Windows服务器系统常见问题与维护.ppt

Windows服务器系统常见问题与维护 武汉大学图书馆黄勇凯2006 12 22 纲要 Windows常见问题及解决办法Windows系统安全管理SQL与ASP的注意事项总结 一 WindowsServer常见问题及解决办法 系统安装 磁盘分区注意事项系统管理员的密码补丁的安装 磁盘分区 最少将磁盘分为2个以上的分区硬盘分区均为NTFS分区系统分区 一般为C盘 建议分20G以上的磁盘空间应用分区 用于安装系统软件数据分区 用于存储数据 系统管理员的密码 切记不可将系统管理员密码设置为空不要使用弱密码创建强管理员密码 系统管理员的密码 使用内置管理员帐户的强密码 强密码可以最大程度地减少猜测密码并获得管理员帐户凭据的攻击者的攻击 强管理员帐户密码应该 至少包含15个字符 不包含帐户名 实际姓名或公司名称 不包含字典中的完整单词 任何语言中的俚语或行话 要明显不同于以前的密码 递增的密码 Password1 Password2 Password3 不是强密码 包含来自下页中列出的五组中三组以上的字符 系统管理员的密码 强管理员密码的字符类型大写字母A B C 小写字母a b c 数字0 1 2 3 非字母数字键盘符号 Unicode字符 G 强密码示例 使用密码短语而不是密码创建不必写下的强密码的最简单方法是使用密码短语 实质上 密码短语是容易记的句子 例如 MysonAidenisthreeyearsolderthanmydaughterAnna 使用此句中每个单词的首字母 您可以创建一个很好的强密码 例如 msaityotmda 不过 您还可以使用大小写字母 数字和看似字母的特殊字符的组合使此密码更难以破解 例如 使用同样易于记忆的句子和少许技巧 密码便成了M 8ni3y0tmd 补丁的安装 使用WindowsUpdate网上下载最新的Sp打包的补丁包然后在使用WindowsUpdate 适合网络速度比较慢的用户 win2003补丁下载 Win2003管理经验1 打开DirectX的D3D硬件加速 查看桌面属性 设置 高级 疑难问答 硬件加速 完全 或开始 运行键入dxdiag 回车 打开Display选项卡 可看到3项全部启用了 最后 利用Windowsupdates在WindowsServer2003中安装DirectX9 0a 启用声卡 千万注意 安装好声卡驱动后还要开启声卡服务 因为系统默认的是禁止 系统安装后 声卡是禁止状态 所以要在控制面板 声音 启用 重启之后再设置它在任务栏显示 现在我们还要启用音频加速 在开始 运行键入Services msc然后按回车 会出现Services窗口 找到WindowsAudio服务 双击打开 把启动类型设置为Automatic 点击Apply 然后点击Start启动该服务 最后我们还要使用DirectX诊断工具 在运行中输入dxdiag并回车 打开Sound选项卡 把HardwareSoundAccelerationLevel的滑块拖动到Full Win2003管理经验2 3 如何启用ASP支持 WindowsServer2003默认安装 是不安装IIS6的 需要另外安装 安装完IIS6 还需要单独开启对于ASP的支持 方法是 控制面板 管理工具 Web服务扩展 ActiveServerPages 允许 关于安装php服务的方法与之相似 但要注意设置 Win2003管理经验3 由于Win2003的安全权限设置很严格 必须对ASP程序所在的目录去赋予特别的权限 否则将显示网页无法找到的错误 禁止关机时出现的关机理由选择项开始 运行 gpedit msc Computerconfiguration AdministrativeTemplates System Displayshutdowneventtracker 设置为Disable 如果是中文版 则 gpedit msc 计算机配置 管理模板 系统 显示关机事件跟踪 禁用 Win2003管理经验4 禁用InternetExplorerEnhancedSecurity作为新windows组件出现的IE安全插件 InternetExplorerEnhancedSecurity默认把IE安全设置为最高 在访问站点弹出询问框并对你浏览网页及文件下载做出阻止的行为 1 禁止询问框的出现 在弹出的对话框中复选 以后不要显示这个信息 Inthefuture donotshowthismessage 2 在IE工具选项中自定义设置IE的安全级别 在 安全 Security 选项卡上拉动滚动条把Internet区域安全设置为 中 Medium 这个级别将适合大多数人 在控制面板 添加程序 添加或删除Windows组件中卸载InternetExplorerEnhancedSecurity Win2003管理经验5 自动进入Win2003系统 第一步 打开注册表编辑窗口 并依次展开 HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion WinLogon 分支 第二步 在右边窗口中 新建一个键名为 AutoAdminLogon 的字符串 并将键值设置为 1 第三步 找到 DefaultDomainName 键名 双击之并在弹出窗口中输入要登录的域名 第四步 双击 DefaultUserName 键名 双击之并在弹出的窗口输入要登录到此域的用户名 第五步 新建一个名为 DefaultPassword 的字符串 并将其键值设置为用户登录系统的密码 完成设置后 重新启动计算机时就可自动登录了 如果要取消自动登录功能 则将 AutoAdminLogon 键值设置为 0 即可 Log文件管理 Log文件导致系统空间耗尽Log文件存放的位置及缺省产生的方式Log文件的用处Log文件的管理及分析 Log文件管理 Log文件导致系统空间耗尽WEB服务器 如IIS 及一些应用服务器如万方 维普和人大全文 每天都会产生一定的日志文件和临时文件 这些文件一般都存储在系统驱动盘内 日久积累 将系统空间耗尽 影响系统的正常运行 Log文件管理 Log文件存放的位置及缺省产生的方式WEB服务器的日志文件 Windows System32 Logfiles W3SVC1一般以每日生成一个文件 Log文件管理 Log文件的用处日志文件可以用于系统使用统计和对黑客入侵等事件进行分析和挖掘 因此定期对日志文件进行保存和迁移是必要的 作为系统管理员 应该重视日志文件的管理并学习如何分析日志文件以更快地定位系统问题 系统密码忘记了怎么办 WinPE ERD20031 号称最强的系统密码恢复工具 2 一个从光盘启动的拥有图形界面的系统 是你的Win98 Win2000 XP 2003系统出现问题后的最好的系统维护工具 3 可用于忘记密码后的任何用户密码 含administrator的密码 更改 4 ERD最大的好处就是在你系统Over的时候还能轻松的访问NTFS分区 如果硬盘上还有XP的安装文件的话 你可以备份系统盘有用文件后格式化然后直接在ERD中运行Win32的安装程序 dos下copyc windows system repair samc windows system config sam也可以 如何避免装上流氓软件 1 尽量选择明确表示没有插件捆绑的软件进行安装 如播放器类 可选择暴风影音2006官方无插件版本 尽量多找一些绿色产品 以免机器受到流氓软件的危害 2 上网浏览时如果网站里需要安装某些插件才可浏览时 在点确定之前要仔细看清 3 安装软件时 不要盲目点下一步 仔细看清下一步是些什么内容 如果遇到有安装和你安装软件无关的内容 请不要选中 4 装完操作系统后马上打系统补丁 然后安装杀毒软件和防火墙 服务器远程管理 VNCPCAnyWhereRemoteControl Win系统故障诊断1 故障诊断原则 系统化方法确定某个问题是产生于操作员还是系统本身了解问题实际状况选择适当的后续解决方案 故障诊断方案步骤 1 准确查出问题 有助于对故障原因进行分类首先应回答以下问题 a问题是什么时候发生的 采取了什么行动 b发生问题时 正在进行新的工作还是常规的工作 c最近进行过哪些可能造成故障的改变吗 d重建问题容易吗 Win系统故障诊断2 Win系统故障诊断3 2 重建问题a在某些情况下 也许不可能重建问题 但是重新执行发生问题时采取的步骤也是有帮助的 b通过生成一个关于可能故障问题的列表 并随着更多信息的收集慢慢缩小列表 Win系统故障诊断4 3 分离原因分离造成故障的原因 以便判断发生的故障是与物理连接 计算机硬件 计算机软件有关 还是与操作员的错误有关 等等 通过这一步骤 可以了解是那一台计算机引起故障或者网络的哪个区域值得怀疑 继续分离故障原因 直到发现故障原因 检查目前收集到的所有信息也是很重要的 以便查看其他可能的故障原因 Win系统故障诊断5 4 拟订并实施改正方案可能有几种不同的解决方案 而且可能存在某中折衷解决方案通常发生折衷是由于存在不同的解决方案不同解决方案之间存在的经济差异也是选择折衷方案的原因确定解决方案 采取纠正行动 Win系统故障诊断6 5 测试解决方案在测试了问题之后 还应当测试方案的 周边 情况 以确保系统的其他部分不会受到所采取的改正措施的影响 Win系统故障诊断7 6 记录问题和解决方案获取反馈解决方案应细致记录完成后 还要从受到影响的用户 组 那里取得反馈 完成故障诊断过程的循环 Win系统故障诊断8 故障诊断工具 IPCONFIG 包括winipcfg 网际协议配置工具 ping 用来检测计算机ip软件的运行是否正常 计算机之间的连接是否良好 tracert 跟踪两台计算机之间的路由 发送路径中各路由器转发状况的信息 nbstat 用于显示使用网络基本输入输出系统 Netbios 得到的当前状况和统计数据 Netstat 用于显示一台计算机上所有连接的当前状态 ARP 用来显示计算机的ARP缓存 二 WindowsServer2003安全管理 网络安全策略 网络安全策略主要包括两大部分 即访问控制策略和信息加密策略 访问控制策略是网络安全防范和保护的主要策略 也是维护网络系统安全 保护网络资源的重要手段 用以保证网络资源不被非法使用和访问 信息加密策略保证数据传输中的安全 即保证数据完整性和机密性 各种安全策略相互配合才能实现对系统的全面保护 WindowsServer2003安全策略 WindowsServer2003安全策略定义了用户在使用计算机 运行应用程序和访问网络等方面的行为 通过这些约束避免对网络安全性的有意或无意的伤害 安全策略是一个事先定义好的一系列应用计算机的行为准则 应用这些安全策略保证用户有一致的工作方式 防止用户破坏计算机上的各种重要的配置 保护网络上的敏感数据 在WindowsServer2003中安全策略分为 本地安全设置 和 组策略 两种 本地安全设置实现基于单个计算机的安全性 对于较小的企业或组织 或者是在网络中没有应用活动目录的网络 通常使用本地安全设置 而组策略可以在站点 OU 组织单元 或域的范围内实现 通常应用于较大规模并且实施活动目录的网络中 WindowsServer2003安全配置和分析 1 打开 开始 管理工具 程序组 运行 本地安全设置 应用程序 在 本地安全设置 窗口的左侧的树型窗口中单击 号来扩展条目 如图1所示 进行相应的设置 WindowsServer2003安全配置和分析 2 图1安全设置 WindowsServer2003安全配置和分析 3 例如 用户可以设置密码的安全策略 选中 账户策略 密码策略 然后在右边的窗口中选择要设置的选项 如选中 密码长度最小值 在这里可以设置密码的长度最少为8个字符 又如 选择安全设置中的 本地策略 安全选项 可以设置交互登录方式 如不需按CTRL ALT DEL组合键 如图2所示 双击该项目并设置成 已启用 即可 WindowsServer2003安全配置和分析 4 图2安全选项设置 WindowsServer2003安全性措施 1 1 版本的选择WindowsServer2003有各种语言的版本 对于我们来说 可以选择英文版或简体中文版 如果语言不成为障碍的情况下 可以考虑选择英文版 因为微软WindowsServer2003中文版的Bug远远多于英文版 而补丁程序一般还会推迟至少半个月 WindowsServer2003安全性措施 2 2 组件的定制WindowsServer2003在默认情况下会安装一些常用的组件 但这种默认安装可能带来安全隐患 对于管理员应该明确到底需要哪些服务 只安装确实需要的服务 根据安全原则 最少的服务 最小的权限 最大的安全 典型的WEB服务器需要的最小组件选择是 只安装IIS的ComFiles IISSnap In WWWServer组件 而应该谨慎安装IIS中的其他组件 例如IndexingService FrontPageserver2003Extensions InternetServiceManager HTML 等 WindowsServer2003安全性措施 3 正确安装WindowsServer2003 1 分区和逻辑盘的分配 2 安装顺序的选择与系统补丁 WindowsServer2003安全性措施 4 安全配置WindowsServer2003 1 端口 2 IIS服务 3 应用程序配置 4 删除不需要的服务 WindowsServer2003安全性措施 1 1 端口端口是计算机和外部网络相连的逻辑接口 也是计算机的第一道屏障 端口配置正确与否直接影响到主机的安全 一般来说 比较安全的做法是 只打开你需要使用的端口 很多黑客攻击程序是针对特定服务和特定服务端口的 因此 为了降低遭受黑客攻击的危险 应该关闭那些不必要的服务和服务端口 WindowsServer2003安全性措施 4 1 服务器上如果有两块网卡 可以设置一块网卡作为对外发布的网络接口 进行端口限制 另一块网卡作为内部管理的网络接口 不做端口限制 WindowsServer2003安全性措施 4 2 2 IIS服务IIS是微软的组件中漏洞最多的一个 平均两三个月就要出一个漏洞 所以应该细致配置IIS 例如 信息服务发布目录Inetpub安装在非系统分区上 如D盘 更改名字不用系统默认目录名 在IIS管理器中将主目录指向你自己设定的路径即可 又如 删除IIS安装时默认的scripts等虚拟目录 谨慎建立所需目录 同时需要什么权限开什么权限 特别注意写权限和执行程序的权限 没有绝对需要不要给目录分配这些权限 WindowsServer2003安全性措施 4 3 3 应用程序配置删除IIS管理器中不必要的映射 例如 在IIS管理器中鼠标单击主机 选择 网站 鼠标右键点击选择 属性 菜单 选择 主目录 配置页 选择 配置 打开 应用程序配置 对话框 如图5所示 在 映射 选项页中根据需要可以删除不必要的应用程序类型 选择 调试 选项页 如图6所示 将脚本错误消息改为发送文本 否则ASP出错的时候用户将知道你的程序 网络 数据库结构 错误文本可自己定制 设置好后点按 确定 退出 WindowsServer2003安全性措施 4 3 WindowsServer2003安全性措施 4 3 WindowsServer2003安全性措施 4 4 删除不需要的服务WindowsServer2003的许多服务器允许用户远程访问本机 如用户通过Telnet方式登录等 并可在控制台上执行一系列操作 如装载和卸载模块 安装和删除软件 这虽然带来了一些方便 但也给非法用户访问和控制服务器带来了可乘之机 可以通过以下方法关掉一些不必要的服务 选择 开始 管理工具 服务 打开如图7所示 服务 管理窗口 查找并选中要停止的服务 如Telnet 鼠标右键单击选择 停止 即可 WindowsServer2003安全性措施 4 WindowsServer2003安全性措施 5 5 账号安全WindowsServer2003的账号安全管理十分重要 首先 WindowsServer2003的默认安装允许任何用户通过匿名用户得到系统所有账号 共享列表 这个本来是为了方便局域网用户共享文件的 但是一个远程用户也可以得到你的用户列表并从而设法破解用户密码 WindowsServer2003安全性措施 5 WindowsServer2003安全性措施 6 安全日志WindowsServer2003的默认安装是不开任何安全审核的 在 本地安全设置 管理程序的 本地策略 审核策略 中设置相应的审核 如图9所示界面 WindowsServer2003安全性措施 6 图9本地安全设置 WindowsServer2003安全性措施 7 7 目录和文件权限 1 权限是累计的 2 拒绝的权限要比允许的权限级别高 拒绝优先 3 文件权限比文件夹权限高 4 仅给用户真正需要的权限 权限的最小化原则是安全的重要保障 三 SQL与ASP的注意事项 SQLSERVER的安全 SQLSERVER是NT平台上用的最多的数据库系统 但是它的安全问题也必须引起重视 数据库中往往存在着最有价值的信息 一旦数据被窃后果不堪设想 及时更新补丁程序 目前MSSQLServer2000最新补丁是ServicesPack4 最少要安装Sp3 说明 与NT一样 SQLSERVER的许多漏洞会由补丁程序来弥补 建议在安装补丁程序之前先在测试机器上做测试 同时提前做好目标服务器的数据备份 SQLSERVER的安全 给SA一个复杂的口令 说明 SA具有对SQLSERVER数据库操作的全部权限 遗憾的是 一部分网管对数据库并不熟悉 建立数据库的工作由编程人员完成 而这部分人员往往只注重编写SQL语句本身 对SQLSERVER数据库的管理不熟悉 这样很有可能造成SA口令为空 这对数据库安全是一个严重威胁 目前具有这种隐患的站点不在少数 不提供给ASP程序员SA的操作权限 SQLSERVER的安全 严格控制数据库用户的权限 轻易不要