服务器操作手册Word下载.docx
《服务器操作手册Word下载.docx》由会员分享,可在线阅读,更多相关《服务器操作手册Word下载.docx(43页珍藏版)》请在冰豆网上搜索。
H)在线升级反病毒软件病毒库。
I)备注:
360防ARP防火墙开启
J)做GHOST
K)重启后,安装SQLSERVER2000安装路径为D盘
L)D盘为SQL数据库文件夹E盘为数据备份文件夹F盘为程序,GHOST文件存储文件夹
SQL2000自动备份部分
1、SQL代理服务选择启动
2、创建数据库维护计划,下一步
3、选择要维护的数据库
4、修改调度时间
5、设置作业时间
6、设置备份路径
7、设置备份事物日志
8、完成
9、
9、选择备份的数据库,故障还原模型为“完全”。
4、IIS部分
a)IIS匿名用户问题
WindowsServer2003系统下装完GS3.2或以前版本,然后登录时,提示HTTP错误401.1XX:
由于凭据无效被拒绝。
这是由于老版本的程序在安装后对IIS匿名用户口令置空造成的,GS3.5已经进行了修正,处理此问题的步骤如下:
打开Internet信息服务(IIS)管理器,找到cwbase。
右键点击cwbase,打开其属性,先拷贝出当前虚拟目录的路径,将焦点移到下图所示路径位置,Ctrl+Home到行首,Shift+End到行尾,Ctrl+C拷贝路径,打开记事本,粘贴,用作下一步重新创建虚拟目录用。
删除cwbase虚拟目录:
右键点击cwbase,选择删除。
重新创建虚拟目录:
右键点击【默认网站】,选择【新建】,选择【虚拟目录】,出现新建虚拟目录的向导,选择【下一步】,别名输入cwbase,然后选择【下一步】,然后选择虚拟目录的路径,如果刚才已经拷贝出来了原来的目录,则直接粘贴到输入框中即可,也可以通过浏览的方式手工选择路径,如下图:
进入虚拟目录权限设置部分,选中【读取】与【运行脚本】,其他不用选,如下图:
虚拟目录创建完毕。
b)IIS其他安全选项
最初安装IIS时,该服务在高度安全与“锁定”的模式下安装。
在默认情况下,IIS只为静态内容提供服务-即,ASP、ASP.NET、在服务器端的包含文件、WebDAV发布与FrontPageServerExtensions等功能只有在启用时才工作。
如果您在安装IIS之后未启用该功能,则IIS返回一个404错误。
您可以为动态内容提供服务,并通过IIS管理器中的Web服务扩展节点启用这些功能。
启用父路径、启用缓冲:
启用匿名用户访问:
文件夹权限:
选择属性【安全】
(Permissions)
【添加】
(Add…)-〉【高级】
(Advanced…),添加IUSR_XXXX的用户权限。
)
Web服务扩展:
登录时提示HTTP错误404,如下图
这是因为IIS6默认是禁用ASP扩展的,因此不能访问,需要开启。
从IIS管理器中点击的【Web服务扩展】,然后选择ActiveServerPages,然后点击,允许,同时ASP.NETv1.1.4322也要允许如下图:
C)IIS工作进程
IIS6.0使用新的请求处理结构与应用程序隔离环境来使单个Web应用程序在独立的工作进程中工作。
该环境防止一个应用程序或网站停止另一个应用程序或网站,并减少了管理员在重新启动服务以纠正与应用程序有关的问题时所花的时间。
新环境还包括主动型应用程序池运行状况监视,这是一个非常有用的功能,但是设置不当会带来一些麻烦。
打开IIS管理器,选中cwbase所在的应用程序池如果自己没有改动会在DefaultAppPool。
打开其属性,类似下图的设置可能导致问题:
这个设置的意思是IIS的监视进程会不断监视系统资源中CPU使用率的百分比,每5分钟检查一次,如果检查时的值超过了60%,那么将关闭IIS的工作进程。
这是客户端访问会出现下面的“服务不可用的”提示:
此设置默认是未开启的,如果有需要开启,请权衡阀值,如果刷新时间较短,CPU阀值较低,那么出现这种情况可能比较频繁。
其他几个关于工作进程的设置也会导致类似问题,但是几率低一些,如果遇到类似问题,请从此出着手。
独立的数据库服务器与应用服务器
a)数据库是SQLServer的情况-数据库服务器:
端口
协议
作用
设置方法
1433
TCP
连接监听
默认
135
RPC
动态分配
RPC动态端口分配
节选
第二章服务器的安全配置
一、windows权限设置
1、系统的NTFS磁盘权限设置,2003服务器有些细节地方需要注意的。
C盘只给administrators与system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
2、Windows目录要加上给users的默认权限,否则ASP与ASPX等应用程序就无法运行。
另外在c:
/DocumentsandSettings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在AllUsers\ApplicationData目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;
譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点。
在用做web\ftp服务器的系统里,建议是将这些目录都设置的锁死。
其他每个盘的目录都按照这样设置,
3、每个盘都只给adinistrators权限。
另外,还将:
net.exe,cmd.exe,t,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。
4、硬盘或文件夹:
C:
\D:
\E:
\F:
\类推主要权限部分:
Administrators完全控制无该文件夹,子文件夹及文件<
不是继承的>
CREATOROWNER完全控制只有子文件夹及文件<
SYSTEM完全控制该文件夹,子文件夹及文件<
二、网络设置
1、在“网络连接”里,把不需要的协议与服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。
在高级选项里,使用“Internet连接_blank"
>
防火墙”,这是windows2003自带的_blank"
防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
2、SERV-UFTP服务器的设置:
选中“Block"
"
attackandFXP”。
什么是FXP呢?
通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,该命令中包含此用户的IP地址与将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。
大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。
虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。
这就是FXP,也称跨服务器攻击。
选中后就可以防止发生此种情况。
3、另外在“Blockantitime-outschemes"
也可以选中。
其次,在“Advanced”选项卡中,检查“Enablesecurity”是否被选中,如果没有,选择它们。
三、IIS的安全
1、删掉c:
/inetpub目录,删除iis不必要的映射
2、首先是每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为,权限为guest的。
在IIS里的站点属性里“目录安全性”---“身份验证与访问控制“里设置匿名访问使用下列Windows用户帐户”的用户名密码都使用这个用户的信息.在这个站点相对应的web目录文件,默认的只给IIS用户的读取与写入权限。
在“应用程序配置”里,我们给必要的几种脚本执行权限:
ASP.ASPX,PHP,ASP,ASPX默认都提供映射支持了的,对于PHP,需要新添加响应的映射脚本,然后在web服务扩展将ASP,ASPX都设置为允许,对于php以及CGI的支持,需要新建web服务扩展,在扩展名(X):
下输入php,再在要求的文件(E):
里添加地址C:
\php\sapi\php4isapi.dll,并勾选设置状态为允许(S)。
然后点击确定,这样IIS就支持PHP了。
支持CGI同样也是如此。
要支持ASPX,还需要给web根目录给上users用户的默认权限,才能使ASPX能执行
3、不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。
4、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
5、删除系统盘下的虚拟目录,如:
_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
6、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。
主要为.shtml,.shtm,.stm
7、更改IIS日志的路径右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
四、windows管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)与描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称与描述,然后输入一个复杂的密码,打开注册表程序,把HKEY_LOCAL_MACHINESAMDomainsAccountUsers下的两个相关键删掉。
一个是000001F5,一个是Names下的Guest ,利用它来删除Guest账户,但我没有试过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。
如果你使用了A还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
五、网络服务安全管理
1、除非特殊情况非开