WEB專用服務(wù)器的安全設(shè)置的實(shí)戰(zhàn)技巧_百度文庫(kù)

1、WEB 專用服務(wù)器的安全設(shè)置的實(shí)戰(zhàn)技巧IIS 的相關(guān)設(shè)置:刪除默認(rèn)建立的站點(diǎn)的虛擬目錄, 停止默認(rèn) web 站點(diǎn), 刪除對(duì)應(yīng)的文件目錄 c:inetpub, 配置所有站點(diǎn)的公共設(shè)置,設(shè)置好相關(guān)的連接數(shù)限制,帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。 配置應(yīng)用程序映射,刪除所有不必要的應(yīng)用程序擴(kuò)展,只保留 asp , php , cgi , pl , aspx 應(yīng)用程序擴(kuò)展。對(duì)于 php 和 cgi ,推薦使用 isapi 方式解析,用 exe 解析對(duì)安全和性能有所 影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給戶。對(duì)于數(shù)據(jù)庫(kù),盡量采用 mdb 后綴,不需 要更改為 asp ,可在 IIS 中設(shè)置一個(gè) mdb

2、的擴(kuò)展映射,將這個(gè)映射使用一個(gè)無(wú)關(guān)的 dll 文件 如 C: WINNTsystem32inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置 IIS 的日志保存目錄,調(diào) 整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改 403錯(cuò)誤頁(yè)面,將其轉(zhuǎn)向到其他頁(yè),可 防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息,防止 telnet 到 80端口所泄露的系統(tǒng)版本信 息可修改 IIS 的 banner 信息,可以使用 winhex 手工修改或者使用相關(guān)軟件如 banneredit 修改。對(duì)于用戶站點(diǎn)所在的目錄,在此說(shuō)明一下,用戶的 FTP 根目錄下對(duì)應(yīng)三個(gè)文件佳, wwwroot , database , lo

3、gfiles ,分別存放站點(diǎn)文件,數(shù)據(jù)庫(kù)備份和該站點(diǎn)的日志。如果一 旦發(fā)生入侵事件可對(duì)該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限, 圖片所在的目錄只給予列目錄的 權(quán)限,程序所在目錄如果不需要生成文件 (如生成 html 的程序 不給予寫入權(quán)限。因?yàn)槭翘?擬主機(jī)平常對(duì)腳本安全沒辦法做到細(xì)致入微的地步,更多的只能在方法用戶從腳本提升權(quán) 限:ASP 的安全設(shè)置:設(shè)置過(guò)權(quán)限和服務(wù)之后, 防范 asp 木馬還需要做以下工作, 在 cmd 窗口運(yùn)行以下命令: regsvr32/u C:/WINNT/System32/wshom.ocxdel C:/WINNT/System32/wshom.ocxregsvr32/u

4、 C:/WINNT/system32/shell32.dlldel C:/WINNT/system32/shell32.dll即可將 WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止 asp 木馬通過(guò) wscript 或 shell.application 執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。 另法:可取消以上文件的 users 用戶的權(quán)限,重新啟動(dòng) IIS 即可生效。但不推薦該方法。另外,對(duì)于 FSO 由于用戶程序需要使用,服務(wù)器上可以不注銷掉該組件,這里只提一 下 FSO 的防范,但并不需要在自動(dòng)開通空間的虛擬商服

5、務(wù)器上使用,只適合于手工開通的 站點(diǎn)?？梢葬槍?duì)需要 FSO 和不需要 FSO 的站點(diǎn)設(shè)置兩個(gè)組,對(duì)于需要 FSO 的用戶組給予 c: winntsystem32scrrun.dll文件的執(zhí)行權(quán)限, 不需要的不給權(quán)限。 重新啟動(dòng)服務(wù)器即可生效。 對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置,你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用 ! PHP 的安全設(shè)置:默認(rèn)安裝的 php 需要有以下幾個(gè)注意的問(wèn)題:C:/winnt/php.ini只給予 users 讀權(quán)限即可。在 php.ini 里需要做如下設(shè)置:Safe_mode=onregister_globals = Offallow_url_fopen = Offd

6、isplay_errors = Offmagic_quotes_gpc = On 默認(rèn)是 on ,但需檢查一遍 open_basedir =web目錄disable_functions=passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod默認(rèn)設(shè)置 com.allow_dcom = true修改為 false修改前要取消掉前面的 ;MySQL 安全設(shè)置:如果服務(wù)器上啟用 MySQL 數(shù)據(jù)庫(kù), MySQL 數(shù)據(jù)庫(kù)需要注意的安全設(shè)置為:刪除 mysql 中的所有默認(rèn)用戶,只保留本地 root 帳戶,為 root 用戶加上一個(gè)復(fù)

7、雜的密 碼。賦予普通用戶 updatedeletealertcreatedrop 權(quán)限的時(shí)候,并限定到特定的數(shù)據(jù)庫(kù),尤 其要避免普通客戶擁有對(duì) mysql 數(shù)據(jù)庫(kù)操作的權(quán)限。檢查 mysql.user 表,取消不必要用戶 的 shutdown_priv,reload_priv,process_priv和 File_priv權(quán)限,這些權(quán)限可能泄漏更多的服務(wù)器信息包括非 mysql 的其它信息出去?？梢詾?mysql 設(shè)置一個(gè)啟動(dòng)用戶,該用戶只對(duì) mysql 目錄有權(quán)限。設(shè)置安裝目錄的 data 數(shù)據(jù)庫(kù)的權(quán)限 (此目錄存放了 mysql 數(shù)據(jù)庫(kù)的數(shù)據(jù)信息 。對(duì)于 mysql 安裝目錄給 users

8、 加上讀取、列目錄和執(zhí)行權(quán)限。Serv-u 安全問(wèn)題:安裝程序盡量采用最新版本,避免采用默認(rèn)安裝目錄,設(shè)置好 serv-u 目錄所在的權(quán)限, 設(shè)置一個(gè)復(fù)雜的管理員密碼。修改 serv-u 的 banner 信息,設(shè)置被動(dòng)模式端口范圍(4001 4003 在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置:包括檢查匿名密碼,禁用反超時(shí) 調(diào)度,攔截 “FTP bounce” 攻擊和 FXP ,對(duì)于在 30秒內(nèi)連接超過(guò) 3次的用戶攔截 10分鐘。 域中的設(shè)置為:要求復(fù)雜密碼,目錄只使用小寫字母,高級(jí)中設(shè)置取消允許使用 MDTM 命 令更改文件的日期。更改 serv-u 的啟動(dòng)用戶:在系統(tǒng)中新建一個(gè)用戶,設(shè)置一個(gè)復(fù)

9、雜點(diǎn)的密碼,不屬于任 何組。將 servu 的安裝目錄給予該用戶完全控制權(quán)限。建立一個(gè) FTP 根目錄,需要給予這 個(gè)用戶該目錄完全控制權(quán)限,因?yàn)樗械?ftp 用戶上傳,刪除,更改文件都是繼承了該用戶 的權(quán)限, 否則無(wú)法操作文件。 另外需要給該目錄以上的上級(jí)目錄給該用戶的讀取權(quán)限, 否則 會(huì)在連接的時(shí)候出現(xiàn) 530 Not logged in, home directory does not exist。比如在測(cè)試的時(shí)候 ftp 根目錄為 d:soft,必須給 d 盤該用戶的讀取權(quán)限,為了安全取消 d 盤其他文件夾的繼承 權(quán)限。而一般的使用默認(rèn)的 system 啟動(dòng)就沒有這些問(wèn)題,因?yàn)?sy

10、stem 一般都擁有這些權(quán) 限的。數(shù)據(jù)庫(kù)服務(wù)器的安全設(shè)置對(duì)于專用的 MSSQL 數(shù)據(jù)庫(kù)服務(wù)器,按照上文所講的設(shè)置 TCP/IP篩選和 IP 策略,對(duì) 外只開放 1433和 5631端口。 對(duì)于 MSSQL 首先需要為 sa 設(shè)置一個(gè)強(qiáng)壯的密碼, 使用混合 身份驗(yàn)證 , 加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄 , 審核數(shù)據(jù)庫(kù)登陸事件的 ” 成功和失敗 ”. 刪除一些不需要的和 危險(xiǎn)的 OLE 自動(dòng)存儲(chǔ)過(guò)程 (會(huì)造成企業(yè)管理器中部分功能不能使用 , 這些過(guò)程包括如下 : Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp

11、_OASetProperty Sp_OAStop去掉不需要的注冊(cè)表訪問(wèn)過(guò)程 , 包括有 :Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalueXp_regenumvalues Xp_regread Xp_regremovemultistringXp_regwrite去掉其他系統(tǒng)存儲(chǔ)過(guò)程,如果認(rèn)為還有威脅,當(dāng)然要小心 Drop 這些過(guò)程,可以在測(cè)試 機(jī)器上測(cè)試,保證正常的系統(tǒng)能完成工作,這些過(guò)程包括:xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolememberxp_makewebtask

12、 xp_runwebtask xp_subdirs sp_addloginsp_addextendedproc在實(shí)例屬性中選擇 TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì) 1434端 口的探測(cè) , 可修改默認(rèn)使用的 1433端口。 除去數(shù)據(jù)庫(kù)的 guest 賬戶把未經(jīng)認(rèn)可的使用者據(jù)之 在外。 例外情況是 master 和 tempdb 數(shù)據(jù)庫(kù) , 因?yàn)閷?duì)他們 guest 帳戶是必需的。另外注意 設(shè)置好各個(gè)數(shù)據(jù)庫(kù)用戶的權(quán)限, 對(duì)于這些用戶只給予所在數(shù)據(jù)庫(kù)的一些權(quán)限。 在程序中不要 用 sa 用戶去連接任何數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的,千萬(wàn)不要這么做,否則 你只

13、能重裝 MSSQL 了。入侵檢測(cè)和數(shù)據(jù)備份入侵檢測(cè)工作作為服務(wù)器的日常管理, 入侵檢測(cè)是一項(xiàng)非常重要的工作, 在平常的檢測(cè)過(guò)程中, 主要 包含日常的服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查, 也就是分為在入侵進(jìn)行時(shí)的安全 檢查和在入侵前后的安全檢查。 系統(tǒng)的安全性遵循木桶原理, 木桶原理指的是:一個(gè)木桶由 許多塊木板組成, 如果組成木桶的這些木板長(zhǎng)短不一, 那么這個(gè)木桶的最大容量不取決于長(zhǎng) 的木板, 而取決于最短的那塊木板。 應(yīng)用到安全方面也就是說(shuō)系統(tǒng)的安全性取決于系統(tǒng)中最 脆弱的地方,這些地方是日常的安全檢測(cè)的重點(diǎn)所在。日常的安全檢測(cè)日常安全檢測(cè)主要針對(duì)系統(tǒng)的安全性,工作主要按照以下步驟進(jìn)行

14、:1. 查看服務(wù)器狀態(tài):打開進(jìn)程管理器,查看服務(wù)器性能,觀察 CPU 和內(nèi)存使用狀況。查看是否有 CPU 和 內(nèi)存占用過(guò)高等異常情況。2. 檢查當(dāng)前進(jìn)程情況切換 “ 任務(wù)管理器 ” 到進(jìn)程,查找有無(wú)可疑的應(yīng)用程序或后臺(tái)進(jìn)程在運(yùn)行。用進(jìn)程管理器 查看進(jìn)程時(shí)里面會(huì)有一項(xiàng) taskmgr , 這個(gè)是進(jìn)程管理器自身的進(jìn)程。 如果正在運(yùn)行 windows更新會(huì)有一項(xiàng) wuauclt.exe 進(jìn)程。 對(duì)于拿不準(zhǔn)的進(jìn)程或者說(shuō)不知道是服務(wù)器上哪個(gè)應(yīng)用程序 開啟的進(jìn)程,可以在網(wǎng)絡(luò)上搜索一下該進(jìn)程名加以確定 進(jìn)程知識(shí)庫(kù):3. 檢查系統(tǒng)帳號(hào)打開計(jì)算機(jī)管理,展開本地用戶和組選項(xiàng),查看組選項(xiàng),查看 administra

15、tors 組是否添 加有新帳號(hào),檢查是否有克隆帳號(hào)。4. 查看當(dāng)前端口開放情況使用 activeport ,查看當(dāng)前的端口連接情況,尤其是注意與外部連接著的端口情況,看 是否有未經(jīng)允許的端口與外界在通信。 如有, 立即關(guān)閉該端口并記錄下該端口對(duì)應(yīng)的程序并 記錄,將該程序轉(zhuǎn)移到其他目錄下存放以便后來(lái)分析。打開計(jì)算機(jī)管理 =軟件環(huán)境 = 正在運(yùn)行任務(wù) 在此處可以查看進(jìn)程管理器中看不到的隱藏進(jìn)程 ,查看當(dāng)前運(yùn)行的程序,如 果有不明程序, 記錄下該程序的位置, 打開任務(wù)管理器結(jié)束該進(jìn)程, 對(duì)于采用了守護(hù)進(jìn)程的 后門等程序可嘗試結(jié)束進(jìn)程樹, 如仍然無(wú)法結(jié)束, 在注冊(cè)表中搜索該程序名, 刪除掉相關(guān)鍵 值,

16、切換到安全模式下刪除掉相關(guān)的程序文件。5. 檢查系統(tǒng)服務(wù)運(yùn)行 services.msc , 檢查處于已啟動(dòng)狀態(tài)的服務(wù), 查看是否有新加的未知服務(wù)并確定服 務(wù)的用途。對(duì)于不清楚的服務(wù)打開該服務(wù)的屬性,查看該服務(wù)所對(duì)應(yīng)的可執(zhí)行文件是什么, 如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件, 可粗略放過(guò)。 查看是否有其他正常開放服務(wù)依 存在該服務(wù)上, 如果有, 可以粗略的放過(guò)。 如果無(wú)法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件 并且沒有其他正常開放服務(wù)依存在該服務(wù)上, 可暫時(shí)停止掉該服務(wù), 然后測(cè)試下各種應(yīng)用是 否正常。對(duì)于一些后門由于采用了 hook 系統(tǒng) API 技術(shù), 添加的服務(wù)項(xiàng)目在服務(wù)管理器中是 無(wú)法看到

17、的,這時(shí)需要打開注冊(cè)表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項(xiàng)進(jìn)行查找, 通過(guò)查看各服 務(wù)的名稱、對(duì)應(yīng)的執(zhí)行文件來(lái)確定是否是后門、木馬程序等。6. 查看相關(guān)日志運(yùn)行 eventvwr.msc ,粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時(shí)在對(duì)應(yīng)的日志記錄上 點(diǎn)右鍵選 “ 屬性 ” ,在 “ 篩選器 ” 中設(shè)置一個(gè)日志篩選器,只選擇錯(cuò)誤、警告,查看日志的來(lái)源和具體描述信息。 對(duì)于出現(xiàn)的錯(cuò)誤如能在服務(wù)器常見故障排除中找到解決辦法則依照該辦法 處理該問(wèn)題,如果無(wú)解決辦法則記錄下該問(wèn)題,詳細(xì)記錄下事件來(lái)源、 ID 號(hào)和具體描述信 息,以便找到問(wèn)

18、題解決的辦法。7. 檢查系統(tǒng)文件主要檢查系統(tǒng)盤的 exe 和 dll 文件, 建議系統(tǒng)安裝完畢之后用 dir *.exe /s >1.txt將 C 盤 所有的 exe 文件列表保存下來(lái),然后每次檢查的時(shí)候再用該命令生成一份當(dāng)時(shí)的列表,用 fc 比較兩個(gè)文件,同樣如此針對(duì) dll 文件做相關(guān)檢查。需要注意的是打補(bǔ)丁或者安裝軟件后 重新生成一次原始列表。 檢查相關(guān)系統(tǒng)文件是否被替換或系統(tǒng)中是否被安裝了木馬后門等惡 意程序。必要時(shí)可運(yùn)行一次程序?qū)ο到y(tǒng)盤進(jìn)行一次掃描處理。8. 檢查安全策略是否更改打開本地連接的屬性,查看 “ 常規(guī) ” 中是否只勾選了 “TCP/IP協(xié)議 ” ,打開 “TCP/I

19、P” 協(xié)議設(shè) 置,點(diǎn) “ 高級(jí) ”= “ 選項(xiàng) ” ,查看 “IP 安全機(jī)制 ” 是否是設(shè)定的 IP 策略,查看 “TCP/IP” 篩選允 許的端口有沒有被更改。打開 “ 管理工具 ” = “ 本地安全策略 ” ,查看目前使用的 IP 安全策略 是否發(fā)生更改。9. 檢查目錄權(quán)限重點(diǎn)查看系統(tǒng)目錄和重要的應(yīng)用程序權(quán)限是否被更改。需要查看的目錄有 c:;c:winnt; C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents andSettings; 然后再檢查 serv-u 安裝目錄,查看這些目錄的

20、權(quán)限是否做過(guò)變動(dòng)。檢查 system32下的一些重要文件是否更改過(guò)權(quán)限,包括:cmd , net , ftp , tftp , cacls 等文件。 10. 檢查啟動(dòng)項(xiàng)主要檢查當(dāng)前的開機(jī)自啟動(dòng)程序?？梢允褂?AReporter 來(lái)檢查開機(jī)自啟動(dòng)的程序。 發(fā)現(xiàn)入侵時(shí)的應(yīng)對(duì)措施對(duì)于即時(shí)發(fā)現(xiàn)的入侵事件, 以下情況針對(duì)系統(tǒng)已遭受到破壞情況下的處理, 系統(tǒng)未遭受 到破壞或暫時(shí)無(wú)法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。 系統(tǒng) 遭受到破壞后應(yīng)立即采取以下措施:視情況嚴(yán)重決定處理的方式, 是通過(guò)遠(yuǎn)程處理還是通過(guò)實(shí)地處理。 如情況嚴(yán)重建議采用 實(shí)地處理。 如采用實(shí)地處理, 在發(fā)現(xiàn)入侵的第一

21、時(shí)間通知機(jī)房關(guān)閉服務(wù)器, 待處理人員趕到 機(jī)房時(shí)斷開網(wǎng)線, 再進(jìn)入系統(tǒng)進(jìn)行檢查。 如采用遠(yuǎn)程處理, 如情況嚴(yán)重第一時(shí)間停止所有應(yīng) 用服務(wù),更改 IP 策略為只允許遠(yuǎn)程管理端口進(jìn)行連接然后重新啟動(dòng)服務(wù)器,重新啟動(dòng)之后 再遠(yuǎn)程連接上去進(jìn)行處理,重啟前先用 AReporter 檢查開機(jī)自啟動(dòng)的程序。然后再進(jìn)行安 全檢查。以下處理措施針對(duì)用戶站點(diǎn)被入侵但未危及系統(tǒng)的情況, 如果用戶要求加強(qiáng)自己站點(diǎn)的 安全性,可按如下方式加固用戶站點(diǎn)的安全:站點(diǎn)根目錄 -只給 administrator 讀取權(quán)限,權(quán)限繼承下去。wwwroot -給 web 用戶讀取、寫入權(quán)限。高級(jí)里面有刪除子文件夾和文件權(quán)限 logf

22、iles-給 system 寫入權(quán)限。database-給 web 用戶讀取、寫入權(quán)限。高級(jí)里面沒有刪除子文件夾和文件權(quán)限 如需要進(jìn)一步修改,可針對(duì)用戶站點(diǎn)的特性對(duì)于普通文件存放目錄如 html 、 js 、圖片文 件夾只給讀取權(quán)限,對(duì) asp 等腳本文件給予上表中的權(quán)限。另外查看該用戶站點(diǎn)對(duì)應(yīng)的安 全日志,找出漏洞原因,協(xié)助用戶修補(bǔ)程序漏洞。數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)數(shù)據(jù)備份工作大致如下:1. 每月備份一次系統(tǒng)數(shù)據(jù)。2. 備份系統(tǒng)后的兩周單獨(dú)備份一次應(yīng)用程序數(shù)據(jù),主要包括 IIS 、 serv-u 、數(shù)據(jù)庫(kù)等數(shù) 據(jù)。3. 確保備份數(shù)據(jù)的安全, 并分類放置這些數(shù)據(jù)備份。 因基本上采用的都是全備份方法,

23、 對(duì)于數(shù)據(jù)的保留周期可以只保留該次備份和上次備份數(shù)據(jù)兩份即可。數(shù)據(jù)恢復(fù)工作:1. 系統(tǒng)崩潰或遇到其他不可恢復(fù)系統(tǒng)正常狀態(tài)情況時(shí), 先對(duì)上次系統(tǒng)備份后發(fā)生的一些 更改事件如應(yīng)用程序、安全策略等的設(shè)置做好備份,恢復(fù)完系統(tǒng)后再恢復(fù)這些更改。2. 應(yīng)用程序等出錯(cuò)采用最近一次的備份數(shù)據(jù)恢復(fù)相關(guān)內(nèi)容。服務(wù)器性能優(yōu)化1 服務(wù)器性能優(yōu)化系統(tǒng)性能優(yōu)化整理系統(tǒng)空間 :刪除系統(tǒng)備份文件, 刪除驅(qū)動(dòng)備份, 刪除不用的輸入法, 刪除系統(tǒng)的幫助文件,卸載不 常用的組件。最小化 C 盤文件。性能優(yōu)化:刪除多余的開機(jī)自動(dòng)運(yùn)行程序 ; 減少預(yù)讀取,減少進(jìn)度條等待時(shí)間 ; 讓系統(tǒng)自動(dòng)關(guān)閉停止 響應(yīng)的程序 ; 禁用錯(cuò)誤報(bào)告 , 但

24、在發(fā)生嚴(yán)重錯(cuò)誤時(shí)通知 ; 關(guān)閉自動(dòng)更新 , 改為手動(dòng)更新計(jì)算機(jī) ; 啟 用硬件和 DirectX 加速 ; 禁用關(guān)機(jī)事件跟蹤 ; 禁用配置服務(wù)器向?qū)?; 減少開機(jī)磁盤掃描等待時(shí)間 ; 將處理器計(jì)劃和內(nèi)存使用都調(diào)到應(yīng)用程序上 ; 調(diào)整虛擬內(nèi)存 ; 內(nèi)存優(yōu)化 ; 修改 cpu 的二級(jí)緩存 ; 修改磁盤緩存。IIS 性能優(yōu)化1、調(diào)整 IIS 高速緩存HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/InetInfoParametersMemoryCacheSizeMemoryCacheSize 的范圍是從 0道 4GB , 缺省值為 30720

25、00(3MB。 一般來(lái)說(shuō)此值最 小應(yīng)設(shè)為服務(wù)器內(nèi)存的 10%。 IIS 通過(guò)高速緩存系統(tǒng)句柄、目錄列表以及其他常用數(shù)據(jù)的 值來(lái)提高系統(tǒng)的性能。這個(gè)參數(shù)指明了分配給高速緩存的內(nèi)存大小。如果該值為 0,那就意 味著 “ 不進(jìn)行任何高速緩存 ” 。在這種情況下系統(tǒng)的性能可能會(huì)降低。如果你的服務(wù)器網(wǎng)絡(luò)通 訊繁忙,并且有足夠的內(nèi)存空間,可以考慮增大該值。必須注意的是修改注冊(cè)表后,需要重 新啟動(dòng)才能使新值生效。2. 不要關(guān)閉系統(tǒng)服務(wù) : “Protected Storage”3. 對(duì)訪問(wèn)流量進(jìn)行限制A. 對(duì)站點(diǎn)訪問(wèn)人數(shù)進(jìn)行限制B. 站點(diǎn)帶寬限制。保持 HTTP 連接。C. 進(jìn)程限制 , 輸入 CPU 的耗

26、用百分比4. 提高 IIS 的處理效率應(yīng)用程序設(shè)置 ” 處的 “ 應(yīng)用程序保護(hù) ” 下拉按鈕, 從彈出的下拉列表中, 選中 “ 低 (IIS進(jìn)程 ” 選項(xiàng) ,IIS 服務(wù)器處理程序的效率可以提高 20%左右。 但此設(shè)置會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題, 不值 得推薦。5. 將 IIS 服務(wù)器設(shè)置為獨(dú)立的服務(wù)器A. 提高硬件配置來(lái)優(yōu)化 IIS 性能硬盤:硬盤空間被 NT 和 IIS 服務(wù)以如下兩種方式使用:一種是簡(jiǎn)單地存儲(chǔ)數(shù)據(jù) ; 另一種是作為虛擬內(nèi)存使用。如果使用 Ultra2的 SCSI 硬盤,可以 顯著提高 IIS 的性能。B. 可以把 NT 服務(wù)器的頁(yè)交換文件分布到多個(gè)物理磁盤上,注意是多個(gè) “ 物

27、理磁盤 ” ,分 布在多個(gè)分區(qū)上是無(wú)效的。另外,不要將頁(yè)交換文件放在與 WIndows NT引導(dǎo)區(qū)相同的分 區(qū)中。C. 使用磁盤鏡像或磁盤帶區(qū)集可以提高磁盤的讀取性能。D. 最好把所有的數(shù)據(jù)都儲(chǔ)存在一個(gè)單獨(dú)的分區(qū)里。 然后定期運(yùn)行磁盤碎片整理程序以保 證在存儲(chǔ)數(shù)據(jù)的分區(qū)中沒有碎片。使用 NTFS 有助于減少碎片。推薦使用 Norton 的 Speeddisk ,可以很快的整理 NTFS 分區(qū)。6. 起用 HTTP 壓縮HTTP 壓縮是在和瀏覽器間傳輸壓縮文本內(nèi)容的方法。 HTTP 壓縮采用通用的壓縮算法 如 gzip 等壓縮 HTML 、 javascript 或 CSS 文件。可使用 pip

28、eboost 進(jìn)行設(shè)置。7. 起用資源回收使用 IIS5Recycle 定時(shí)回收進(jìn)程資源。服務(wù)器常見故障排除1. ASP“ 請(qǐng)求的資源正在使用中 ” 的解決辦法:該問(wèn)題一般與軟件有關(guān), 在服務(wù)器上安裝個(gè)人版軟件所致。 出現(xiàn)這種錯(cuò)誤可以通過(guò)卸載 軟件解決,也可嘗試重新注冊(cè) vbscript.dll 和 jscript.dll 來(lái)解決,在命令行下運(yùn)行:regsvr32 vbscript.dll 和 regsvr32 jscript.dll即可。2.ASP500錯(cuò)誤解決辦法:首先確定該問(wèn)題是否是單一站點(diǎn)存在還是所有站點(diǎn)存在,如果是單一站點(diǎn)存在該問(wèn)題, 則是網(wǎng)站程序的問(wèn)題, 可打開該站點(diǎn)的錯(cuò)誤提示,

29、把 IE 的 “ 顯示友好 HTTP 錯(cuò)誤 ” 信息取消,查看具體錯(cuò)誤信息,然后對(duì)應(yīng)修改相關(guān)程序。如是所有站點(diǎn)存在該問(wèn)題,并且 HTML 頁(yè)面 沒有出現(xiàn)該問(wèn)題,相關(guān)日志出現(xiàn) “ 服務(wù)器無(wú)法加載應(yīng)用程序 /LM/W3SVC/1/ROOT 。 錯(cuò)誤是 不支持此接口 ” 。 那十有八九是服務(wù)器系統(tǒng)中的 ASP 相關(guān)組件出現(xiàn)了問(wèn)題, 重新啟動(dòng) IIS 服 務(wù), 嘗試是否可以解決該問(wèn)題, 無(wú)法解決重新啟動(dòng)系統(tǒng)嘗試是否可解決該問(wèn)題, 如無(wú)法解決 可重新修復(fù)一下 ASP 組件:首先刪除 com 組件中的關(guān)于 IIS 的三個(gè)東西, 需要先將屬性里的高級(jí)中 “ 禁止刪除 ” 的勾 選取消。命令行中, 輸入 “c

30、d winnt/system32/inetsrv” 字符串命令, 單擊回車鍵后, 再執(zhí)行 “rundll32 wamreg.dll,CreateIISPackage” 命令,接著再依次執(zhí)行 “regsvr32 asptxn.dll” 命令、 “iisreset” 命令,最后重新啟動(dòng)一下計(jì)算機(jī),這樣 IIS 服務(wù)器就能重新正確響應(yīng) ASP 腳本頁(yè)面了。 3. IIS出現(xiàn) 105錯(cuò)誤:在系統(tǒng)日志中 “ 服務(wù)器無(wú)法注冊(cè)管理工具發(fā)現(xiàn)信息。管理工具可能無(wú)法看到此服務(wù)器 ” 來(lái)源:w3svc ID:105解決辦法:在網(wǎng)絡(luò)連接中重新安裝 netbios 協(xié)議即可,安裝完成之后取消掉勾選。4.MySQL 服務(wù)

31、無(wú)法啟動(dòng)【錯(cuò)誤代碼 1067】的解決方法啟動(dòng) MySQL 服務(wù)時(shí)都會(huì)在中途報(bào)錯(cuò) ! 內(nèi)容為:在 本地計(jì)算機(jī) 無(wú)法啟動(dòng) MySQL 服務(wù) 錯(cuò) 誤 1067:進(jìn)程意外中止。解決方法:查找 Windows 目錄下的 my.ini 文件, 編輯內(nèi)容 (如果沒有該文件, 則新建一 個(gè) ,至少包含basedir , datadir 這兩個(gè)基本的配置。mysqld# set basedir to installation path, e.g., c:/mysql# 設(shè)置為 MYSQL 的安裝目錄basedir=D:/www/WebServer/MySQL# set datadir to location o

32、f data directory,# e.g., c:/mysql/data or d:/mydata/data# 設(shè)置為 MYSQL 的數(shù)據(jù)目錄 datadir=D:/www/WebServer/MySQL/data 注意，我在更改系統(tǒng)的 temp 目錄之后沒有對(duì)更改后的目錄給予 system 用戶的權(quán)限也 出現(xiàn)過(guò)該問(wèn)題。 5.DllHotst 進(jìn)程消耗 cpu 100%的問(wèn)題 服務(wù)器正常 CPU 消耗應(yīng)該在 75%以下，而且 CPU 消耗應(yīng)該是上下起伏的，出現(xiàn)這種 問(wèn)題的服務(wù)器，CPU 會(huì)突然一直處 100%的水平，而且不會(huì)下降。 查看任務(wù)管理器， 可以發(fā)現(xiàn)是 DLLHOST.EXE 消耗

33、了所有的 CPU 空閑時(shí)間， 管理員在 這種情況下，只好重新啟動(dòng) IIS 服務(wù)，奇怪的是，重新啟動(dòng) IIS 服務(wù)后一切正常，但可能過(guò) 了一段時(shí)間后，問(wèn)題又再次出現(xiàn)了。 直接原因： 有一個(gè)或多個(gè) ACCESS 數(shù)據(jù)庫(kù)在多次讀寫過(guò)程中損壞， MDAC 系統(tǒng)在寫入這個(gè)損壞 的 ACCESS 文件時(shí)，ASP 線程處于 BLOCK 狀態(tài)，結(jié)果其他線程只能等待，IIS 被死鎖了， 全部的 CPU 時(shí)間都消耗在 DLLHOST 中。 解決辦法： 把數(shù)據(jù)庫(kù)下載到本地，然后用 ACCESS 打開，進(jìn)行修復(fù)操作。再上傳到網(wǎng)站。如果還 不行，只有新建一個(gè) ACCESS 數(shù)據(jù)庫(kù)，再?gòu)脑瓉?lái)的數(shù)據(jù)庫(kù)中導(dǎo)入所有表和記錄。然

34、后把新 數(shù)據(jù)庫(kù)上傳到服務(wù)器上。 6.Windows installer 出錯(cuò)： 在安裝軟件的時(shí)候出現(xiàn)“不能訪問(wèn) windows installer 服務(wù)?？赡苣阍诎踩Ｊ较逻\(yùn)行 windows ， 或者 windows installer 沒有正確的安裝。 請(qǐng)和你的支持人員聯(lián)系以獲得幫助” 如 果試圖重新安裝 InstMsiW.exe，提示：“指定的服務(wù)已存在”。 解決辦法： 關(guān)于 installer 的錯(cuò)誤，可能還有其他錯(cuò)誤提示，可嘗試以下解決辦法： 首先確認(rèn)是否是權(quán)限方面的問(wèn)題，提示信息會(huì)提供相關(guān)信息，如果是權(quán)限問(wèn)題，給予 winnt 目錄 everyone 權(quán)限即可安裝完把權(quán)限改回來(lái)即可。如果提示的是上述信息，可以嘗 試以下解決方法：運(yùn)行“msiexec /unregserver”卸載 Windows Installer 服務(wù)，如果無(wú)法卸