netkey Windows2000服务器管理全攻略 一直以来,很少在网络上看到关于windows服务器管理的全方面的文章,即使是在windows网络安全设置方面,虽然网络上有着不少的关于这个方面的话题,但是这些文章当中并没有完全彻底的贯彻“最少的服务+最小的权限=最大的安全”这一原则,笔者由于前段时间工作于一家虚拟主机提供商,因工作需要对此进行了深入的探索。本文所有的环境均是在windows 2000 adv server上测试,因此部分内容可能不适合于windows 2003系统,但是大部分内容是通用的。这里我们以虚拟主机为例来探讨。 第一部分 服务器安全设置 安装之前的准备工作 很多时候,一部分的安全问题在你将windows安装光盘放入光驱中的时候就已产生,所以,在安装之前我们必须做好一些必要的准备工作。主要包括安装源和物理介质的安全检查以及服务器的安全规划。这部分内容主要包括以下几个方面: 安装过程中的安全问题 安装过程中需要注意的问题有以下几个方面: 安装后的服务器安全设置 安装好操作系统之后,不要急于连上网络,此时的系统安全是十分脆弱的,需要首先进行一些基本的设置。 禁用Remote Registry服务[说明:禁止远程连接注册表] 推荐设置的服务: 服务名称 适用情况说明 经过以上设置之后,对服务进行复查,一般开放的服务为以下几个: 其他服务根据需要决定是否开放,如web服务需要开放的服务: 4.修改部分注册表项目[注意修改前要备份,修改完成后重新启动计算机]: 关闭 NTFS 8.3 名称生成: 删除OS/2和POSIX子系统: 抵御DDOS攻击设置: 抵御DDOS攻击的注册表修改可以直接导入下面的注册表文件,直接导入之后重新启动系统即可生效。相关修改如下: [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters] 4.重新启动服务器后检查各种服务运行是否正常,简单设置各磁盘权限,将C盘设置为administrator和system完全控制,D、E、F盘设置为administrator完全控制,并且重置所有子对象的权限。 C盘根目录 给system和administrator用户完全控制权限,将权限继承下去 这样设置之后只有c:winnttemp目录有写入权限了,如果你还有更高的要求,可更改环境变量将tmp和temp将c:winnttemp更改为其他盘下的目录,权限设置成一样,然后重新启动删除掉c;winnttemp。 Web服务器的设置为: 邮件服务器的设置为: 注意1: 禁用 VirusScan 的电子邮件扫描功能。在 VirusScan 扫描属性下“所有进程 | 检测”中的“排除磁盘、文件和文件夹”内,点击“排除”按钮,在其“设置排除”中添加一个排除设置将安装 WinWebMail 的目录以及所有子目录都设为排除。必须要设置排除,否则有可能出现邮件计数错误,从而造成邮箱满的假象。 至于防火墙策略和TCP/IP筛选和IP策略相近,这里不多说,只是在程序访问规则中将需要访问网络的程序要进行相关设置。 §1.2专用服务器的安全设置 WEB服务器安全设置 IIS的相关设置: ASP的安全设置: PHP的安全设置: MySQL安全设置: Serv-u安全问题: 数据库服务器的安全设置 对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下: 第二部分入侵检测和数据备份 §1.1入侵检测工作 作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理,木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方,这些地方是日常的安全检测的重点所在。 日常的安全检测 日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行: 发现入侵时的应对措施 对于即时发现的入侵事件,以下情况针对系统已遭受到破坏情况下的处理,系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施: 以下处理措施针对用户站点被入侵但未危及系统的情况,如果用户要求加强自己站点的安全性,可按如下方式加固用户站点的安全: 站点根目录----只给administrator读取权限,权限继承下去。 如需要进一步修改,可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限,对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志,找出漏洞原因,协助用户修补程序漏洞。 §1.2数据备份和数据恢复 数据备份工作大致如下: 数据恢复工作: 第三部分服务器性能优化 §3.1服务器性能优化 系统性能优化 IIS性能优化 2.不要关闭系统服务: “Protected Storage” 3.对访问流量进行限制 4.提高IIS的处理效率 5.将IIS服务器设置为独立的服务器 6.起用HTTP压缩 7.起用资源回收 §3.2服务器常见故障排除 1.ASP“请求的资源正在使用中”的解决办法: 2.ASP500错误解决办法: 3. IIS出现105错误: 4.MySQL服务无法启动【错误代码1067】的解决方法 5.DllHotst进程消耗cpu 100%的问题 6.Windows installer出错: 第四部分服务器管理 §4.1服务器日常管理安排 服务器管理工作必须规范严谨,尤其在不是只有一位管理员的时候,日常管理工作包括: 相关建议:对每服务器设立一个服务器管理记载,管理员每次登陆系统都应该在此中进行详细的记录,共需要记录以下几项:登入时间,退出时间,登入时服务器状态[包含不明进程记录,端口连接状态,系统帐号状态,内存/CPU状态],详细操作情况记录[详细记录下管理员登陆系统后的每一步操作]。无论是远程登陆操作还是物理接触操作都要进行记录,然后将这些记录按照各服务器归档,按时间顺序整理好文档。 §4.2管理员日常注意事项 在服务器管理过程中,管理员需要注意以下事项: 好了,文章基本上到此就告以段落了,可能有部分遗漏的内容或者错误之处,并且限于篇幅一些细节地方并未详细阐述。如果您有什么意见和建议希望能够提出,或者您对服务器管理有什么更好的见解与技巧希望能够给予指点,E-mail:netkey530@hotmail.com,欢迎各位不吝赐教。 |
Windows2000服务器管理全攻略