Windows 20032008服務器配置規(guī)范

經(jīng)典word整理文檔，僅參考，雙擊此處可刪除頁眉頁腳。本資料屬于網(wǎng)絡(luò)整理，如有侵權(quán)，請聯(lián)系刪除，謝謝！122222334445566674777577811按照主要功能區(qū)分Windows服務器為以下類別：（1）辦公網(wǎng)ActiveDirectory/文件和打印服務器（2）業(yè)務網(wǎng)ActiveDirectory服務器（3）業(yè)務網(wǎng)SNA服務器（4）Web服務器：運行IISWeb服務（5）FTP服務器：運行IISFTP或Server-U等FTP服務（6）SQLServer服務器：運行SQLServer2005或SQLServer2008（7）應用服務器：運行其他網(wǎng)絡(luò)應用請注意：本規(guī)范中部分配置項僅適用于特定的服務器類別，請注意區(qū)分。如未列明類別，則適用于所有服務器。2根據(jù)開發(fā)人員/版本。如無特殊要求，建議使用32位WindowsServer2003中文標準版。允許安裝使用的操作系統(tǒng)版本：(1)WindowsServer（x86x64和IA64ServicePack2(2)WindowsServer2003（x86x64和IA64ServicePack2(3)WindowsServer2008R2如果硬件微碼版本過低，或者其他有升級微碼的必要性，才能升級硬件微碼，否則不升級微碼。1.使用硬件廠商提供的向?qū)Ч獗P啟動服務器，開始操作系統(tǒng)安裝；2.操作系統(tǒng)安裝目標分區(qū)所在磁盤，必須配置為具有容錯功能的硬件磁盤陣列（RAID1/RAID1+0/RAID5/ADG3.系統(tǒng)分區(qū)必須使用NTFS文件系統(tǒng)，大小建議不低于40G；4.選擇正確的操作系統(tǒng)類型，根據(jù)實際情況輸入用戶名和組織名；5.輸入操作系統(tǒng)CDKey；26.由于使用服務器管理軟件（如HPInsightManagementAgent等）而必需安裝SNMPSNMP8SNMP僅接受來自本地或特定IP地址的訪問。除此之外一般不啟用SNMP；7.“許可模式”一般設(shè)置為“每客戶端”模式，或根據(jù)實際情況修改；8.放入操作系統(tǒng)安裝光盤，開始操作系統(tǒng)安裝；9.設(shè)置計算機名稱，應簡潔直觀，能反映服務器的主要用途，同一用途有多臺服務器的，要添加數(shù)字或字母后綴作為區(qū)別；10.Administrator帳戶初始密碼應設(shè)置為最少8位，并同時包含大寫/小寫字母、數(shù)字和特殊字符其中的至少3類；11.根據(jù)事先申請的IP名稱（如“DBGROUP測試網(wǎng)絡(luò)；12.正確設(shè)置時間和時區(qū)；13.配置合適的顯示分辨率/顏色質(zhì)量/刷新率，刷新頻率不應過高；14.完成操作系統(tǒng)安裝。1.將系統(tǒng)分區(qū)（C分區(qū)）卷標設(shè)置為“SYS后的順序盤符；劃分剩余磁盤空間并格式化，所有分區(qū)必須使用NTFS文件系統(tǒng)，卷標應表明該空間主要用途；2.設(shè)置頁面文件放置于C分區(qū)，頁面文件大小建議設(shè)置為物理內(nèi)存的2倍，一般不超過4096MB，最低不小于200MB；3.對于32位操系統(tǒng)，如果物理內(nèi)存為，建議在Boot.ini文件中添加“/PAE”參數(shù)，以使操作系統(tǒng)中能夠正確識別物理內(nèi)存數(shù)量，如果需要添加“”參/軟件供應廠商確認；如果物理內(nèi)存大于，需在Boot.ini文件中增加啟動參數(shù)“/PAE/3GB認能夠從資源管理器中正確識別物理內(nèi)存數(shù)量；4.參照本規(guī)范第45節(jié)，安裝操作系統(tǒng)補丁和防病毒軟件，完成此操作以前不應連接業(yè)務網(wǎng)絡(luò)；5.建議安裝相應WindowsServer版本的SupportTools；6./“ScriptDebugger7.調(diào)整應用程序、安全和系統(tǒng)日志，將“最大日志文件大小”設(shè)置為至少，安全日志原則上不應設(shè)置覆蓋，應定期檢查是否有足夠日志空間，在空間耗盡前及時進行日志備份和截斷，服務器日常檢查應包括日志中異常信息的檢查；8.安裝其它所需軟件，所安裝的應用程序必須在配置文檔中記錄，根據(jù)需要將安裝源文件保存在服務器上備查；9.記錄硬件信息并制作標簽，標明服務器名稱、用途和維護管理人員聯(lián)系方式。記錄服務器硬件序列號，整理售后服務聯(lián)系方式，按需要向廠商進行服務器注3冊；10.對于域控制器，在完成第3節(jié)安全設(shè)置前不能進行ActiveDirectory安裝操作；11.對于不加入域的WindowsServer2003操作系統(tǒng)，應在“時間/日期屬性”-“Internet時間”中，關(guān)閉“自動與Internet要加入域，需運以下行命令以配置同域服務器同步時鐘：NetTime/setsntp如果該服務器不加入域，但有可用時間服務器的，可根據(jù)需要配置時間同步。12.13.對于WindowsServer2008R2，刪除計劃任務程序計劃任務程序庫中內(nèi)建的計劃任務“User_Feed_Synchronization3使用“本地安全策略”管理工具修改本地帳戶密碼策略，對于域控制器，使用）上組策略對象中的密碼策略，僅作用于該OU啟用密碼復雜性，密碼長度最低8位，強制密碼歷史最低為2，最短期限1天，密碼更改最長期限：辦公網(wǎng)AD/文件和打印服務器，密碼更改最長期限不超過180天。業(yè)務網(wǎng)AD服務器，密碼更改最長期限不超過90天。業(yè)務SNA服務器，密碼更改最長期限不超過90天。對于其它類別服務器，根據(jù)需要設(shè)置，建議不超過90天。根據(jù)需要啟用和配置帳戶鎖定策略。注意：SNA服務器一般不啟用帳戶鎖定策略，避免通信用戶鎖定導致的問題。必須修改默認內(nèi)建管理員帳戶Administrator名稱。確保管理員組Administrators中僅包含授權(quán)帳戶，盡量減少管理員組成員數(shù)量，但每服務器應至少有兩個可用管理員帳戶。必須修改Guest帳戶名稱并禁用。禁用其它非必需帳戶。使用“本地安全策略”管理工具或通過組策略修改審核策略：審核帳戶登錄事件：成功、失??；審核帳戶管理：成功；審核策略更改：成功。4對于文件和打印服務器，可根據(jù)需要開啟：審核對象訪問：成功、失敗根據(jù)需要啟用其它的審核策略。審核策略啟用后，需定期檢查安全日志空間使用情況，建立安全日志轉(zhuǎn)儲備份機制。從網(wǎng)絡(luò)訪問此計算機：移除Everyone組；AdministratorsBackupOperators組和其他必需成員；關(guān)閉系統(tǒng)：移除Users組和PowerUsers組。使用“本地安全策略”管理工具或通過組策略修改以下安全選項，未列出項保持默認或根據(jù)需要修改。（以下針對WindowsServer關(guān)機：清除虛擬內(nèi)存頁面文件啟用（根據(jù)需要設(shè)置）交互式登錄：不顯示上次登錄用戶名啟用設(shè)備：只有本地登錄的用戶才能訪問CD-ROM啟用設(shè)備：只有本地登錄的用戶才能訪問軟盤啟用網(wǎng)絡(luò)安全：LANManager身份驗證級別：僅發(fā)送NTLMv2響應拒絕LM網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉啟用賬戶：來賓賬戶狀態(tài)已禁用（以下針對WindowsServer關(guān)機：清除虛擬內(nèi)存頁面文件啟用（根據(jù)需要設(shè)置）關(guān)機：允許系統(tǒng)在未登錄的情況下關(guān)閉禁用恢復控制臺：允許自動管理登錄禁用交互式登錄：不顯示最后的用戶名啟用設(shè)備：將CD-ROM的訪問權(quán)限僅限于本地登錄的用戶啟用設(shè)備：將軟盤驅(qū)動器的訪問權(quán)限僅限于本地登錄的用戶啟用網(wǎng)絡(luò)安全：LAN管理器身份驗證級別：僅發(fā)送NTLMv2響應拒絕LM網(wǎng)絡(luò)訪問：不允許SAM賬戶的匿名枚舉啟用網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉啟用賬戶：來賓賬戶狀態(tài)已禁用注意：（1）對于辦公網(wǎng)AD/文件服務器、業(yè)務網(wǎng)AD服務器和業(yè)務網(wǎng)SNA服務器，如果有低版本客戶端（WindowsNT/9x，DOS）訪問，需要降低安全級別至“發(fā)送LM/NTLM-如果已協(xié)商，使用NTLMv25（2時間，建議根據(jù)需要確定是否開啟。AlterComputerBrowserErrorReportingServiceMessengerShellHardwareDetectionWindowsAudioWinHTTPWebProxyAuto-DiscoveryService未列出的服務建議保持系統(tǒng)默認狀態(tài)。注意：某些特定應用程序可能依賴于以上服務，如CAARCServe需要啟動ComputerBrower服務，請根據(jù)實際情況進行調(diào)整。對于加入域的計算機，以下服務必須啟用：DHCPClientDNSClientNetLogonTCP/IPNetBIOSHelperWindowsTimeWorkstationGroupPolicyClient（WindowsServer）在停用默認為“啟動”的系統(tǒng)服務前，需進行全面測試。使用Gpeidt.msc編輯本地組策略或修改組策略，設(shè)置“計算機配置”“管理模板”“系統(tǒng)”“關(guān)閉自動播放”對所有驅(qū)動器啟用。可根據(jù)需要修改注冊表以關(guān)閉默認管理共享（注意：辦公網(wǎng)AD/文件和打印服務器，業(yè)務網(wǎng)AD服務器，業(yè)務網(wǎng)SNA服務器不能進行此修改）：[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]AutoShareServer=dword:0修改完成后重啟Server服務。Microsoft網(wǎng)絡(luò)的文件和打印共享”組件（注意：除辦公網(wǎng)AD/文件和打印服務器，業(yè)務網(wǎng)AD服務器，業(yè)務網(wǎng)SNA服務器不能進行移除）。建議在所有網(wǎng)絡(luò)連接的TCP/IP協(xié)議“屬性”中，配置“禁用TCP/IP上的6NetSend命令無法使用，禁用了SMBoverTCP/IP對于WindowsServer，一般應關(guān)閉Windows防火墻。對于WindowsServerWindows全Windows防火墻屬性中關(guān)閉所有配置文件的防火墻后，才能停用FirewallWindows向網(wǎng)絡(luò)管理員提交需要連接此服務器的網(wǎng)絡(luò)地址范圍，通信使用的TCP/IP端口等信息。在服務器上線運行前，填寫系統(tǒng)掃描申請，由安全管理員進行掃描，采取措施消除所有中高級風險漏洞，并對低風險漏洞進行逐一確認。保存安全掃描結(jié)果存檔。4服務器上線前，連接辦公網(wǎng)WSUS服務器，下載并安裝所有適用的補丁。服務器上線后，配置通過業(yè)務網(wǎng)WSUS服務器進行自動更新：自動下載并通知安裝正確設(shè)置Intranet更新和統(tǒng)計服務器地址在自動更新服務提示有新的補丁可用時，首先在相同操作系統(tǒng)的測試服務器上進行測試，確認安裝正常后，提出補丁安裝申請，批準后才能進行安裝。經(jīng)過測試的補丁，只能在服務器非工作時間段安裝。補丁安裝后，應進行全面的系統(tǒng)檢查，確認運行正常。5至本規(guī)范最后更新時，新安裝的服務器安裝防病毒軟件版本要求為：SymantecEndpointSecurity12應根據(jù)服務器操作系統(tǒng)版本選擇對應的防病毒軟件功能和語言版本。防病毒軟件的安裝包的獲取、安裝、配置方法