Windows2003服务器安装调试流程.docx

第一条、 安装OS ，取消默认共享等具有安全隐患的操作。安装WIN2003 R2版并保证所有的磁盘都为NTFS格式.安装后更改主机名,命名规则为”应用简写_网段号_IP地址”如”YY_1_8”表示应用服务器.地址为*.*.1.8.如果是IIS服务器或者是K3应用服务器需要安装下列系统组件并根据各自的需要进行调试。IIS:需要安装”应用程序服务器、INTERNET信息服务器（IIS）、启用用网络COM+访问添加组件后设置系统密码。并停止没有用的用户。特别是对于有外网映射的IIS服务器，应做如下修改。禁止如下的用户。添加一个新用户如IISUSER来作为匿名访问INTERNET信息服务的用户。并限制该用户只为USER权限由于禁止了系统默认的IIS匿名访问用户。所以需要做如下调整将网站的目录安全性中的匿名访问用户改为我们新建立的IISUSERK3系统：需要安装”应用程序服务器、INTERNET信息服务器（IIS）、启用用网络COM+访问、启用网络DTC访问如果服务器超过4g内存又有数据库的话。则需要打开系统的3gb开关。修改启动文件，添加/pae和/3gb开关，步骤为：右击我的电脑 - 属性 - 高级 - 启动和恢复 - 设置 - 手工编辑启动文件，加入开关，以下是一个 Boot.ini 文件的示例，其中已添加了 PAE（打开系统对大内存的支持） 和3gb（打开SQL超过2Gb限制）开关：boot loadertimeout=30default=multi(0)disk(0)rdisk(0)partition(2)WINDOWSoperating systemsmulti(0)disk(0)rdisk(0)partition(2)WINDOWS=Windows Server 2003, Enterprise /fastdetect /PAE /3gb修改后需要立即测试系统是否正常，并确认性能不会反而下降。.删除注册表中HKEY_LOCAL_MACHINE权限中的administrator用户只保留SYSTEM服务.除非特殊需要.否则删除 磁盘的USER和EVERYONE权限.检查禁止下列系统服务.1.NetMeeting Remote Desktop Sharing：允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。2.Universal Plug and Play Device Host：此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击（DDoS）。另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源（需要安装硬件时需手动开启）。3.Messenger：俗称信使服务，电脑用户在局域网内可以利用它进行资料交换（传输客户端和服务器之间的Net Send和Alerter服务消息，此服务与Windows Messenger无关。如果服务停止，Alerter消息不会被传输）。这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。而且这项服务有漏洞，MSBlast和SlaMMer病毒就是用它来进行快速传播的。4.Performance Logs And Alerts：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据，坚决禁止它。5.Terminal Services：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。如果你不使用Win XP的远程控制功能，可以禁止它。6.Remote Registry：使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。7.Fast User Switching Compatibility：在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击“开始注销快速切换”，在传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。如果不经常使用，可以禁止该服务。或者在“控制面板用户账户更改用户登录或注销方式”中取消“使用快速用户切换”。8.Telnet：允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet客户，包括基于 UNIX 和 Windows 的计算机。又一个危险的服务，如果启动，远程用户就可以登录、访问本地的程序，甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用，否则一定要禁止它。9.Remote Desktop Help Session Manager：如果此服务被终止，远程协助将不可用。10.TCP/IP NetBIOS Helper：NetBIOS在Win 9X下就经常有人用它来进行攻击，对于不需要文件和打印共享的用户，此项也可以禁用Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序改部分目录权限1、系统盘权限设置 C:分区部分： c: administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) system 全部(该文件夹，子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹，子文件夹及文件)遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:Documents and Settings administrators 全部(该文件夹，子文件夹及文件) Power Users (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录读取 SYSTEM全部(该文件夹，子文件夹及文件) C:Program Files administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录读取 Power Users(该文件夹，子文件夹及文件) 修改权限 SYSTEM全部(该文件夹，子文件夹及文件) TERMINAL SERVER USER (该文件夹，子文件夹及文件) 修改权限请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许administrators访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,删除c:inetpub目录， 修改审核权限如下第二条、 安装OS补丁，保证系统最新。1 由于安装WIN2003 R2 SP2版本后。系统补丁更新到WIN2003 SP2 更新补丁更新到2008-06-10日。所以可以根据情况更新补丁。2 Kb957097 SAM补丁2OS日志文件默认路径修改。系统日志不能被修改路径。默认保存的位置为C:WINDOWSsystem32config*。Evt为了保存日志信息。使用下列命令对日志进行备份copy C:WINDOWSsystem32config*.evt D:软件log D:软件loglog.txT另存为批处理文件后使用计划任务每天22：00执行。第三条、 安装杀毒，并更新病毒库到最新。安装趋势网络版杀毒或者诺顿杀毒软件,安装后设置网络地址等信息。升级杀毒软件。如果安装其他杀毒软件。需要先进行测试是否杀毒软件是否与K3或者网站等程序有冲突安装并升级杀毒后使用最新的病毒码对全盘进行扫描.直到不能查找到任何病毒为止数据库安装。第四条、 数据库补丁安装。MSSQL2000安全设置SQL SERVER设置:1,将master表中存储过程sp_password的public和guest权限取消2,删除win系统用户sqldebugger -没用的帐号，还经常给黑客利用3,用户去掉db_onwer权限IIS方面：1，删除默认站点2，删除不使用的脚本映射(如.htw,.idc等)3，禁止FrontPage Server Extensions4，在Web 服务扩展中禁止WebDAV5，asp的站就删除剩下asp映射，php就删除剩下php映射第五条、 交付给软件部门进行软件安装调试.软件部门安装调试结束后.新建os用户，并分配可进行中间件操作权限。修改或重