服務(wù)器配置規(guī)范

1、Windows 2000/2003/2008 服務(wù)器配置規(guī)范最后更新： 2011-1-18目錄1 定義 22 安裝操作系統(tǒng) 22.1 版本選擇 22.2 安裝 22.3 安裝后配置 33 系統(tǒng)安全配置 43.1 帳戶策略 43.2 審核策略 43.3 用戶權(quán)利指派 53.4 安全選項(xiàng) 53.5 系統(tǒng)服務(wù) 63.6 其它安全配置項(xiàng) 63.7 網(wǎng)絡(luò)安全 73.8 上線前安全掃描 74 系統(tǒng)更新 74.1補(bǔ)丁管理 74.2 補(bǔ)丁安裝 75 防病毒軟件 85.1版本 85.2 病毒定義碼更新 8版本更新說明 9101 定義按照主要功能區(qū)分 Windows 服務(wù)器為以下類別：(1) 辦公網(wǎng) Active

2、 Directory / 文件和打印服務(wù)器(2) 業(yè)務(wù)網(wǎng) Active Directory 服務(wù)器(3) 業(yè)務(wù)網(wǎng) SNA 服務(wù)器(4) Web服務(wù)器：運(yùn)行IIS Web服務(wù)(5) FTP服務(wù)器：運(yùn)行IIS FTP或Server-U等FTP服務(wù)(6) SQL Server 服務(wù)器：運(yùn)行 SQL Server 2000或 SQL Server 2005( 7) 應(yīng)用服務(wù)器：運(yùn)行其他網(wǎng)絡(luò)應(yīng)用 請(qǐng)注意：本規(guī)范中部分配置項(xiàng)僅適用于特定的服務(wù)器類別，請(qǐng)注意區(qū)分。如未 列明類別，則適用于所有服務(wù)器。2 安裝操作系統(tǒng)2.1 版本選擇根據(jù)開發(fā)人員 /軟件供應(yīng)商的要求， 結(jié)合服務(wù)器硬件類型， 選擇合適的操作系統(tǒng)

3、版本。如無特殊要求，建議使用 32 位 Windows Server 2003 中文標(biāo)準(zhǔn)版。 允許安裝使用的操作系統(tǒng)版本：(2011-1-18更新 )(1) Windows 2000，安裝 Service Pack 4(2) Windows Server 2003 ( x86，x64 和 IA64 版)，安裝 Service Pack 2(3) Windows Server 2003 R2 (x86, x64 和 IA64 版)，包含 Service Pack2(4) Windows Server 2008 R22.2 安裝1. 使用硬件廠商提供的向?qū)Ч獗P啟動(dòng)服務(wù)器，開始操作系統(tǒng)安裝；2. 操

4、作系統(tǒng)安裝目標(biāo)分區(qū)所在磁盤，必須配置為具有容錯(cuò)功能的硬件磁盤陣列(RAID1/RAID1+0/RAID5/ADG 等)，確認(rèn)磁盤陣列已經(jīng)按照要求配置；3. 系統(tǒng)分區(qū)必須使用 NTFS 文件系統(tǒng)，大小建議不低于 40G；4. 選擇正確的操作系統(tǒng)類型，根據(jù)實(shí)際情況輸入用戶名和組織名；5. 輸入操作系統(tǒng) CD Key；6. 由于使用服務(wù)器管理軟件(如 HP Insight Management Agent 等)而必需安裝 SNMP 組件時(shí)， 必須修改默認(rèn) SNMP 社區(qū)名， 要求最短 8 位，并同時(shí)包含字母、 數(shù)字和特殊字符， 在可能的情況下設(shè)置 SNMP 僅接受來自本地或特定 IP 地址的 訪問。

5、除此之外一般不啟用 SNMP；7. “許可模式”一般設(shè)置為“每客戶端”模式，或根據(jù)實(shí)際情況修改；8. 放入操作系統(tǒng)安裝光盤，開始操作系統(tǒng)安裝；9. 設(shè)置計(jì)算機(jī)名稱，應(yīng)簡(jiǎn)潔直觀，能反映服務(wù)器的主要用途，同一用途有多臺(tái)服 務(wù)器的，要添加數(shù)字或字母后綴作為區(qū)別；10. Administrator 帳戶初始密碼應(yīng)設(shè)置為最少 8 位，并同時(shí)包含大寫 /小寫字母、數(shù) 字和特殊字符其中的至少 3 類；11. 根據(jù)事先申請(qǐng)的 IP 地址等網(wǎng)絡(luò)參數(shù)配置網(wǎng)絡(luò)， 根據(jù)服務(wù)器用途設(shè)置所在工作組 名稱（如“ DBGROUP ”），在安裝所有安全補(bǔ)丁和防病毒軟件之前，僅能接入 測(cè)試網(wǎng)絡(luò)；12. 正確設(shè)置時(shí)間和時(shí)區(qū)；13.

6、 配置合適的顯示分辨率 /顏色質(zhì)量 /刷新率，刷新頻率不應(yīng)過高；14. 完成操作系統(tǒng)安裝。2.3 安裝后配置1. 將系統(tǒng)分區(qū)（C分區(qū)）卷標(biāo)設(shè)置為“ SYS”；調(diào)整驅(qū)動(dòng)器盤符，使光驅(qū)使用最靠 后的順序盤符；劃分剩余磁盤空間并格式化，所有分區(qū)必須使用 NTFS 文件系 統(tǒng)，卷標(biāo)應(yīng)表明該空間主要用途；2. 設(shè)置頁面文件放置于 C 分區(qū)，頁面文件大小建議設(shè)置為物理內(nèi)存的 2 倍，一般 不超過4096MB，最低不小于200MB ；3. 對(duì)于32位操系統(tǒng)，如果物理內(nèi)存為 4GB，建議在Boot.ini文件中添加“ /PAE”參數(shù)，以使操作系統(tǒng)中能夠正確識(shí)別物理內(nèi)存數(shù)量，如果需要添加“/3GB ”參數(shù)，須事

7、先同軟件開發(fā)人員/軟件供應(yīng)廠商確認(rèn)；如果物理內(nèi)存大于 4GB，需在 Boot.ini文件中增加啟動(dòng)參數(shù)“ /PAE”（不能和/3GB參數(shù)同時(shí)使用），重啟后確 認(rèn)能夠從資源管理器中正確識(shí)別物理內(nèi)存數(shù)量；4. 參照本規(guī)范第 4、5 節(jié)，安裝操作系統(tǒng)補(bǔ)丁和防病毒軟件，完成此操作以前不應(yīng) 連接業(yè)務(wù)網(wǎng)絡(luò)；5. 建議安裝相應(yīng) Windows Server版本的 Support Tools；6. 從“添加/刪除系統(tǒng)組件” 中刪除“輔助工具”、“游戲”、“多媒體”、“索引服務(wù)”、“Script Debugge”、“更新根證書”等所有非必需組件；7. 調(diào)整應(yīng)用程序、安全和系統(tǒng)日志，將“最大日志文件大小”設(shè)置為至

8、少 20MB， 安全日志原則上不應(yīng)設(shè)置覆蓋，應(yīng)定期檢查是否有足夠日志空間，在空間耗盡 前及時(shí)進(jìn)行日志備份和截?cái)?，服?wù)器日常檢查應(yīng)包括日志中異常信息的檢查；8. 安裝其它所需軟件，所安裝的應(yīng)用程序必須在配置文檔中記錄，根據(jù)需要將安 裝源文件保存在服務(wù)器上備查；9. 記錄硬件信息并制作標(biāo)簽，標(biāo)明服務(wù)器名稱、用途和維護(hù)管理人員聯(lián)系方式。 記錄服務(wù)器硬件序列號(hào)，整理售后服務(wù)聯(lián)系方式，按需要向廠商進(jìn)行服務(wù)器注 冊(cè)；10. 對(duì)于域控制器，在完成第 3 節(jié)安全設(shè)置前不能進(jìn)行 Active Directory 安裝操作；11. 對(duì)于不加入域的 Windows Server 2003 操作系統(tǒng)，應(yīng)在“時(shí)間 /日

9、期 屬性” -“ In ternet時(shí)間”中，關(guān)閉“自動(dòng)與In ternet時(shí)間服務(wù)器同步”。如果該服務(wù)器需要加入域，需運(yùn)以下行命令以配置同域服務(wù)器同步時(shí)鐘： Net Time /setsntp如果該服務(wù)器不加入域，但有可用時(shí)間服務(wù)器的，可根據(jù)需要配置時(shí)間同步。12. 啟用“密碼保護(hù)的屏幕保護(hù)” ；13.對(duì)于Windows Server 2008 R2,刪除計(jì)劃任務(wù)程序-計(jì)劃任務(wù)程序庫中內(nèi)建的計(jì) 戈U任務(wù)“ User_Feed_Synchronization ”。3 系統(tǒng)安全配置3.1 帳戶策略使用“本地安全策略”管理工具修改本地帳戶密碼策略,對(duì)于域控制器,使用“域安全策略”進(jìn)行域用戶帳戶密碼

10、策略配置。 （注意：定義在組織單元（ OU ）上 組策略對(duì)象中的密碼策略,僅作用于該 OU 下的計(jì)算機(jī)的本地帳戶。 ） 啟用密碼復(fù)雜性,密碼長(zhǎng)度最低 8位,強(qiáng)制密碼歷史最低為 2,最短期限 1 天, 禁用“為域中所有用戶使用可還原的加密來儲(chǔ)存密碼” 。密碼更改最長(zhǎng)期限：辦公網(wǎng)AD/文件和打印服務(wù)器，密碼更改最長(zhǎng)期限不超過 180天。 業(yè)務(wù)網(wǎng) AD 服務(wù)器,密碼更改最長(zhǎng)期限不超過 90天。 業(yè)務(wù) SNA 服務(wù)器，密碼更改最長(zhǎng)期限不超過 90天。 對(duì)于其它類別服務(wù)器，根據(jù)需要設(shè)置，建議不超過 90天。 根據(jù)需要啟用和配置帳戶鎖定策略。注意：SNA服務(wù)器一般不啟用帳戶鎖定策略，避免通信用戶鎖定導(dǎo)致的

11、問題。 必須修改默認(rèn)內(nèi)建管理員帳戶 Administrator 名稱。確保管理員組 Administrators 中僅包含授權(quán)帳戶，盡量減少管理員組成員數(shù)量， 但每服務(wù)器應(yīng)至少有兩個(gè)可用管理員帳戶。必須修改 Guest 帳戶名稱并禁用。禁用其它非必需帳戶。對(duì)于 Windows 2000，需禁用TSInternetUser帳戶。3.2 審核策略使用“本地安全策略”管理工具或通過組策略修改審核策略： 審核帳戶登錄事件：成功、失敗； 審核登錄事件：成功（失敗審計(jì)根據(jù)需要開啟） ； 審核帳戶管理：成功；審核策略更改：成功。 對(duì)于文件和打印服務(wù)器，可根據(jù)需要開啟： 審核對(duì)象訪問：成功、失敗 根據(jù)需要啟用

12、其它的審核策略。 審核策略啟用后，需定期檢查安全日志空間使用情況，建立安全日志轉(zhuǎn)儲(chǔ)備份機(jī)制3.3 用戶權(quán)利指派使用“本地安全策略”管理工具或通過組策略修改“用戶權(quán)利指派” ： 從網(wǎng)絡(luò)訪問此計(jì)算機(jī)：移除 Everyone 組；允許在本地登錄：僅保留Administrators、Backup Operators組和其他必需成 員；關(guān)閉系統(tǒng)：移除Users組和Power Users組。3.4 安全選項(xiàng)使用“本地安全策略”管理工具或通過組策略修改以下安全選項(xiàng)，未列出項(xiàng)保 持默認(rèn)或根據(jù)需要修改。（以下針對(duì) Windows 2000）： 允許在登錄前關(guān)機(jī)：禁用 不顯示上次登錄用戶名：?jiǎn)⒂?將對(duì) CD-RO

13、M 的訪問限制到僅為本地登錄用戶：?jiǎn)⒂?將對(duì)軟盤的訪問限制到僅為本地登錄用戶：?jiǎn)⒂?對(duì)匿名連接的額外限制：沒有顯式匿名權(quán)限就無法訪問 關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁面文件：?jiǎn)⒂茫ǜ鶕?jù)需要設(shè)置） LAN 管理器驗(yàn)證級(jí)別：僅發(fā)送 NTLM v2 響應(yīng) 拒絕 LM（以下針對(duì) Windows Server 2003）：關(guān)機(jī)：清除虛擬內(nèi)存頁面文件 啟用（根據(jù)需要設(shè)置） 交互式登錄：不顯示上次登錄用戶名 啟用 設(shè)備：只有本地登錄的用戶才能訪問 CD-ROM 啟用 設(shè)備：只有本地登錄的用戶才能訪問軟盤 啟用 網(wǎng)絡(luò)安全：LAN Manager身份驗(yàn)證級(jí)別：僅發(fā)送 NTLM v2響應(yīng)拒絕LM 網(wǎng)絡(luò)訪問：不允許 SAM 賬

14、戶和共享的匿名枚舉 啟用 賬戶：來賓賬戶狀態(tài) 已禁用（以下針對(duì) Windows Server 2008）：關(guān)機(jī)：清除虛擬內(nèi)存頁面文件 啟用（根據(jù)需要設(shè)置） 關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉 禁用 恢復(fù)控制臺(tái)：允許自動(dòng)管理登錄 禁用 交互式登錄：不顯示最后的用戶名 啟用 設(shè)備：將 CD-ROM 的訪問權(quán)限僅限于本地登錄的用戶 啟用 設(shè)備：將軟盤驅(qū)動(dòng)器的訪問權(quán)限僅限于本地登錄的用戶 啟用 網(wǎng)絡(luò)安全： LAN 管理器身份驗(yàn)證級(jí)別：僅發(fā)送 NTLM v2 響應(yīng) 拒絕 LM 網(wǎng)絡(luò)訪問：不允許 SAM 賬戶的匿名枚舉 啟用 網(wǎng)絡(luò)訪問：不允許 SAM 賬戶和共享的匿名枚舉 啟用 賬戶：來賓賬戶狀態(tài) 已禁用

15、（1）對(duì)于辦公網(wǎng) AD/ 文件服務(wù)器、業(yè)務(wù)網(wǎng) AD 服務(wù)器和業(yè)務(wù)網(wǎng) SNA 服務(wù)器， 如果有低版本客戶端（Windows NT/9x , DOS）訪問，需要降低安全級(jí)別至“發(fā)送 LM/NTLM - 如果已協(xié)商，使用 NTLM v2 會(huì)話安全”。（ 2）當(dāng)啟用“關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁面文件” 時(shí)，會(huì)顯著延長(zhǎng)操作系統(tǒng)關(guān)閉的 時(shí)間，建議根據(jù)需要確定是否開啟。3.5 系統(tǒng)服務(wù)停止以下系統(tǒng)服務(wù)并設(shè)置啟動(dòng)方式為“禁用” （如果存在）：AlterComputer BrowserError Reporting ServiceMessengerShell Hardware DetectionWindows Aud

16、ioWinHTTP Web Proxy Auto-Discovery Service 未列出的服務(wù)建議保持系統(tǒng)默認(rèn)狀態(tài)。 注意：某些特定應(yīng)用程序可能依賴于以上服務(wù)，如 CA ARCServe 需要啟動(dòng) Computer Brower 服務(wù)，請(qǐng)根據(jù)實(shí)際情況進(jìn)行調(diào)整。對(duì)于加入域的計(jì)算機(jī)，以下服務(wù)必須啟用：DHCP ClientDNS ClientNet LogonTCP/IP NetBIOS HelperWindows TimeWorkstationGroup Policy Client （ Windows Server 2008） 對(duì)于要求嚴(yán)格安全設(shè)置的應(yīng)用服務(wù)器， 可根據(jù)需要停用其它非必需的系

17、統(tǒng)服務(wù)。 在停用默認(rèn)為“啟動(dòng)”的系統(tǒng)服務(wù)前，需進(jìn)行全面測(cè)試。3.6 其它安全配置項(xiàng)使用Gpeidt.msc編輯本地組策略或修改組策略，設(shè)置“計(jì)算機(jī)配置”-“管理模 板” -“系統(tǒng)” -“關(guān)閉自動(dòng)播放”對(duì)所有驅(qū)動(dòng)器啟用?？筛鶕?jù)需要修改注冊(cè)表以關(guān)閉默認(rèn)管理共享（ 注意：辦公網(wǎng)AD/文件和打印服 務(wù)器，業(yè)務(wù)網(wǎng) AD 服務(wù)器，業(yè)務(wù)網(wǎng) SNA 服務(wù)器不能進(jìn)行此修改） ：HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters “AutoShareServer”=dword:0修改完成后重啟 Server 服務(wù)。3.7 網(wǎng)絡(luò)安全可根據(jù)需要?jiǎng)h除或取消

18、綁定網(wǎng)絡(luò)連接“屬性”中“Microsoft網(wǎng)絡(luò)的文件和打印 共享”組件（ 注意：除辦公網(wǎng) AD/ 文件和打印服務(wù)器，業(yè)務(wù)網(wǎng) AD 服務(wù)器，業(yè)務(wù)網(wǎng) SNA 服務(wù)器不能進(jìn)行移除） 。建議在所有網(wǎng)絡(luò)連接的 TCP/IP 協(xié)議“屬性”中，配置“禁用 TCP/IP 上的 NetBIOS”。（注意：此設(shè)置可能帶來一些問題，如致 Net Send命令無法使用，禁用 了 SMB over TCP/IP的客戶端無法訪問共享等，需留意。）對(duì)于 Windows Server 2003，一般應(yīng)關(guān)閉 Windows 防火墻。對(duì)于 Windows Server 2008，一般應(yīng)關(guān)閉 Windows 防火墻（注意： 需要在

19、高級(jí)安 全 Windows 防火墻屬性中關(guān)閉所有配置文件的防火墻后，才能停用WindowsFirewall 服務(wù)）。向網(wǎng)絡(luò)管理員提交需要連接此服務(wù)器的網(wǎng)絡(luò)地址范圍，通信使用的 TCP/IP 端 口等信息。3.8 上線前安全掃描在服務(wù)器上線運(yùn)行前，填寫系統(tǒng)掃描申請(qǐng)，由安全管理員進(jìn)行掃描，采取措施 消除所有中高級(jí)風(fēng)險(xiǎn)漏洞，并對(duì)低風(fēng)險(xiǎn)漏洞進(jìn)行逐一確認(rèn)。保存安全掃描結(jié)果存檔。4 系統(tǒng)更新4.1 補(bǔ)丁管理服務(wù)器上線前，連接辦公網(wǎng) WSUS 服務(wù)器，下載并安裝所有適用的補(bǔ)丁。 服務(wù)器上線后，配置通過業(yè)務(wù)網(wǎng) WSUS 服務(wù)器進(jìn)行自動(dòng)更新： 自動(dòng)下載并通知安裝正確設(shè)置Intranet更新和統(tǒng)計(jì)服務(wù)器地址在自動(dòng)

20、更新服務(wù)提示有新的補(bǔ)丁可用時(shí)，首先在相同操作系統(tǒng)的測(cè)試服務(wù)器上 進(jìn)行測(cè)試，確認(rèn)安裝正常后，提出補(bǔ)丁安裝申請(qǐng)，批準(zhǔn)后才能進(jìn)行安裝。4.2 補(bǔ)丁安裝經(jīng)過測(cè)試的補(bǔ)丁，只能在服務(wù)器非工作時(shí)間段安裝。 補(bǔ)丁安裝后，應(yīng)進(jìn)行全面的系統(tǒng)檢查，確認(rèn)運(yùn)行正常。5 防病毒軟件5.1 版本至本規(guī)范最后更新時(shí)，新安裝的服務(wù)器安裝防病毒軟件版本要求為（ 2010-1-18 更新）：Symantec Endpoint Security 11 應(yīng)根據(jù)服務(wù)器操作系統(tǒng)版本選擇對(duì)應(yīng)的防病毒軟件功能和語言版本。 防病毒軟件的安裝包的獲取、安裝、配置方法，以總行信息技術(shù)部安全管理室 發(fā)布的相關(guān)文檔為準(zhǔn)。SEP 11在服務(wù)器上安裝時(shí)候，

21、不應(yīng)安裝“主動(dòng)威脅防護(hù)”和“網(wǎng)絡(luò)威脅防護(hù)” 模塊。5.2 病毒定義碼更新在測(cè)試環(huán)境安裝防病毒軟件前， 確保服務(wù)器能夠通過 DNS 服務(wù)器或 HOSTS 文 件解析防病毒管理服務(wù)器名稱和對(duì)應(yīng) IP 地址。安裝時(shí)選擇接受管理， 正確指定防病 毒管理服務(wù)器名稱，確認(rèn)防病毒軟件安裝成功，病毒定義碼升級(jí)為最新版本。業(yè)務(wù)網(wǎng)服務(wù)器上線后，確認(rèn)能夠連接業(yè)務(wù)網(wǎng)病毒服務(wù)器。 如果設(shè)置定時(shí)掃描，需要安排在空閑時(shí)段進(jìn)行。 應(yīng)根據(jù)實(shí)際情況設(shè)置實(shí)時(shí)檢測(cè)和掃描的排除項(xiàng)，如排除數(shù)據(jù)庫和應(yīng)用程序事務(wù) 日志所在目錄。定期檢查病毒定義碼是否及時(shí)更新，并檢查病毒掃描日志。版本更新說明當(dāng)前版本： 2011-1-18 上一版本： 2009-1-81、定義將原業(yè)務(wù)網(wǎng) Active Directory 服務(wù)器 /業(yè)務(wù)網(wǎng) SNA 服務(wù)器從一類分成單獨(dú)兩類。2、版本選擇允許使用的操作系統(tǒng)版本，增加了 Windows Server 2008 R2。3、安裝對(duì)系統(tǒng)分區(qū)的大小劃分修改為“建議不低于 40G”。對(duì) SNMP 協(xié)議增加“可能的情況下應(yīng)設(shè)置 SNMP 僅接受來自本地或特定