Windows服务器管理和维护讲解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
55.0
– [UDP] – 5632=61.172.247.100;61.172.247.98;61.172.241.98;192.168.1.10/255.255.2
55.0 – 69=NONE
• Important:应用Ipsecurity前必须仔细检查配置是否正确
Ipsecurity案例
• 某个阳光明媚的午后,项目组联系johnny ,要求增加WEB服务器10.8.0.9访问 数据库服务器10.8.0.10的1433端口的权限。Johnny打开数据库服务器上的 ipsecurity.ini文件,看到1433端口已经配置了允许部分服务器的访问权限,修 改ipsecurity对johnny来说已经驾轻就熟,他立即对文件做了修改,修改后的 部分内容如下: – [TCP] – 1433=10.8.0.9,10.8.0.13,10.8.0.11
服务器管理和维护
2011年11月
服务器管理和维护
一、服务器维护操作规范 二、服务器上线前的准备工作 三、磁盘管理 四、性能监视 五、IIS的管理及维护 六、备份和还原
一、服务器维护操作规范
服务器维护要求
• 维护应满足的条件 • 重装服务器的要求 • 服务器上禁止的操作 • 安全检查要求
维护应满足的条件
问控制策略
服务器维护十大铁律
• 口令必须大于12位,符合规定的复杂度要求 • 不同服务器不能重复使用同一口令 • 口令至少三个月更改一次 • 必须启用IPSEC/iptables,不得停用 • 符合条件的必须安装winchk和Octopod等系统 • 补丁发布后,必须在规定时间重启服务器 • 不能在服务器上收发邮件、使用IE浏览无关的网站 • 新的应用安装前要通知安全部进行漏洞跟踪 • 新开设对外服务和后台管理不得使用同一端口 • 系统上线前,必须确保备份策略有效并正常执行
• 设置网卡属性,设置DNS • 调整自动更新,数据执行保护(DEP),关闭远程桌面 • 确认Pcanywhere设置是否正确 • 设置IIS日志记录路径 • 设置IIS映射 • 启用IIS父路径 • OCTOPOD中新增服务器 • OCTOPOD探测 • 时间同步,安装GINA,开启远程日志收集,修改管理员帐号名,修
安全检查要求
• 新装服务器必须符合安全规范的要求 • 必须经过安全部的安全检查 • 业务应用程序应在通过检查后安装
口令使用规范
• 保证口令的强度
– 口令长度不小于12位 – 口令应包含大小写字母、数字、特殊字符 – 不能使用容易记忆的密码 – 不能使用姓名、电话、生日等作为密码
• 一般口令应三个月更改一次 • 服务器发生入侵事件后,采用相同口令
改管理员密码,安装远程桌面(I,II,III期),安装Netsnmp • 服务器重启 • 服务器补丁检查 • 提交给网络安全部安全检查
服务器前期操作视频
SEC.bat操作流程说明
• cd d:\web2003sec\2003ipc – 进入d:\web2003sec\2003ipc子目录
• d:\web2003sec\2003ipc\ipsecurity.exe – 运行ipsec配置程序,根据ipsecurity.ini的配置自动生成ipsec策略
的服务器组应立即更改口令
• 员工离职或服务器归属发生变化,应及 时更改密码
系统的授权
• 长期授权:长期对服务器有操作权限 • 短期授权:临时分配的权限 • 授权方式:提供帐号和口令 • 不允许对非本公司人员进行长期授权 • 短期授权不超过三周 • 服务器负责人应有短期授权的记录
网络访问控制
• 使用iptables 、IPSEC等手段 • 遵循最小特权原则 • 采用“不被允许的就是被禁止的”网络访
• 禁止空口令、弱口令、未打补丁的服务器 接入网络
• 服务器口令只能由有权限访问的人员掌握 • 禁止在网吧等公共环境登录服务器
重装服务器的要求
• 重装服务器的情况
– 关机超过6周 – 关机期间发布了重大漏洞的补丁 – 服务器感染木马、病毒、蠕虫 – 服务器被入侵
服务器上禁止的操作
• 不允许安装程序开发环境或开发调试程序 • 不允许使用IE浏览外部网站 • 不允许收发EMAIL • 不允许在服务器上玩游戏
• 自动删除匿名终端用户 • 提示是否安装WINRAR 3.5程序包 • 自动导入关闭共享设置注册表 • 自动导入本地安全设置注册表 • 自动安装OCTOPOD客户端程序 • 自动开启服务器本地安全策略控制面板 • 自动删除系统默认共享设置 • 自动关闭非必用系统服务 • 自动删除前期操作工具包
全手动操作流程说明
最后删除d:\web2003sec目录 • 将服务器提交给网络安全部进行安全检查
SEC.bat操作流程说明
• 修改d:\web2003sec\2003ipc\IpSecurity.ini
– [TCP] – 23=NONE – 5631=61.172.247.100;61.172.247.98;61.172.241.98;192.168.1.10/255.255.2
二、服务器上线前的准备工作
服务器上线前的准备工作
• 根据项目需求对服务器硬盘进行分区 – 分区方式 – 各分区大小
• 将附件(web2003sec.exe)上传至服务器D盘根目录下 • 执行web2003sec.exe,路径设置为D盘根目录 • 执行解压目录中的sec.bat,待半自动操作完毕后,再执行全手动操作,
应用该策略后,本来正常的2个网站都无法打开
• 问题出在哪儿呢?
SEC.bat操作流程来自百度文库明
• 应用Ipsec策略 • 开启添加/删除WINDOWS组件控制面板 • 提示是否下载Serv-U 6.3.0.1 安装包 • 自动用记事本打开Serv-U 6.3.0.1 许可证文本文件 • 提示是否安装winchk安全工具包 • 自动弹出SQL Server客户端网络实用配置选项 • 自动创建IIS日志记录文件夹 • 自动创建WEB默认站点文件夹 • 自动创建Serv-U日志记录文件夹 • 自动创建和拷贝IPSEC工具包 • 自动创建和拷贝数据备份工具包 • 自动创建和拷贝IIS站点备份上传工具包
– [UDP] – 5632=61.172.247.100;61.172.247.98;61.172.241.98;192.168.1.10/255.255.2
55.0 – 69=NONE
• Important:应用Ipsecurity前必须仔细检查配置是否正确
Ipsecurity案例
• 某个阳光明媚的午后,项目组联系johnny ,要求增加WEB服务器10.8.0.9访问 数据库服务器10.8.0.10的1433端口的权限。Johnny打开数据库服务器上的 ipsecurity.ini文件,看到1433端口已经配置了允许部分服务器的访问权限,修 改ipsecurity对johnny来说已经驾轻就熟,他立即对文件做了修改,修改后的 部分内容如下: – [TCP] – 1433=10.8.0.9,10.8.0.13,10.8.0.11
服务器管理和维护
2011年11月
服务器管理和维护
一、服务器维护操作规范 二、服务器上线前的准备工作 三、磁盘管理 四、性能监视 五、IIS的管理及维护 六、备份和还原
一、服务器维护操作规范
服务器维护要求
• 维护应满足的条件 • 重装服务器的要求 • 服务器上禁止的操作 • 安全检查要求
维护应满足的条件
问控制策略
服务器维护十大铁律
• 口令必须大于12位,符合规定的复杂度要求 • 不同服务器不能重复使用同一口令 • 口令至少三个月更改一次 • 必须启用IPSEC/iptables,不得停用 • 符合条件的必须安装winchk和Octopod等系统 • 补丁发布后,必须在规定时间重启服务器 • 不能在服务器上收发邮件、使用IE浏览无关的网站 • 新的应用安装前要通知安全部进行漏洞跟踪 • 新开设对外服务和后台管理不得使用同一端口 • 系统上线前,必须确保备份策略有效并正常执行
• 设置网卡属性,设置DNS • 调整自动更新,数据执行保护(DEP),关闭远程桌面 • 确认Pcanywhere设置是否正确 • 设置IIS日志记录路径 • 设置IIS映射 • 启用IIS父路径 • OCTOPOD中新增服务器 • OCTOPOD探测 • 时间同步,安装GINA,开启远程日志收集,修改管理员帐号名,修
安全检查要求
• 新装服务器必须符合安全规范的要求 • 必须经过安全部的安全检查 • 业务应用程序应在通过检查后安装
口令使用规范
• 保证口令的强度
– 口令长度不小于12位 – 口令应包含大小写字母、数字、特殊字符 – 不能使用容易记忆的密码 – 不能使用姓名、电话、生日等作为密码
• 一般口令应三个月更改一次 • 服务器发生入侵事件后,采用相同口令
改管理员密码,安装远程桌面(I,II,III期),安装Netsnmp • 服务器重启 • 服务器补丁检查 • 提交给网络安全部安全检查
服务器前期操作视频
SEC.bat操作流程说明
• cd d:\web2003sec\2003ipc – 进入d:\web2003sec\2003ipc子目录
• d:\web2003sec\2003ipc\ipsecurity.exe – 运行ipsec配置程序,根据ipsecurity.ini的配置自动生成ipsec策略
的服务器组应立即更改口令
• 员工离职或服务器归属发生变化,应及 时更改密码
系统的授权
• 长期授权:长期对服务器有操作权限 • 短期授权:临时分配的权限 • 授权方式:提供帐号和口令 • 不允许对非本公司人员进行长期授权 • 短期授权不超过三周 • 服务器负责人应有短期授权的记录
网络访问控制
• 使用iptables 、IPSEC等手段 • 遵循最小特权原则 • 采用“不被允许的就是被禁止的”网络访
• 禁止空口令、弱口令、未打补丁的服务器 接入网络
• 服务器口令只能由有权限访问的人员掌握 • 禁止在网吧等公共环境登录服务器
重装服务器的要求
• 重装服务器的情况
– 关机超过6周 – 关机期间发布了重大漏洞的补丁 – 服务器感染木马、病毒、蠕虫 – 服务器被入侵
服务器上禁止的操作
• 不允许安装程序开发环境或开发调试程序 • 不允许使用IE浏览外部网站 • 不允许收发EMAIL • 不允许在服务器上玩游戏
• 自动删除匿名终端用户 • 提示是否安装WINRAR 3.5程序包 • 自动导入关闭共享设置注册表 • 自动导入本地安全设置注册表 • 自动安装OCTOPOD客户端程序 • 自动开启服务器本地安全策略控制面板 • 自动删除系统默认共享设置 • 自动关闭非必用系统服务 • 自动删除前期操作工具包
全手动操作流程说明
最后删除d:\web2003sec目录 • 将服务器提交给网络安全部进行安全检查
SEC.bat操作流程说明
• 修改d:\web2003sec\2003ipc\IpSecurity.ini
– [TCP] – 23=NONE – 5631=61.172.247.100;61.172.247.98;61.172.241.98;192.168.1.10/255.255.2
二、服务器上线前的准备工作
服务器上线前的准备工作
• 根据项目需求对服务器硬盘进行分区 – 分区方式 – 各分区大小
• 将附件(web2003sec.exe)上传至服务器D盘根目录下 • 执行web2003sec.exe,路径设置为D盘根目录 • 执行解压目录中的sec.bat,待半自动操作完毕后,再执行全手动操作,
应用该策略后,本来正常的2个网站都无法打开
• 问题出在哪儿呢?
SEC.bat操作流程来自百度文库明
• 应用Ipsec策略 • 开启添加/删除WINDOWS组件控制面板 • 提示是否下载Serv-U 6.3.0.1 安装包 • 自动用记事本打开Serv-U 6.3.0.1 许可证文本文件 • 提示是否安装winchk安全工具包 • 自动弹出SQL Server客户端网络实用配置选项 • 自动创建IIS日志记录文件夹 • 自动创建WEB默认站点文件夹 • 自动创建Serv-U日志记录文件夹 • 自动创建和拷贝IPSEC工具包 • 自动创建和拷贝数据备份工具包 • 自动创建和拷贝IIS站点备份上传工具包