Windows服務(wù)器管理和維護(hù)

1、服務(wù)器管理和維護(hù)2011年11月服務(wù)器管理和維護(hù)一、服務(wù)器維護(hù)操作規(guī)范一、服務(wù)器維護(hù)操作規(guī)范二、服務(wù)器上線前的準(zhǔn)備工作二、服務(wù)器上線前的準(zhǔn)備工作三、磁盤管理三、磁盤管理四、性能監(jiān)視四、性能監(jiān)視五、五、IISIIS的管理及維護(hù)的管理及維護(hù)六、備份和還原六、備份和還原一、服務(wù)器維護(hù)操作規(guī)范一、服務(wù)器維護(hù)操作規(guī)范服務(wù)器維護(hù)要求 維護(hù)應(yīng)滿足的條件 重裝服務(wù)器的要求 服務(wù)器上禁止的操作 安全檢查要求維護(hù)應(yīng)滿足的條件禁止空口令、弱口令、未打補(bǔ)丁的服務(wù)器接入網(wǎng)絡(luò) 服務(wù)器口令只能由有權(quán)限訪問的人員掌握禁止在網(wǎng)吧等公共環(huán)境登錄服務(wù)器重裝服務(wù)器的要求 重裝服務(wù)器的情況 關(guān)機(jī)超過6周 關(guān)機(jī)期間發(fā)布了重大漏洞的補(bǔ)丁

2、服務(wù)器感染木馬、病毒、蠕蟲 服務(wù)器被入侵服務(wù)器上禁止的操作 不允許安裝程序開發(fā)環(huán)境或開發(fā)調(diào)試程序 不允許使用IE瀏覽外部網(wǎng)站 不允許收發(fā)EMAIL 不允許在服務(wù)器上玩游戲安全檢查要求 新裝服務(wù)器必須符合安全規(guī)范的要求 必須經(jīng)過安全部的安全檢查 業(yè)務(wù)應(yīng)用程序應(yīng)在通過檢查后安裝口令使用規(guī)范 保證口令的強(qiáng)度 口令長度不小于12位 口令應(yīng)包含大小寫字母、數(shù)字、特殊字符 不能使用容易記憶的密碼 不能使用姓名、電話、生日等作為密碼 一般口令應(yīng)三個月更改一次 服務(wù)器發(fā)生入侵事件后，采用相同口令的服務(wù)器組應(yīng)立即更改口令 員工離職或服務(wù)器歸屬發(fā)生變化，應(yīng)及時更改密碼系統(tǒng)的授權(quán) 長期授權(quán)：長期對服務(wù)器有操作權(quán)限

3、短期授權(quán)：臨時分配的權(quán)限 授權(quán)方式：提供帳號和口令 不允許對非本公司人員進(jìn)行長期授權(quán) 短期授權(quán)不超過三周 服務(wù)器負(fù)責(zé)人應(yīng)有短期授權(quán)的記錄網(wǎng)絡(luò)訪問控制 使用iptables 、IPSEC等手段 遵循最小特權(quán)原則 采用“不被允許的就是被禁止的”網(wǎng)絡(luò)訪問控制策略 服務(wù)器維護(hù)十大鐵律口令必須大于12位，符合規(guī)定的復(fù)雜度要求不同服務(wù)器不能重復(fù)使用同一口令口令至少三個月更改一次必須啟用IPSEC/iptables，不得停用符合條件的必須安裝winchk和Octopod等系統(tǒng)補(bǔ)丁發(fā)布后，必須在規(guī)定時間重啟服務(wù)器不能在服務(wù)器上收發(fā)郵件、使用IE瀏覽無關(guān)的網(wǎng)站新的應(yīng)用安裝前要通知安全部進(jìn)行漏洞跟蹤新開設(shè)對外服務(wù)

4、和后臺管理不得使用同一端口系統(tǒng)上線前，必須確保備份策略有效并正常執(zhí)行二、服務(wù)器上線前的準(zhǔn)備工作二、服務(wù)器上線前的準(zhǔn)備工作服務(wù)器上線前的準(zhǔn)備工作根據(jù)項(xiàng)目需求對服務(wù)器硬盤進(jìn)行分區(qū)分區(qū)方式各分區(qū)大小將附件(web2003sec.exe)上傳至服務(wù)器D盤根目錄下執(zhí)行web2003sec.exe，路徑設(shè)置為D盤根目錄執(zhí)行解壓目錄中的sec.bat，待半自動操作完畢后，再執(zhí)行全手動操作，最后刪除d:web2003sec目錄將服務(wù)器提交給網(wǎng)絡(luò)安全部進(jìn)行安全檢查SEC.bat操作流程說明修改d:web2003sec2003ipcIpSecurity.iniTCP23=NONE5631=

5、00;8;8;0/UDP5632=00;8;8;0/69=NONEImportant：應(yīng)用：應(yīng)用Ipsecurity前必須仔細(xì)檢查配置是否正確前必須仔細(xì)檢查配置是否正確Ipsecurity案例某個陽光明媚的午后，項(xiàng)目組聯(lián)系johnny ，要求增加WEB服務(wù)器訪問數(shù)據(jù)庫服務(wù)器0的1433端口的權(quán)限。Johnny打開數(shù)據(jù)庫服務(wù)器上的ipsecurity.

6、ini文件，看到1433端口已經(jīng)配置了允許部分服務(wù)器的訪問權(quán)限，修改ipsecurity對johnny來說已經(jīng)駕輕就熟，他立即對文件做了修改，修改后的部分內(nèi)容如下： TCP 1433=,3,1應(yīng)用該策略后，本來正常的2個網(wǎng)站都無法打開問題出在哪兒呢？SEC.bat操作流程說明應(yīng)用Ipsec策略開啟添加/刪除WINDOWS組件控制面板提示是否下載Serv-U 安裝包自動用記事本打開Serv-U 許可證文本文件提示是否安裝winchk安全工具包自動彈出SQL Server客戶端網(wǎng)絡(luò)實(shí)用配置選項(xiàng)自動創(chuàng)建IIS日志記錄文件

7、夾自動創(chuàng)建WEB默認(rèn)站點(diǎn)文件夾自動創(chuàng)建Serv-U日志記錄文件夾自動創(chuàng)建和拷貝IPSEC工具包自動創(chuàng)建和拷貝數(shù)據(jù)備份工具包自動創(chuàng)建和拷貝IIS站點(diǎn)備份上傳工具包自動刪除匿名終端用戶提示是否安裝WINRAR 3.5程序包 自動導(dǎo)入關(guān)閉共享設(shè)置注冊表自動導(dǎo)入本地安全設(shè)置注冊表自動安裝OCTOPOD客戶端程序 自動開啟服務(wù)器本地安全策略控制面板 自動刪除系統(tǒng)默認(rèn)共享設(shè)置 自動關(guān)閉非必用系統(tǒng)服務(wù) 自動刪除前期操作工具包全手動操作流程說明設(shè)置網(wǎng)卡屬性，設(shè)置DNS調(diào)整自動更新，數(shù)據(jù)執(zhí)行保護(hù)（DEP），關(guān)閉遠(yuǎn)程桌面確認(rèn)Pcanywhere設(shè)置是否正確設(shè)置IIS日志記錄路徑設(shè)置IIS映射啟用IIS父路徑OCT

8、OPOD中新增服務(wù)器 OCTOPOD探測 時間同步，安裝GINA，開啟遠(yuǎn)程日志收集，修改管理員帳號名，修改管理員密碼，安裝遠(yuǎn)程桌面(I,II,III期)，安裝Netsnmp服務(wù)器重啟 服務(wù)器補(bǔ)丁檢查 提交給網(wǎng)絡(luò)安全部安全檢查 服務(wù)器前期操作視頻SEC.bat操作流程說明cd d:web2003sec2003ipc進(jìn)入d:web2003sec2003ipc子目錄d:web2003sec2003ipcipsecurity.exe運(yùn)行ipsec配置程序，根據(jù)ipsecurity.ini的配置自動生成ipsec策略cd .返回上一級目錄，當(dāng)前目錄為d:web2003secrundll32.exe sh

9、ell32.dll,Control_RunDLL appwiz.cpl,2運(yùn)行 添加/刪除組件explorer ftp:/down:down8/ServUSetup1.exe下載Serv-Unotepad d:web2003seckey.txt打開Serv-U注冊碼文件SEC.bat操作流程說明wrar350sc.exe安裝WinRARregedit /s stopshare.reg導(dǎo)入關(guān)閉共享的注冊表文件regedit /s anquan.reg導(dǎo)入安全策略的注冊表文件sshdnew.exe安裝OCTOPODcopy .chelue.inf %SystemRoot%s

10、ecuritytemplates!chelue.inf復(fù)制本地安全策略模板%SystemRoot%system32secpol.msc /s打開 本地安全策略SEC.bat操作流程說明net share c$ /deletenet share d$ /deletenet share e$ /deletenet share f$ /deletenet share g$ /deletenet share admin$ /deletenet share out /delete刪除默認(rèn)共享net stop dnscachenet stop RemoteRegistrynet stop Spoolern

11、et stop messengernet stop LmHostsnet stop WinHttpAutoProxySvcnet stop Dhcpnet stop ipfiltermonnet stop seclogon停止不必要的服務(wù)SEC.bat操作流程說明rmdir /s %systemroot%system32inetsrviisadmpwd /qrmdir /s %systemroot%system32inetsrviisadmin /qrmdir /s c:inetpub /q 刪除默認(rèn)IIS目錄del d:WEB2003sec.exe /qrmdir /s d:/WEB2003

12、sec /qrmdir /s d:/WEB2003sec /q 刪除前期安裝包三、三、 磁盤管理磁盤管理基本磁盤和動態(tài)磁盤 基本磁盤（Basic Disk）是經(jīng)常使用的磁盤類型，在默認(rèn)安裝情況下，系統(tǒng)就使用基本磁盤?；敬疟P通過分區(qū)（Partition）管理磁盤空間，分區(qū)可以包含主分區(qū)和擴(kuò)展分區(qū)，而在擴(kuò)展分區(qū)中又可以劃分出一個或多個邏輯分區(qū)，通過這樣的方式組織磁盤資源，而物理硬盤上沒有劃分為分區(qū)的空間是不能使用的。 動態(tài)磁盤是在Windows 2000 中開始引入的一種磁盤管理方式，利用動態(tài)磁盤可以實(shí)現(xiàn)很多基本磁盤不能或不容易實(shí)現(xiàn)的功能。在動態(tài)磁盤上，不使用分區(qū)劃分容量，而是使用卷（Volum

13、e）來描述動態(tài)磁盤上的每一個空間劃分。與分區(qū)的作用相同，卷也要賦予一個盤符，并且也要經(jīng)過格式化之后才能使用 磁盤分區(qū)方式主分區(qū)擴(kuò)展分區(qū)邏輯驅(qū)動器（邏輯分區(qū)）磁盤分區(qū)方式一個硬盤可以有一個主分區(qū)，一個擴(kuò)展分區(qū)，也可以只有一個主分區(qū)沒有擴(kuò)展分區(qū)。邏輯分區(qū)可以若干。 硬盤的容量主分區(qū)的容量擴(kuò)展分區(qū)的容量 擴(kuò)展分區(qū)的容量各個邏輯驅(qū)動器（邏輯分區(qū)）的容量之和 邏輯分區(qū)只能從擴(kuò)展分區(qū)上操作 磁盤陣列卷磁盤陣列卷：RAID(Redudant Array of Indepandent Disks,獨(dú)立磁盤冗余陣列) 是為防止硬盤故障而導(dǎo)致數(shù)據(jù)丟失,采用一組廉價磁盤構(gòu)成一個獨(dú)立的存儲設(shè)備使用.RAID保護(hù)數(shù)據(jù)的

14、主要方法就是數(shù)據(jù)冗余存儲,將數(shù)據(jù)同時保存到多個硬盤上,提高數(shù)據(jù)的可用性.RAID技術(shù)分成多種等級,每種針對不同的應(yīng)用需求.實(shí)現(xiàn)形式有采用硬件完成，將RAID集成在服務(wù)器上,也可由軟件實(shí)現(xiàn)。磁盤陣列從RAID0RAID6共分成7種基本級別。比較常用的為RAID0 RAID1 RAID1+0 RAID5動態(tài)磁盤卷的五種類型簡單卷 Simple Volume跨區(qū)卷 Spanned Volume鏡像卷 Mirrored Volume帶區(qū)卷 Striped Volume帶奇偶校驗(yàn)的帶區(qū)卷 RAID-5 Volume簡單卷簡單卷是物理磁盤的一部分，但它工作時就好像是物理上的一個獨(dú)立單元。簡單卷是相當(dāng)于 W

15、indows NT 4.0 及更早版本中的主分區(qū)的動態(tài)存儲。當(dāng)您只有一個動態(tài)磁盤時，簡單卷是您可以創(chuàng)建的唯一卷。通過將卷擴(kuò)展到相同或不同磁盤上的未分配空間上可以增加現(xiàn)有簡單卷的大小。 跨區(qū)卷 可以將來自多個硬盤（最少2個，最多32個）中的空間置于一個跨區(qū)卷中，用戶在使用的時候感覺不到是在使用多個硬盤。但向跨區(qū)卷中寫入數(shù)據(jù)必須先將同一跨區(qū)卷中的第一個硬盤中的空間寫滿，才能再向同一個跨區(qū)卷中的下一個磁盤空間中寫入數(shù)據(jù)，每塊硬盤用來組成跨區(qū)卷的空間不必相同，圖4-2 為跨區(qū)卷示意圖。帶區(qū)卷 可以將來自多個硬盤（最少2個，最多32個）中的相同空間組合成一個卷。向帶區(qū)卷中寫入數(shù)據(jù)時，數(shù)據(jù)按照64KB分成

16、一塊，這些大小為64KB的數(shù)據(jù)塊被分散存放于組成帶區(qū)卷的各個硬盤空間中。該卷具有很高的文件讀寫效率，但不支持容錯功能。若某個成員發(fā)生故障，則整個帶區(qū)卷的數(shù)據(jù)會丟失。帶區(qū)卷中的成員，要求其容量必須相同，并且來自不同的物理硬盤。帶區(qū)卷示意圖如圖4-3 所示。鏡像卷 是將同一份數(shù)據(jù)做兩個相同的拷貝，并且每一份拷貝存放在不同的硬盤中。當(dāng)向其中一個卷作修改（寫入或刪除）時，另一個卷也完成相同的操作。當(dāng)一個硬盤出故障時，仍可從另一個硬盤中讀取數(shù)據(jù)，因而有很好的容錯能力。鏡像卷可讀性能好，但是磁盤利用率很低（50%）。圖4-4所示為鏡像卷示意圖。RAID-5卷 RAID-5是一種容錯卷，并且數(shù)據(jù)和奇偶校驗(yàn)值

17、在三個或更多的物理磁盤上呈間歇的帶區(qū)分布如果物理磁盤的某一部分出現(xiàn)故障，則可在其余的數(shù)據(jù)和奇偶檢驗(yàn)值基礎(chǔ)上重新創(chuàng)建出現(xiàn)故障的那部分?jǐn)?shù)據(jù)在大多數(shù)活動由讀數(shù)據(jù)組成的計(jì)算機(jī)環(huán)境中，RAID-5卷是解決數(shù)據(jù)冗余的一個很好的方案。卷與分區(qū)的主要區(qū)別 更改磁盤容量方式不同卷：在不重新啟動計(jì)算機(jī)的情況下可更改磁盤容量大小，而且不會丟失數(shù)據(jù)。 分區(qū)：一旦創(chuàng)建，就無法更改容量大小，除非借助于特殊的磁盤工具軟件，如PQMagic等 磁盤空間的限制大小不同卷：可被擴(kuò)展到磁盤中包括不連續(xù)的磁盤空間，還可以創(chuàng)建跨磁盤的卷集，將幾個磁盤合為一個大卷集 分區(qū)：必須是同一磁盤上的連續(xù)的空間才可分為一個區(qū)，分區(qū)最大的容量也就是

18、磁盤的容量卷與分區(qū)的主要區(qū)別 卷或分區(qū)個數(shù)不同 卷：在一個磁盤上可創(chuàng)建的卷集個數(shù)沒有限制 分區(qū)：一個磁盤上只能分最多四個區(qū) 磁盤配置信息存放位置不同 卷：磁盤配置信息是存放在磁盤上的，如果是RAID容錯系統(tǒng)會被復(fù)制到其他動態(tài)磁盤上，可以移動到其他計(jì)算機(jī)上繼續(xù)使用 分區(qū)：如果使用硬件RAID系統(tǒng)，相關(guān)信息保存在RAID卡中，RAID磁盤移動到其他計(jì)算機(jī)上會丟失信息從基本磁盤轉(zhuǎn)換為動態(tài)磁盤 安裝好Windows 2003之后，可以將基本磁盤轉(zhuǎn)換到動態(tài)磁盤。根據(jù)原有磁盤上的分區(qū)類型，在轉(zhuǎn)換到動態(tài)磁盤的時候，會轉(zhuǎn)化為不同的動態(tài)磁盤卷，同時磁盤上的數(shù)據(jù)不會丟失。 四、Windows性能監(jiān)視使用事件查看器

19、維護(hù)系統(tǒng)日志 使用“任務(wù)管理器”監(jiān)視系統(tǒng)資源 使用“性能監(jiān)視器”監(jiān)視系統(tǒng)性能 使用警報 優(yōu)化性能 日志是進(jìn)行系統(tǒng)分析的重要手段 維護(hù)日志 系統(tǒng)日志、應(yīng)用日志、安全日志 應(yīng)用訪問日志 Web日志、Email日志、FTP日志等服務(wù)器要有詳細(xì)的記錄維護(hù)情況的日志與維護(hù)有關(guān)的日志要保存3個月以上定期查看日志，發(fā)異常要及時報告使用事件查看器維護(hù)系統(tǒng)日志 使用事件查看器維護(hù)系統(tǒng)日志通過條件篩選關(guān)注特定的日志內(nèi)容使用事件查看器維護(hù)系統(tǒng)日志使用事件查看器維護(hù)系統(tǒng)日志監(jiān)視程序 監(jiān)視進(jìn)程 監(jiān)視性能 使用“任務(wù)管理器”監(jiān)視系統(tǒng)資源在“系統(tǒng)監(jiān)視器”中，對象是計(jì)算機(jī)系統(tǒng)的主要組件或子系統(tǒng) 實(shí)例是相同類型的多個對象 計(jì)數(shù)

20、器：從對象的不同方面收集數(shù)據(jù) 在對象上不停地收集數(shù)據(jù)跟蹤所有實(shí)例的統(tǒng)計(jì)數(shù)據(jù) 可以在“系統(tǒng)監(jiān)視器”中指定顯示哪些計(jì)數(shù)器 使用“系統(tǒng)監(jiān)視器”監(jiān)視應(yīng)用性能優(yōu)化性能 性能優(yōu)化過程 檢查內(nèi)存性能 檢查處理器性能 檢查磁盤性能 檢查網(wǎng)絡(luò)性能 標(biāo)識不可接受的性能區(qū)域標(biāo)識不可接受的性能區(qū)域 采取糾正操作采取糾正操作 分析監(jiān)視數(shù)據(jù)分析監(jiān)視數(shù)據(jù) 性能優(yōu)化過程建立基線來標(biāo)識趨勢 使用計(jì)數(shù)器檢查內(nèi)存 監(jiān)視每秒的頁面數(shù)目監(jiān)視 Available Bytes檢查分頁文件 頻繁分頁表明了內(nèi)存不足 檢查分頁文件大小 使用計(jì)數(shù)器監(jiān)視分頁文件大小檢查內(nèi)存性能使用計(jì)數(shù)器檢查處理器性能 檢查工作站的使用值 使用值高表明系統(tǒng)正在有效處

21、理較重的工作負(fù)荷 收集更多的數(shù)據(jù) 檢查服務(wù)器的使用值 使用值較高服務(wù)器將無法承受使用值較高說明產(chǎn)生了瓶頸服務(wù)器工作站檢查處理器性能監(jiān)視 PhysicalDisk 和 LogicalDisk 對象 使用計(jì)數(shù)器檢查磁盤性能：報告邏輯卷標(biāo)上未分配磁盤空間占總可用空間的百分比 度量 I/O 操作 表明數(shù)據(jù)移動的速度 表明按字節(jié)傳輸數(shù)據(jù)的速度 表明每秒完成的讀寫次數(shù) 檢查磁盤性能檢查網(wǎng)絡(luò)性能使用性能監(jiān)視器： 使用性能監(jiān)視器能夠監(jiān)視服務(wù)器上網(wǎng)絡(luò)對象的性能 使用計(jì)數(shù)器檢查成員服務(wù)器的網(wǎng)絡(luò)活動，包括輸出數(shù)據(jù)包隊(duì)列的長度和溢出使用網(wǎng)絡(luò)監(jiān)視器： 使用網(wǎng)絡(luò)監(jiān)視器可以監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流 使用 “網(wǎng)絡(luò)監(jiān)視器”驅(qū)動程序和“網(wǎng)

22、絡(luò)監(jiān)視器”工具 五、 IISIIS的管理及維護(hù)的管理及維護(hù)S安裝的注意事項(xiàng) 盡可能不安裝不需要IIS組件，能較大程度的保證IIS的安全一個基本的web站點(diǎn)，通常只需要3個組件就能正常工作刪除原有的默認(rèn)站點(diǎn)手工刪除如下目錄：C:inetpubC:WINNTsystem32inetsrviisadminC:WINNTsystem32inetsrviisadmpwd網(wǎng)站屬性在【網(wǎng)站】標(biāo)簽中，可以對網(wǎng)站的一般屬性進(jìn)行設(shè)置網(wǎng)站標(biāo)識IP 地址TCP 端口SSL 端口 高級網(wǎng)站屬性2、連接無限 限制到 連接超時 啟用保持 HTTP 激活3、啟用日志記錄D:LogFiles 性能屬性 在性能標(biāo)簽中，可以對網(wǎng)絡(luò)

23、總帶寬和Web服務(wù)連接的總數(shù)進(jìn)行限制，這樣會有利于網(wǎng)絡(luò)連接和Web服務(wù)器性能的穩(wěn)定。為了限制帶寬，IIS將安裝數(shù)據(jù)包計(jì)劃程序。默認(rèn)的最大帶寬為1024K，連接數(shù)為1000個。 主目錄屬性 主目錄的位置可以有三種來源：計(jì)算機(jī)上的目錄、另一計(jì)算機(jī)上的共享位置、重定向到 URL。對于前兩種來說，其設(shè)置基本相同，都要進(jìn)行權(quán)限和應(yīng)用程序的設(shè)置。 1、本地路徑腳本資源訪問 讀取 寫入 目錄瀏覽記錄訪問 索引資源 應(yīng)用程序設(shè)置 無 純腳本 腳本和可執(zhí)行程序 【應(yīng)用程序設(shè)置 】中的【應(yīng)用程序配置】有三種設(shè)置：映射、選項(xiàng)、調(diào)試。 文檔屬性1、啟用默認(rèn)文檔所謂默認(rèn)文檔就是當(dāng)瀏覽器請求不包括頁面名稱時顯示的文檔，當(dāng)

24、瀏覽Web站點(diǎn)時會自動連接到主頁上。用戶可以選擇啟用或不啟用。2、啟用文檔頁腳 重定向到 URL 當(dāng)選中【重定向到 URL】后，在其中輸入URL地址即可。另外，用戶還可選擇將客戶端重定向到輸入URL地址還是該地址下的目錄，并可以選擇是否對該站點(diǎn)資源進(jìn)行永久重定向。目錄安全性屬性 目錄安全性屬性中包括【身份驗(yàn)證和訪問控制】、【IP地址及域名限制】、【安全通信】三個屬性頁。 身份驗(yàn)證和訪問方法 啟用匿名訪問集成Windows身份驗(yàn)證 摘要式身份驗(yàn)證 基本身份驗(yàn)證 .NET Passport身份驗(yàn)證IP地址及域名限制安全通信IIS的安全配置 刪除默認(rèn)目錄（C:inetpub、C:WINNTsystem32inetsrviisadmin、C:WINNTsystem32inetsrviisadmpwd）刪除默認(rèn)站點(diǎn)刪除危險的IIS組件刪除不必要