Windows2003服务器安装调试流程

 

系统管理员：OS安装调试

第一条、      安装 OS ，取消默认共享等具有安全隐患的操作 。

安装 WIN2003 R2 版并保证所有的磁盘都为 NTFS 格式 . 安装后更改主机名 , 命名规则为 ” 应用简写 _ 网段号 _IP 地址 ” 如 ”YY_1_8” 表示应用服务器 . 地址为 *.*.1.8. 如果是 IIS 服务器或者是 K3 应用服务器需要安装下列系统组件并根据各自的需要进行调试。

IIS: 需要安装 ” 应用程序服务器－ＡＳＰ．ＮＥ Ｔ、INTERNET信息服务器（IIS）、启用用网络COM+访问

添加组件后设置系统密码。并停止没有用的用户。特别是对于有外网映射的IIS服务器，应做如下修改。禁止如下的用户。添加一个新用户如IISUSER来作为匿名访问INTERNET信息服务的用户。并限制该用户只为USER权限

由于禁止了系统默认的 IIS 匿名访问用户。所以需要做如下调整

将网站的目录安全性中的匿名访问用户改为我们新建立的 IISUSER

K3 系统： 需要安装 ” 应用程序服务器－ＡＳＰ．ＮＥ Ｔ、INTERNET信息服务器（IIS）、启用用网络COM+访问、启用网络DTC访问

如果服务器超过4g内存又有数据库的话。则需要打开系统的3gb开关。

修改启动文件，添加 /pae 和 /3gb 开关 ，步骤为：
右击我的电脑 --> 属性 --> 高级 --> 启动和恢复 --> 设置 --> 手工编辑启动文件，加入开关，
以下是一个 Boot.ini 文件的示例，其中已添加了 PAE （打开系统对大内存的支持） 和 3gb （打开SQL 超过2Gb 限制）开关 ：
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect /PAE /3gb

修改后需要立即测试系统是否正常，并确认性能不会反而下降。 . 删除注册表中 HKEY_LOCAL_MACHINE －ＳＡＭ－ＳＡＭ权限中的 administrator 用户只保留 SYSTEM 服务 .

除非特殊需要 . 否则删除 磁盘的 USER 和 EVERYONE 权限 .

检查禁止下列系统服务.

1.NetMeeting Remote Desktop Sharing ：允许受权的用户通过 NetMeeting 在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。

2.Universal Plug and Play Device Host ：此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台 Win XP 系统的网络发送一个虚假的 UDP 包，就可能会造成这些 Win XP 主机对指定的主机进行攻击（ DDoS ）。另外如果向该系统 1900 端口发送一个 UDP 包，令“ Location ”域的地址指向另一系统的 chargen 端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源（需要安装硬件时需手动开启）。

3.Messenger ：俗称信使服务，电脑用户在局域网内可以利用它进行资料交换（传输客户端和服务器之间的 Net Send 和 Alerter 服务消息，此服务与 Windows Messenger 无关。如果服务停止， Alerter 消息不会被传输）。这是一个危险而讨厌的服务， Messenger 服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。而且这项服务有漏洞， MSBlast 和 SlaMMer 病毒就是用它来进行快速传播的。　

4.Performance Logs And Alerts ：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据，坚决禁止它。

5.Terminal Services ：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。如果你不使用 Win XP 的远程控制功能，可以禁止它。

6.Remote Registry ：使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。

7.Fast User Switching Compatibility ：在多用户下为需要协助的应用程序提供管理。 Windows XP 允许在一台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击“开始→注销→快速切换”，在传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。如果不经常使用，可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。

8.Telnet ：允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户，包括基于 UNIX 和 Windows 的计算机。又一个危险的服务，如果启动，远程用户就可以登录、访问本地的程序，甚至可以用它来修改你的 ADSL Modem 等的网络设置。除非你是网络专业人员或电脑不作为服务器使用，否则一定要禁止它。

9.Remote Desktop Help Session Manager ：如果此服务被终止，远程协助将不可用。

10.TCP/IP NetBIOS Helper ： NetBIOS 在 Win 9X 下就经常有人用它来进行攻击，对于不需要文件和打印共享的用户，此项也可以禁用

Computer Browser 维护网络上计算机的最新列表以及提供这个列表
　　　　 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
　　　　 Removable storage 管理可移动媒体、驱动程序和库
　　　 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

Distributed Link Tracking Client 当文件在网络域的 NTFS 卷中移动时发送通知
　　 Alerter 通知选定的用户和计算机管理警报
　　 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
　　　　 IPSEC Policy Agent 管理 IP 安全策略以及启动 ISAKMP/OakleyIKE) 和 IP 安全驱动程序

改部分目录权限

1 、系统盘权限设置
　　 C: 分区部分：
　　 c:\
　　 administrators 全部 ( 该文件夹，子文件夹及文件 )
　　 CREATOR OWNER 　全部 ( 只有子文件来及文件 )
　　 system 全部 ( 该文件夹，子文件夹及文件 )
　　 IIS_WPG 创建文件 / 写入数据 ( 只有该文件夹 )
　　 IIS_WPG( 该文件夹，子文件夹及文件 )

遍历文件夹 / 运行文件
　　列出文件夹 / 读取数据
　　读取属性
　　创建文件夹 / 附加数据
　　读取权限
　　 　　 c:\Documents and Settings
　　 administrators 全部 ( 该文件夹，子文件夹及文件 )
　　 Power Users ( 该文件夹，子文件夹及文件 )
　　读取和运行
　　列出文件夹目录

读取
　　 SYSTEM 全部 ( 该文件夹，子文件夹及文件 )
　　 C:\Program Files
　　 administrators 全部 ( 该文件夹，子文件夹及文件 )
　　 CREATOR OWNER 全部 ( 只有子文件来及文件 )
　　 IIS_WPG ( 该文件夹，子文件夹及文件 )
　　读取和运行
　　列出文件夹目录

读取
　　 Power Users( 该文件夹，子文件夹及文件 )
　　修改权限
　　 SYSTEM 全部 ( 该文件夹，子文件夹及文件 )
　　 TERMINAL SERVER USER ( 该文件夹，子文件夹及文件 )
　　修改权限

请找到 c 盘的这些文件，把安全性设置只有特定的管理员有完全操作权限
　　下列这些文件只允许 administrators 访问
　　 net.exe
　　 net1.exet
　　 cmd.exe
　　 tftp.exe
　　 netstat.exe
　　 regedit.exe
　　 at.exe
　　 attrib.exe
　　 cacls.exe
　　 format.com

net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,format.com

删除 c:\inetpub 目录，

修改审核权限

如下

第二条、            安装 OS 补丁，保证系统最新。

1． 由于安装 WIN2003 R2 SP2 版本后。系统补丁更新到 WIN2003 SP2 更新补丁更新到 2008-06-10 日。所以可以根据情况更新补丁。

2． Kb957097 SAM 补丁

 

2 ． OS 日志文件默认路径修改。系统日志不能被修改路径。

默认保存的位置为 C:\WINDOWS\system32\config\* 。 Evt 为了保存日志信息。使用下列命令对日志进行备份

copy C:\WINDOWS\system32\config\*.evt D:\ 软件 \log >D:\ 软件 \log\log.txT 另存为批处理文件后使用计划任务每天 22 ： 00 执行。

第三条、            安装杀毒，并更新病毒库到最新。

安装趋势网络版杀毒或者诺顿杀毒软件 , 安装后设置网络地址等信息。升级杀毒软件。如果安装其他杀毒软件。需要先进行测试是否杀毒软件是否与 K3 或者网站等程序有冲突

安装并升级杀毒后使用最新的病毒码对全盘进行扫描 . 直到不能查找到任何病毒为止

数据库安装。

第四条、            数据库补丁安装。

MSSQL2000 安全设置

SQL SERVER 设置 :

1, 将 master 表中存储过程 "sp_password" 的 public 和 guest 权限取消

2, 删除 win 系统用户 sqldebugger --- 没用的帐号，还经常给黑客利用

3, 用户去掉 db_onwer 权限

IIS 方面：

1 ，删除默认站点

2 ，删除不使用的脚本映射 ( 如 .htw,.idc 等 )

3 ，禁止 "FrontPage Server Extensions"

4 ，在 "Web 服务扩展 " 中禁止 "WebDAV"

5 ， asp 的站就删除剩下 asp 映射， php 就删除剩下 php 映射

第五条、            交付给软件部门进行软件安装调试 .

软件部门安装调试结束后 . 新建 os 用户，并分配可进行中间件操作权限。

修改或重建管理员用户。避免使用默认的管理员用户名称。

收回 OS 管理员用户及数据库的最高权限的用户密码，并分配有权限控制软件维护员用户。

第六条、            等待应用调试完成后。

取消所有的默认共享。关闭远程访问。添加绿色的系统检测软件对系统进行全面检查。包括。

进程检测程序，启动程序检测程序。查看系统发包程序，天网防火墙 2.0 绿色版 . 并按照应用开放端口

分别检测系统是否有可以进程 ,

启动进程 . 服务 . 驱动中是否有可疑项

是否有程序大量发包 .

是否有不明地址进行大量的探测性连接