如何管理和維護服務器(措施、細節(jié)、步驟)

第一階段:服務器搭建 1、 利用iis搭建web服務器，實現(xiàn)相同ip，相同端口，不同主機頭的虛擬主機，主機頭要做域名解析。 2、 如果要搭建動態(tài)網(wǎng)站，可以使用wamp的軟件實現(xiàn)，這種方法較簡單，軟件安裝完成即可。如果想深入研究，則可以手工配置支持asp，ASP.net

第一階段:服務器搭建

1、 利用iis搭建web服務器，實現(xiàn)相同ip，相同端口，不同主機頭的虛擬主機，主機頭要做域名解析。

2、 如果要搭建動態(tài)網(wǎng)站，可以使用wamp的軟件實現(xiàn)，這種方法較簡單，軟件安裝完成即可。如果想深入研究，則可以手工配置支持asp，ASP.net，php的動態(tài)網(wǎng)站，數(shù)據(jù)庫可以采用sqlserver，access，mysql。

3、 配置好服務器之后，可以把一期網(wǎng)站課做好的網(wǎng)頁放到服務器上，也可以按小組獨立設計網(wǎng)頁。如果想實現(xiàn)動態(tài)網(wǎng)站，可以搭建discuss論壇，并實現(xiàn)后臺管理。

4、 網(wǎng)頁的上傳和下載需要ftp服務器的支持，搭建ftp可以采用微軟自帶的ftp 服務器組件，提高服務器的安全性。

第二階段：服務器維護

Web服務器的日常維護是網(wǎng)管的一項重要工作，主要工作有：入侵檢測、服務器優(yōu)化、常見故障處理以及日志管理等一系列日常維護工作。

一、入侵檢測工作：
作為服務器的日常管理，入侵檢測是一項非常重要的工作，在平常的檢測過程中，主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查，也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。
日常的安全檢測：日常安全檢測主要針對系統(tǒng)的安全性，工作主要按照以下步驟進行。 1、查看服務器狀態(tài)：
打開進程管理器，查看服務器性能，觀察CPU和內(nèi)存使用狀況。查看是否有CPU和內(nèi)存占用過高等異常情況。
2、檢查當前進程情況
切換“任務管理器”到進程，查找有無可疑的應用程序或后臺進程在運行。用進程管理器查看進程時里面會有一項taskmgr，這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對于拿不準的進程或者說不知道是服務器上哪個應用程序開啟的進程，可以在網(wǎng)絡上搜索一下該進程名加以確定。通常的后門如果有進程的話，一般會取一個與系統(tǒng)進程類似的名稱，如svch0st.exe，此時要仔細辨別[通常迷惑手段是變字母o為數(shù)字0，變字母l為數(shù)字1]
3、檢查系統(tǒng)帳號
打開計算機管理，展開本地用戶和組選項，查看組選項，查看administrators組是否添加有新帳號，檢查是否有克隆帳號。
4、查看當前端口開放情況
使用activeport，查看當前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經(jīng)允許的端口與外界在通信。如有，立即關(guān)閉該端口并記錄下該端口對應的程序并記錄，將該程序轉(zhuǎn)移到其他目錄下存放以便后來分析。打開計算機管理==》軟件環(huán)境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程]，查看當前運行的程序，如果有不明程序，記錄下該程序的位置，打開任務管理器結(jié)束該進程，對于采用了守護進程的后門等程序可嘗試結(jié)束進程樹，如仍然無法結(jié)束，在注冊表中搜索該程序名，刪除掉相關(guān)鍵值，切換到安全模式下刪除掉相關(guān)的程序文件。
5、檢查系統(tǒng)服務
運行services.msc，檢查處于已啟動狀態(tài)的服務，查看是否有新加的未知服務并確定服務的用途。對于不清楚的服務打開該服務的屬性，查看該服務所對應的可執(zhí)行文件是什么，如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件，可粗略放過。查看是否有其他正常開放服務依存在該服務上，如果有，可以粗略的放過。如果無法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒有其他正常開放服務依存在該服務上，可暫時停止掉該服務，然后測試下各種應用是否正常。對于一些后門由于采用了hook系統(tǒng)API技術(shù)，添加的服務項目在服務管理器中是無法看到的，這時需要打開注冊表中的HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services項進行查找，通過查看各服務的名稱、對應的執(zhí)行文件來確定是否是后門、木馬程序等。
6、查看相關(guān)日志
運行eventvwr.msc，粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時在對應的日志記錄上點右鍵選“屬性”，在“篩選器”中設置一個日志篩選器，只選擇錯誤、警告，查看日志的來源和具體描述信息。對于出現(xiàn)的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號和具體描述信息，以便找到問題解決的辦法。
7、檢查系統(tǒng)文件
主要檢查系統(tǒng)盤的exe和dll文件，建議系統(tǒng)安裝完畢之后用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來，然后每次檢查的時候再用該命令生成一份當時的列表，用fc比較兩個文件，同樣如此針對dll文件做相關(guān)檢查。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。檢查相關(guān)系統(tǒng)文件是否被替換或系統(tǒng)中是否被安裝了木馬后門等惡意程序。必要時可運行一次殺毒程序?qū)ο到y(tǒng)盤進行一次掃描處理。
8、檢查安全策略是否更改
打開本地連接的屬性，查看“常規(guī)”中是否只勾選了“TCP/IP協(xié)議”，打開“TCP/IP”協(xié)議設置，點“高級”==》“選項”，查看“IP安全機制”是否是設定的IP策略，查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否發(fā)生更改。
9、檢查目錄權(quán)限
重點查看系統(tǒng)目錄和重要的應用程序權(quán)限是否被更改。需要查看的目錄有c:; c:winnt; C:winntsystem32; c:winntsystem32/inetsrv;c:winntsystem32/inetsrvdata; c:documents and Settings;然后再檢查serv-u安裝目錄，查看這些目錄的權(quán)限是否做過變動。檢查system32下的一些重要文件是否更改過權(quán)限，包括：cmd，net，ftp，tftp，cacls等文件。
10、檢查啟動項
主要檢查當前的開機自啟動程序。可以使用AReporter來檢查開機自啟動的程序。

二、數(shù)據(jù)備份和數(shù)據(jù)恢復(用戶自己備份）
數(shù)據(jù)備份工作：
1、每月備份一次系統(tǒng)數(shù)據(jù)。
2、備份系統(tǒng)后的兩周單獨備份一次應用程序數(shù)據(jù)，主要包括IIS、數(shù)據(jù)庫等數(shù)據(jù)。 3、確保備份數(shù)據(jù)的安全，并分類放置這些數(shù)據(jù)備份。因基本上采用的都是全備份方法，對于數(shù)據(jù)的保留周期可以只保留該次備份和上次備份數(shù)據(jù)兩份即可。

數(shù)據(jù)恢復工作：
1、系統(tǒng)崩潰或遇到其他不可恢復系統(tǒng)正常狀態(tài)情況時，先對上次系統(tǒng)備份后發(fā)生的一些更改事件如應用程序、安全策略等的設置做好備份，恢復完系統(tǒng)后再恢復這些更改。
2、應用程序等出錯采用最近一次的備份數(shù)據(jù)恢復相關(guān)內(nèi)容。

三、服務器性能優(yōu)化
1、整理系統(tǒng)空間：
刪除系統(tǒng)備份文件，刪除驅(qū)動備份，刪除不用的輸入法，刪除系統(tǒng)的幫助文件，卸載不常用的組件。最小化C盤文件。
2、性能優(yōu)化：
刪除多余的開機自動運行程序；
減少預讀取，減少進度條等待時間；
讓系統(tǒng)自動關(guān)閉停止響應的程序；
禁用錯誤報告,但在發(fā)生嚴重錯誤時通知；
關(guān)閉自動更新,改為手動更新計算機；
啟用硬件和DirectX加速；
禁用關(guān)機事件跟蹤；
禁用配置服務器向?qū)В?br /> 減少開機磁盤掃描等待時間；
將處理器計劃和內(nèi)存使用都調(diào)到應用程序上；
調(diào)整虛擬內(nèi)存；
內(nèi)存優(yōu)化；
修改cpu的二級緩存；
修改磁盤緩存。

3、IIS性能優(yōu)化
1）調(diào)整IIS高速緩存
HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的范圍是從0道4GB，缺省值為3072000（3MB）。一般來說此值最小應設為服務器內(nèi)存的10%。IIS通過高速緩存系統(tǒng)句柄、目錄列表以及其他常用數(shù)據(jù)的值來提高系統(tǒng)的性能。這個參數(shù)指明了分配給高速緩存的內(nèi)存大小。如果該值為0，那就意味著“不進行任何高速緩存”。在這種情況下系統(tǒng)的性能可能會降低。如果你的服務器網(wǎng)絡通訊繁忙，并且有足夠的內(nèi)存空間，可以考慮增大該值。必須注意的是修改注冊表后，需要重新啟動才能使新值生效。
2）不要關(guān)閉系統(tǒng)服務: “Protected Storage”
3）對訪問流量進行限制
（1）對站點訪問人數(shù)進行限制
（2）站點帶寬限制。保持HTTP連接。
（3）進程限制, 輸入CPU的耗用百分比
4）提高IIS的處理效率
應用程序設置”處的“應用程序保護”下拉按鈕，從彈出的下拉列表中，選中“低（IIS進程）”選項,IIS服務器處理程序的效率可以提高20%左右。但此設置會帶來嚴重的安全問題，不值得推薦。

5）將IIS服務器設置為獨立的服務器
（1）提高硬件配置來優(yōu)化IIS性能
硬盤：硬盤空間被NT和IIS服務以如下兩種方式使用：一種是簡單地存儲數(shù)據(jù)；另一種是作為虛擬內(nèi)存使用。如果使用Ultra2的SCSI硬盤，可以顯著提高IIS的性能
（2）可以把NT服務器的頁交換文件分布到多個物理磁盤上，注意是多個“物理磁盤”，分布在多個分區(qū)上是無效的。另外，不要將頁交換文件放在與WIndows NT引導區(qū)相同的分區(qū)中
（3）使用磁盤鏡像或磁盤帶區(qū)集可以提高磁盤的讀取性能
（4）最好把所有的數(shù)據(jù)都儲存在一個單獨的分區(qū)里。然后定期運行磁盤碎片整理程序以保證在存儲Web服務器數(shù)據(jù)的分區(qū)中沒有碎片。使用NTFS有助于減少碎片。推薦使用Norton的Speeddisk，可以很快的整理NTFS分區(qū)。
6）起用HTTP壓縮
HTTP壓縮是在Web服務器和瀏覽器間傳輸壓縮文本內(nèi)容的方法。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、Javas cript或CSS文件。可使用pipeboost進行設置。
7）起用資源回收
使用IIS5 Recycle定時回收進程資源。

四、服務器常見故障排除（以下列舉的主要都為動態(tài)網(wǎng)站故障，供參考）

1、ASP“請求的資源正在使用中”的解決辦法：

該問題一般與殺毒軟件有關(guān)，在服務器上安裝個人版殺毒軟件所致。出現(xiàn)這種錯誤可以通過卸載殺毒軟件解決，也可嘗試重新注冊vbs cript.dll和jscript.dll來解決，在命令行下運行：regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。

2、ASP500錯誤解決辦法：

首先確定該問題是否是單一站點存在還是所有站點存在，如果是單一站點存在該問題，則是網(wǎng)站程序的問題，可打開該站點的錯誤提示，把IE的“顯示友好HTTP錯誤”信息取消，查看具體錯誤信息，然后對應修改相關(guān)程序。如是所有站點存在該問題，并且HTML頁面沒有出現(xiàn)該問題，相關(guān)日志出現(xiàn)“服務器無法加載應用程序‘/LM/W3SVC/1/ROOT‘。錯誤是 ‘不支持此接口‘”。那十有八九是服務器系統(tǒng)中的ASP相關(guān)組件出現(xiàn)了問題，重新啟動IIS服務，嘗試是否可以解決該問題，無法解決重新啟動系統(tǒng)嘗試是否可解決該問題，如無法解決可重新修復一下ASP組件：首先刪除com組件中的關(guān)于IIS的三個東西，需要先將屬性里的高級中“禁止刪除”的勾選取消。
命令行中，輸入“cd winntsystem32inetsrv”字符串命令，單擊回車鍵后，再執(zhí)行“rundll32 wamreg.dll,CreateIISPackage”命令，接著再依次執(zhí)行“regsvr32 asptxn.dll”命令、“iisreset”命令，最后重新啟動一下計算機操作系統(tǒng)，這樣IIS服務器就能重新正確響應ASP腳本頁面了。

3、IIS出現(xiàn)105錯誤：

在系統(tǒng)日志中“服務器無法注冊管理工具發(fā)現(xiàn)信息。管理工具可能無法看到此服務器” 來源：w3svc ID：105
解決辦法：在網(wǎng)絡連接中重新安裝netbios協(xié)議即可，安裝完成之后取消掉勾選。

4、MySQL服務無法啟動【錯誤代碼1067】的解決方法

啟動MySQL服務時都會在中途報錯！內(nèi)容為：在 本地計算機 無法啟動MySQL服務 錯誤1067：進程意外中止。
解決方法：查找Windows目錄下的my.ini文件，編輯內(nèi)容（如果沒有該文件，則新建一個），至少包含basedir，datadir這兩個基本的配置。
[mysqld]
# set basedir to installation path, e.g., c:/mysql
# 設置為MYSQL的安裝目錄
basedir=D:/www/WebServer/MySQL
# set datadir to location of data directory,
# e.g., c:/mysql/data or d:/mydata/data
# 設置為MYSQL的數(shù)據(jù)目錄
datadir=D:/www/WebServer/MySQL/data
注意，我在更改系統(tǒng)的temp目錄之后沒有對更改后的目錄給予system用戶的權(quán)限也出現(xiàn)過該問題。

5、DllHotst進程消耗cpu 100%的問題

服務器正常CPU消耗應該在75%以下，而且CPU消耗應該是上下起伏的，出現(xiàn)這種問題的服務器，CPU會突然一直處100%的水平，而且不會下降。查看任務管理器，可以發(fā)現(xiàn)是DLLHOST.EXE消耗了所有的CPU空閑時間，管理員在這種情況下，只好重新啟動IIS服務，奇怪的是，重新啟動IIS服務后一切正常，但可能過了一段時間后，問題又再次出現(xiàn)了。
直接原因：
有一個或多個ACCESS數(shù)據(jù)庫在多次讀寫過程中損壞， MDAC系統(tǒng)在寫入這個損壞的ACCESS文件時，ASP線程處于BLOCK狀態(tài)，結(jié)果其他線程只能等待，IIS被死鎖了，全部的CPU時間都消耗在DLLHOST中。
解決辦法：
把數(shù)據(jù)庫下載到本地，然后用ACCESS打開，進行修復操作。再上傳到網(wǎng)站。如果還不行，只有新建一個ACCESS數(shù)據(jù)庫，再從原來的數(shù)據(jù)庫中導入所有表和記錄。然后把新數(shù)據(jù)庫上傳到服務器上。

6、Windows installer出錯：

在安裝軟件的時候出現(xiàn)“不能訪問windows installer 服務。可能你在安全模式下運行 windows ，或者windows installer 沒有正確的安裝。請和你的支持人員聯(lián)系以獲得幫助” 如果試圖重新安裝InstMsiW.exe，提示：“指定的服務已存在”。
解決辦法：
關(guān)于installer的錯誤，可能還有其他錯誤提示，可嘗試以下解決辦法：
首先確認是否是權(quán)限方面的問題，提示信息會提供相關(guān)信息，如果是權(quán)限問題，給予winnt目錄everyone權(quán)限即可[安裝完把權(quán)限改回來即可]。如果提示的是上述信息，可以嘗試以下解決方法：運行“msiexec /unregserver”卸載Windows Installer服務，如果無法卸載可使用

SRVINSTW進行卸載，然后下載windows installer的安裝程序[地址：http://www.newhua.com/cfan/200410/instmsiw.exe]，用winrar解壓該文件，在解壓縮出來的文件夾里面找到msi.inf文件，右鍵單擊選擇“安裝”，重新啟動系統(tǒng)后運行“msiexec /regserver”重新注冊Windows Installer服務。

五、服務器管理

服務器日常管理安排
服務器管理工作必須規(guī)范嚴謹，尤其在不是只有一位管理員的時候，日常管理工作包括：

1、服務器的定時重啟。每臺服務器保證每周重新啟動一次。重新啟動之后要進行復查，確認服務器已經(jīng)啟動了，確認服務器上的各項服務均恢復正常。對于沒有啟動起來或服務未能及時恢復的情況要采取相應措施。前者可請求托管商的相關(guān)工作人員幫忙手工重新啟動，必要時可要求讓連接上顯示器確認是否已啟動起來；后者需要遠程登陸上服務器進行原因查找并根據(jù)原因嘗試恢復服務。

2、服務器的安全、性能檢查，每服務器至少保證每周登陸兩次粗略檢查兩次。每次檢查的結(jié)果要求進行登記在冊。如需要使用一些工具進行檢查，可直接在e:tools中查找到相關(guān)工具。對于臨時需要從網(wǎng)絡上找的工具，首先將IE的安全級別調(diào)整到高，然后在網(wǎng)絡上進行查找，不要去任何不明站點下載，盡量選擇如華軍、天空等大型網(wǎng)站進行下載，下載后確保當前殺毒軟件已升級到最新版本，升級完畢后對下載的軟件進行一次殺毒，確認正常后方能使用。對于下載的新工具對以后維護需要使用的話，將該工具保存到e:tools下，并在該目錄中的readme.txt文件中做好相應記錄，記錄該工具的名稱，功能，使用方法。并且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份，設置解壓密碼。

3、服務器的數(shù)據(jù)備份工作（用戶自己備份），每服務器至少保證每月備份一次系統(tǒng)數(shù)據(jù)，系統(tǒng)備份采用ghost方式，對于ghost文件固定存放在e:ghost文件目錄下，文件名以備份的日期命名，如0824.gho，每服務器至少保證每兩周備份一次應用程序數(shù)據(jù)，每服務器至少保證每月備份一次用戶數(shù)據(jù)，備份的數(shù)據(jù)固定存放在e:databak文件夾，針對各種數(shù)據(jù)再建立對應的子文件夾，如serv-u用戶數(shù)據(jù)放在該文件夾下的servu文件夾下，iis站點數(shù)據(jù)存放在該文件夾下的iis文件夾下。

4、服務器的監(jiān)控工作，每天正常工作期間必須保證監(jiān)視所有服務器狀態(tài)，一旦發(fā)現(xiàn)服務停止要及時采取相應措施。對于發(fā)現(xiàn)服務停止，首先檢查該服務器上同類型的服務是否中斷，如所有同類型的服務都已中斷及時登陸服務器查看相關(guān)原因并針對該原因嘗試重新開啟對應服務。

5、服務器的相關(guān)日志操作，每服務器保證每月對相關(guān)日志進行一次清理，清理前對應的各項日志如應用程序日志、安全日志、系統(tǒng)日志等都應選擇“保存日志”。

6、服務器的補丁修補、應用程序更新工作，對于新出的漏洞補丁，應用程序方面的安全更新一定要在發(fā)現(xiàn)的第一時間給每服務器打上應用程序的補丁。

7、服務器的隱患檢查工作，主要包括安全隱患、性能等方面。每服務器必須保證每月重點的單獨檢查一次。每次的檢查結(jié)果必須做好記錄。

8、不定時的相關(guān)工作，每服務器由于應用軟件更改或其他某原因需要安裝新的應用程序或卸載應用程序等操作必須知會所有管理員。

9、定期的管理密碼更改工作，每服務器保證至少每兩個月更改一次密碼，對于SQL服務器由于如果SQL采用混合驗證更改系統(tǒng)管理員密碼會影響數(shù)據(jù)庫的使用則不予修改。

相關(guān)建議：對每服務器設立一個服務器管理記載，管理員每次登陸系統(tǒng)都應該在此中進行詳細的記錄，共需要記錄以下幾項：登入時間，退出時間，登入時服務器狀態(tài)[包含不明進程記錄，端口連接狀態(tài)，系統(tǒng)帳號狀態(tài)，內(nèi)存/CPU狀態(tài)]，詳細操作情況記錄[詳細記錄下管理員登陸系統(tǒng)后的每一步操作]。無論是遠程登陸操作還是物理接觸操作都要進行記錄，然后將這些記錄按照各服務器歸檔，按時間順序整理好文檔。

對于數(shù)據(jù)備份、服務器定時重啟等操作建議將服務器分組，例如分成四組，每月的周六晚備份一組服務器的數(shù)據(jù)，每周的某一天定時去重啟一組的服務器，這樣對于工作的開展比較方便，這些屬于固定性的工作。另外有些工作可以同步進行，如每月一次的數(shù)據(jù)備份、安全檢查和管理員密碼修改工作，先進行數(shù)據(jù)備份，然后進行安全檢查，再修改密碼。對于需要的即時操作如服務器補丁程序的安裝、服務器不定時的故障維護等工作，這些屬于即時性的工作，但是原則上即時性的工作不能影響固定工作的安排。

補充：管理員日常注意事項
在服務器管理過程中，管理員需要注意以下事項：
1、對自己的每一次操作應做好詳細記錄，具體見上述建議，以便于后來檢查。
2、努力提高自身水平，加強學習。

第三階段:服務器安全

一、安裝殺毒軟件和防火墻。

二、用戶安全設置：

1、禁用Guest賬號

在計算機管理的用戶里面把Guest賬號禁用。為了保險起見，最好給Guest加一個復雜的密碼。你可以打開

記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去。

2、限制不必要的用戶

去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權(quán)限，并且經(jīng)常檢查系統(tǒng)

的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。

3、創(chuàng)建兩個管理員賬號

創(chuàng)建一個一般權(quán)限用戶用來收信以及處理一些日常事物，另一個擁有Administrators 權(quán)限的用戶只在需要

的時候使用。

4、把系統(tǒng)Administrator賬號改名

大家都知道，Windows 2000 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗

試這個用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。

5、創(chuàng)建一個陷阱用戶

什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶，把它的權(quán)限設置成最低，什么事也干不了

的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間，借此發(fā)現(xiàn)它們

的入侵企圖。

6、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶

任何時候都不要把共享文件的用戶設置成“Everyone”組，包括打印共享，默認的屬性就是“Everyone”組

的，一定不要忘了改。

7、開啟用戶策略

使用用戶策略，分別設置復位用戶鎖定計數(shù)器時間為20分鐘，用戶鎖定時間為20分鐘，用戶鎖定閾值為3

次。

8、不讓系統(tǒng)顯示上次登錄的用戶名

默認情況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進

而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為：打開注冊表編輯器并找到注

冊表項“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-

DisplayLastUserName”，把REG_SZ的鍵值改成1。

9、使用安全密碼

一些公司的管理員創(chuàng)建賬號的時候往往用公司名、計算機名做用戶名，然后又把這些用戶的密碼設置得太簡

單，比如“welcome”等等。因此，要注意密碼的復雜性，還要記住經(jīng)常改密碼。

10、設置屏幕保護密碼

11 、開啟密碼策略

注意應用密碼策略，如啟用密碼復雜性要求，設置密碼長度最小值為6位 ，設置強制密碼歷史為5次，時間

為42天。

12、考慮使用智能卡來代替密碼

對于密碼，總是使安全管理員進退兩難，密碼設置簡單容易受到黑客的攻擊，密碼設置復雜又容易忘記。如果條件允許，用智能卡來代替復雜的密碼是一個很好的解決方法。

三、本地安全策略的設置：

開始菜單—>管理工具—>本地安全策略

A、本地策略——>審核策略

審核策略更改成功 失敗

審核登錄事件成功 失敗

審核對象訪問失敗

審核過程跟蹤無審核

審核目錄服務訪問失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件成功 失敗

審核賬戶登錄事件成功 失敗

審核賬戶管理成功 失敗

B、本地策略——>用戶權(quán)限分配

關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。

通過終端服務拒絕登陸：加入Guests、User組

通過終端服務允許登陸：只加入Administrators組，其他全部刪除

C、本地策略——>安全選項

交互式登陸：不顯示上次的用戶名啟用

網(wǎng)絡訪問：不允許SAM帳戶和共享的匿名枚舉 啟用

網(wǎng)絡訪問：不允許為網(wǎng)絡身份驗證儲存憑證啟用

網(wǎng)絡訪問：可匿名訪問的共享全部刪除

網(wǎng)絡訪問：可匿名訪問的命全部刪除

網(wǎng)絡訪問：可遠程訪問的注冊表路徑全部刪除

網(wǎng)絡訪問：可遠程訪問的注冊表路徑和子路徑全部刪除

帳戶：重命名來賓帳戶重命名一個帳戶

帳戶：重命名系統(tǒng)管理員帳戶重命名一個帳戶

四、搭建serv-u的ftp的注意事項：

1、安裝時的兩點注意

在安裝Serv-U時，就應該注意盡量不要將其安裝在默認的C:\Program Files\Serv-U目錄下，應該更換一個不易被猜測到的目錄

2、初次設置尤重要

安裝好Serv-U初次運行時，會自動彈出創(chuàng)建域和賬戶操作向?qū)Т翱凇Ｓ捎谑褂孟驅(qū)?chuàng)建的賬戶會帶來一些未知的安全問題，因此在這里建議單擊“取消”按鈕，改用手工來創(chuàng)建。

在Serv-U處于運行狀態(tài)時，我們需要修改默認的管理口令此時在“新密碼”和“重復新密碼”窗口中連續(xù)輸入自己欲設置的口令。這樣用戶在設置一些本地服務時將必須輸入口令才能完成。

3、賬戶設置須仔細

1）賬戶失效時間

對于新賬的賬戶，必須認真設置其權(quán)限。首先如果賬戶有使用時間限制，那么一定需要在“帳號”標簽中設置帳戶自動“移除”的時間，這主要是針對一些臨時賬戶用戶。

2）防范大容量文件攻擊

其次為了防范大容量文件攻擊，大家需要限制最大速度。切換到“常規(guī)”標簽，我們可以看到默認狀態(tài)下“最大上傳速度”和“最大下載速度”都是空白一片，則表示沒有限制，這樣一些黑客就會這個漏洞傳送大容量的文件，從而導致FTP處理不過來使程序停止響應或自動關(guān)閉。因此，用戶可以根據(jù)需要填寫一個限制的速度，單位是KB/秒，一般填寫1000KB/秒左右為宜。另外“空閑超時”和“會話超時”也建議設置一個數(shù)值，通常的10分鐘左右即可。

3）目錄訪問權(quán)限

一般來說，我們不需要將多余的權(quán)限授予用戶。因此，中需要根據(jù)其賬戶類型，在“目錄訪問”標簽中選擇相應的操作類型即可。但是有一點需要注意的是，不管是什么用戶，建議都不要授予其“運行”權(quán)限，因為在取得webshell后就可以很容易的運行攻擊程序來破壞Serv-U的正常工作。

4）限制訪問來源

通常情況下，用戶登錄FTP時的IP地址都相對固定，即使是使用ADSL這類撥號上網(wǎng)動態(tài)IP地址用戶，其用于自動分配的IP地址都是有一個相對固定的范圍的。對此，我們可以切換到“IP訪問”標簽，將“編輯規(guī)則”設為“允許訪問”，然后在“規(guī)則”中輸入允許訪問的IP地址或IP地址段，輸入之后單擊“添加”按鈕，可以添加多條規(guī)則。另外我們也可以從系統(tǒng)日志中查找蛛絲馬跡，發(fā)現(xiàn)來明不明的IP地址，可以將其添加到“拒絕訪問”列表中。

4、啟用SSL

默認狀態(tài)下，Serv-U的數(shù)據(jù)傳輸都是以明文方式傳送的，這樣很容易被一些嗅探工具捕獲。對此，我們可以啟用SSL加密。

首先在Serv-U的管理窗口左側(cè)選擇“本地服務器”下的“設置”項，在右側(cè)選擇“SSL證書”標簽，然后在“普通名稱”中填入實際使用的FTP地址，其它的項目隨便填寫，填好后單擊“應用”按鈕完成SSL證書的創(chuàng)建。

接下來，我們就可以在域列表中選擇自己已經(jīng)創(chuàng)建好的域，然后在右側(cè)的“安全性”下拉菜單中選中“只允許SSL/TLS進程”選項，再單擊“應用”按鈕即可啟用當前域的SSL加密功能了。

不過要注意的是，啟用SSL加密后，默認的FTP端口21將被改成990，對此需要告知用戶，否則無法成功連接到FTP服務器。

5、認真查閱日志

用戶訪問FTP服務器，Serv-U都會忠誠的做下詳實的記錄，這些記錄中包括用戶訪問的IP地址、連接時間、斷開時間、上傳下載的文件等。在管理窗口左側(cè)選擇要查看的域，然后再選擇“活動”項，在右側(cè)選擇“域日志”，這樣在這里即可顯示詳細的日志信息了。通過這些日志信息可以判斷是否有惡意攻擊。

6、注意升級

每一次補丁的發(fā)布都會彌補一些缺陷，因此建議大家在可能的情況下需要關(guān)注安全新聞，注意打補丁及時升級。這同樣是網(wǎng)絡安全中通用的一條法則。

五、關(guān)閉所有不需要的服務和端口：

以下服務除非特殊情況非開不可，如果不用都要關(guān)掉，例如：alerter，Application Layer Gateway Service，Background Intelligent Transfer Service，Computer Browser，Distributed File System，Help and Support，Messenger，NetMeeting Remote Desktop Sharing，Print Spooler，Remote Registry，Task Scheduler，Telnet等。

六、如果網(wǎng)站為動態(tài)網(wǎng)站，還需要注意以下安全：

1、php服務器安全

(1) 打開php的安全模式

php的安全模式是個非常重要的內(nèi)嵌的安全機制，能夠控制一些php中的函數(shù)，比如system()，

同時把很多文件操作函數(shù)進行了權(quán)限控制，也不允許對某些關(guān)鍵文件的文件，比如/etc/passwd，

但是默認的php.ini是沒有打開安全模式的，我們把它打開：

safe_mode = on

(2) 用戶組安全

當safe_mode打開時，safe_mode_gid被關(guān)閉，那么php腳本能夠?qū)ξ募M行訪問，而且相同

組的用戶也能夠?qū)ξ募M行訪問。

建議設置為：

safe_mode_gid = off

如果不進行設置，可能我們無法對我們服務器網(wǎng)站目錄下的文件進行操作了，比如我們需要

對文件進行操作的時候。

(3) 安全模式下執(zhí)行程序主目錄

如果安全模式打開了，但是卻是要執(zhí)行某些程序的時候，可以指定要執(zhí)行程序的主目錄：

safe_mode_exec_dir = D:/usr/bin

一般情況下是不需要執(zhí)行什么程序的，所以推薦不要執(zhí)行系統(tǒng)程序目錄，可以指向一個目錄，

然后把需要執(zhí)行的程序拷貝過去，比如：

safe_mode_exec_dir = D:/tmp/cmd

但是，我更推薦不要執(zhí)行任何程序，那么就可以指向我們網(wǎng)頁目錄：

safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件，那么就修改一下選項：

safe_mode_include_dir = D:/usr/www/include/

其實一般php腳本中包含文件都是在程序自己已經(jīng)寫好了，這個可以根據(jù)具體需要設置。

(5) 控制php腳本能訪問的目錄

使用open_basedir選項能夠控制PHP腳本只能訪問指定的目錄，這樣能夠避免PHP腳本訪問

不應該訪問的文件，一定程度上限制了phpshell的危害，我們一般可以設置為只能訪問網(wǎng)站目錄：

open_basedir = D:/usr/www

(6) 關(guān)閉危險函數(shù)

如果打開了安全模式，那么函數(shù)禁止是可以不需要的，但是我們?yōu)榱税踩€是考慮進去。比如，

我們覺得不希望執(zhí)行包括system()等在那的能夠執(zhí)行命令的php函數(shù)，或者能夠查看php信息的

phpinfo()等函數(shù)，那么我們就可以禁止它們：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目錄的操作，那么可以關(guān)閉很多文件操作

disable_functions =

chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,

rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件處理函數(shù)，你也可以把上面執(zhí)行命令函數(shù)和這個函數(shù)結(jié)合，

就能夠抵制大部分的phpshell了。

(7) 關(guān)閉PHP版本信息在http頭中的泄漏

我們?yōu)榱朔乐购诳瞳@取服務器中php版本的信息，可以關(guān)閉該信息斜路在http頭中：

expose_php = Off

比如黑客在 telnet www.12345.com 80 的時候，那么將無法看到PHP的信息。

(8) 關(guān)閉注冊全局變量

在PHP中提交的變量，包括使用POST或者GET提交的變量，都將自動注冊為全局變量，能夠直接訪問，

這是對服務器非常不安全的，所以我們不能讓它注冊為全局變量，就把注冊全局變量選項關(guān)閉：

register_globals = Off

當然，如果這樣設置了，那么獲取對應變量的時候就要采用合理方式，比如獲取GET提交的變量var，

那么就要用$_GET['var']來進行獲取，這個php程序員要注意。

(9) 打開magic_quotes_gpc來防止SQL注入

SQL注入是非常危險的問題，小則網(wǎng)站后臺被入侵，重則整個服務器淪陷，

所以一定要小心。php.ini中有一個設置：

magic_quotes_gpc = Off

這個默認是關(guān)閉的，如果它打開后將自動把用戶提交對sql的查詢進行轉(zhuǎn)換，

比如把 ‘ 轉(zhuǎn)為 \’等，這對防止sql注射有重大作用。所以我們推薦設置為：

magic_quotes_gpc = On

(10) 錯誤信息控制

一般php在沒有連接到數(shù)據(jù)庫或者其他情況下會有提示錯誤，一般錯誤信息中會包含php腳本當

前的路徑信息或者查詢的SQL語句等信息，這類信息提供給黑客后，是不安全的，所以一般服務器建議禁止

錯誤提示：

display_errors = Off

如果你卻是是要顯示錯誤信息，一定要設置顯示錯誤的級別，比如只顯示警告以上的信息：

error_reporting = E_WARNING & E_ERROR

當然，我還是建議關(guān)閉錯誤提示。

(11) 錯誤日志

建議在關(guān)閉display_errors后能夠把錯誤信息記錄下來，便于查找服務器運行的原因：

log_errors = On

同時也要設置錯誤日志存放的目錄，建議根apache的日志存在一起：

error_log = D:/usr/local/apache2/logs/php_error.log

注意：給文件必須允許apache用戶的和組具有寫的權(quán)限。

2、數(shù)據(jù)庫的安全：

常用的數(shù)據(jù)庫有sqlserver，mysql，對于安全性方面主要有以下幾點：

1、 賬戶安全，賬戶的密碼一定要復雜。

2、 端口安全，mysql端口是3306，sqlserver是1433，端口最好改掉

3、 對于mysql最好不要使用圖形化工具，命令行模式最好。

4、 Sqlserver的sa賬戶最好禁用，也可以建立陷阱用戶。

5、 經(jīng)常對數(shù)據(jù)庫做備份。

八、啟用windows防火墻

桌面—>網(wǎng)上鄰居—>（右鍵）屬性—>本地連接—>（右鍵）屬性—>高級—>

（選中）Internet 連接防火墻—>設置，把服務器上面要用到的服務端口選中

例如：一臺WEB服務器，要提供WEB（80）、FTP（21）服務及遠程桌面管理（3389）

在“FTP 服務器”、“WEB服務器（HTTP）”、“遠程桌面”、“安全WEB服務器”前面打上對號，如果你要提供服務的端口不在里面，你也可以點擊“添加”銨鈕來添加，SMTP和POP3根據(jù)需要打開，具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。然后點擊確定。注意：如果是遠程管理這臺服務器，請先確定遠程管理的端口是否選中或添加。一般需要打開的端口有：21、 25、 80、 110、 443、 3389、 等，根據(jù)需要開放需要的端口，關(guān)閉掉不安全的端口，如135，139，445，1433等。

九、權(quán)限設置

WINDOWS用戶，在WINNT系統(tǒng)中大多數(shù)時候把權(quán)限按用戶(組)來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統(tǒng)用戶和用戶組。

NTFS權(quán)限設置，請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū)，然后我們可以確定每個分區(qū)對每個用戶開放的權(quán)限。【文件(夾)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權(quán)限。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶”)，當用戶訪問你的網(wǎng)站的.ASP文件的時候，這個.ASP文件所具有的權(quán)限，就是這個“IIS匿名用戶”所具有的權(quán)限。

磁盤權(quán)限

1）系統(tǒng)盤及所有磁盤只給Administrators組和SYSTEM的完全控制權(quán)限

2）系統(tǒng)盤\DocumentsandSettings目錄只給Administrators組和SYSTEM的完全控制權(quán)限

3）系統(tǒng)盤\DocumentsandSettings\AllUsers目錄只給Administrators組和SYSTEM的完全控制權(quán)限

4）系統(tǒng)盤\Inetpub目錄及下面所有目錄、文件只給Administrators組和SYSTEM的完全控制權(quán)限

5）系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只給Administrators組和SYSTEM的完全控制權(quán)限

十、給操作系統(tǒng)和Web服務器打補丁
一旦漏洞公布，如果你不修補它，遲早會被人發(fā)現(xiàn)并利用

原文地址：如何管理和維護服務器(措施、細節(jié)、步驟), 感謝原作者分享。

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com