服务器配置规范Word文档下载推荐.docx
- 文档编号:6507756
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:13
- 大小:22.01KB
服务器配置规范Word文档下载推荐.docx
《服务器配置规范Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《服务器配置规范Word文档下载推荐.docx(13页珍藏版)》请在冰点文库上搜索。
按照主要功能区分Windows服务器为以下类别:
(1)办公网ActiveDirectory/文件和打印服务器
(2)业务网ActiveDirectory服务器
(3)业务网SNA服务器
(4)Web服务器:
运行IISWeb服务
(5)FTP服务器:
运行IISFTP或Server-U等FTP服务
(6)SQLServer服务器:
运行SQLServer2000或SQLServer2005
(7)应用服务器:
运行其他网络应用
请注意:
本规范中部分配置项仅适用于特定的服务器类别,请注意区分。
如未列明类别,则适用于所有服务器。
2安装操作系统
2.1版本选择
根据开发人员/软件供应商的要求,结合服务器硬件类型,选择合适的操作系统版本。
如无特殊要求,建议使用32位WindowsServer2003中文标准版。
允许安装使用的操作系统版本:
(2011-1-18更新)
(1)Windows2000,安装ServicePack4
(2)WindowsServer2003(x86,x64和IA64版),安装ServicePack2
(3)WindowsServer2003R2(x86,x64和IA64版),包含ServicePack2
(4)WindowsServer2008R2
2.2安装
1.使用硬件厂商提供的向导光盘启动服务器,开始操作系统安装;
2.操作系统安装目标分区所在磁盘,必须配置为具有容错功能的硬件磁盘阵列(RAID1/RAID1+0/RAID5/ADG等),确认磁盘阵列已经按照要求配置;
3.系统分区必须使用NTFS文件系统,大小建议不低于40G;
4.选择正确的操作系统类型,根据实际情况输入用户名和组织名;
5.输入操作系统CDKey;
6.由于使用服务器管理软件(如HPInsightManagementAgent等)而必需安装SNMP组件时,必须修改默认SNMP社区名,要求最短8位,并同时包含字母、数字和特殊字符,在可能的情况下设置SNMP仅接受来自本地或特定IP地址的访问。
除此之外一般不启用SNMP;
7.“许可模式”一般设置为“每客户端”模式,或根据实际情况修改;
8.放入操作系统安装光盘,开始操作系统安装;
9.设置计算机名称,应简洁直观,能反映服务器的主要用途,同一用途有多台服务器的,要添加数字或字母后缀作为区别;
10.Administrator帐户初始密码应设置为最少8位,并同时包含大写/小写字母、数字和特殊字符其中的至少3类;
11.根据事先申请的IP地址等网络参数配置网络,根据服务器用途设置所在工作组名称(如“DBGROUP”),在安装所有安全补丁和防病毒软件之前,仅能接入测试网络;
12.正确设置时间和时区;
13.配置合适的显示分辨率/颜色质量/刷新率,刷新频率不应过高;
14.完成操作系统安装。
2.3安装后配置
1.将系统分区(C分区)卷标设置为“SYS”;
调整驱动器盘符,使光驱使用最靠后的顺序盘符;
划分剩余磁盘空间并格式化,所有分区必须使用NTFS文件系统,卷标应表明该空间主要用途;
2.设置页面文件放置于C分区,页面文件大小建议设置为物理内存的2倍,一般不超过4096MB,最低不小于200MB;
3.对于32位操系统,如果物理内存为4GB,建议在Boot.ini文件中添加“/PAE”参数,以使操作系统中能够正确识别物理内存数量,如果需要添加“/3GB”参数,须事先同软件开发人员/软件供应厂商确认;
如果物理内存大于4GB,需在Boot.ini文件中增加启动参数“/PAE”(不能和/3GB参数同时使用),重启后确认能够从资源管理器中正确识别物理内存数量;
4.参照本规范第4、5节,安装操作系统补丁和防病毒软件,完成此操作以前不应连接业务网络;
5.建议安装相应WindowsServer版本的SupportTools;
6.从“添加/删除系统组件”中删除“辅助工具”、“游戏”、“多媒体”、“索引服务”、“ScriptDebugger”、“更新根证书”等所有非必需组件;
7.调整应用程序、安全和系统日志,将“最大日志文件大小”设置为至少20MB,安全日志原则上不应设置覆盖,应定期检查是否有足够日志空间,在空间耗尽前及时进行日志备份和截断,服务器日常检查应包括日志中异常信息的检查;
8.安装其它所需软件,所安装的应用程序必须在配置文档中记录,根据需要将安装源文件保存在服务器上备查;
9.记录硬件信息并制作标签,标明服务器名称、用途和维护管理人员联系方式。
记录服务器硬件序列号,整理售后服务联系方式,按需要向厂商进行服务器注册;
10.对于域控制器,在完成第3节安全设置前不能进行ActiveDirectory安装操作;
11.对于不加入域的WindowsServer2003操作系统,应在“时间/日期属性”-“Internet时间”中,关闭“自动与Internet时间服务器同步”。
如果该服务器需要加入域,需运以下行命令以配置同域服务器同步时钟:
NetTime/setsntp
如果该服务器不加入域,但有可用时间服务器的,可根据需要配置时间同步。
12.启用“密码保护的屏幕保护”;
13.对于WindowsServer2008R2,删除计划任务程序-计划任务程序库中内建的计划任务“User_Feed_Synchronization……”。
3系统安全配置
3.1帐户策略
使用“本地安全策略”管理工具修改本地帐户密码策略,对于域控制器,使用“域安全策略”进行域用户帐户密码策略配置。
(注意:
定义在组织单元(OU)上组策略对象中的密码策略,仅作用于该OU下的计算机的本地帐户。
)
启用密码复杂性,密码长度最低8位,强制密码历史最低为2,最短期限1天,禁用“为域中所有用户使用可还原的加密来储存密码”。
密码更改最长期限:
●办公网AD/文件和打印服务器,密码更改最长期限不超过180天。
●业务网AD服务器,密码更改最长期限不超过90天。
●业务SNA服务器,密码更改最长期限不超过90天。
●对于其它类别服务器,根据需要设置,建议不超过90天。
根据需要启用和配置帐户锁定策略。
注意:
SNA服务器一般不启用帐户锁定策略,避免通信用户锁定导致的问题。
必须修改默认内建管理员帐户Administrator名称。
确保管理员组Administrators中仅包含授权帐户,尽量减少管理员组成员数量,但每服务器应至少有两个可用管理员帐户。
必须修改Guest帐户名称并禁用。
禁用其它非必需帐户。
对于Windows2000,需禁用TSInternetUser帐户。
3.2审核策略
使用“本地安全策略”管理工具或通过组策略修改审核策略:
●审核帐户登录事件:
成功、失败;
●审核登录事件:
成功(失败审计根据需要开启);
●审核帐户管理:
成功;
●审核策略更改:
成功。
对于文件和打印服务器,可根据需要开启:
●审核对象访问:
成功、失败
根据需要启用其它的审核策略。
审核策略启用后,需定期检查安全日志空间使用情况,建立安全日志转储备份机制。
3.3用户权利指派
使用“本地安全策略”管理工具或通过组策略修改“用户权利指派”:
●从网络访问此计算机:
移除Everyone组;
●允许在本地登录:
仅保留Administrators、BackupOperators组和其他必需成员;
●关闭系统:
移除Users组和PowerUsers组。
3.4安全选项
使用“本地安全策略”管理工具或通过组策略修改以下安全选项,未列出项保持默认或根据需要修改。
(以下针对Windows2000):
●允许在登录前关机:
禁用
●不显示上次登录用户名:
启用
●将对CD-ROM的访问限制到仅为本地登录用户:
●将对软盘的访问限制到仅为本地登录用户:
●对匿名连接的额外限制:
没有显式匿名权限就无法访问
●关机时清除虚拟内存页面文件:
启用(根据需要设置)
●LAN管理器验证级别:
仅发送NTLMv2响应\拒绝LM
(以下针对WindowsServer2003):
●关机:
清除虚拟内存页面文件启用(根据需要设置)
●交互式登录:
不显示上次登录用户名启用
●设备:
只有本地登录的用户才能访问CD-ROM启用
只有本地登录的用户才能访问软盘启用
●网络安全:
LANManager身份验证级别:
●网络访问:
不允许SAM账户和共享的匿名枚举启用
●账户:
来宾账户状态已禁用
(以下针对WindowsServer2008):
允许系统在未登录的情况下关闭禁用
●恢复控制台:
允许自动管理登录禁用
不显示最后的用户名启用
将CD-ROM的访问权限仅限于本地登录的用户启用
将软盘驱动器的访问权限仅限于本地登录的用户启用
LAN管理器身份验证级别:
不允许SAM账户的匿名枚举启用
来宾账户状态已禁用
(1)对于办公网AD/文件服务器、业务网AD服务器和业务网SNA服务器,如果有低版本客户端(WindowsNT/9x,DOS)访问,需要降低安全级别至“发送LM/NTLM-如果已协商,使用NTLMv2会话安全”。
(2)当启用“关机时清除虚拟内存页面文件”时,会显著延长操作系统关闭的时间,建议根据需要确定是否开启。
3.5系统服务
停止以下系统服务并设置启动方式为“禁用”(如果存在):
●Alter
●ComputerBrowser
●ErrorReportingService
●Messenger
●ShellHardwareDetection
●WindowsAudio
●WinHTTPWebProxyAuto-DiscoveryService
未列出的服务建议保持系统默认状态。
某些特定应用程序可能依赖于以上服务,如CAARCServe需要启动ComputerBrower服务,请根据实际情况进行调整。
对于加入域的计算机,以下服务必须启用:
●DHCPClient
●DNSClient
●NetLogon
●TCP/IPNetBIOSHelper
●WindowsTime
●Workstation
●GroupPolicyClient(WindowsServer2008)
对于要求严格安全设置的应用服务器,可根据需要停用其它非必需的系统服务。
在停用默认为“启动”的系统服务前,需进行全面测试。
3.6其它安全配置项
使用Gpeidt.msc编辑本地组策略或修改组策略,设置“计算机配置”-“管理模板”-“系统”-“关闭自动播放”对所有驱动器启用。
可根据需要修改注册表以关闭默认管理共享(注意:
办公网AD/文件和打印服务器,业务网AD服务器,业务网SNA服务器不能进行此修改):
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
“AutoShareServer”=dword:
修改完成后重启Server服务。
3.7网络安全
可根据需要删除或取消绑定网络连接“属性”中“Microsoft网络的文件和打印共享”组件(注意:
除办公网AD/文件和打印服务器,业务网AD服务器,业务网SNA服务器不能进行移除)。
建议在所有网络连接的TCP/IP协议“属性”中,配置“禁用TCP/IP上的NetBIOS”。
此设置可能带来一些问题,如致NetSend命令无法使用,禁用了SMBoverTCP/IP的客户端无法访问共享等,需留意。
对于WindowsServer2003,一般应关闭Windows防火墙。
对于WindowsServer2008,一般应关闭Windows防火墙(注意:
需要在高级安全Windows防火墙属性中关闭所有配置文件的防火墙后,才能停用WindowsFirewall服务)。
向网络管理员提交需要连接此服务器的网络地址范围,通信使用的TCP/IP端口等信息。
3.8上线前安全扫描
在服务器上线运行前,填写系统扫描申请,由安全管理员进行扫描,采取措施消除所有中高级风险漏洞,并对低风险漏洞进行逐一确认。
保存安全扫描结果存档。
4系统更新
4.1补丁管理
服务器上线前,连接办公网WSUS服务器,下载并安装所有适用的补丁。
服务器上线后,配置通过业务网WSUS服务器进行自动更新:
●自动下载并通知安装
●正确设置Intranet更新和统计服务器地址
在自动更新服务提示有新的补丁可用时,首先在相同操作系统的测试服务器上进行测试,确认安装正常后,提出补丁安装申请,批准后才能进行安装。
4.2补丁安装
经过测试的补丁,只能在服务器非工作时间段安装。
补丁安装后,应进行全面的系统检查,确认运行正常。
5防病毒软件
5.1版本
至本规范最后更新时,新安装的服务器安装防病毒软件版本要求为(2010-1-18更新):
●SymantecEndpointSecurity11
应根据服务器操作系统版本选择对应的防病毒软件功能和语言版本。
防病毒软件的安装包的获取、安装、配置方法,以总行信息技术部安全管理室发布的相关文档为准。
SEP11在服务器上安装时候,不应安装“主动威胁防护”和“网络威胁防护”模块。
5.2病毒定义码更新
在测试环境安装防病毒软件前,确保服务器能够通过DNS服务器或HOSTS文件解析防病毒管理服务器名称和对应IP地址。
安装时选择接受管理,正确指定防病毒管理服务器名称,确认防病毒软件安装成功,病毒定义码升级为最新版本。
业务网服务器上线后,确认能够连接业务网病毒服务器。
如果设置定时扫描,需要安排在空闲时段进行。
应根据实际情况设置实时检测和扫描的排除项,如排除数据库和应用程序事务日志所在目录。
定期检查病毒定义码是否及时更新,并检查病毒扫描日志。
版本更新说明
当前版本:
2011-1-18上一版本:
2009-1-8
1、定义
将原业务网ActiveDirectory服务器/业务网SNA服务器从一类分成单独两类。
2、版本选择
允许使用的操作系统版本,增加了WindowsServer2008R2。
3、安装
对系统分区的大小划分修改为“建议不低于40G”。
对SNMP协议增加“可能的情况下应设置SNMP仅接受来自本地或特定IP地址的访问”。
4、安装配置
对页面文件增加“C分区页面文件不低于200MB”。
删除“根据需要拷贝操作系统安装光盘文件到C:
\OS目录下”。
修改“安装源文件应放置于C:
\Software目录备查”为“根据需要将安装源文件保存在服务器上备查”。
删除“应定期对操作系统状态(SystemState)数据进行备份,根据需要制作紧急启动软盘,备份数据应妥善保存”。
对于时间同步设置,修改为“不加入AD域的WindowsServer2003操作系统……”。
增加“对于WindowsServer2008R2,删除计划任务程序-计划任务程序库中内建的计划任务User_Feed_Synchronization……”。
5、账户策略
增加“注意:
定义在组织单元(OU)上组策略对象中的密码策略,仅作用于该OU下的计算机上的本地用户帐户。
”
修改“启用为域中所有用户使用可还原的加密来储存密码”为禁用。
对于密码最长期限部分修改为“密码最长使用期限不超过”。
删除“建立备用的系统管理员用户。
将帐户名和密码封存保险柜,在每次修改帐户密码时及时更新。
增加“但每服务器应至少有两个可用管理员帐户”。
6、安全选项
增加针对WindowsServer2008的设置。
7、系统服务
增加WindowsServer2008不能停止GroupPolicyClient服务。
8、网络安全
修改“移除所有网络连接上Microsoft网络的文件和打印共享组件”为“根据需要删除或取消……”。
增加WindowsServer2008关闭防火墙部分。
9、防病毒
更新防病毒软件版本为SEP11。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 服务器 配置 规范