windows服务器系统常见问题与维护.ppt

Windows服务器系统 常见问题与维护 武汉大学图书馆 黄勇凯 2006-12-22 纲要 Windows常见问题及解决办法 Windows系统安全管理 SQL与ASP的注意事项 总结 一、Windows Server 常见问 题及解决办法 系统安装 磁盘分区注意事项 系统管理员的密码 补丁的安装 磁盘分区 最少将磁盘分为2个以上的分区 硬盘分区均为NTFS分区 系统分区（一般为C盘），建议分 20G以上的磁盘空间 应用分区：用于安装系统软件 数据分区：用于存储数据 系统管理员的密码 切记不可将系统管理员密码设置为 空 不要使用弱密码 创建强管理员密码 系统管理员的密码 n使用内置管理员帐户的强密码。 强密码可以最大程度地 减少猜测密码并获得管理员帐户凭据的攻击者的攻击。 n强管理员帐户密码应该： 至少包含 15 个字符 不包含帐户名、实际姓名或公司名称 不包含字典中的完整单词、任何语言中的俚语或行话 要明显不同于以前的密码。 递增的密码（Password1、 Password2、Password3.）不是强密码 包含来自下页中列出的五组中三组以上的字符 系统管理员的密码 强管理员密码的字符类型 n大写字母A、B、C. n小写字母a、b、c. n数字0、1、2、3. n非字母数字键盘符号 ! # $ % 高级 - 疑难 问答 - 硬件加速 - 完全。或开始- 运行键入 dxdiag回车，打开Display 选项卡，可看到 3 项全部启用了。最后 ，利用Windows updates在Windows Server 2003中安装DirectX 9.0a。 n启用声卡（千万注意，安装好声卡驱动后还要开启 声卡服务，因为系统默认的是禁止） 系统安装后，声卡是禁止状态，所以要在 控制面 板 - 声音 - 启用，重启之后再设置它在任务栏 显示。 现在我们还要启用音频加速。在开始/运行键入 Services.msc然后按回车，会出现Services 窗口 ，找到Windows Audio服务，双击打开，把启动类 型设置为Automatic，点击Apply，然后点击Start 启动该服务。 最后我们还要使用DirectX诊断工具，在运行中输 入dxdiag并回车，打开Sound选项卡，把Hardware Sound Acceleration Level的滑块拖动到Full。 Win2003管理经验2 n3. 如何启用 ASP 支持： Windows Server 2003 默认安装，是不安 装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。方 法是： 控制面板 - 管理工具 - Web服务扩展 - Active Server Pages - 允许。 关于安装php服务的方法与之相似，但要注 意设置。 Win2003管理经验3 由于由于Win2003Win2003的安全权限设置很严格，的安全权限设置很严格， 必须对必须对ASPASP程序所在的目录去赋予特别的程序所在的目录去赋予特别的 权限，否则将显示网页无法找到的错误。权限，否则将显示网页无法找到的错误。 n禁止关机时出现的关机理由选择项 开始 - 运行 - gpedit.msc - Computer configuration - Administrative Templates -System - Display shutdown event tracker - 设 置为 Disable。 如果是中文版，则：gpedit.msc，计算机 配置 - 管理模板 - 系统 - 显示关机 事件跟踪 - 禁用。 Win2003管理经验4 n禁用Internet Explorer Enhanced Security 作为新windows组件出现的IE安全插件Internet Explorer Enhanced Security默认把IE安全设置为最高。在 访问站点弹出询问框并对你浏览网页及文件下载做出阻止的 行为。 1、禁止询问框的出现,在弹出的对话框中复选”以后不要 显示这个信息“ （In the future, do not show this message） 2、在IE工具选项中自定义设置IE的安全级别。在”安全“ （Security）选项卡上拉动滚动条把Internet区域安全设置 为”中“（Medium），这个级别将适合大多数人。 在控制面板添加程序添加或删除Windows组件中 卸载Internet Explorer Enhanced Security Win2003管理经验5 自动进入Win2003系统 第一步，打开注册表编辑窗口，并依次展开 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinLogon分支。 第二步，在右边窗口中，新建一个键名为 “AutoAdminLogon”的字符串，并将键值设置为“1”。 第三步，找到“DefaultDomainName”键名，双击之并在弹出 窗口中输入要登录的域名。 第四步，双击“DefaultUserName”键名，双击之并在弹出的 窗口输入要登录到此域的用户名。 第五步，新建一个名为“DefaultPassword”的字符串，并将 其键值设置为用户登录系统的密码。 完成设置后，重新启动计算机时就可自动登录了。如果要取 消自动登录功能，则将“AutoAdminLogon”键值设置为“0” 即可。 Log文件管理 Log文件导致系统空间耗尽 Log文件存放的位置及缺省产生的 方式 Log文件的用处 Log文件的管理及分析 Log文件管理 Log文件导致系统空间耗尽 WEB服务器（如IIS）及一些应用服务器 如万方、维普和人大全文，每天都会产生 一定的日志文件和临时文件，这些文件一 般都存储在系统驱动盘内，日久积累，将 系统空间耗尽，影响系统的正常运行。 Log文件管理 Log文件存放的位置及缺省产生的方式 WEB服务器的日志文件 $WindowsSystem32LogfilesW3SVC 1 一般以每日生成一个文件 Log文件管理 Log文件的用处 日志文件可以用于系统使用统计和对黑 客入侵等事件进行分析和挖掘，因此定期 对日志文件进行保存和迁移是必要的。作 为系统管理员，应该重视日志文件的管理 并学习如何分析日志文件以更快地定位系 统问题。 系统密码忘记了怎么办 nWinPE+ERD2003 1、号称最强的系统密码恢复工具。 2、一个从光盘启动的拥有图形界面的系统，是你的Win98、 Win2000、XP、2003 系统出现问题后的最好的系统维护工具 。 3、可用于忘记密码后的任何用户密码（含 administrator 的密码）更改。 4、ERD最大的好处就是在你系统Over的时候还能轻松的访问 NTFS分区，如果硬盘上还有XP的安装文件的话，你可以备份 系统盘有用文件后格式化然后直接在ERD中运行Win32的安装 程序。 ndos下copy c:windowssystemrepairsam c:windowssystemconfigsam也可以 如何避免装上流氓软件 1、尽量选择明确表示没有插件捆绑的软件进行安装。 如播放器类，可选择暴风影音2006官方无插件版本 。尽量多找一些绿色产品，以免机器受到流氓软件 的危害。 2、上网浏览时如果网站里需要安装某些插件才可浏览 时，在点确定之前要仔细看清。 3、安装软件时，不要盲目点下一步，仔细看清下一步 是些什么内容，如果遇到有安装和你安装软件无关 的内容，请不要选中。 4、装完操作系统后马上打系统补丁，然后安装杀毒软 件和防火墙。 服务器远程管理 nVNC nPCAnyWhere nRemoteControl n Win系统故障诊断1 n故障诊断原则-系统化方法 确定某个问题是产生于操作员还是系统本身 了解问题实际状况 选择适当的后续解决方案 n故障诊断方案步骤： 1）准确查出问题有助于对故障原因进行分类 n首先应回答以下问题： a 问题是什么时候发生的，采取了什么行动？ b 发生问题时，正在进行新的工作还是常规的 工作？ c 最近进行过哪些可能造成故障的改变吗？ d 重建问题容易吗？ Win系统故障诊断2 Win系统故障诊断3 n2）重建问题 a 在某些情况下，也许不可能重建问题， 但是重新执行发生问题时采取的步骤也是 有帮助的。 b 通过生成一个关于可能故障问题的列表 ，并随着更多信息的收集慢慢缩小列表。 Win系统故障诊断4 n3）分离原因 分离造成故障的原因，以便判断发生的故障是与物 理连接，计算机硬件，计算机软件有关，还是与操 作员的错误有关，等等。 n通过这一步骤，可以了解是那一台计算机引起故障 或者网络的哪个区域值得怀疑。 n继续分离故障原因，直到发现故障原因。 n检查目前收集到的所有信息也是很重要的，以便查 看其他可能的故障原因。 Win系统故障诊断5 n4）拟订并实施改正方案 n可能有几种不同的解决方案，而且可能存 在某中折衷解决方案 n通常发生折衷是由于存在不同的解决方案 n不同解决方案之间存在的经济差异也是选 择折衷方案的原因 n确定解决方案，采取纠正行动 Win系统故障诊断6 n5）测试解决方案 在测试了问题之后，还应当测试方案的“ 周边”情况，以确保系统的其他部分不会 受到所采取的改正措施的影响。 Win系统故障诊断7 n6）记录问题和解决方案 n获取反馈解决方案应细致 n记录完成后，还要从受到影响的用户（组 ）那里取得反馈，完成故障诊断过程的循 环。 Win系统故障诊断8 n故障诊断工具： IPCONFIG（包括winipcfg）网际协议配置工具。 ping用来检测计算机ip软件的运行是否正常，计 算机之间的连接是否良好。 tracert跟踪两台计算机之间的路由，发送路径 中各路由器转发状况的信息。 nbstat用于显示使用网络基本输入输出系统（ Netbios）得到的当前状况和统计数据。 Netstat用于显示一台计算机上所有连接的当前 状态。 ARP用来显示计算机的ARP缓存。 二、Windows Server 2003 安全管理 网络安全策略 n网络安全策略主要包括两大部分，即访问 控制策略和信息加密策略。访问控制策略 是网络安全防范和保护的主要策略，也是 维护网络系统安全、保护网络资源的重要 手段，用以保证网络资源不被非法使用和 访问。信息加密策略保证数据传输中的安 全，即保证数据完整性和机密性。各种安 全策略相互配合才能实现对系统的全面保 护。 Windows Server 2003安全策略 nWindows Server 2003安全策略定义了用户在使用计算机、运 行应用程序和访问网络等方面的行为，通过这些约束避免对网 络安全性的有意或无意的伤害。 n安全策略是一个事先定义好的一系列应用计算机的行为准则， 应用这些安全策略保证用户有一致的工作方式，防止用户破坏 计算机上的各种重要的配置，保护网络上的敏感数据。 n在Windows Server 2003中安全策略分为“本地安全设置”和 “组策略”两种。本地安全设置实现基于单个计算机的安全性 ，对于较小的企业或组织，或者是在网络中没有应用活动目录 的网络，通常使用本地安全设置；而组策略可以在站点、OU（ 组织单元）或域的范围内实现，通常应用于较大规模并且实施 活动目录的网络中。 Windows Server 2003安全配 置和分析 (1) n打开“开始”/“管理工具”程序组， 运行“本地安全设置”应用程序。在 “本地安全设置”窗口的左侧的树型 窗口中单击“+”号来扩展条目，如图 1所示，进行相应的设置 Windows Server 2003安全配 置和分析 (2) 图1 安全设置 Windows Server 2003安全配 置和分析 (3) n例如，用户可以设置密码的安全策略，选中“账 户策略”/“密码策略”，然后在右边的窗口中选 择要设置的选项，如选中“密码长度最小值”， 在这里可以设置密码的长度最少为8个字符。 n又如，选择安全设置中的“本地策略”/“安全选 项”，可以设置交互登录方式，如不需按 CTRL+ALT+DEL组合键，如图2所示。双击该项目并 设置成“已启用”即可。 Windows Server 2003安全配 置和分析 (4) 图2 安全选项设置 Windows Server 2003安全性 措施 (1) n1版本的选择 nWindows Server 2003有各种语言的版本，对于我 们来说，可以选择英文版或简体中文版，如果语 言不成为障碍的情况下，可以考虑选择英文版。 因为微软Windows Server 2003中文版的Bug远远 多于英文版，而补丁程序一般还会推迟至少半个 月。 Windows Server 2003安全性 措施 (2) n2组件的定制 nWindows Server 2003在默认情况下会安装一些常用 的组件，但这种默认安装可能带来安全隐患。对于管 理员应该明确到底需要哪些服务，只安装确实需要的 服务，根据安全原则，最少的服务+最小的权限=最大 的安全。典型的WEB服务器需要的最小组件选择是： 只安装IIS的Com Files，IIS Snap-In，WWW Server 组件。而应该谨慎安装IIS中的其他组件，例如 Indexing Service， FrontPage server 2003 Extensions， Internet Service Manager (HTML)等 。 Windows Server 2003安全性 措施 () n3正确安装Windows Server 2003 n（1）分区和逻辑盘的分配 n（2）安装顺序的选择与系统补丁 Windows Server 2003安全性 措施 () n4安全配置Windows Server 2003 n（1）端口 n（2）IIS服务 n（3）应用程序配置 n（4）删除不需要的服务 Windows Server 2003安全性 措施 (-1) n（1）端口 n端口是计算机和外部网络相连的逻辑接口，也是 计算机的第一道屏障，端口配置正确与否直接影 响到主机的安全。一般来说，比较安全的做法是 ，只打开你需要使用的端口。很多黑客攻击程序 是针对特定服务和特定服务端口的，因此，为了 降低遭受黑客攻击的危险，应该关闭那些不必要 的服务和服务端口。 Windows Server 2003安全性 措施 (4-1) 服务器上如果有两块网服务器上如果有两块网 卡卡, ,可以设置一块网卡作可以设置一块网卡作 为对外发布的网络接口为对外发布的网络接口, , 进行端口限制进行端口限制. . 另一块网卡作为内部管另一块网卡作为内部管 理的网络接口理的网络接口, ,不做端口不做端口 限制限制. . Windows Server 2003安全性 措施 (4-2) n（2）IIS服务 nIIS是微软的组件中漏洞最多的一个，平均两三个 月就要出一个漏洞，所以应该细致配置IIS。例如 ，信息服务发布目录Inetpub安装在非系统分区上 ，如D盘，更改名字不用系统默认目录名。在IIS 管理器中将主目录指向你自己设定的路径即可。 又如，删除IIS安装时默认的scripts等虚拟目录 ，谨慎建立所需目录，同时需要什么权限开什么 权限。特别注意写权限和执行程序的权限，没有 绝对需要不要给目录分配这些权限。 Windows Server 2003安全性 措施 (4-3) n（3）应用程序配置 n删除IIS管理器中不必要的映射。例如，在IIS管 理器中鼠标单击主机，选择“网站”，鼠标右键 点击选择“属性”菜单，选择“主目录”配置页 ，选择“配置”，打开“应用程序配置”对话框 ，如图5所示，在“映射”选项页中根据需要可以 删除不必要的应用程序类型。选择“调试”选项 页，如图6所示，将脚本错误消息改为发送文本， 否则ASP出错的时候用户将知道你的程序、网络、 数据库结构。错误文本可自己定制，设置好后点 按“确定”退出。 Windows Server 2003安全性 措施 (4-3) Windows Server 2003安全性 措施 (4-3) Windows Server 2003安全性 措施 (-4) n（4）删除不需要的服务 nWindows Server 2003的许多服务器允许用户远程 访问本机，如用户通过Telnet方式登录等，并可 在控制台上执行一系列操作，如装载和卸载模块 ，安装和删除软件。这虽然带来了一些方便，但 也给非法用户访问和控制服务器带来了可乘之机 。可以通过以下方法关掉一些不必要的服务，选 择“开始”/“管理工具”/“服务”，打开如图7 所示“服务”管理窗口，查找并选中要停止的服 务（如Telnet），鼠标右键单击选择“停止”即 可。 Windows Server 2003安全性 措施 (-4) Windows Server 2003安全性 措施 (5) n5账号安全 nWindows Server 2003的账号安全管理十分重要。 首先，Windows Server 2003的默认安装允许任何 用户通过匿名用户得到系统所有账号、共享列表 ，这个本来是为了方便局域网用户共享文件的， 但是一个远程用户也可以得到你的用户列表并从 而设法破解用户密码。 Windows Server 2003安全性 措施 (5) Windows Server 2003安全性 措施 () n6安全日志 nWindows Server 2003的默认安装是不开任何安全 审核的。在“本地安全设置”管理程序的“本地 策略”/“审核策略”中设置相应的审核，如图9 所示界面。 Windows Server 2003安全性 措施 (6) 图9 本地安全设置 Windows Server 2003安全性 措施 (7) n7目录和文件权限 n（1）权限是累计的。 n（2）拒绝的权限要比允许的权限级别高（拒绝优 先） n（3）文件权限比文件夹权限高。 n（4）仅给用户真正需要的权限，权限的最小化原 则是安全的重要保障。 三、 SQL与ASP的注意事项 SQL SERVER的安全 nSQL SERVER是NT平台上用的最多的数据库系统，但是它的安 全问题也必须引起重视。数据库中往往存在着最有价值的信 息，一旦数据被窃后果不堪设想。 及时更新补丁程序。（目前MS SQL Server 2000 最新补丁是 Services Pack 4，最少要安装Sp3） n说明：与NT一样，SQL SERVER的许多漏洞会由补丁程序来弥 补。建议在安装补丁程序之前先在测试机器上做测试，同时 提前做好目标服务器的数据备份。 SQL SERVER的安全 n给SA一个复杂的口令。 n说明：SA具有对SQL SERVER数据库操作的全部权限。遗憾 的是，一部分网管对数据库并不熟悉，建立数据库的工作 由编程人员完成，而这部分人员往往只注重编写SQL 语句 本身，对SQL SERVER数据库的管理不熟悉，这样很有可能 造成SA口令为空。这对数据库安全是一个严重威胁。目前 具有这种隐患的站点不在少数。 n不提供给ASP程序员SA的操作权限 SQL SERVER的安全 n严格控制数据库用户的权限，轻易不要给 让用户对表有直接的查询、更改、插入、 删除权限，可以通过给用户以访问视图的 权限，以及只具有执行存储过程的权限。 n说明：用户如果对表有直