服务器配置规范.docVIP

Windows 2000/2003/2008 服务器配置规范 最后更新：2011-1-18 目录 1 定义 2 2 安装操作系统 2 2.1 版本选择 2 2.2 安装 2 2.3 安装后配置 3 3 系统安全配置 4 3.1 帐户策略 4 3.2 审核策略 4 3.3 用户权利指派 5 3.4 安全选项 5 3.5 系统服务 6 3.6 其它安全配置项 6 3.7 网络安全 6 3.8 上线前安全扫描 7 4 系统更新 7 4.1 补丁管理 7 4.2 补丁安装 7 5 防病毒软件 7 5.1 版本 7 5.2 病毒定义码更新 8 版本更新说明 9 1 定义 按照主要功能区分Windows 服务器为以下类别： 办公网Active Directory /文件和打印服务器 业务网 Active Directory服务器 业务网SNA 服务器 Web服务器：运行 IIS Web服务 FTP服务器：运行IIS FTP或Server-U等FTP服务 SQL Server 服务器：运行SQL Server 2000或SQL Server 2005 应用服务器：运行其他网络应用 请注意：本规范中部分配置项仅适用于特定的服务器类别，请注意区分。如未列明类别，则适用于所有服务器。 2 安装操作系统 2.1 版本选择 根据开发人员/软件供应商的要求，结合服务器硬件类型，选择合适的操作系统版本。 如无特殊要求，建议使用32位Windows Server 2003 中文标准版。 允许安装使用的操作系统版本： (2011-1-18更新) (1) Windows 2000，安装Service Pack 4 (2) Windows Server 2003（x86，x64和IA64版），安装Service Pack 2 (3) Windows Server 2003 R2（x86，x64和IA64版），包含Service Pack2 (4)Windows Server 2008 R2 2.2 安装 使用硬件厂商提供的向导光盘启动服务器，开始操作系统安装； 操作系统安装目标分区所在磁盘，必须配置为具有容错功能的硬件磁盘阵列（RAID1/RAID1+0/RAID5/ADG等），确认磁盘阵列已经按照要求配置； 系统分区必须使用NTFS文件系统，大小建议不低于40G； 选择正确的操作系统类型，根据实际情况输入用户名和组织名； 输入操作系统CD Key； 由于使用服务器管理软件（如HP Insight Management Agent等）而必需安装SNMP组件时，必须修改默认SNMP社区名，要求最短8位，并同时包含字母、数字和特殊字符，在可能的情况下设置SNMP仅接受来自本地或特定IP地址的访问。除此之外一般不启用SNMP； “许可模式”一般设置为“每客户端”模式，或根据实际情况修改； 放入操作系统安装光盘，开始操作系统安装； 设置计算机名称，应简洁直观，能反映服务器的主要用途，同一用途有多台服务器的，要添加数字或字母后缀作为区别； Administrator帐户初始密码应设置为最少8位，并同时包含大写/小写字母、数字和特殊字符其中的至少3类； 根据事先申请的IP地址等网络参数配置网络，根据服务器用途设置所在工作组名称（如“DBGROUP”），在安装所有安全补丁和防病毒软件之前，仅能接入测试网络； 正确设置时间和时区； 配置合适的显示分辨率/颜色质量/刷新率，刷新频率不应过高； 完成操作系统安装。 2.3 安装后配置 将系统分区（C分区）卷标设置为“SYS”；调整驱动器盘符，使光驱使用最靠后的顺序盘符；划分剩余磁盘空间并格式化，所有分区必须使用NTFS文件系统，卷标应表明该空间主要用途； 设置页面文件放置于C分区，页面文件大小建议设置为物理内存的2倍，一般不超过4096MB，最低不小于200MB； 对于32位操系统，如果物理内存为4GB，建议在Boot.ini文件中添加“/PAE”参数，以使操作系统中能够正确识别物理内存数量，如果需要添加“/3GB”参数，须事先同软件开发人员/软件供应厂商确认；如果物理内存大于4GB，需在Boot.ini文件中增加启动参数“/PAE”（不能和/3GB参数同时使用），重启后确认能够从资源管理器中正确识别物理内存数量； 参照本规范第4、5节，安装操作系统补丁和防病毒软件，完成此操作以前不应连接业务网络； 建议安装相应Windows Server版本的Support Tools； 从“添加/删除系统组件”中删除“辅助工具”、“游戏”、“多媒体”、“索引服务”、“Script Debugger”、“更新根证书”等所有非必需组件； 调整应用程序、安全和系统日志，将“最大日志文件大小”设置为至