如何作好Windows2003服务器安全策略

时间 2020-07-10

标签如何作好 windows2003 windows 服务器安全策略栏目 Windows 繁體版

原文原文链接

windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提升,可是2003默认的安全配置不必定适合咱们的须要，因此，咱们要根据实际状况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被******，作为网络管理员，真的很头痛，所以，我结合这几年的网络安全管理经验，总结出如下一些方法来提升咱们服务器的安全性。php

第一招：正确划分文件系统格式，选择稳定的操做系统安装盘html

为了提升安全性，服务器的文件系统格式必定要划分红NTFS（新技术文件系统）格式，它比FAT1六、FAT32的安全性、空间利用率都大大的提升，咱们能够经过它来配置文件的安全性，磁盘配额、EPS文件加密等。若是你已经分红FAT32的格式了，能够用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,最好装windows 2003的企业可升级版，能够直接网上升级,咱们安装时尽可能只安装咱们必需要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操做系统自己无漏洞。切忌必定要设置自动更新，微软发布的每一个漏洞补丁都要打上去。这是最重要也是最基本的。前端

第二招：正确设置磁盘的安全性,具体以下(虚拟机的安全设置，咱们以asp程序为例子)
重点：mysql

一、系统盘权限设置linux

C:分区部分：ios

c:\web

administrators 所有(该文件夹，子文件夹及文件)算法

CREATOR OWNER 所有(只有子文件来及文件)sql

system 所有(该文件夹，子文件夹及文件)shell

IIS_WPG 建立文件/写入数据(只有该文件夹)

IIS_WPG(该文件夹，子文件夹及文件)

遍历文件夹/运行文件

列出文件夹/读取数据

读取属性

建立文件夹/附加数据

读取权限

c:\Documents and Settings

administrators 所有(该文件夹，子文件夹及文件)

Power Users (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

SYSTEM所有(该文件夹，子文件夹及文件)

C:\Program Files

administrators 所有(该文件夹，子文件夹及文件)

CREATOR OWNER所有(只有子文件来及文件)

IIS_WPG (该文件夹，子文件夹及文件)

读取和运行

列出文件夹目录

读取

Power Users(该文件夹，子文件夹及文件)

修改权限

SYSTEM所有(该文件夹，子文件夹及文件)

TERMINAL SERVER USER (该文件夹，子文件夹及文件)

修改权限

二、网站及虚拟机权限设置(好比网站在E盘)

说明：咱们假设网站所有在E盘wwwsite目录下，而且为每个虚拟机建立了一个guest用户，用户名为vhost1...vhostn而且建立了一个webuser组，把全部的vhost用户所有加入这个webuser组里面方便管理

E:\

Administrators所有(该文件夹，子文件夹及文件)

E:\wwwsite

Administrators所有(该文件夹，子文件夹及文件)

system所有(该文件夹，子文件夹及文件)

service所有(该文件夹，子文件夹及文件)

E:\wwwsite\vhost1

Administrators所有(该文件夹，子文件夹及文件)

system所有(该文件夹，子文件夹及文件)

vhost1所有(该文件夹，子文件夹及文件)

三、数据备份盘

数据备份盘最好只指定一个特定的用户对它有彻底操做的权限

好比F盘为数据备份盘，咱们只指定一个管理员对它有彻底操做的权限

四、其它地方的权限设置

请找到c盘的这些文件，把安全性设置只有特定的管理员有彻底操做权限

下列这些文件只容许administrators访问

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.删除c:\inetpub目录，删除iis没必要要的映射，创建陷阱账号，更改描述

第三招：禁用没必要要的服务，提升安全性和系统效率

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 容许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 容许远程注册表操做

Print Spooler 将文件加载到内存中以便之后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息

Telnet 容许远程用户登陆到此计算机并运行程序

第四招:修改注册表，让系统更强壮

一、隐藏重要文件/目录能够修改注册表实现彻底隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改成0

二、启动系统自带的Internet链接_blank'>防火墙，在设置服务选项中勾选Web服务器。

三、防止SYN洪水***

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的***

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改为你想要的端口号吧，好比7126之类的，只要不与其它冲突便可。

二、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的同样就好了。

八、禁止IPC空链接：

cracker能够利用net use命令创建空链接，进而***，还有net view，nbtstat这些都是基于空链接的，禁止空链接就行了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改为”1”便可。

九、更改TTL值

cracker能够根据ping回的TTL值来大体判断你的操做系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你能够本身更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改为一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃***你也不必定哦

10. 删除默认共享
有人问过我一开机就共享全部盘，改回来之后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须经过修改注册表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改成0便可

11. 禁止创建空链接

默认状况下，任何用户经过经过空链接连上服务器，进而枚举出账号，猜想密码。咱们能够经过修改注册表来禁止创建空链接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改为”1”便可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地链接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就没法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

2. 帐户安全
首先禁止一切帐户，除了你本身，呵呵。而后把Administrator更名。我呢就顺手又建了个Administrator帐户，不过是什么权限都没有的那种，而后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才发现是个低级帐户，看你崩溃不？

建立2个管理员用账号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。建立一个通常权限账号用来收信以及处理一些*常事物，另外一个拥有Administrators 权限的账户只在须要的时候使用。可让管理员使用 “ RunAS” 命令来执行一些须要特权才能做的一些工做，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改成这样，出错了自动转到首页

4. 安全日志

我遇到过这样的状况，一台主机被别人***了，系统管理员请我去追查凶手，我登陆进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：

帐户管理成功失败

登陆事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

帐户登陆事件成功失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不只会占用系统资源并且会致使你根本没空去看，这样就失去了审核的意义

5. 运行防毒软件

我见过的Win2000/Nt服务器历来没有见到有安装了防毒软件的，其实这一点很是重要。一些好的杀毒软件不只能杀掉一些著名的病毒，还能查杀大量***和后门程序。这样的话，“***”们使用的那些有名的***就毫无用武之地了。不要忘了常常升级病毒库,咱们推荐mcafree杀毒软件+blackice_blank'>防火墙

6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置，更改默认端口，和管理密码

7.设置ip筛选、用blackice禁止***经常使用端口

通常禁用如下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和组策略的设置,若是你在设置本地安全策略时设置错了，能够这样恢复成它的默认值.

打开 %SystemRoot%\Security文件夹,建立一个 'OldSecurity'子目录,将%SystemRoot%\Security下全部的.log文件移到这个新建的子文件夹中.

在%SystemRoot%\Security\database\下找到'Secedit.sdb'安全数据库并将其更名,如改成'Secedit.old'.
启动'安全配置和分析'MMC管理单元:'开始'->'运行'->'MMC',启动管理控制台,'添加/删除管理单元',将'安全配置和分析'管理单元添加上.

右击'安全配置和分析'->'打开数据库',浏览'C:\WINNT\security\Database'文件夹,输入文件名'secedit.sdb',单击'打开'.
当系统提示输入一个模板时,选择'Setup Security.inf',单击'打开'.
若是系统提示'拒绝访问数据库',无论他.

你会发如今'C:\WINNT\security\Database'子文件夹中从新生成了新的安全数据库,在'C:\WINNT\security'子文件夹下从新生成了log文件.安全数据库重建成功.

WEB服务器最重要的设置： IIS的相关设置：删除默认创建的站点的虚拟目录，中止默认web站点，删除对应的文件目录c：inetpub，配置全部站点的公共设置，设置好相关的链接数限制，带宽设置以及性能设置等其余设置。配置应用程序映射，删除全部没必要要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库，尽可能采用mdb后缀，不须要更改成asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C：WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其余页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可使用winhex手工修改或者使用相关软件如banneredit修改。对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。若是一旦发生***事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录若是不须要生成文件（如生成html的程序）不给予写入权限。由于是虚拟主机日常对脚本安全没办法作到细致入微的地步，更多的只能在方法用户从脚本提高权限： ASP的安全设置：设置过权限和服务以后，防范asp***还须要作如下工做，在cmd窗口运行如下命令： regsvr32/u C：\WINNT\System32\wshom.ocx del C：\WINNT\System32\wshom.ocx regsvr32/u C：\WINNT\system32\shell32.dll del C：\WINNT\system32\shell32.dll 便可将WScript.Shell， Shell.application， WScript.Network组件卸载，可有效防止asp***经过wscript或shell.application执行命令以及使用***查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，从新启动IIS便可生效。但不推荐该方法。另外，对于FSO因为用户程序须要使用，服务器上能够不注销掉该组件，这里只提一下FSO的防范，但并不须要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。能够针对须要FSO和不须要FSO的站点设置两个组，对于须要FSO的用户组给予c：winntsystem32scrrun.dll文件的执行权限，不须要的不给权限。从新启动服务器便可生效。对于这样的设置结合上面的权限设置，你会发现海阳***已经在这里失去了做用！ PHP的安全设置：默认安装的php须要有如下几个注意的问题： C：\winnt\php.ini只给予users读权限便可。在php.ini里须要作以下设置： Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [默认是on，但需检查一遍] open_basedir =web目录 disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod 默认设置com.allow_dcom = true修改成false[修改前要取消掉前面的；] MySQL安全设置：若是服务器上启用MySQL数据库，MySQL数据库须要注意的安全设置为：删除mysql中的全部默认用户，只保留本地root账户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤为要避免普通客户拥有对mysql数据库操做的权限。检查mysql.user表，取消没必要要用户的shutdown_priv，relo ad_priv，process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。能够为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限（此目录存放了mysql数据库的数据信息）。对于mysql安装目录给users加上读取、列目录和执行权限。 Serv-u安全问题：安装程序尽可能采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围（4001—4003）在本地服务器中设置中作好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”***和FXP，对于在30秒内链接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消容许使用MDTM命令更改文件的日期。更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户彻底控制权限。创建一个FTP根目录，须要给予这个用户该目录彻底控制权限，由于全部的ftp用户上传，删除，更改文件都是继承了该用户的权限，不然没法操做文件。另外须要给该目录以上的上级目录给该用户的读取权限，不然会在链接的时候出现530 Not logged in， home directory does not exist.好比在测试的时候ftp根目录为d：soft，必须给d盘该用户的读取权限，为了安全取消d盘其余文件夹的继承权限。而通常的使用默认的system启动就没有这些问题，由于system通常都拥有这些权限的。数据库服务器的安全设置对于专用的MSSQL数据库服务器，按照上文所讲的设置TCP/IP筛选和IP策略，对外只开放1433和5631端口。对于MSSQL首先须要为sa设置一个强壮的密码，使用混合身份验证，增强数据库日志的记录，审核数据库登录事件的“成功和失败”。删除一些不须要的和危险的OLE自动存储过程（会形成企业管理器中部分功能不能使用），这些过程包括以下： Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不须要的注册表访问过程，包括有： Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 去掉其余系统存储过程，若是认为还有威胁，固然要当心Drop这些过程，能够在测试机器上测试，保证正常的系统能完成工做，这些过程包括： xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin sp_addextendedproc 在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测，可修改默认使用的1433端口。除去数据库的guest帐户把未经承认的使用者据之在外。例外状况是master和 tempdb 数据库，由于对他们guest账户是必需的。另外注意设置好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去链接任何数据库。网络上有建议你们使用协议加密的，千万不要这么作，不然你只能重装MSSQL了。 ***检测和数据备份 ***检测工做做为服务器的平常管理，***检测是一项很是重要的工做，在日常的检测过程当中，主要包含平常的服务器安全例行检查和遭到***时的***检查，也就是分为在***进行时的安全检查和在***先后的安全检查。系统的安全性遵循木桶原理，木桶原理指的是：一个木桶由许多块木板组成，若是组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方，这些地方是平常的安全检测的重点所在。平常的安全检测平常安全检测主要针对系统的安全性，工做主要按照如下步骤进行： 1.查看服务器状态：打开进程管理器，查看服务器性能，观察CPU和内存使用情况。查看是否有CPU和内存占用太高等异常状况。 2.检查当前进程状况切换“任务管理器”到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr，这个是进程管理器自身的进程。若是正在运行windows更新会有一项wuauclt.exe进程。对于拿不许的进程或者说不知道是服务器上哪一个应用程序开启的进程，能够在网络上搜索一下该进程名加以肯定[进程知识库：http://www.zj988.cn/一般的后门若是有进程的话，通常会取一个与系统进程相似的名称，如svch0st.exe，此时要仔细辨别[一般迷惑手段是变字母o为数字0，变字母l为数字1] 3.检查系统账号打开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新账号，检查是否有克隆账号。 4.查看当前端口开放状况使用activeport，查看当前的端口链接状况，尤为是注意与外部链接着的端口状况，看是否有未经容许的端口与外界在通讯。若有，当即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其余目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务[在此处能够查看进程管理器中看不到的隐藏进程]，查看当前运行的程序，若是有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门等程序可尝试结束进程树，如仍然没法结束，在注册表中搜索该程序名，删除掉相关键值，切换到安全模式下删除掉相关的程序文件。 5.检查系统服务运行services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并肯定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，若是肯定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其余正常开放服务依存在该服务上，若是有，能够粗略的放过。若是没法肯定该执行文件是不是系统内正常文件而且没有其余正常开放服务依存在该服务上，可暂时中止掉该服务，而后测试下各类应用是否正常。对于一些后门因为采用了hook系统API技术，添加的服务项目在服务管理器中是没法看到的，这时须要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找，经过查看各服务的名称、对应的执行文件来肯定是不是后门、***程序等。 6.查看相关日志运行eventvwr.msc，粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器，只选择错误、警告，查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题，若是无解决办法则记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的办法。 7.检查系统文件主要检查系统盘的exe和dll文件，建议系统安装完毕以后用dir *.exe /s >1.txt将C盘全部的exe文件列表保存下来，而后每次检查的时候再用该命令生成一份当时的列表，用fc比较两个文件，一样如此针对dll文件作相关检查。须要注意的是打补丁或者安装软件后从新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了***后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。 8.检查安全策略是否更改打开本地链接的属性，查看“常规”中是否只勾选了“TCP/IP协议”，打开“TCP/IP”协议设置，点“高级”==》“选项”，查看“IP安全机制”是不是设定的IP策略，查看“TCP/IP”筛选容许的端口有没有被更改。打开“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否发生更改。 9.检查目录权限重点查看系统目录和重要的应用程序权限是否被更改。须要查看的目录有c：；c：winnt； C：winntsystem32；c：winntsystem32inetsrv；c：winntsystem32inetsrvdata；c：documents and Settings；而后再检查serv-u安装目录，查看这些目录的权限是否作过变更。检查system32下的一些重要文件是否更改过权限，包括：cmd，net，ftp，tftp，cacls等文件。 10.检查启动项主要检查当前的开机自启动程序。可使用AReporter来检查开机自启动的程序。发现***时的应对措施对于即时发现的***事件，如下状况针对系统已遭受到破坏状况下的处理，系统未遭受到破坏或暂时没法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑如下措施。系统遭受到破坏后应当即采起如下措施：视状况严重决定处理的方式，是经过远程处理仍是经过实地处理。如状况严重建议采用实地处理。如采用实地处理，在发现***的第一时间通知机房关闭服务器，待处理人员赶到机房时断开网线，再进入系统进行检查。如采用远程处理，如状况严重第一时间中止全部应用服务，更改IP策略为只容许远程管理端口进行链接而后从新启动服务器，从新启动以后再远程链接上去进行处理，重启前先用AReporter检查开机自启动的程序。而后再进行安全检查。如下处理措施针对用户站点被***但未危及系统的状况，若是用户要求增强本身站点的安全性，可按以下方式加固用户站点的安全：站点根目录——只给administrator读取权限，权限继承下去。 wwwroot ——给web用户读取、写入权限。高级里面有删除子文件夹和文件权限 logfiles——给system写入权限。 database——给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限如须要进一步修改，可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限，对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志，找出漏洞缘由，协助用户修补程序漏洞。数据备份和数据恢复数据备份工做大体以下： 1. 每个月备份一次系统数据。 2. 备份系统后的两周单独备份一次应用程序数据，主要包括IIS、serv-u、数据库等数据。 3. 确保备份数据的安全，并分类放置这些数据备份。因基本上采用的都是全备份方法，对于数据的保留周期能够只保留该次备份和上次备份数据两份便可。数据恢复工做： 1.系统崩溃或遇到其余不可恢复系统正常状态状况时，先对上次系统备份后发生的一些更改事件如应用程序、安全策略等的设置作好备份，恢复完系统后再恢复这些更改。 2.应用程序等出错采用最近一次的备份数据恢复相关内容。服务器性能优化 1 服务器性能优化系统性能优化整理系统空间：删除系统备份文件，删除驱动备份，刪除不用的輸入法，刪除系统的帮助文件，卸载不经常使用的组件。最小化C盘文件。性能优化：删除多余的开机自动运行程序；减小预读取，减小进度条等待时间；让系统自动关闭中止响应的程序；禁用错误报告，但在发生严重错误时通知；关闭自动更新，改成手动更新计算机；启用硬件和DirectX加速；禁用关机事件跟踪；禁用配置服务器向导；减小开机磁盘扫描等待时间；将处理器计划和内存使用都调到应用程序上；调整虚拟内存；内存优化；修改cpu的二级缓存；修改磁盘缓存。 IIS性能优化一、调整IIS高速缓存 HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\InetInfoParametersMemoryCacheSize MemoryCacheSize的范围是从0道4GB，缺省值为3072000（3MB）。通常来讲此值最小应设为服务器内存的10%.IIS经过高速缓存系统句柄、目录列表以及其余经常使用数据的值来提升系统的性能。这个参数指明了分配给高速缓存的内存大小。若是该值为0，那就意味着“不进行任何高速缓存”。在这种状况下系统的性能可能会下降。若是你的服务器网络通信繁忙，而且有足够的内存空间，能够考虑增大该值。必须注意的是修改注册表后，须要从新启动才能使新值生效。 2.不要关闭系统服务： “Protected Storage” 3.对访问流量进行限制 A.对站点访问人数进行限制 B.站点带宽限制。保持HTTP链接。 C.进程限制，输入CPU的耗用百分比 4.提升IIS的处理效率应用程序设置“处的”应用程序保护“下拉按钮，从弹出的下拉列表中，选中”低（IIS进程）“选项，IIS服务器处理程序的效率能够提升20%左右。但此设置会带来严重的安全问题，不值得推荐。 5.将IIS服务器设置为独立的服务器 A.提升硬件配置来优化IIS性能硬盘：硬盘空间被NT和IIS服务以以下两种方式使用：一种是简单地存储数据；另外一种是做为虚拟内存使用。若是使用Ultra2的SCSI硬盘，能够显著提升IIS的性能。 B.能够把NT服务器的页交换文件分布到多个物理磁盘上，注意是多个“物理磁盘”，分布在多个分区上是无效的。另外，不要将页交换文件放在与WIndows NT引导区相同的分区中。 C.使用磁盘镜像或磁盘带区集能够提升磁盘的读取性能。 D.最好把全部的数据都储存在一个单独的分区里。而后按期运行磁盘碎片整理程序以保证在存储Web服务器数据的分区中没有碎片。使用NTFS有助于减小碎片。推荐使用Norton的Speeddisk，能够很快的整理NTFS分区。 6.起用HTTP压缩 HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、JavaScript或CSS文件。可以使用pipeboost进行设置。 7.起用资源回收使用IIS5Recycle定时回收进程资源。服务器常见故障排除 1. ASP“请求的资源正在使用中”的解决办法：该问题通常与杀毒软件有关，在服务器上安装我的版杀毒软件所致。出现这种错误能够经过卸载杀毒软件解决，也可尝试从新注册vbscript.dll和jscript.dll来解决，在命令行下运行：regsvr32 vbscript.dll 和regsvr32 jscript.dll便可。 2.ASP500错误解决办法：首先肯定该问题是不是单一站点存在仍是全部站点存在，若是是单一站点存在该问题，则是网站程序的问题，可打开该站点的错误提示，把IE的“显示友好HTTP错误”信息取消，查看具体错误信息，而后对应修改相关程序。如是全部站点存在该问题，而且HTML页面没有出现该问题，相关日志出现“服务器没法加载应用程序‘/LM/W3SVC/1/ROOT’。错误是 ‘不支持此接口’”。那十有八九是服务器系统中的ASP相关组件出现了问题，从新启动IIS服务，尝试是否能够解决该问题，没法解决从新启动系统尝试是否可解决该问题，如没法解决可从新修复一下ASP组件：首先删除com组件中的关于IIS的三个东西，须要先将属性里的高级中“禁止删除”的勾选取消。命令行中，输入“cd winnt\system32\inetsrv”字符串命令，单击回车键后，再执行“rundll32 wamreg.dll，CreateIISPackage”命令，接着再依次执行“regsvr32 asptxn.dll”命令、“iisreset”命令，最后从新启动一下计算机操做系统，这样IIS服务器就能从新正确响应ASP脚本页面了。 3. IIS出现105错误：在系统日志中“服务器没法注册管理工具发现信息。管理工具可能没法看到此服务器” 来源：w3svc ID：105解决办法：在网络链接中从新安装netbios协议便可，安装完成以后取消掉勾选。 4.MySQL服务没法启动「错误代码1067」的解决方法启动MySQL服务时都会在中途报错！内容为：在本地计算机没法启动MySQL服务错误1067：进程意外停止。解决方法：查找Windows目录下的my.ini文件，编辑内容（若是没有该文件，则新建一个），至少包含 basedir，datadir这两个基本的配置。 [mysqld] # set basedir to installation path， e.g.， c：/mysql # 设置为MYSQL的安装目录 basedir=D：/www/WebServer/MySQL # set datadir to location of data directory， # e.g.， c：/mysql/data or d：/mydata/data # 设置为MYSQL的数据目录 datadir=D：/www/WebServer/MySQL/data 注意，我在更改系统的temp目录以后没有对更改后的目录给予system用户的权限也出现过该问题。 5.DllHotst进程消耗cpu 100%的问题服务器正常CPU消耗应该在75%如下，并且CPU消耗应该是上下起伏的，出现这种问题的服务器，CPU会忽然一直处100%的水平，并且不会降低。查看任务管理器，能够发现是DLLHOST.EXE消耗了全部的CPU空闲时间，管理员在这种状况下，只好从新启动IIS服务，奇怪的是，从新启动IIS服务后一切正常，但可能过了一段时间后，问题又再次出现了。直接缘由：有一个或多个ACCESS数据库在屡次读写过程当中损坏， MDAC系统在写入这个损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其余线程只能等待，IIS被死锁了，所有的CPU时间都消耗在DLLHOST中。解决办法：把数据库下载到本地，而后用ACCESS打开，进行修复操做。再上传到网站。若是还不行，只有新建一个ACCESS数据库，再从原来的数据库中导入全部表和记录。而后把新数据库上传到服务器上。 6.Windows installer出错：在安装软件的时候出现“不能访问windows installer 服务。可能你在安全模式下运行 windows ，或者windows installer 没有正确的安装。请和你的支持人员联系以得到帮助” 若是试图从新安装InstMsiW.exe，提示：“指定的服务已存在”。解决办法：关于installer的错误，可能还有其余错误提示，可尝试如下解决办法：首先确认是不是权限方面的问题，提示信息会提供相关信息，若是是权限问题，给予winnt目录everyone权限便可[安装完把权限改回来便可].若是提示的是上述信息，能够尝试如下解决方法：运行“msiexec /unregserver”卸载Windows Installer服务，若是没法卸载可以使用SRVINSTW进行卸载，而后下载windows installer的安装程序，用winrar解压该文件，在解压缩出来的文件夹里面找到msi.inf文件，右键单击选择“安装”，从新启动系统后运行“msiexec /regserver”从新注册Windows Installer服务。服务器管理服务器平常管理安排服务器管理工做必须规范严谨，尤为在不是只有一位管理员的时候，平常管理工做包括： 1.服务器的定时重启。每台服务器保证每周从新启动一次。从新启动以后要进行复查，确认服务器已经启动了，确认服务器上的各项服务均恢复正常。对于没有启动起来或服务未能及时恢复的状况要采起相应措施。前者可请求托管商的相关工做人员帮忙手工从新启动，必要时可要求让链接上显示器确认是否已启动起来；后者须要远程登录上服务器进行缘由查找并根据缘由尝试恢复服务。 2.服务器的安全、性能检查，每服务器至少保证每周登录两次粗略检查两次。每次检查的结果要求进行登记在册。如须要使用一些工具进行检查，可直接在e：tools中查找到相关工具。对于临时须要从网络上找的工具，首先将IE的安全级别调整到高，而后在网络上进行查找，不要去任何不明站点下载，尽可能选择如华军、天空等大型网站进行下载，下载后确保当前杀毒软件已升级到最新版本，升级完毕后对下载的软件进行一次杀毒，确认正常后方能使用。对于下载的新工具对之后维护须要使用的话，将该工具保存到e：tools下，并在该目录中的readme.txt文件中作好相应记录，记录该工具的名称，功能，使用方法。而且在该文件夹中的rar文件夹中保留一份该工具的winrar压缩文件备份，设置解压密码。 3.服务器的数据备份工做，每服务器至少保证每个月备份一次系统数据，系统备份采用ghost方式，对于ghost文件固定存放在e：ghost文件目录下，文件名以备份的日期命名，如0824.gho，每服务器至少保证每两周备份一次应用程序数据，每服务器至少保证每个月备份一次用户数据，备份的数据固定存放在e：databak文件夹，针对各类数据再创建对应的子文件夹，如serv-u用户数据放在该文件夹下的servu文件夹下，iis站点数据存放在该文件夹下的iis文件夹下。 4.服务器的监控工做，天天正常工做期间必须保证监视全部服务器状态，一旦发现服务中止要及时采起相应措施。对于发现服务中止，首先检查该服务器上同类型的服务是否中断，如全部同类型的服务都已中断及时登录服务器查看相关缘由并针对该缘由尝试从新开启对应服务。 5.服务器的相关日志操做，每服务器保证每个月对相关日志进行一次清理，清理前对应的各项日志如应用程序日志、安全日志、系统日志等都应选择“保存日志”。全部的日志文件统一保存在e：logs下，应用程序日志保存在e：logsapp中，系统程序日志保存在e：logssys中，安全日志保存在e：logssec中。对于另外其余一些应用程序的日志，也按照这个方式进行处理，如ftp的日志保存在e：logsftp中。全部的备份日志文件都以备份的日期命名，如20050824.evt.对于不是单文件形式的日志，在对应的记录位置下创建一个以日期命名的文件夹，将这些文件存放在该文件夹中。 6.服务器的补丁修补、应用程序更新工做，对于新出的漏洞补丁，应用程序方面的安全更新必定要在发现的第一时间给每服务器打上应用程序的补丁。 7.服务器的隐患检查工做，主要包括安全隐患、性能等方面。每服务器必须保证每个月重点的单独检查一次。每次的检查结果必须作好记录。 8.不定时的相关工做，每服务器因为应用软件更改或其余某缘由须要安装新的应用程序或卸载应用程序等操做必须知会全部管理员。 9.按期的管理密码更改工做，每服务器保证至少每两个月更改一次密码，对于SQL服务器因为若是SQL采用混合验证更改系统管理员密码会影响数据库的使用则不予修改。相关建议：对每服务器设立一个服务器管理记载，管理员每次登录系统都应该在此中进行详细的记录，共须要记录如下几项：登入时间，退出时间，登入时服务器状态[包含不明进程记录，端口链接状态，系统账号状态，内存/CPU状态]，详细操做状况记录[详细记录下管理员登录系统后的每一步操做].不管是远程登录操做仍是物理接触操做都要进行记录，而后将这些记录按照各服务器归档，按时间顺序整理好文档。对于数据备份、服务器定时重启等操做建议将服务器分组，例如分红四组，每个月的周六晚备份一组服务器的数据，每周的某一天定时去重启一组的服务器，这样对于工做的开展比较方便，这些属于固定性的工做。另外有些工做能够同步进行，如每个月一次的数据备份、安全检查和管理员密码修改工做，先进行数据备份，而后进行安全检查，再修改密码。对于须要的即时操做如服务器补丁程序的安装、服务器不定时的故障维护等工做，这些属于即时性的工做，可是原则上即时性的工做不能影响固定工做的安排。管理员平常注意事项在服务器管理过程当中，管理员须要注意如下事项： 1.对本身的每一次操做应作好详细记录，具体见上述建议，以便于后来检查。 2.努力提升自身水平，增强学习。