WebFt精编l服务器的日常管理与维护手册

W e b F t精编l服务器的日常管理与维护手册文件编码（008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256）

《服务器日常管理手册》前言《服务器日常管理手册》终于跟大家见面了。这里面凝聚着E动人的心血和对广大客户的关爱。在多年的服务过程中，通过长期的观察与总结，我们发现，仅仅靠我们的服务是不够的，因为我们的服务属于亡羊补牢式的服务。要想让客户服务器能稳定正常运行，关键还是要少出故障。这就显示出客户的日常维护的重要性。在目前广大客户技术水平参差不齐的情况下，我们考虑，提供一个服务器日常管理的范本，将我们多年服务器管理的经验拿出来与大家分享，让更多的新IT从业人员少走弯路，减少不必要的错误。我们能体会到客户的迫切心情和对E动的殷切希望，我们也一直努力提高我们的技术水平与服务能力。我们知道，仅仅靠一个管理手册解决不了所有问题，但这是E动人为提高客户技术水平所做的努力。我们欢迎有更多的客户能加入到我们这行列，把自己好的管理经验与大家一起分享，共同为创造一个更加稳定和谐的网络环境而努力。

中国E动网

12月26日

Web Ftp Mail服务器的日常管理与维护

一、设置和管理账户

二、网络服务安全管理

三、系统安全管理

四、打开相应的审核策略

五、IIS的安装与配置

六、Serv-U的基本设置

七、用WebEasyMail架构Web邮件服务器

一、设置和管理账户

1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码。

3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。

4、开始-程序-管理工具-本地安全策略，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用。

6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)

二、网络服务安全管理

1、禁止C$、D$、ADMIN$一类的缺省共享

打开注册表，

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\paramet ers，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改.

2、解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3、关闭不需要的服务，以下为建议选项

开始-所有程序-管理工具-服务

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网管理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

Messenger:信使服务(windows2000)

Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)

TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持

注：新上架的服务器已经做过其他安全设置只开以下端口，需要开其他端口可以在。右击网上邻居-属性-Internet协议（TCP/IP）属性-高级-选项-TCP/IP筛选－属性-TCP端口－添加你想要开的端口.

默认开启的端口列表：

FTP:

mail:

Web:80

pcanywhere:5631

远程桌面：3389 (3389不要关闭，否则将无法远程连接)

三、系统安全管理

1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

2. Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

3. 另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限.

4. ，，，，，，，这些文件都设置只允许访问.guests禁止访问

四、打开相应的审核策略

开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略

注:windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置.

推荐的要审核的项目是：

登录事件成功失败

账户登录事件成功失败

系统事件成功失败

策略更改成功失败

对象访问失败