服务器设备实施配置规范.docx

上传人:王** 文档编号:394211 上传时间:2023-08-01 格式:DOCX 页数:9 大小:26.12KB
下载 相关 举报
服务器设备实施配置规范.docx_第1页
第1页 / 共9页
服务器设备实施配置规范.docx_第2页
第2页 / 共9页
服务器设备实施配置规范.docx_第3页
第3页 / 共9页
服务器设备实施配置规范.docx_第4页
第4页 / 共9页
服务器设备实施配置规范.docx_第5页
第5页 / 共9页
服务器设备实施配置规范.docx_第6页
第6页 / 共9页
服务器设备实施配置规范.docx_第7页
第7页 / 共9页
服务器设备实施配置规范.docx_第8页
第8页 / 共9页
服务器设备实施配置规范.docx_第9页
第9页 / 共9页
亲,该文档总共9页,全部预览完了,如果喜欢就下载吧!
资源描述

《服务器设备实施配置规范.docx》由会员分享,可在线阅读,更多相关《服务器设备实施配置规范.docx(9页珍藏版)》请在优知文库上搜索。

1、服务器实施规范1定义按照主要功能区分WindoWS服务器为以下类别:(1)办公网ACtiVeDirectory/文件和打印服务器(2)业务网ActiveDireCtory服务器(3) WCb服务器:运行IlSWCb服务(4) FTP服务器:运行HSFTP或SerVeLU等FTP服务(5)数据库服务器:运行ORACLE,SQLServer,MYSQL,DB2(6)应用服务器:运行其他网络应用请注意:本规范中部分配置项仅适用于特定的服务器类别,请注意区分。如未列明类别,则适用于所有服务器。2安装操作系统2.1版本选择根据开发人员/软件供应商的要求,结合服务器硬件类型,选择合适的操作系统版本。允许安

2、装使用的操作系统版本:(1)WindowsServer2003R2(x86,x64和IA64版),包含SerViCePack2(2)WindowsServer2008R2(3)RedHatEnterpriseLinux6.4x64(4)OracleEnterpriseLinux6.4x64(5)Centos6.4x64本文以WincIoWS为范本2.2微码升级如果硬件微码版本过低,或者其他有升级微码的必要性,才能升级硬件微码,否则不升级微码。2.3安装1 .使用硬件厂商提供的向导光盘启动服务器,开始操作系统安装;2 .操作系统安装目标分区所在磁盘,必须配置为具有容错功能的硬件磁盘阵列(RAn)

3、IRAID1+ORAID5等),确认磁盘阵列已经按照要求配置;3 .系统分区必须使用NTFS文件系统,大小建议不低于40G;4 .选择正确的操作系统类型,根据实际情况输入用户名和组织名;5 .输入操作系统CDKey;6 .由于使用服务器管理软件(如HPInsightManagementAgent等)而必需安装SNMP组件时,必须修改默认SNMP社区名,要求最短8位,并同时包含字母、数字和特殊字符,在可能的情况下设置SNMP仅接受来自本地或特定IP地址的访问。除此之外一般不启用SNMP;7 .“许可模式”一般设置为“每客户端”模式,或根据实际情况修改;8 .放入操作系统安装光盘,开始操作系统安装

4、;9 .设置计算机名称,应简洁直观,能反映服务器的主要用途,同一用途有多台服务器的,要添加数字或字母后缀作为区别;10 .AdminiStratOr帐户初始密码应设置为最少8位,并同时包含大写/小写字母、数字和特殊字符其中的至少3类;IL根据事先申请的IP地址等网络参数配置网络,根据服务器用途设置所在工作组名称(如“DBGR0UP),在安装所有安全补丁和防病毒软件之前,仅能接入测试网络;12 .正确设置时间和时区;13 .配置合适的显示分辨率/颜色质量/刷新率,刷新频率不应过高;14 .完成操作系统安装。L将系统分区(C分区)卷标设置为“SYS”;调整驱动器盘符,使光驱使用最靠后的顺序盘符;划

5、分剩余磁盘空间并格式化,所有分区必须使用NTFS文件系统,卷标应表明该空间主要用途;2 .设置页面文件放置于C分区,页面文件大小建议设置为物理内存的2倍,一般不超过4096MB,最低不小于200MB;3 .对于32位操系统,如果物理内存为4GB,建议在Boot.ini文件中添加“/PAE”参数,以使操作系统中能够正确识别物理内存数量,如果需要添加“/3GB”参数,须事先同软件开发人员/软件供应厂商确认;如果物理内存大于4GB,需在Boot.ini文件中增加启动参数“/PAE(不能和/3GB参数同时使用),重启后确认能够从资源管理器中正确识别物理内存数量;4 .参照本规范第4、5节,安装操作系统

6、补丁和防病毒软件,完成此操作以前不应连接业务网络;5 .建议安装相应WindowsServer版本的SupportTools;6 .从“添加/删除系统组件”中删除“辅助工具”、“游戏”、“多媒体”、“索引服务”、“ScriptDebugger.更新根证书”等所有非必需组件;7 .调整应用程序、安全和系统日志,将“最大日志文件大小”设置为至少20MB,安全日志原则上不应设置覆盖,应定期检查是否有足够日志空间,在空间耗尽前及时进行日志备份和截断,服务器日常检查应包括日志中异常信息的检查;8 .安装其它所需软件,所安装的应用程序必须在配置文档中记录,根据需要将安装源文件保存在服务器上备查;9 .记录

7、硬件信息并制作标签,标明服务器名称、用途和维护管理人员联系方式。记录服务器硬件序列号,整理售后服务联系方式,按需要向厂商进行服务器注册;10 .对于域控制器,在完成第3节安全设置前不能进行ACtiVeDireCtory安装操作;IL对于不加入域的WindoWSServer2003操作系统,应在“时间/日期属性”-Internet时间”中,关闭“自动与Internet时间服务器同步”。如果该服务器需要加入域,需运以下行命令以配置同域服务器同步时钟:NetTime/setsntp如果该服务器不加入域,但有可用时间服务器的,可根据需要配置时间同步。12 .启用“密码保护的屏幕保护”;13 .对于Wi

8、neiOwSServer2008R2,删除计划任务程序-计划任务程序库中内建的计划任务“UserFeedSynchronization03系统安全配置3.1 帐户策略使用“本地安全策略”管理工具修改本地帐户密码策略,对于域控制器,使用“域安全策略”进行域用户帐户密码策略配置。(注意:定义在组织单元(OU)上组策略对象中的密码策略,仅作用于该OU下的计算机的本地帐户。)启用密码复杂性,密码长度最低8位,强制密码历史最低为2,最短期限1天,禁用“为域中所有用户使用可还原的加密来储存密码”。密码更改最长期限: 办公网AD/文件和打印服务器,密码更改最长期限不超过180天。 业务网AD服务器,密码更改

9、最长期限不超过90天。 对于其它类别服务器,根据需要设置,建议不超过90天。根据需要启用和配置帐户锁定策略。必须修改默认内建管理员帐户Administrator名称。确保管理员组AdminiStratOrS中仅包含授权帐户,尽量减少管理员组成员数量,但每服务器应至少有两个可用管理员帐户。必须修改Guest帐户名称并禁用。禁用其它非必需帐户。3.2 审核策略使用“本地安全策略”管理工具或通过组策略修改审核策略:审核帐户登录事件:成功、失败;审核登录事件:成功(失败审计根据需要开启); 审核帐户管理:成功; 审核策略更改:成功。对于文件和打印服务器,可根据需要开启: 审核对象访问:成功、失败根据需

10、要启用其它的审核策略。审核策略启用后,需定期检查安全日志空间使用情况,建立安全日志转储备份机制。3. 3用户权利指派使用“本地安全策略”管理工具或通过组策略修改“用户权利指派”:从网络访问此计算机:移除Eveivonc组;允许在本地登录:仅保留AdminiStratOrs、BackupOPeratOrS组和其他必需成员;关闭系统:移除USerS组和PoWerUSerS组。3. 4安全选项使用“本地安全策略”管理工具或通过组策略修改以下安全选项,未列出项保持默认或根据需要修改。(以下针对WindoWSServer2003): 关机:清除虚拟内存页面文件启用(根据需要设置) 交互式登录:不显示上次

11、登录用户名启用 设备:只有本地登录的用户才能访问CD-ROM启用 设备:只有本地登录的用户才能访问软盘启用 网络安全:LANManager身份验证级别:仅发送NTLMv2响应拒绝LM 网络访问:不允许SAM账户和共享的匿名枚举启用账户:来宾账户状态已禁用(以下针对WindoWSServer2008): 关机:清除虚拟内存页面文件启用(根据需要设置) 关机:允许系统在未登录的情况下关闭禁用 恢复控制台:允许自动管理登录禁用 交互式登录:不显示最后的用户名启用 设备:将CD-ROM的访问权限仅限于本地登录的用户启用 设备:将软盘驱动器的访问权限仅限于本地登录的用户启用 网络安全:LAN管理器身份验

12、证级别:仅发送NTLMv2响应拒绝LM 网络访问:不允许SAM账户的匿名枚举启用 网络访问:不允许SAM账户和共享的匿名枚举启用 账户:来宾账户状态已禁用3. 5系统服务停止以下系统服务并设置启动方式为“禁用”(如果存在):AlterComputerBrowser ErrorReportingServiceMessengerShellHardwareDetectionWindowsAudio WinHTTPWebProxyAuto-DiscoveryService未列出的服务建议保持系统默认状态。注意:某些特定应用程序可能依赖于以上服务,如CAARCServe需要启动ComputerBrOWe

13、r服务,请根据实际情况进行调整。对于加入域的计算机,以下服务必须启用: DHCPClientDNSClientNetLogonTCP/IPNetBIOSHelperWindowsTimeWorkstationGroupPolicyClient(WindowsServer2008)对于要求严格安全设置的应用服务器,可根据需要停用其它非必需的系统服务。在停用默认为“启动”的系统服务前,需进行全面测试。3. 6其它安全配置项使用GPeiCIt.msc编辑本地组策略或修改组策略,设置“计算机配置”-“管理模板”-“系统”-“关闭自动播放”对所有驱动器启用。可根据需要修改注册表以关闭默认管理共享HKLM

14、SYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer,=dword:0修改完成后重启Server服务。3.7网络安全可根据需要删除或取消绑定网络连接“属性”中Microsoft网络的文件和打印共享”组件。建议在所有网络连接的TCP/IP协议“属性”中,配置“禁用TCP/IP上的NetBIOSO(注意:此设置可能带来一些问题,如致NetSend命令无法使用,禁用了SMBoverTCP/IP的客户端无法访问共享等,需留意。)对于WindoWSServer2003,一般应关闭WindOWS防火墙。对于WindOWSS

15、erver2008,一般应关闭TyindOwS防火墙(注意:需要在高级安全WindOWS防火墙属性中关闭所有配置文件的防火墙后,才能停用WindowsFirewall服务)。向网络管理员提交需要连接此服务器的网络地址范围,通信使用的TCP/IP端口等信息。3. 8上线前安全扫描在服务器上线运行前,填写系统扫描申请,由安全管理员进行扫描,采取措施消除所有中高级风险漏洞,并对低风险漏洞进行逐一确认。保存安全扫描结果存档。4系统更新4.1补丁管理服务器上线前,连接办公网更新服务器,下载并安装所有适用的补丁。服务器上线后,配置通过业务网更新服务器进行自动更新:自动下载并通知安装正确设置Intranet更新和统计服务器地址在自动更新服务提示有新的补丁可用时,首先在相同操作系统的测试服务器上进行测试,确认安装正常后,提出补丁安装申请,批准后才能进行安装。4. 2补丁安装经过测试的补丁,只能在服务器非工作时间段安装。补丁安装后,应进行全面的系统检查,确认运行正常。5防病毒软件5.1版

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 服务器

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!