服務(wù)器配置規(guī)范

1、Windows 2000/2003/2008 服務(wù)器配置規(guī)范最后更新：2011-1-18目錄1 定義22 安裝操作系統(tǒng)22.1 版本選擇22.2 安裝22.3 安裝后配置33 系統(tǒng)安全配置43.1 帳戶策略43.2 審核策略43.3 用戶權(quán)利指派53.4 安全選項(xiàng)53.5 系統(tǒng)服務(wù)63.6 其它安全配置項(xiàng)63.7 網(wǎng)絡(luò)安全63.8 上線前安全掃描74 系統(tǒng)更新74.1 補(bǔ)丁管理74.2 補(bǔ)丁安裝75 防病毒軟件75.1 版本75.2 病毒定義碼更新8版本更新說明91 定義按照主要功能區(qū)分Windows 服務(wù)器為以下類別：（1） 辦公網(wǎng)Active Directory /文件和打印服務(wù)器（2）

2、業(yè)務(wù)網(wǎng) Active Directory服務(wù)器（3） 業(yè)務(wù)網(wǎng)SNA 服務(wù)器（4） Web服務(wù)器：運(yùn)行 IIS Web服務(wù)（5） FTP服務(wù)器：運(yùn)行IIS FTP或Server-U等FTP服務(wù)（6） SQL Server 服務(wù)器：運(yùn)行SQL Server 2000或SQL Server 2005（7） 應(yīng)用服務(wù)器：運(yùn)行其他網(wǎng)絡(luò)應(yīng)用請注意：本規(guī)范中部分配置項(xiàng)僅適用于特定的服務(wù)器類別，請注意區(qū)分。如未列明類別，則適用于所有服務(wù)器。2 安裝操作系統(tǒng)2.1 版本選擇根據(jù)開發(fā)人員/軟件供應(yīng)商的要求，結(jié)合服務(wù)器硬件類型，選擇合適的操作系統(tǒng)版本。如無特殊要求，建議使用32位Windows Server 200

3、3 中文標(biāo)準(zhǔn)版。允許安裝使用的操作系統(tǒng)版本： (2011-1-18更新)(1) Windows 2000，安裝Service Pack 4(2) Windows Server 2003（x86，x64和IA64版），安裝Service Pack 2(3) Windows Server 2003 R2（x86，x64和IA64版），包含Service Pack2(4)Windows Server 2008 R22.2 安裝1. 使用硬件廠商提供的向?qū)Ч獗P啟動(dòng)服務(wù)器，開始操作系統(tǒng)安裝；2. 操作系統(tǒng)安裝目標(biāo)分區(qū)所在磁盤，必須配置為具有容錯(cuò)功能的硬件磁盤陣列（RAID1/RAID1+0/RAID5/

4、ADG等），確認(rèn)磁盤陣列已經(jīng)按照要求配置；3. 系統(tǒng)分區(qū)必須使用NTFS文件系統(tǒng)，大小建議不低于40G；4. 選擇正確的操作系統(tǒng)類型，根據(jù)實(shí)際情況輸入用戶名和組織名；5. 輸入操作系統(tǒng)CD Key；6. 由于使用服務(wù)器管理軟件（如HP Insight Management Agent等）而必需安裝SNMP組件時(shí)，必須修改默認(rèn)SNMP社區(qū)名，要求最短8位，并同時(shí)包含字母、數(shù)字和特殊字符，在可能的情況下設(shè)置SNMP僅接受來自本地或特定IP地址的訪問。除此之外一般不啟用SNMP；7. “許可模式”一般設(shè)置為“每客戶端”模式，或根據(jù)實(shí)際情況修改；8. 放入操作系統(tǒng)安裝光盤，開始操作系統(tǒng)安裝；9. 設(shè)置

5、計(jì)算機(jī)名稱，應(yīng)簡潔直觀，能反映服務(wù)器的主要用途，同一用途有多臺(tái)服務(wù)器的，要添加數(shù)字或字母后綴作為區(qū)別；10. Administrator帳戶初始密碼應(yīng)設(shè)置為最少8位，并同時(shí)包含大寫/小寫字母、數(shù)字和特殊字符其中的至少3類；11. 根據(jù)事先申請的IP地址等網(wǎng)絡(luò)參數(shù)配置網(wǎng)絡(luò)，根據(jù)服務(wù)器用途設(shè)置所在工作組名稱（如“DBGROUP”），在安裝所有安全補(bǔ)丁和防病毒軟件之前，僅能接入測試網(wǎng)絡(luò)；12. 正確設(shè)置時(shí)間和時(shí)區(qū)；13. 配置合適的顯示分辨率/顏色質(zhì)量/刷新率，刷新頻率不應(yīng)過高；14. 完成操作系統(tǒng)安裝。2.3 安裝后配置1. 將系統(tǒng)分區(qū)（C分區(qū)）卷標(biāo)設(shè)置為“SYS”；調(diào)整驅(qū)動(dòng)器盤符，使光驅(qū)使用最靠

6、后的順序盤符；劃分剩余磁盤空間并格式化，所有分區(qū)必須使用NTFS文件系統(tǒng)，卷標(biāo)應(yīng)表明該空間主要用途； 2. 設(shè)置頁面文件放置于C分區(qū)，頁面文件大小建議設(shè)置為物理內(nèi)存的2倍，一般不超過4096MB，最低不小于200MB；3. 對于32位操系統(tǒng)，如果物理內(nèi)存為4GB，建議在Boot.ini文件中添加“/PAE”參數(shù)，以使操作系統(tǒng)中能夠正確識別物理內(nèi)存數(shù)量，如果需要添加“/3GB”參數(shù)，須事先同軟件開發(fā)人員/軟件供應(yīng)廠商確認(rèn)；如果物理內(nèi)存大于4GB，需在Boot.ini文件中增加啟動(dòng)參數(shù)“/PAE”（不能和/3GB參數(shù)同時(shí)使用），重啟后確認(rèn)能夠從資源管理器中正確識別物理內(nèi)存數(shù)量；4. 參照本規(guī)范第4

7、、5節(jié)，安裝操作系統(tǒng)補(bǔ)丁和防病毒軟件，完成此操作以前不應(yīng)連接業(yè)務(wù)網(wǎng)絡(luò)；5. 建議安裝相應(yīng)Windows Server版本的Support Tools；6. 從“添加/刪除系統(tǒng)組件”中刪除“輔助工具”、“游戲”、“多媒體”、“索引服務(wù)”、“Script Debugger”、“更新根證書”等所有非必需組件；7. 調(diào)整應(yīng)用程序、安全和系統(tǒng)日志，將“最大日志文件大小”設(shè)置為至少20MB，安全日志原則上不應(yīng)設(shè)置覆蓋，應(yīng)定期檢查是否有足夠日志空間，在空間耗盡前及時(shí)進(jìn)行日志備份和截?cái)啵?wù)器日常檢查應(yīng)包括日志中異常信息的檢查；8. 安裝其它所需軟件，所安裝的應(yīng)用程序必須在配置文檔中記錄，根據(jù)需要將安裝源文件

8、保存在服務(wù)器上備查；9. 記錄硬件信息并制作標(biāo)簽，標(biāo)明服務(wù)器名稱、用途和維護(hù)管理人員聯(lián)系方式。記錄服務(wù)器硬件序列號，整理售后服務(wù)聯(lián)系方式，按需要向廠商進(jìn)行服務(wù)器注冊；10. 對于域控制器，在完成第3節(jié)安全設(shè)置前不能進(jìn)行Active Directory安裝操作；11. 對于不加入域的Windows Server 2003 操作系統(tǒng)，應(yīng)在“時(shí)間/日期 屬性”-“Internet時(shí)間”中，關(guān)閉“自動(dòng)與Internet時(shí)間服務(wù)器同步”。如果該服務(wù)器需要加入域，需運(yùn)以下行命令以配置同域服務(wù)器同步時(shí)鐘：Net Time /setsntp如果該服務(wù)器不加入域，但有可用時(shí)間服務(wù)器的，可根據(jù)需要配置時(shí)間同步。1

9、2. 啟用“密碼保護(hù)的屏幕保護(hù)”；13. 對于Windows Server 2008 R2，刪除計(jì)劃任務(wù)程序-計(jì)劃任務(wù)程序庫中內(nèi)建的計(jì)劃任務(wù)“User_Feed_Synchronization”。3 系統(tǒng)安全配置3.1 帳戶策略使用“本地安全策略”管理工具修改本地帳戶密碼策略，對于域控制器，使用“域安全策略”進(jìn)行域用戶帳戶密碼策略配置。（注意：定義在組織單元（OU）上組策略對象中的密碼策略，僅作用于該OU下的計(jì)算機(jī)的本地帳戶。）啟用密碼復(fù)雜性，密碼長度最低8位，強(qiáng)制密碼歷史最低為2，最短期限1天，禁用“為域中所有用戶使用可還原的加密來儲(chǔ)存密碼”。密碼更改最長期限：l 辦公網(wǎng)AD/文件和打印服務(wù)

10、器，密碼更改最長期限不超過180天。l 業(yè)務(wù)網(wǎng)AD服務(wù)器，密碼更改最長期限不超過90天。l 業(yè)務(wù)SNA服務(wù)器，密碼更改最長期限不超過90天。l 對于其它類別服務(wù)器，根據(jù)需要設(shè)置，建議不超過90天。根據(jù)需要啟用和配置帳戶鎖定策略。注意：SNA服務(wù)器一般不啟用帳戶鎖定策略，避免通信用戶鎖定導(dǎo)致的問題。必須修改默認(rèn)內(nèi)建管理員帳戶Administrator名稱。確保管理員組Administrators中僅包含授權(quán)帳戶，盡量減少管理員組成員數(shù)量，但每服務(wù)器應(yīng)至少有兩個(gè)可用管理員帳戶。必須修改 Guest 帳戶名稱并禁用。禁用其它非必需帳戶。對于Windows 2000，需禁用TSInternetUser

11、帳戶。3.2 審核策略使用“本地安全策略”管理工具或通過組策略修改審核策略：l 審核帳戶登錄事件：成功、失??；l 審核登錄事件：成功（失敗審計(jì)根據(jù)需要開啟）；l 審核帳戶管理：成功；l 審核策略更改：成功。對于文件和打印服務(wù)器，可根據(jù)需要開啟：l 審核對象訪問：成功、失敗根據(jù)需要啟用其它的審核策略。審核策略啟用后，需定期檢查安全日志空間使用情況，建立安全日志轉(zhuǎn)儲(chǔ)備份機(jī)制。3.3 用戶權(quán)利指派使用“本地安全策略”管理工具或通過組策略修改“用戶權(quán)利指派”：l 從網(wǎng)絡(luò)訪問此計(jì)算機(jī)：移除Everyone組；l 允許在本地登錄：僅保留Administrators、Backup Operators組和其他

12、必需成員；l 關(guān)閉系統(tǒng)：移除Users組和Power Users組。3.4 安全選項(xiàng)使用“本地安全策略”管理工具或通過組策略修改以下安全選項(xiàng)，未列出項(xiàng)保持默認(rèn)或根據(jù)需要修改。（以下針對Windows 2000）：l 允許在登錄前關(guān)機(jī)：禁用l 不顯示上次登錄用戶名：啟用l 將對 CD-ROM 的訪問限制到僅為本地登錄用戶：啟用l 將對軟盤的訪問限制到僅為本地登錄用戶：啟用l 對匿名連接的額外限制：沒有顯式匿名權(quán)限就無法訪問l 關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁面文件：啟用（根據(jù)需要設(shè)置）l LAN 管理器驗(yàn)證級別：僅發(fā)送 NTLM v2 響應(yīng)拒絕 LM （以下針對Windows Server 2003）：l

13、關(guān)機(jī)：清除虛擬內(nèi)存頁面文件 啟用（根據(jù)需要設(shè)置）l 交互式登錄：不顯示上次登錄用戶名 啟用l 設(shè)備：只有本地登錄的用戶才能訪問 CD-ROM 啟用l 設(shè)備：只有本地登錄的用戶才能訪問軟盤 啟用l 網(wǎng)絡(luò)安全：LAN Manager身份驗(yàn)證級別：僅發(fā)送 NTLM v2 響應(yīng)拒絕 LM l 網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉 啟用l 賬戶：來賓賬戶狀態(tài) 已禁用 （以下針對Windows Server 2008）：l 關(guān)機(jī)：清除虛擬內(nèi)存頁面文件 啟用（根據(jù)需要設(shè)置）l 關(guān)機(jī)：允許系統(tǒng)在未登錄的情況下關(guān)閉 禁用l 恢復(fù)控制臺(tái)：允許自動(dòng)管理登錄 禁用l 交互式登錄：不顯示最后的用戶名 啟用l 設(shè)備

14、：將CD-ROM的訪問權(quán)限僅限于本地登錄的用戶 啟用l 設(shè)備：將軟盤驅(qū)動(dòng)器的訪問權(quán)限僅限于本地登錄的用戶 啟用l 網(wǎng)絡(luò)安全：LAN 管理器身份驗(yàn)證級別：僅發(fā)送 NTLM v2 響應(yīng)拒絕 LM l 網(wǎng)絡(luò)訪問：不允許SAM賬戶的匿名枚舉 啟用l 網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉 啟用l 賬戶：來賓賬戶狀態(tài) 已禁用注意：（1）對于辦公網(wǎng)AD/文件服務(wù)器、業(yè)務(wù)網(wǎng)AD服務(wù)器和業(yè)務(wù)網(wǎng)SNA服務(wù)器，如果有低版本客戶端（Windows NT/9x，DOS）訪問，需要降低安全級別至“發(fā)送 LM/NTLM - 如果已協(xié)商，使用NTLM v2會(huì)話安全”。（2）當(dāng)啟用“關(guān)機(jī)時(shí)清除虛擬內(nèi)存頁面文件”時(shí)，會(huì)顯著

15、延長操作系統(tǒng)關(guān)閉的時(shí)間，建議根據(jù)需要確定是否開啟。3.5 系統(tǒng)服務(wù)停止以下系統(tǒng)服務(wù)并設(shè)置啟動(dòng)方式為“禁用”（如果存在）：l Alterl Computer Browserl Error Reporting Servicel Messengerl Shell Hardware Detectionl Windows Audiol WinHTTP Web Proxy Auto-Discovery Service未列出的服務(wù)建議保持系統(tǒng)默認(rèn)狀態(tài)。注意：某些特定應(yīng)用程序可能依賴于以上服務(wù)，如CA ARCServe 需要啟動(dòng)Computer Brower服務(wù)，請根據(jù)實(shí)際情況進(jìn)行調(diào)整。對于加入域的計(jì)算機(jī)，以

16、下服務(wù)必須啟用：l DHCP Clientl DNS Clientl Net Logonl TCP/IP NetBIOS Helperl Windows Timel Workstationl Group Policy Client （Windows Server 2008）對于要求嚴(yán)格安全設(shè)置的應(yīng)用服務(wù)器，可根據(jù)需要停用其它非必需的系統(tǒng)服務(wù)。在停用默認(rèn)為“啟動(dòng)”的系統(tǒng)服務(wù)前，需進(jìn)行全面測試。3.6 其它安全配置項(xiàng)使用Gpeidt.msc編輯本地組策略或修改組策略，設(shè)置“計(jì)算機(jī)配置”-“管理模板”-“系統(tǒng)”-“關(guān)閉自動(dòng)播放”對所有驅(qū)動(dòng)器啟用。可根據(jù)需要修改注冊表以關(guān)閉默認(rèn)管理共享（注意：辦公網(wǎng)A

17、D/文件和打印服務(wù)器，業(yè)務(wù)網(wǎng)AD服務(wù)器，業(yè)務(wù)網(wǎng)SNA服務(wù)器不能進(jìn)行此修改）：HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters“AutoShareServer”=dword:0修改完成后重啟Server服務(wù)。3.7 網(wǎng)絡(luò)安全可根據(jù)需要?jiǎng)h除或取消綁定網(wǎng)絡(luò)連接“屬性”中“Microsoft 網(wǎng)絡(luò)的文件和打印共享”組件（注意：除辦公網(wǎng)AD/文件和打印服務(wù)器，業(yè)務(wù)網(wǎng)AD服務(wù)器，業(yè)務(wù)網(wǎng)SNA服務(wù)器不能進(jìn)行移除）。建議在所有網(wǎng)絡(luò)連接的TCP/IP協(xié)議“屬性”中，配置“禁用TCP/IP上的NetBIOS”。（注意：此設(shè)置可能帶來一些問題，如致N

18、et Send命令無法使用，禁用了SMB over TCP/IP的客戶端無法訪問共享等，需留意。）對于Windows Server 2003，一般應(yīng)關(guān)閉Windows 防火墻。對于Windows Server 2008，一般應(yīng)關(guān)閉Windows防火墻（注意：需要在高級安全Windows防火墻屬性中關(guān)閉所有配置文件的防火墻后，才能停用Windows Firewall服務(wù)）。向網(wǎng)絡(luò)管理員提交需要連接此服務(wù)器的網(wǎng)絡(luò)地址范圍，通信使用的TCP/IP端口等信息。3.8 上線前安全掃描在服務(wù)器上線運(yùn)行前，填寫系統(tǒng)掃描申請，由安全管理員進(jìn)行掃描，采取措施消除所有中高級風(fēng)險(xiǎn)漏洞，并對低風(fēng)險(xiǎn)漏洞進(jìn)行逐一確認(rèn)。保

19、存安全掃描結(jié)果存檔。4 系統(tǒng)更新4.1 補(bǔ)丁管理服務(wù)器上線前，連接辦公網(wǎng)WSUS服務(wù)器，下載并安裝所有適用的補(bǔ)丁。服務(wù)器上線后，配置通過業(yè)務(wù)網(wǎng)WSUS服務(wù)器進(jìn)行自動(dòng)更新：l 自動(dòng)下載并通知安裝l 正確設(shè)置Intranet更新和統(tǒng)計(jì)服務(wù)器地址在自動(dòng)更新服務(wù)提示有新的補(bǔ)丁可用時(shí)，首先在相同操作系統(tǒng)的測試服務(wù)器上進(jìn)行測試，確認(rèn)安裝正常后，提出補(bǔ)丁安裝申請，批準(zhǔn)后才能進(jìn)行安裝。4.2 補(bǔ)丁安裝經(jīng)過測試的補(bǔ)丁，只能在服務(wù)器非工作時(shí)間段安裝。補(bǔ)丁安裝后，應(yīng)進(jìn)行全面的系統(tǒng)檢查，確認(rèn)運(yùn)行正常。5 防病毒軟件5.1 版本至本規(guī)范最后更新時(shí)，新安裝的服務(wù)器安裝防病毒軟件版本要求為（2010-1-18更新）：l S

20、ymantec Endpoint Security 11應(yīng)根據(jù)服務(wù)器操作系統(tǒng)版本選擇對應(yīng)的防病毒軟件功能和語言版本。防病毒軟件的安裝包的獲取、安裝、配置方法，以總行信息技術(shù)部安全管理室發(fā)布的相關(guān)文檔為準(zhǔn)。SEP 11在服務(wù)器上安裝時(shí)候，不應(yīng)安裝“主動(dòng)威脅防護(hù)”和“網(wǎng)絡(luò)威脅防護(hù)”模塊。5.2 病毒定義碼更新在測試環(huán)境安裝防病毒軟件前，確保服務(wù)器能夠通過DNS服務(wù)器或HOSTS文件解析防病毒管理服務(wù)器名稱和對應(yīng)IP地址。安裝時(shí)選擇接受管理，正確指定防病毒管理服務(wù)器名稱，確認(rèn)防病毒軟件安裝成功，病毒定義碼升級為最新版本。業(yè)務(wù)網(wǎng)服務(wù)器上線后，確認(rèn)能夠連接業(yè)務(wù)網(wǎng)病毒服務(wù)器。如果設(shè)置定時(shí)掃描，需要安排在空閑時(shí)段進(jìn)行。應(yīng)根據(jù)實(shí)際情況設(shè)置實(shí)時(shí)檢測和掃描的排除項(xiàng)，如排除數(shù)據(jù)庫和應(yīng)用程序事務(wù)日志所在目錄。定期檢查病毒定義碼是否及時(shí)更新，并檢查病毒掃描日志。版本更新說明當(dāng)前版本：2011-1-18 上一版本：2009-1-81、定義將原業(yè)務(wù)網(wǎng)Active Directory服務(wù)器/業(yè)務(wù)網(wǎng)SNA服務(wù)器從一類分成單獨(dú)兩類。2、版本選擇允許使用的操作系統(tǒng)版本，增加了Windows Server 2008 R2。3、安裝對系統(tǒng)分區(qū)的大小劃分修改為“建議不低于40G”。對SNMP協(xié)議增加“可能的情況下