Windows服务器系统.ppt

1、Windows服务器系统 常见问题与维护,武汉大学图书馆 黄勇凯 2006-12-22,纲要,Windows常见问题及解决办法 Windows系统安全管理 SQL与ASP的注意事项 总结,一、Windows Server 常见问题及解决办法,系统安装,磁盘分区注意事项 系统管理员的密码 补丁的安装,磁盘分区,最少将磁盘分为2个以上的分区 硬盘分区均为NTFS分区 系统分区（一般为C盘），建议分20G以上的磁盘空间 应用分区：用于安装系统软件 数据分区：用于存储数据,系统管理员的密码,切记不可将系统管理员密码设置为空 不要使用弱密码 创建强管理员密码,系统管理员的密码,使用内置管理员帐户的强密码

2、。 强密码可以最大程度地减少猜测密码并获得管理员帐户凭据的攻击者的攻击。 强管理员帐户密码应该： 至少包含 15 个字符 不包含帐户名、实际姓名或公司名称 不包含字典中的完整单词、任何语言中的俚语或行话 要明显不同于以前的密码。 递增的密码（Password1、Password2、Password3.）不是强密码 包含来自下页中列出的五组中三组以上的字符,系统管理员的密码,强管理员密码的字符类型 大写字母A、B、C. 小写字母a、b、c. 数字0、1、2、3. 非字母数字键盘符号 ! # $ % ? , ./ Unicode 字符、G、?,强密码示例,使用密码短语而不是密码 创建不必写下的强密

3、码的最简单方法是使用密码短语。 实质上，密码短语是容易记的句子，例如“My son Aiden is three years older than my daughter Anna”。 使用此句中每个单词的首字母，您可以创建一个很好的强密码。 例如，“msaityotmda”。 不过，您还可以使用大小写字母、数字和看似字母的特殊字符的组合使此密码更难以破解。 例如，使用同样易于记忆的句子和少许技巧，密码便成了 M$“8ni3y0tmd。,补丁的安装,使用Windows Update 网上下载最新的Sp打包的补丁包然后在使用Windows Update（适合网络速度比较慢的用户）win2003补

4、丁下载http:/ DirectX 的 D3D 硬件加速： 查看桌面属性，设置 - 高级 - 疑难问答 - 硬件加速 - 完全。或开始-运行键入 dxdiag回车，打开Display选项卡，可看到 3 项全部启用了。最后，利用Windows updates在Windows Server 2003中安装DirectX 9.0a。,启用声卡（千万注意，安装好声卡驱动后还要开启声卡服务，因为系统默认的是禁止） 系统安装后，声卡是禁止状态，所以要在 控制面板 - 声音 - 启用，重启之后再设置它在任务栏显示。 现在我们还要启用音频加速。在开始/运行键入Services.msc然后按回车，会出现Serv

5、ices 窗口，找到Windows Audio服务，双击打开，把启动类型设置为Automatic，点击Apply，然后点击Start启动该服务。 最后我们还要使用DirectX诊断工具，在运行中输入dxdiag并回车，打开Sound选项卡，把Hardware Sound Acceleration Level的滑块拖动到Full。,Win2003管理经验2,3. 如何启用 ASP 支持： Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。方法是： 控制面板 - 管理工具 - Web服务扩展 - Act

6、ive Server Pages - 允许。 关于安装php服务的方法与之相似，但要注意设置。,Win2003管理经验3,由于Win2003的安全权限设置很严格， 必须对ASP程序所在的目录去赋予特别的 权限，否则将显示网页无法找到的错误。,禁止关机时出现的关机理由选择项 开始 - 运行 - gpedit.msc - Computer configuration - Administrative Templates -System - Display shutdown event tracker - 设置为 Disable。 如果是中文版，则：gpedit.msc，计算机配置 - 管理模板 -

7、 系统 - 显示关机事件跟踪 - 禁用。,Win2003管理经验4,禁用Internet Explorer Enhanced Security 作为新windows组件出现的IE安全插件Internet Explorer Enhanced Security默认把IE安全设置为最高。在访问站点弹出询问框并对你浏览网页及文件下载做出阻止的行为。1、禁止询问框的出现,在弹出的对话框中复选”以后不要显示这个信息“ （In the future, do not show this message） 2、在IE工具选项中自定义设置IE的安全级别。在”安全“（Security）选项卡上拉动滚动条把Inter

8、net区域安全设置为”中“（Medium），这个级别将适合大多数人。 在控制面板添加程序添加或删除Windows组件中卸载Internet Explorer Enhanced Security,Win2003管理经验5,自动进入Win2003系统,第一步，打开注册表编辑窗口，并依次展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinLogon分支。 第二步，在右边窗口中，新建一个键名为“AutoAdminLogon”的字符串，并将键值设置为“1”。 第三步，找到“DefaultDomainName”键名，双击之并在弹

9、出窗口中输入要登录的域名。 第四步，双击“DefaultUserName”键名，双击之并在弹出的窗口输入要登录到此域的用户名。 第五步，新建一个名为“DefaultPassword”的字符串，并将其键值设置为用户登录系统的密码。 完成设置后，重新启动计算机时就可自动登录了。如果要取消自动登录功能，则将“AutoAdminLogon”键值设置为“0”即可。,Log文件管理,Log文件导致系统空间耗尽 Log文件存放的位置及缺省产生的方式 Log文件的用处 Log文件的管理及分析,Log文件管理,Log文件导致系统空间耗尽WEB服务器（如IIS）及一些应用服务器如万方、维普和人大全文，每天都会产生

10、一定的日志文件和临时文件，这些文件一般都存储在系统驱动盘内，日久积累，将系统空间耗尽，影响系统的正常运行。,Log文件管理,Log文件存放的位置及缺省产生的方式WEB服务器的日志文件$WindowsSystem32LogfilesW3SVC1一般以每日生成一个文件,Log文件管理,Log文件的用处日志文件可以用于系统使用统计和对黑客入侵等事件进行分析和挖掘，因此定期对日志文件进行保存和迁移是必要的。作为系统管理员，应该重视日志文件的管理并学习如何分析日志文件以更快地定位系统问题。,系统密码忘记了怎么办,WinPE+ERD2003 1、号称最强的系统密码恢复工具。 2、一个从光盘启动的拥有图形界

11、面的系统，是你的Win98、Win2000、XP、2003 系统出现问题后的最好的系统维护工具。 3、可用于忘记密码后的任何用户密码（含 administrator 的密码）更改。4、ERD最大的好处就是在你系统Over的时候还能轻松的访问NTFS分区，如果硬盘上还有XP的安装文件的话，你可以备份系统盘有用文件后格式化然后直接在ERD中运行Win32的安装程序。 dos下copy c:windowssystemrepairsam c:windowssystemconfigsam也可以,如何避免装上流氓软件,1、尽量选择明确表示没有插件捆绑的软件进行安装。如播放器类，可选择暴风影音2006官方无

12、插件版本。尽量多找一些绿色产品，以免机器受到流氓软件的危害。 2、上网浏览时如果网站里需要安装某些插件才可浏览时，在点确定之前要仔细看清。 3、安装软件时，不要盲目点下一步，仔细看清下一步是些什么内容，如果遇到有安装和你安装软件无关的内容，请不要选中。 4、装完操作系统后马上打系统补丁，然后安装杀毒软件和防火墙。,服务器远程管理,VNC PCAnyWhere RemoteControl ,Win系统故障诊断1,故障诊断原则-系统化方法确定某个问题是产生于操作员还是系统本身了解问题实际状况选择适当的后续解决方案,故障诊断方案步骤： 1）准确查出问题有助于对故障原因进行分类 首先应回答以下问题：

13、a 问题是什么时候发生的，采取了什么行动？ b 发生问题时，正在进行新的工作还是常规的工作？ c 最近进行过哪些可能造成故障的改变吗？ d 重建问题容易吗？,Win系统故障诊断2,Win系统故障诊断3,2）重建问题 a 在某些情况下，也许不可能重建问题，但是重新执行发生问题时采取的步骤也是有帮助的。 b 通过生成一个关于可能故障问题的列表，并随着更多信息的收集慢慢缩小列表。,Win系统故障诊断4,3）分离原因 分离造成故障的原因，以便判断发生的故障是与物理连接，计算机硬件，计算机软件有关，还是与操作员的错误有关，等等。 通过这一步骤，可以了解是那一台计算机引起故障或者网络的哪个区域值得怀疑。

14、继续分离故障原因，直到发现故障原因。 检查目前收集到的所有信息也是很重要的，以便查看其他可能的故障原因。,Win系统故障诊断5,4）拟订并实施改正方案 可能有几种不同的解决方案，而且可能存在某中折衷解决方案 通常发生折衷是由于存在不同的解决方案 不同解决方案之间存在的经济差异也是选择折衷方案的原因 确定解决方案，采取纠正行动,Win系统故障诊断6,5）测试解决方案 在测试了问题之后，还应当测试方案的“周边”情况，以确保系统的其他部分不会受到所采取的改正措施的影响。,Win系统故障诊断7,6）记录问题和解决方案 获取反馈解决方案应细致 记录完成后，还要从受到影响的用户（组）那里取得反馈，完成故障

15、诊断过程的循环。,Win系统故障诊断8,故障诊断工具： IPCONFIG（包括winipcfg）网际协议配置工具。 ping用来检测计算机ip软件的运行是否正常，计算机之间的连接是否良好。 tracert跟踪两台计算机之间的路由，发送路径中各路由器转发状况的信息。 nbstat用于显示使用网络基本输入输出系统（Netbios）得到的当前状况和统计数据。 Netstat用于显示一台计算机上所有连接的当前状态。 ARP用来显示计算机的ARP缓存。,二、Windows Server 2003安全管理,网络安全策略,网络安全策略主要包括两大部分，即访问控制策略和信息加密策略。访问控制策略是网络安全防范

16、和保护的主要策略，也是维护网络系统安全、保护网络资源的重要手段，用以保证网络资源不被非法使用和访问。信息加密策略保证数据传输中的安全，即保证数据完整性和机密性。各种安全策略相互配合才能实现对系统的全面保护。,Windows Server 2003安全策略,Windows Server 2003安全策略定义了用户在使用计算机、运行应用程序和访问网络等方面的行为，通过这些约束避免对网络安全性的有意或无意的伤害。 安全策略是一个事先定义好的一系列应用计算机的行为准则，应用这些安全策略保证用户有一致的工作方式，防止用户破坏计算机上的各种重要的配置，保护网络上的敏感数据。 在Windows Server

17、 2003中安全策略分为“本地安全设置”和“组策略”两种。本地安全设置实现基于单个计算机的安全性，对于较小的企业或组织，或者是在网络中没有应用活动目录的网络，通常使用本地安全设置；而组策略可以在站点、OU（组织单元）或域的范围内实现，通常应用于较大规模并且实施活动目录的网络中。,Windows Server 2003安全配置和分析 (1),打开“开始”/“管理工具”程序组，运行“本地安全设置”应用程序。在“本地安全设置”窗口的左侧的树型窗口中单击“+”号来扩展条目，如图1所示，进行相应的设置,Windows Server 2003安全配置和分析 (2),图1 安全设置,Windows Serv

18、er 2003安全配置和分析 (3),例如，用户可以设置密码的安全策略，选中“账户策略”/“密码策略”，然后在右边的窗口中选择要设置的选项，如选中“密码长度最小值”，在这里可以设置密码的长度最少为8个字符。 又如，选择安全设置中的“本地策略”/“安全选项”，可以设置交互登录方式，如不需按CTRL+ALT+DEL组合键，如图2所示。双击该项目并设置成“已启用”即可。,Windows Server 2003安全配置和分析 (4),图2 安全选项设置,Windows Server 2003安全性措施 (1),1版本的选择 Windows Server 2003有各种语言的版本，对于我们来说，可以选择

19、英文版或简体中文版，如果语言不成为障碍的情况下，可以考虑选择英文版。因为微软Windows Server 2003中文版的Bug远远多于英文版，而补丁程序一般还会推迟至少半个月。,Windows Server 2003安全性措施 (2),2组件的定制 Windows Server 2003在默认情况下会安装一些常用的组件，但这种默认安装可能带来安全隐患。对于管理员应该明确到底需要哪些服务，只安装确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server组件。而应该谨慎安

20、装IIS中的其他组件，例如Indexing Service， FrontPage server 2003 Extensions， Internet Service Manager (HTML)等。,Windows Server 2003安全性措施 (),3正确安装Windows Server 2003 （1）分区和逻辑盘的分配 （2）安装顺序的选择与系统补丁,Windows Server 2003安全性措施 (),4安全配置Windows Server 2003 （1）端口 （2）IIS服务 （3）应用程序配置 （4）删除不需要的服务,Windows Server 2003安全性措施 (-1)

21、,（1）端口 端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。一般来说，比较安全的做法是，只打开你需要使用的端口。很多黑客攻击程序是针对特定服务和特定服务端口的，因此，为了降低遭受黑客攻击的危险，应该关闭那些不必要的服务和服务端口。,Windows Server 2003安全性措施 (4-1),服务器上如果有两块网 卡,可以设置一块网卡作 为对外发布的网络接口, 进行端口限制. 另一块网卡作为内部管 理的网络接口,不做端口 限制.,Windows Server 2003安全性措施 (4-2),（2）IIS服务 IIS是微软的组件中漏洞最多的一

22、个，平均两三个月就要出一个漏洞，所以应该细致配置IIS。例如，信息服务发布目录Inetpub安装在非系统分区上，如D盘，更改名字不用系统默认目录名。在IIS管理器中将主目录指向你自己设定的路径即可。又如，删除IIS安装时默认的scripts等虚拟目录，谨慎建立所需目录，同时需要什么权限开什么权限。特别注意写权限和执行程序的权限，没有绝对需要不要给目录分配这些权限。,Windows Server 2003安全性措施 (4-3),（3）应用程序配置 删除IIS管理器中不必要的映射。例如，在IIS管理器中鼠标单击主机，选择“网站”，鼠标右键点击选择“属性”菜单，选择“主目录”配置页，选择“配置”，打

23、开“应用程序配置”对话框，如图5所示，在“映射”选项页中根据需要可以删除不必要的应用程序类型。选择“调试”选项页，如图6所示，将脚本错误消息改为发送文本，否则ASP出错的时候用户将知道你的程序、网络、数据库结构。错误文本可自己定制，设置好后点按“确定”退出。,Windows Server 2003安全性措施 (4-3),Windows Server 2003安全性措施 (4-3),Windows Server 2003安全性措施 (-4),（4）删除不需要的服务 Windows Server 2003的许多服务器允许用户远程访问本机，如用户通过Telnet方式登录等，并可在控制台上执行一系列操

24、作，如装载和卸载模块，安装和删除软件。这虽然带来了一些方便，但也给非法用户访问和控制服务器带来了可乘之机。可以通过以下方法关掉一些不必要的服务，选择“开始”/“管理工具”/“服务”，打开如图7所示“服务”管理窗口，查找并选中要停止的服务（如Telnet），鼠标右键单击选择“停止”即可。,Windows Server 2003安全性措施 (-4),Windows Server 2003安全性措施 (5),5账号安全 Windows Server 2003的账号安全管理十分重要。首先，Windows Server 2003的默认安装允许任何用户通过匿名用户得到系统所有账号、共享列表，这个本来是为了

25、方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并从而设法破解用户密码。,Windows Server 2003安全性措施 (5),Windows Server 2003安全性措施 (),6安全日志 Windows Server 2003的默认安装是不开任何安全审核的。在“本地安全设置”管理程序的“本地策略”/“审核策略”中设置相应的审核，如图9所示界面。,Windows Server 2003安全性措施 (6),图9 本地安全设置,Windows Server 2003安全性措施 (7),7目录和文件权限 （1）权限是累计的。 （2）拒绝的权限要比允许的权限级别高（拒绝优先）

26、 （3）文件权限比文件夹权限高。 （4）仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。,三、 SQL与ASP的注意事项,SQL SERVER的安全,SQL SERVER是NT平台上用的最多的数据库系统，但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息，一旦数据被窃后果不堪设想。 及时更新补丁程序。（目前MS SQL Server 2000 最新补丁是Services Pack 4，最少要安装Sp3） 说明：与NT一样，SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试，同时提前做好目标服务器的数据备份。 ,SQL SERVE

27、R的安全,给SA一个复杂的口令。 说明：SA具有对SQL SERVER数据库操作的全部权限。遗憾的是，一部分网管对数据库并不熟悉，建立数据库的工作由编程人员完成，而这部分人员往往只注重编写SQL 语句本身，对SQL SERVER数据库的管理不熟悉，这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。不提供给ASP程序员SA的操作权限 ,SQL SERVER的安全,严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，可以通过给用户以访问视图的权限，以及只具有执行存储过程的权限。 说明：用户如果对表有直接的操作权限，就会存在数据

28、被破坏的危险。 制订完整的数据库备份与恢复策略。,SQL SERVER的安全,删除可能被黑客利用的扩展存储过程 首先是xp_cmdshell，还有就是下面那些一大堆存储过程，都drop，一般都用不着。 执行： use master sp_dropextendedproc xp_cmdshell 其他的存储过程Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread （对Public可以执行） Xp_regremovemultistring Xp_regwrite,提高IIS 5.0网站伺

29、服器的执行效率的八中方法（使用于Win2000 Server),1. 启用HTTP的持续作用可以改善15-20%的执行效率。 2. 不启用日志记录可以改善5-8%的执行效率。 3. 使用 独立 的处理程序会损失20%的执行效率。 4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。 5. 不使用CGI程式。 6. 增加IIS 5.0可使用的服务器CPU数量。 7. 不启用ASP侦错功能。 8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。,防止SQL注入,随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即注入。,参考资料,搜索关键词 SQL注入 SQL注入专题 http:/ WinLinux,尽取其优 上网学习,解决问题 勤打补丁,安全第一,谢谢!,