伺服器配置規範

windows 2000/2003/2008 伺服器配置規範

最後更新：2011-1-18

目錄1 定義 2

2 安裝作業系統 2

2.1 版本選擇 2

2.2 安裝 2

2.3 安裝後配置 3

3 系統安全配置 4

3.1 帳戶策略 4

3.2 審核策略 4

3.3 使用者權利指派 5

3.4 安全選項 5

3.5 系統服務 6

3.6 其它安全配置項 6

3.7 網路安全 6

3.8 上線前安全掃瞄 7

4 系統更新 7

4.1 補丁管理 7

4.2 補丁安裝 7

5 防病毒軟體 7

5.1 版本 7

5.2 病毒定義碼更新 8

版本更新說明 9

按照主要功能區分windows 伺服器為以下類別：

（1）辦公網active directory /檔案和列印伺服器

（2）業務網 active directory伺服器

（3）業務網sna 伺服器

（4） web伺服器：執行 iis web服務

（5） ftp伺服器：執行iis ftp或server-u等ftp服務

（6） sql server 伺服器：執行sql server 2000或sql server 2005

（7）應用伺服器：執行其他網路應用

請注意：本規範中部分配置項僅適用於特定的伺服器類別，請注意區分。如未列明類別，則適用於所有伺服器。

根據開發人員/軟體**商的要求，結合伺服器硬體型別，選擇合適的作業系統版本。

如無特殊要求，建議使用32位windows server 2003 中文標準版。

允許安裝使用的作業系統版本： (2011-1-18更新)

(1) windows 2000，安裝service pack 4

(2) windows server 2003（x86，x64和ia64版），安裝service pack 2

(3) windows server 2003 r2（x86，x64和ia64版），包含service pack2

(4)windows server 2008 r2

1. 使用硬體廠商提供的嚮導光碟啟動伺服器，開始作業系統安裝；

2. 作業系統安裝目標分割槽所在磁碟，必須配置為具有容錯功能的硬體磁碟陣列（raid1/raid1+0/raid5/adg等），確認磁碟陣列已經按照要求配置；

3. 系統分割槽必須使用ntfs檔案系統，大小建議不低於40g；

4. 選擇正確的作業系統型別，根據實際情況輸入使用者名稱和組織名；

5. 輸入作業系統cd key；

6. 由於使用伺服器管理軟體（如hp insight management agent等）而必需安裝snmp元件時，必須修改預設snmp社群名，要求最短8位，並同時包含字母、數字和特殊字元，在可能的情況下設定snmp僅接受來自本地或特定ip位址的訪問。除此之外一般不啟用snmp；

7. 「許可模式」一般設定為「每客戶端」模式，或根據實際情況修改；

8. 放入作業系統安裝光碟，開始作業系統安裝；

9. 設定計算機名稱，應簡潔直觀，能反映伺服器的主要用途，同一用途有多台伺服器的，要新增數字或字母字尾作為區別；

10. administrator帳戶初始密碼應設定為最少8位，並同時包含大寫/小寫字母、數字和特殊字元其中的至少3類；

11. 根據事先申請的ip位址等網路引數配置網路，根據伺服器用途設定所在工作組名稱（如「dbgroup」），在安裝所有安全補丁和防病毒軟體之前，僅能接入測試網路；

12. 正確設定時間和時區；

13. 配置合適的顯示解析度/顏色質量/重新整理率，重新整理頻率不應過高；

14. 完成作業系統安裝。

1. 將系統分割槽（c分割槽）卷標設定為「sys」；調整驅動器碟符，使光碟機使用最靠後的順序碟符；劃分剩餘磁碟空間並格式化，所有分割槽必須使用ntfs檔案系統，卷標應表明該空間主要用途；

2. 設定頁面檔案放置於c分割槽，頁面檔案大小建議設定為物理記憶體的2倍，一般不超過4096mb，最低不小於200mb；

3. 對於32位操系統，如果物理記憶體為4gb，建議在boot.ini檔案中新增「/pae」引數，以使作業系統中能夠正確識別物理記憶體數量，如果需要新增「/3gb」引數，須事先同軟體開發人員/軟體**廠商確認；如果物理記憶體大於4gb，需在boot.

ini檔案中增加啟動引數「/pae」（不能和/3gb引數同時使用），重啟後確認能夠從資源管理器中正確識別物理記憶體數量；

4. 參照本規範第4、5節，安裝作業系統補丁和防病毒軟體，完成此操作以前不應連線業務網路；

5. 建議安裝相應windows server版本的support tools；

6. 從「新增/刪除系統元件」中刪除「輔助工具」、「遊戲」、「多**」、「索引服務」、「script debugger」、「更新根證書」等所有非必需元件；

7. 調整應用程式、安全和系統日誌，將「最大日誌檔案大小」設定為至少20mb，安全日誌原則上不應設定覆蓋，應定期檢查是否有足夠日誌空間，在空間耗盡前及時進行日誌備份和截斷，伺服器日常檢查應包括日誌中異常資訊的檢查；

8. 安裝其它所需軟體，所安裝的應用程式必須在配置文件中記錄，根據需要將安裝原始檔儲存在伺服器上備查；

9. 記錄硬體資訊並製作標籤，標明伺服器名稱、用途和維護管理人員****。記錄伺服器硬體序列號，整理售後服務****，按需要向廠商進行伺服器註冊；

10. 對於域控制器，在完成第3節安全設定前不能進行active directory安裝操作；

11. 對於不加入域的windows server 2003 作業系統，應在「時間/日期屬性」-「internet時間」中，關閉「自動與internet時間伺服器同步」。如果該伺服器需要加入域，需運以下行命令以配置同域伺服器同步時鐘：

net time /setsntp

如果該伺服器不加入域，但有可用時間伺服器的，可根據需要配置時間同步。

12. 啟用「密碼保護的螢幕保護」；

13. 對於windows server 2008 r2，刪除計畫任務程式-計畫任務程式庫中內建的計畫任務「user_feed_synchronization……」。

使用「本地安全策略」管理工具修改本地帳戶密碼策略，對於域控制器，使用「域安全策略」進行域使用者帳戶密碼策略配置。（注意：定義在組織單元（ou）上組策略物件中的密碼策略，僅作用於該ou下的計算機的本地帳戶。

）啟用密碼複雜性，密碼長度最低8位，強制密碼歷史最低為2，最短期限1天，禁用「為域中所有使用者使用可還原的加密來儲存密碼」。

密碼更改最長期限：

● 辦公網ad/檔案和列印伺服器，密碼更改最長期限不超過180天。

● 業務網ad伺服器，密碼更改最長期限不超過90天。

● 業務sna伺服器，密碼更改最長期限不超過90天。

● 對於其它類別伺服器，根據需要設定，建議不超過90天。

根據需要啟用和配置帳戶鎖定策略。

注意：sna伺服器一般不啟用帳戶鎖定策略，避免通訊使用者鎖定導致的問題。

必須修改缺省內置管理員帳戶administrator名稱。

確保管理員組administrators中僅包含授權帳戶，儘量減少管理員組成員數量，但每伺服器應至少有兩個可用管理員帳戶。

必須修改 guest 帳戶名稱並禁用。

禁用其它非必需帳戶。對於windows 2000，需禁用tsinternetuser帳戶。

使用「本地安全策略」管理工具或通過組策略修改審核策略：

● 審核帳戶登入事件：成功、失敗；

● 審核登入事件：成功（失敗審計根據需要開啟）；

● 審核帳戶管理：成功；

● 審核策略更改：成功。

對於檔案和列印伺服器，可根據需要開啟：

● 審核物件訪問：成功、失敗

根據需要啟用其它的審核策略。

審核策略啟用後，需定期檢查安全日誌空間使用情況，建立安全日誌轉儲備份機制。

使用「本地安全策略」管理工具或通過組策略修改「使用者權利指派」：

● 從網路訪問此計算機：移除everyone組；

● 允許在本地登入：僅保留administrators、backup operators組和其他必需成員；

● 關閉系統：移除users組和power users組。

使用「本地安全策略」管理工具或通過組策略修改以下安全選項，未列出項保持預設或根據需要修改。

（以下針對windows 2000）：

● 允許在登入前關機：禁用

● 不顯示上次登入使用者名稱：啟用

● 將對 cd-rom 的訪問限制到僅為本地登入使用者：啟用

● 將對軟盤的訪問限制到僅為本地登入使用者：啟用

● 對匿名連線的額外限制：沒有顯式匿名許可權就無法訪問

● 關機時清除虛擬記憶體頁面檔案：啟用（根據需要設定）

● lan 管理器驗證級別：僅傳送 ntlm v2 響應\拒絕 lm

（以下針對windows server 2003）：

● 關機：清除虛擬記憶體頁面檔案啟用（根據需要設定）

● 互動式登入：不顯示上次登入使用者名稱啟用

● 裝置：只有本地登入的使用者才能訪問 cd-rom 啟用

● 裝置：只有本地登入的使用者才能訪問軟盤啟用

● 網路安全：lan manager身份驗證級別：僅傳送 ntlm v2 響應\拒絕 lm

● 網路訪問：不允許sam賬戶和共享的匿名列舉啟用

● 賬戶：來賓賬戶狀態已禁用

伺服器配置規範

伺服器配置

伺服器配置

伺服器安全配置

相關推薦