Windows服务器管理和维护案例.ppt

服务器管理和维护 2011年11月 服务器管理和维护 一、服务器维护操作规范 二、服务器上线前的准备工作 三、磁盘管理 四、性能监视 五、IIS的管理及维护 六、备份和还原 一、服务器维护操作规范 服务器维护要求 维护应满足的条件 重装服务器的要求 服务器上禁止的操作 安全检查要求 维护应满足的条件 禁止空口令、弱口令、未打补丁的服务器接入网络 服务器口令只能由有权限访问的人员掌握 禁止在网吧等公共环境登录服务器 重装服务器的要求 重装服务器的情况 关机超过6周 关机期间发布了重大漏洞的补丁 服务器感染木马、病毒、蠕虫 服务器被入侵 服务器上禁止的操作 不允许安装程序开发环境或开发调试程序 不允许使用IE浏览外部网站 不允许收发EMAIL 不允许在服务器上玩游戏 安全检查要求 新装服务器必须符合安全规范的要求 必须经过安全部的安全检查 业务应用程序应在通过检查后安装 口令使用规范 保证口令的强度 口令长度不小于12位 口令应包含大小写字母、数字、特殊字符 不能使用容易记忆的密码 不能使用姓名、电话、生日等作为密码 一般口令应三个月更改一次 服务器发生入侵事件后，采用相同口令的服务器组应立即更改口令 员工离职或服务器归属发生变化，应及时更改密码 系统的授权 长期授权：长期对服务器有操作权限 短期授权：临时分配的权限 授权方式：提供帐号和口令 不允许对非本公司人员进行长期授权 短期授权不超过三周 服务器负责人应有短期授权的记录 网络访问控制 使用iptables 、IPSEC等手段 遵循最小特权原则 采用“不被允许的就是被禁止的”网络访问控制策略 服务器维护十大铁律 口令必须大于12位，符合规定的复杂度要求 不同服务器不能重复使用同一口令 口令至少三个月更改一次 必须启用IPSEC/iptables，不得停用 符合条件的必须安装winchk和Octopod等系统 补丁发布后，必须在规定时间重启服务器 不能在服务器上收发邮件、使用IE浏览无关的网站 新的应用安装前要通知安全部进行漏洞跟踪 新开设对外服务和后台管理不得使用同一端口 系统上线前，必须确保备份策略有效并正常执行 二、服务器上线前的准备工作 服务器上线前的准备工作 根据项目需求对服务器硬盘进行分区 分区方式 各分区大小 将附件(web2003sec.exe)上传至服务器D盘根目录下 执行web2003sec.exe，路径设置为D盘根目录 执行解压目录中的sec.bat，待半自动操作完毕后，再执行全手动操作，最后删除d:\web2003sec目录 将服务器提交给网络安全部进行安全检查 SEC.bat操作流程说明 修改d:\web2003sec\2003ipc\IpSecurity.ini [TCP] 23=NONE 5631=00;8;8;0/ [UDP] 5632=00;8;8;0/ 69=NONE Important：应用Ipsecurity前必须仔细检查配置是否正确 Ipsecurity案例 某个阳光明媚的午后，项目组联系johnny ，要求增加WEB服务器访问数据库服务器0的1433端口的权限。Johnny打开数据库服务器上的ipsecurity.ini文件，看到1433端口已经配置了允许部分服务器的访问权限，修改ipsecurity对johnny来说已经驾轻就熟，他立即对文件做了修改，修改后的部分内容如下： [TCP] 1433=,3,1 应用该策略后，本来正常的2个网站都无法打开 问题出在哪儿呢？ SEC.bat操作流程说明 应用Ipsec策略 开启添加/删除WINDOWS组件控制面板 提示是否下载Serv-U 安装包 自动用记事本打开Serv-U 许可证文本文件 提示是否安装winchk安全工具包 自动弹出SQL Server客户端网络实用配置选项 自动创建IIS日志记录文件夹 自动创建WEB默认站点文件夹 自动创建Serv-U日志记录文件夹 自动创建和拷贝IPSEC工具包 自动创建和拷贝数据备份工具包 自动创建和拷贝IIS站点备份上传工具包 自动删除匿名终端用户 提示是否安装WINRAR 3.5程序包????????????????????????????????????????????????????????????????????????? 自动导入关闭共享设置注册表 自动导入本地安全设置注册表 自动安装OCTOPOD客户端程序? 自动开启服务器本地安全策略控制面板??????????????????????????????????????????????????????????????????????? 自动删除系统默认共享设置 自动关闭非必用系统服务 自动删除前期操作工具包 全手动操作流程说明 设置网卡属性，设置DNS 调整自动更新，