲採用了hook系統API技術，添加的服務項目在服務管理器中是沒法看到的，這時須要打開註冊表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找，經過查看各服務的名稱、對應的執行文件來肯定是不是後門、***程序等。 6.查看相關日誌運行eventvwr.msc，粗略檢查系統中的相關日誌記錄。在查看時在對應的日誌記錄上點右鍵選「屬性」，在「篩選器」中設置一個日誌篩選器，只選擇錯誤、警告，查看日誌的來源和具體描述信息。對於出現的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題，若是無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號和具體描述信息，以便找到問題解決的辦法。 7.檢查系統文件主要檢查系統盤的exe和dll文件，建議系統安裝完畢以後用dir *.exe /s >1.txt將C盤全部的exe文件列表保存下來，而後每次檢查的時候再用該命令生成一份當時的列表，用fc比較兩個文件，一樣如此針對dll文件作相關檢查。須要注意的是打補丁或者安裝軟件後從新生成一次原始列表。檢查相關係統文件是否被替換或系統中是否被安裝了***後門等惡意程序。必要時可運行一次殺毒程序對系統盤進行一次掃描處理。 8.檢查安全策略是否更改打開本地鏈接的屬性，查看「常規」中是否只勾選了「TCP/IP協議」，打開「TCP/IP」協議設置，點「高級」==》「選項」，查看「IP安全機制」是不是設定的IP策略，查看「TCP/IP」篩選容許的端口有沒有被更改。打開「管理工具」=》「本地安全策略」，查看目前使用的IP安全策略是否發生更改。 9.檢查目錄權限重點查看系統目錄和重要的應用程序權限是否被更改。須要查看的目錄有c：；c：winnt； C：winntsystem32；c：winntsystem32inetsrv；c：winntsystem32inetsrvdata；c：documents and Settings；而後再檢查serv-u安裝目錄，查看這些目錄的權限是否作過變更。檢查system32下的一些重要文件是否更改過權限，包括：cmd，net，ftp，tftp，cacls等文件。 10.檢查啓動項主要檢查當前的開機自啓動程序。可使用AReporter來檢查開機自啓動的程序。發現***時的應對措施對於即時發現的***事件，如下狀況針對系統已遭受到破壞狀況下的處理，系統未遭受到破壞或暫時沒法察覺到破壞先按照上述的檢查步驟檢查一遍後再酌情考慮如下措施。系統遭受到破壞後應當即採起如下措施：視狀況嚴重決定處理的方式，是經過遠程處理仍是經過實地處理。如狀況嚴重建議採用實地處理。如採用實地處理，在發現***的第一時間通知機房關閉服務器，待處理人員趕到機房時斷開網線，再進入系統進行檢查。如採用遠程處理，如狀況嚴重第一時間中止全部應用服務，更改IP策略爲只容許遠程管理端口進行鏈接而後從新啓動服務器，從新啓動以後再遠程鏈接上去進行處理，重啓前先用AReporter檢查開機自啓動的程序。而後再進行安全檢查。如下處理措施針對用戶站點被***但未危及系統的狀況，若是用戶要求增強本身站點的安全性，可按以下方式加固用戶站點的安全：站點根目錄——只給administrator讀取權限，權限繼承下去。 wwwroot ——給web用戶讀取、寫入權限。高級裏面有刪除子文件夾和文件權限 logfiles——給system寫入權限。 database——給web用戶讀取、寫入權限。高級裏面沒有刪除子文件夾和文件權限如須要進一步修改，可針對用戶站點的特性對於普通文件存放目錄如html、js、圖片文件夾只給讀取權限，對asp等腳本文件給予上表中的權限。另外查看該用戶站點對應的安全日誌，找出漏洞緣由，協助用戶修補程序漏洞。數據備份和數據恢復數據備份工做大體以下： 1. 每個月備份一次系統數據。 2. 備份系統後的兩週單獨備份一次應用程序數據，主要包括IIS、serv-u、數據庫等數據。 3. 確保備份數據的安全，並分類放置這些數據備份。因基本上採用的都是全備份方法，對於數據的保留週期能夠只保留該次備份和上次備份數據兩份便可。數據恢復工做： 1.系統崩潰或遇到其餘不可恢復系統正常狀態狀況時，先對上次系統備份後發生的一些更改事件如應用程序、安全策略等的設置作好備份，恢復完系統後再恢復這些更改。 2.應用程序等出錯採用最近一次的備份數據恢復相關內容。服務器性能優化 1 服務器性能優化系統性能優化整理系統空間：刪除系統備份文件，刪除驅動備份，刪除不用的輸入法，刪除系統的幫助文件，卸載不經常使用的組件。最小化C盤文件。性能優化：刪除多餘的開機自動運行程序；減小預讀取，減小進度條等待時間；讓系統自動關閉中止響應的程序；禁用錯誤報告，但在發生嚴重錯誤時通知；關閉自動更新，改成手動更新計算機；啓用硬件和DirectX加速；禁用關機事件跟蹤；禁用配置服務器嚮導；減小開機磁盤掃描等待時間；將處理器計劃和內存使用都調到應用程序上；調整虛擬內存；內存優化；修改cpu的二級緩存；修改磁盤緩存。 IIS性能優化一、調整IIS高速緩存 HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize MemoryCacheSize的範圍是從0道4GB，缺省值爲3072000（3MB）。通常來講此值最小應設爲服務器內存的10%.IIS經過高速緩存系統句柄、目錄列表以及其餘經常使用數據的值來提升系統的性能。這個參數指明瞭分配給高速緩存的內存大小。若是該值爲0，那就意味着「不進行任何高速緩存」。在這種狀況下系統的性能可能會下降。若是你的服務器網絡通信繁忙，而且有足夠的內存空間，能夠考慮增大該值。必須注意的是修改註冊表後，須要從新啓動才能使新值生效。 2.不要關閉系統服務：「Protected Storage」 3.對訪問流量進行限制 A.對站點訪問人數進行限制 B.站點帶寬限制。保持HTTP鏈接。 C.進程限制，輸入CPU的耗用百分比 4.提升IIS的處理效率應用程序設置「處的」應用程序保護「下拉按鈕，從彈出的下拉列表中，選中」低（IIS進程）「選項，IIS服務器處理程序的效率能夠提升20%左右。但此設置會帶來嚴重的安全問題，不值得推薦。 5.將IIS服務器設置爲獨立的服務器 A.提升硬件配置來優化IIS性能硬盤：硬盤空間被NT和IIS服務以以下兩種方式使用：一種是簡單地存儲數據；另外一種是做爲虛擬內存使用。若是使用Ultra2的SCSI硬盤，能夠顯著提升IIS的性能。 B.能夠把NT服務器的頁交換文件分佈到多個物理磁盤上，注意是多個「物理磁盤」，分佈在多個分區上是無效的。另外，不要將頁交換文件放在與WIndows NT引導區相同的分區中。 C.使用磁盤鏡像或磁盤帶區集能夠提升磁盤的讀取性能。 D.最好把全部的數據都儲存在一個單獨的分區裏。而後按期運行磁盤碎片整理程序以保證在存儲Web服務器數據的分區中沒有碎片。使用NTFS有助於減小碎片。推薦使用Norton的Speeddisk，能夠很快的整理NTFS分區。 6.起用HTTP壓縮 HTTP壓縮是在Web服務器和瀏覽器間傳輸壓縮文本內容的方法。HTTP壓縮採用通用的壓縮算法如gzip等壓縮HTML、JavaScript或CSS文件。可以使用pipeboost進行設置。 7.起用資源回收使用IIS5Recycle定時回收進程資源。服務器常見故障排除 1. ASP「請求的資源正在使用中」的解決辦法：該問題通常與殺毒軟件有關，在服務器上安裝我的版殺毒軟件所致。出現這種錯誤能夠經過卸載殺毒軟件解決，也可嘗試從新註冊vbscript.dll和jscript.dll來解決，在命令行下運行：regsvr32 vbscript.dll 和regsvr32 jscript.dll便可。 2.ASP500錯誤解決辦法：首先肯定該問題是不是單一站點存在仍是全部站點存在，若是是單一站點存在該問題，則是網站程序的問題，可打開該站點的錯誤提示，把IE的「顯示友好HTTP錯誤」信息取消，查看具體錯誤信息，而後對應修改相關程序。如是全部站點存在該問題，而且HTML頁面沒有出現該問題，相關日誌出現「服務器沒法加載應用程序‘/LM/W3SVC/1/ROOT’。錯誤是 ‘不支持此接口’」。那十有八九是服務器系統中的ASP相關組件出現了問題，從新啓動IIS服務，嘗試是否能夠解決該問題，沒法解決從新啓動系統嘗試是否可解決該問題，如沒法解決可從新修復一下ASP組件：首先刪除com組件中的關於IIS的三個東西，須要先將屬性裏的高級中「禁止刪除」的勾選取消。命令行中，輸入「cd winnt\system32\inetsrv」字符串命令，單擊回車鍵後，再執行「rundll32 wamreg.dll，CreateIISPackage」命令，接着再依次執行「regsvr32 asptxn.dll」命令、「iisreset」命令，最後從新啓動一下計算機操做系統，這樣IIS服務器就能從新正確響應ASP腳本頁面了。 3. IIS出現105錯誤：在系統日誌中「服務器沒法註冊管理工具發現信息。管理工具可能沒法看到此服務器」來源：w3svc ID：105解決辦法：在網絡鏈接中從新安裝netbios協議便可，安裝完成以後取消掉勾選。 4.MySQL服務沒法啓動「錯誤代碼1067」的解決方法啓動MySQL服務時都會在中途報錯！內容爲：在本地計算機沒法啓動MySQL服務錯誤1067：進程意外停止。解決方法：查找Windows目錄下的my.ini文件，編輯內容（若是沒有該文件，則新建一個），至少包含 basedir，datadir這兩個基本的配置。 [mysqld] # set basedir to installation path， e.g.， c：/mysql # 設置爲MYSQL的安裝目錄 basedir=D：/www/WebServer/MySQL # set datadir to location of data directory， # e.g.， c：/mysql/data or d：/mydata/data # 設置爲MYSQL的數據目錄 datadir=D：/www/WebServer/MySQL/data 注意，我在更改系統的temp目錄以後沒有對更改後的目錄給予system用戶的權限也出現過該問題。 5.DllHotst進程消耗cpu 100%的問題服務器正常CPU消耗應該在75%如下，並且CPU消耗應該是上下起伏的，出現這種問題的服務器，CPU會忽然一直處100%的水平，並且不會降低。查看任務管理器，能夠發現是DLLHOST.EXE消耗了全部的CPU空閒時間，管理員在這種狀況下，只好從新啓動IIS服務，奇怪的是，從新啓動IIS服務後一切正常，但可能過了一段時間後，問題又再次出現了。直接緣由：有一個或多個ACCESS數據庫在屢次讀寫過程當中損壞， MDAC系統在寫入這個損壞的ACCESS文件時，ASP線程處於BLOCK狀態，結果其餘線程只能等待，IIS被死鎖了，所有的CPU時間都消耗在DLLHOST中。解決辦法：把數據庫下載到本地，而後用ACCESS打開，進行修復操做。再上傳到網站。若是還不行，只有新建一個ACCESS數據庫，再從原來的數據庫中導入全部表和記錄。而後把新數據庫上傳到服務器上。 6.Windows installer出錯：在安裝軟件的時候出現「不能訪問windows installer 服務。可能你在安全模式下運行 windows ，或者windows installer 沒有正確的安裝。請和你的支持人員聯繫以得到幫助」若是試圖從新安裝InstMsiW.exe，提示：「指定的服務已存在」。解決辦法：關於installer的錯誤，可能還有其餘錯誤提示，可嘗試如下解決辦法：首先確認是不是權限方面的問題，提示信息會提供相關信息，若是是權限問題，給予winnt目錄everyone權限便可[安裝完把權限改回來便可].若是提示的是上述信息，能夠嘗試如下解決方法：運行「msiexec /unregserver」卸載Windows Installer服務，若是沒法卸載可以使用SRVINSTW進行卸載，而後下載windows installer的安裝程序，用winrar解壓該文件，在解壓縮出來的文件夾裏面找到msi.inf文件，右鍵單擊選擇「安裝」，從新啓動系統後運行「msiexec /regserver」從新註冊Windows Installer服務。服務器管理服務器平常管理安排服務器管理工做必須規範嚴謹，尤爲在不是隻有一位管理員的時候，平常管理工做包括： 1.服務器的定時重啓。每臺服務器保證每週從新啓動一次。從新啓動以後要進行復查，確認服務器已經啓動了，確認服務器上的各項服務均恢復正常。對於沒有啓動起來或服務未能及時恢復的狀況要採起相應措施。前者可請求託管商的相關工做人員幫忙手工從新啓動，必要時可要求讓鏈接上顯示器確認是否已啓動起來；後者須要遠程登錄上服務器進行緣由查找並根據緣由嘗試恢復服務。 2.服務器的安全、性能檢查，每服務器至少保證每週登錄兩次粗略檢查兩次。每次檢查的結果要求進行登記在冊。如須要使用一些工具進行檢查，可直接在e：tools中查找到相關工具。對於臨時須要從網絡上找的工具，首先將IE的安全級別調整到高，而後在網絡上進行查找，不要去任何不明站點下載，儘可能選擇如華軍、天空等大型網站進行下載，下載後確保當前殺毒軟件已升級到最新版本，升級完畢後對下載的軟件進行一次殺毒，確認正常後方能使用。對於下載的新工具對之後維護須要使用的話，將該工具保存到e：tools下，並在該目錄中的readme.txt文件中作好相應記錄，記錄該工具的名稱，功能，使用方法。而且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份，設置解壓密碼。 3.服務器的數據備份工做，每服務器至少保證每個月備份一次系統數據，系統備份採用ghost方式，對於ghost文件固定存放在e：ghost文件目錄下，文件名以備份的日期命名，如0824.gho，每服務器至少保證每兩週備份一次應用程序數據，每服務器至少保證每個月備份一次用戶數據，備份的數據固定存放在e：databak文件夾，針對各類數據再創建對應的子文件夾，如serv-u用戶數據放在該文件夾下的servu文件夾下，iis站點數據存放在該文件夾下的iis文件夾下。 4.服務器的監控工做，天天正常工做期間必須保證監視全部服務器狀態，一旦發現服務中止要及時採起相應措施。對於發現服務中止，首先檢查該服務器上同類型的服務是否中斷，如全部同類型的服務都已中斷及時登錄服務器查看相關緣由並針對該緣由嘗試從新開啓對應服務。 5.服務器的相關日誌操做，每服務器保證每個月對相關日誌進行一次清理，清理前對應的各項日誌如應用程序日誌、安全日誌、系統日誌等都應選擇「保存日誌」。全部的日誌文件統一保存在e：logs下，應用程序日誌保存在e：logsapp中，系統程序日誌保存在e：logssys中，安全日誌保存在e：logssec中。對於另外其餘一些應用程序的日誌，也按照這個方式進行處理，如ftp的日誌保存在e：logsftp中。全部的備份日誌文件都以備份的日期命名，如20050824.evt.對於不是單文件形式的日誌，在對應的記錄位置下創建一個以日期命名的文件夾，將這些文件存放在該文件夾中。 6.服務器的補丁修補、應用程序更新工做，對於新出的漏洞補丁，應用程序方面的安全更新必定要在發現的第一時間給每服務器打上應用程序的補丁。 7.服務器的隱患檢查工做，主要包括安全隱患、性能等方面。每服務器必須保證每個月重點的單獨檢查一次。每次的檢查結果必須作好記錄。 8.不定時的相關工做，每服務器因爲應用軟件更改或其餘某緣由須要安裝新的應用程序或卸載應用程序等操做必須知會全部管理員。 9.按期的管理密碼更改工做，每服務器保證至少每兩個月更改一次密碼，對於SQL服務器因爲若是SQL採用混合驗證更改系統管理員密碼會影響數據庫的使用則不予修改。相關建議：對每服務器設立一個服務器管理記載，管理員每次登錄系統都應該在此中進行詳細的記錄，共須要記錄如下幾項：登入時間，退出時間，登入時服務器狀態[包含不明進程記錄，端口鏈接狀態，系統賬號狀態，內存/CPU狀態]，詳細操做狀況記錄[詳細記錄下管理員登錄系統後的每一步操做].不管是遠程登錄操做仍是物理接觸操做都要進行記錄，而後將這些記錄按照各服務器歸檔，按時間順序整理好文檔。對於數據備份、服務器定時重啓等操做建議將服務器分組，例如分紅四組，每個月的週六晚備份一組服務器的數據，每週的某一天定時去重啓一組的服務器，這樣對於工做的開展比較方便，這些屬於固定性的工做。另外有些工做能夠同步進行，如每個月一次的數據備份、安全檢查和管理員密碼修改工做，先進行數據備份，而後進行安全檢查，再修改密碼。對於須要的即時操做如服務器補丁程序的安裝、服務器不定時的故障維護等工做，這些屬於即時性的工做，可是原則上即時性的工做不能影響固定工做的安排。管理員平常注意事項在服務器管理過程當中，管理員須要注意如下事項： 1.對本身的每一次操做應作好詳細記錄，具體見上述建議，以便於後來檢查。 2.努力提升自身水平，增強學習。