{售后服务}服务器的日常管理与维护

1、售后服务 服务器的日常 管理与维护 20XX 年 XX 月 精心制作您可以自由编辑 WebFtpMail 服务器的日常管理与维护 一、 设置和管理账户 1、 系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述,密码最 好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。 2、 新建一个名为Administrator的陷阱帐号,为其设置最小的权限，然后随便输入组合的 最好不低于20位的密码。 3、 将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,然后禁用。 4、 开始-程序-管理工具-本地安全策略，选择计算机配置-Windows设置-安全

2、设置-账户策 略-账户锁走策略，将账户设为三次登陆无效,锁走时间为30分钟，复位锁定计 数设为30分钟。 5、 在安全设置-本地策略-安全选项中将不显示上次的用户名设为启用。 6、 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举SAM帐号和共享) 二、 网络服隽安全管理 1、 禁止C$、D$、ADMIN$类的缺省共享 打 开 注 册 表 ， HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparam eters ,在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0.注册表不了 解不

3、要随便更改. 2、 解除NetBios与TCP/IP协议的绑走 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS 3、关闭不需要的服务,以下为建议选项 开始-所有程序-管理工具-服务 ComputerBrowser维护网络计算机更新，禁用 DistributedFileSystem:域网管理共享文件,不需要禁用 Distributedlinktrackingclient :用于局域网更新连接信息，不需要禁用 臼rorreportingservice :禁止发送错误报告 MicrosoftSerch :提供快速的单词搜索，不需

4、要可禁用 NTLMSecuritysupportprovide : telnet 服务和 MicrosoftSerch 用的，不需要禁用 Printspooler:如果没有打E卩机可禁用 RemoteRegistry :禁止远程修改注册表 RemoteDesktopHelpSessionManager:禁止远程协助 Messenger:信使服务(windows2000) Taskscheduler:允许程序在指定时间运行还用计划任务就禁用掉) TCP/IPNetBIOSHelperService:NetBIOS(NetBT)服勢以及 NetBIOS 名称解析的支持 注：新上架的服务器已经做过其

5、他安全设置只开以下端口,需要开具他端口可以在。右击网 上邻居-属性-Internet协议(TCP/IP )属性-高级-选项-TCP/IP筛选-属性-TCP端口 -添加 你想要开的端口. 默认开启的端口列表： FTP:20.21 mail:25.110 Web:80 pcanywhere:5631 远程桌面：3389（3389不要关闭,否则将无法远程连接） 三、 系统安全節里 1. 对于系统的NTFS磁盘权限设置C盘只给administrators和system权限， 具他的权限不 给,其他的盘也可以这样设置,这里给的system权限也不一走需要给,只是由于某些第三 方应用程序是以服务形式启动的

6、，需要加上这个用户,否则造成启动不了。 2. Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。 3. 另外在c:/DocumentsandSettings/这里相当重要，后面的目录里的权限根本不会继承从 前的设置，如果仅仅只是设置了 C盘给administrators权限，而在 AIIUsers/ApplicationData目录下会出现everyone用户有完全控制权限，这样入侵这可以 跨俟到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限. 4 . 这些文件都设置只允许访问.guests禁止访问 四、 打开相应的审核策略 开始-程序-管理工具-

7、本地安全策略-安全设置-本地策略-审核策略 注:windows2003已经开启部分.windows2000没有开启可以根据实际情况来设置. 推荐的要审核的项目是： 登录事件换失败 盼登录事件如失败 系统事件换失败 策略更改成功失败 对象访问失败 目录服勢访问失败 特权使用失败 五、IS的安装与配置 1. HS6.0安装过程在控制面板里依次选择添加或删除程序的添加/删除Windows组 件；双击应用程序服勢器，再双击Internet信息服务（IIS）,选中万维网服勢 （注：此选项下还可进一步作选项筛选，请根据自己需要选用,如下图所示），点确走即安 装完成。（一个方便的方法:选中其他的组件会自动选

8、上） 2. US6.0的配置WEB服务默认随系统启动,IIS6.0最初安装完成是只支持静态内容的（即不 能正常显示基于ASP的网页内容），因此首先要做的就是打开其动态内容支持功能。依次选 择开始-程序-管理工具-inter信息服务管理器， 在打开的IIS管理窗口 左面点web服勢扩展；将鼠标所在的项v.1.1.4322以及“ActiveServerPages项 启用（点允许）即可。 右击网站-新建-网站按向导操作 输入网站描述:这里可以随便填一般为了方便查找填写网站的域名 网站IP地址： 服务器只有一个IP地址这里可以选 （全部未分配） ,如果选了 IP在更换服勢器IP 时.这里的IP也要进行

9、更换所以为方便这里也不选. 网站TCP端口（默认值:80）（T）:默认为80有特殊需要也可以更改为其他没有用的端口（如81）. 但访问时要在域名端口号:81 此网站的主机头（默认：无）：服务器做虚拟主机或者服务器上有多个站点时。主机头填写 该站点的域名。只有一个站点可以不填（注：主机头是唯一的。不可以和其他主机头重复） 路径:单击浏览。找到网站程序所放的目录。 允许下列权限：默认权限即可。这样一个站点就初步建好了。 添加主机头:右击刚建的站点（）-属性-文档选项卡-添加 添加上默认的首页文件名:默认的首面文件通常有： 网站选项卡 新建站点的一个基本设置在这里可能更改。 选择高级:可以给网站添加

10、多个域名。 IP地址:默认 端口 ：80 主机头值:需要添加的域名（如：）注：添加的域名不可重复。 更改IIS日志的路径 右键单击默认Web站点-属性-网站-在启用日志记录下点击属性 建议:IIS日志默认是放在C:WINDOWSsystem32LogFiles下服勢器运行一段时间后日 志会特别大造成C盘空间不足建议把路径改在其他盘符 2、 性能选项卡： 对于做虚拟主机想限制各个站点带竟的。这项很有用。 3、 主目录选项卡： 本地路径-浏览：网站程序的路径。 配置-选项选项卡： 会话超时：session的存活时间 启用父路径：windows默认没有勾选这个选项。在asp程序中使用,请请复选框选

11、中 4、 目录安全性选卡 如果你的网站访问需要用户名和密码。可以检查一下,是否启用了匿名访问,并检查一下上 面的用户名：如上图就是:IUSR_EDONG-FU5JINJ65这个用户对网站程序有没有访问的权 限。 5、ns设置进行备份 有多种方法可以用来完成此项工作。在Internet信息服勢管理器控制台（IIS插件）中所设 置的属性和值都被储存在文件中，缺省情况下，这个文件位于C:winntsystem32inetsrv 目录中。在IIS5.0中你可以从内置的HS插件中来备份元数据。如果需要进行此工作,请 选择桌面上的计算机图标然后单击右健。然后再选择备份/恢复配置”。然后你就可以选 择备份现

12、有元数据设置或者恢复以前的版本。与此相同的选项在MetaEdit2.2中也可找到。 当你以这种方式保存了元数据时，你的备份将以mdO文件的格式储存在 C:winntsystem32instrvmetaback文件夹中。当你执行备份时，文件将使用你所指走的 名称，如Pre-0o如果你使用相同的文件名创建了多个备份，他们将使用数字逐渐递增的扩 严重损坏的情况下，你将不能启动IIS。此时，你也不能 从IIS插件或metaedit中执行恢复操作。如果真的发生了类似情况，你就可以通过从备份 文件夹中选用最合适的.mdO （.mdl等等）元数据备份文件来替换。如果你的备份文件没有 错误JIS将会立刻启动。

13、制作元数据的备份还有其它两个意义。你可以使用xcopy , scopy 或其它复制程序来简单地复制文件。你应该先停止Internet服务f以保证你的元1 的并且不在使用状态中。最后r我们还提供了两个脚本一和一它们位于Inetpubsdk/admin （如果你在US5.0上安装了 HSSDK ）文件夹中或在USResourceKitADSIAdminScripts文 件夹（如果你安装了 IIS4.0ResourceKit）中。这些.vbs脚本使用了一个ADSI命令，它是 专门为创建元数据备份而提供的。 6、 利用WlS（WeblnjectionScanner）工具对整个网站逬行SQUnjection脆弱性扫描. 7. 如果需要加装P H P支持，PH P的安装目录网站匿名用户一定要有读的权限。 &为了防止跨站浏览，建议每个网站，使用不同的来宾账号逬行访问。 设置方法 展名，如0,1等等。 是最新 A、 右击我的电脑-管理-本地用户和组-右击 （新建用户， 如:webuser， 密码为:edonguser） , 设置为guests组。 B、 为您的网站目录添加相应的权限。如您的网站目录在: