服务器设备实施配置规范.docx

《服务器设备实施配置规范.docx》由会员分享，可在线阅读，更多相关《服务器设备实施配置规范.docx（9页珍藏版）》请在优知文库上搜索。

1、服务器实施规范1定义按照主要功能区分WindoWS服务器为以下类别：(1)办公网ACtiVeDirectory/文件和打印服务器(2)业务网ActiveDireCtory服务器(3) WCb服务器:运行IlSWCb服务(4) FTP服务器:运行HSFTP或SerVeLU等FTP服务(5)数据库服务器：运行ORACLE,SQLServer,MYSQL,DB2(6)应用服务器：运行其他网络应用请注意：本规范中部分配置项仅适用于特定的服务器类别，请注意区分。如未列明类别，则适用于所有服务器。2安装操作系统2.1版本选择根据开发人员/软件供应商的要求，结合服务器硬件类型，选择合适的操作系统版本。允许安

2、装使用的操作系统版本：(1)WindowsServer2003R2(x86,x64和IA64版)，包含SerViCePack2(2)WindowsServer2008R2(3)RedHatEnterpriseLinux6.4x64(4)OracleEnterpriseLinux6.4x64(5)Centos6.4x64本文以WincIoWS为范本2.2微码升级如果硬件微码版本过低，或者其他有升级微码的必要性，才能升级硬件微码，否则不升级微码。2.3安装1 .使用硬件厂商提供的向导光盘启动服务器，开始操作系统安装；2 .操作系统安装目标分区所在磁盘，必须配置为具有容错功能的硬件磁盘阵列(RAn)

3、IRAID1+ORAID5等)，确认磁盘阵列已经按照要求配置;3 .系统分区必须使用NTFS文件系统,大小建议不低于40G；4 .选择正确的操作系统类型，根据实际情况输入用户名和组织名；5 .输入操作系统CDKey；6 .由于使用服务器管理软件(如HPInsightManagementAgent等)而必需安装SNMP组件时，必须修改默认SNMP社区名，要求最短8位，并同时包含字母、数字和特殊字符，在可能的情况下设置SNMP仅接受来自本地或特定IP地址的访问。除此之外一般不启用SNMP；7 .“许可模式”一般设置为“每客户端”模式，或根据实际情况修改；8 .放入操作系统安装光盘，开始操作系统安装

4、；9 .设置计算机名称，应简洁直观，能反映服务器的主要用途，同一用途有多台服务器的，要添加数字或字母后缀作为区别；10 .AdminiStratOr帐户初始密码应设置为最少8位，并同时包含大写/小写字母、数字和特殊字符其中的至少3类；IL根据事先申请的IP地址等网络参数配置网络，根据服务器用途设置所在工作组名称(如“DBGR0UP),在安装所有安全补丁和防病毒软件之前，仅能接入测试网络；12 .正确设置时间和时区；13 .配置合适的显示分辨率/颜色质量/刷新率，刷新频率不应过高；14 .完成操作系统安装。L将系统分区（C分区）卷标设置为“SYS”；调整驱动器盘符，使光驱使用最靠后的顺序盘符；划

5、分剩余磁盘空间并格式化，所有分区必须使用NTFS文件系统，卷标应表明该空间主要用途；2 .设置页面文件放置于C分区，页面文件大小建议设置为物理内存的2倍，一般不超过4096MB,最低不小于200MB；3 .对于32位操系统，如果物理内存为4GB,建议在Boot.ini文件中添加“/PAE”参数，以使操作系统中能够正确识别物理内存数量，如果需要添加“/3GB”参数，须事先同软件开发人员/软件供应厂商确认；如果物理内存大于4GB,需在Boot.ini文件中增加启动参数“/PAE（不能和/3GB参数同时使用），重启后确认能够从资源管理器中正确识别物理内存数量；4 .参照本规范第4、5节，安装操作系统

6、补丁和防病毒软件，完成此操作以前不应连接业务网络；5 .建议安装相应WindowsServer版本的SupportTools；6 .从“添加/删除系统组件”中删除“辅助工具”、“游戏”、“多媒体”、“索引服务”、“ScriptDebugger.更新根证书”等所有非必需组件；7 .调整应用程序、安全和系统日志，将“最大日志文件大小”设置为至少20MB,安全日志原则上不应设置覆盖，应定期检查是否有足够日志空间，在空间耗尽前及时进行日志备份和截断，服务器日常检查应包括日志中异常信息的检查；8 .安装其它所需软件，所安装的应用程序必须在配置文档中记录，根据需要将安装源文件保存在服务器上备查；9 .记录

7、硬件信息并制作标签，标明服务器名称、用途和维护管理人员联系方式。记录服务器硬件序列号，整理售后服务联系方式，按需要向厂商进行服务器注册；10 .对于域控制器，在完成第3节安全设置前不能进行ACtiVeDireCtory安装操作；IL对于不加入域的WindoWSServer2003操作系统，应在“时间/日期属性”-Internet时间”中，关闭“自动与Internet时间服务器同步”。如果该服务器需要加入域，需运以下行命令以配置同域服务器同步时钟：NetTime/setsntp如果该服务器不加入域，但有可用时间服务器的，可根据需要配置时间同步。12 .启用“密码保护的屏幕保护”；13 .对于Wi

8、neiOwSServer2008R2,删除计划任务程序-计划任务程序库中内建的计划任务“UserFeedSynchronization03系统安全配置3.1 帐户策略使用“本地安全策略”管理工具修改本地帐户密码策略，对于域控制器，使用“域安全策略”进行域用户帐户密码策略配置。（注意：定义在组织单元（OU）上组策略对象中的密码策略，仅作用于该OU下的计算机的本地帐户。）启用密码复杂性，密码长度最低8位，强制密码历史最低为2,最短期限1天，禁用“为域中所有用户使用可还原的加密来储存密码”。密码更改最长期限： 办公网AD/文件和打印服务器，密码更改最长期限不超过180天。 业务网AD服务器，密码更改

9、最长期限不超过90天。 对于其它类别服务器，根据需要设置，建议不超过90天。根据需要启用和配置帐户锁定策略。必须修改默认内建管理员帐户Administrator名称。确保管理员组AdminiStratOrS中仅包含授权帐户，尽量减少管理员组成员数量，但每服务器应至少有两个可用管理员帐户。必须修改Guest帐户名称并禁用。禁用其它非必需帐户。3.2 审核策略使用“本地安全策略”管理工具或通过组策略修改审核策略：审核帐户登录事件：成功、失败；审核登录事件：成功（失败审计根据需要开启）； 审核帐户管理：成功； 审核策略更改：成功。对于文件和打印服务器，可根据需要开启： 审核对象访问：成功、失败根据需

10、要启用其它的审核策略。审核策略启用后，需定期检查安全日志空间使用情况，建立安全日志转储备份机制。3. 3用户权利指派使用“本地安全策略”管理工具或通过组策略修改“用户权利指派”：从网络访问此计算机：移除Eveivonc组；允许在本地登录：仅保留AdminiStratOrs、BackupOPeratOrS组和其他必需成员；关闭系统：移除USerS组和PoWerUSerS组。3. 4安全选项使用“本地安全策略”管理工具或通过组策略修改以下安全选项，未列出项保持默认或根据需要修改。（以下针对WindoWSServer2003）： 关机：清除虚拟内存页面文件启用（根据需要设置） 交互式登录：不显示上次

11、登录用户名启用 设备：只有本地登录的用户才能访问CD-ROM启用 设备：只有本地登录的用户才能访问软盘启用 网络安全：LANManager身份验证级别：仅发送NTLMv2响应拒绝LM 网络访问：不允许SAM账户和共享的匿名枚举启用账户：来宾账户状态已禁用（以下针对WindoWSServer2008）： 关机：清除虚拟内存页面文件启用（根据需要设置） 关机：允许系统在未登录的情况下关闭禁用 恢复控制台：允许自动管理登录禁用 交互式登录：不显示最后的用户名启用 设备：将CD-ROM的访问权限仅限于本地登录的用户启用 设备：将软盘驱动器的访问权限仅限于本地登录的用户启用 网络安全：LAN管理器身份验

12、证级别：仅发送NTLMv2响应拒绝LM 网络访问：不允许SAM账户的匿名枚举启用 网络访问：不允许SAM账户和共享的匿名枚举启用 账户：来宾账户状态已禁用3. 5系统服务停止以下系统服务并设置启动方式为“禁用”（如果存在）：AlterComputerBrowser ErrorReportingServiceMessengerShellHardwareDetectionWindowsAudio WinHTTPWebProxyAuto-DiscoveryService未列出的服务建议保持系统默认状态。注意：某些特定应用程序可能依赖于以上服务，如CAARCServe需要启动ComputerBrOWe

13、r服务，请根据实际情况进行调整。对于加入域的计算机，以下服务必须启用： DHCPClientDNSClientNetLogonTCP/IPNetBIOSHelperWindowsTimeWorkstationGroupPolicyClient(WindowsServer2008)对于要求严格安全设置的应用服务器，可根据需要停用其它非必需的系统服务。在停用默认为“启动”的系统服务前，需进行全面测试。3. 6其它安全配置项使用GPeiCIt.msc编辑本地组策略或修改组策略，设置“计算机配置”-“管理模板”-“系统”-“关闭自动播放”对所有驱动器启用。可根据需要修改注册表以关闭默认管理共享HKLM

14、SYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer,=dword:0修改完成后重启Server服务。3.7网络安全可根据需要删除或取消绑定网络连接“属性”中Microsoft网络的文件和打印共享”组件。建议在所有网络连接的TCP/IP协议“属性”中，配置“禁用TCP/IP上的NetBIOSO(注意：此设置可能带来一些问题，如致NetSend命令无法使用，禁用了SMBoverTCP/IP的客户端无法访问共享等，需留意。)对于WindoWSServer2003,一般应关闭WindOWS防火墙。对于WindOWSS

15、erver2008,一般应关闭TyindOwS防火墙（注意：需要在高级安全WindOWS防火墙属性中关闭所有配置文件的防火墙后，才能停用WindowsFirewall服务）。向网络管理员提交需要连接此服务器的网络地址范围，通信使用的TCP/IP端口等信息。3. 8上线前安全扫描在服务器上线运行前，填写系统扫描申请，由安全管理员进行扫描，采取措施消除所有中高级风险漏洞，并对低风险漏洞进行逐一确认。保存安全扫描结果存档。4系统更新4.1补丁管理服务器上线前，连接办公网更新服务器，下载并安装所有适用的补丁。服务器上线后，配置通过业务网更新服务器进行自动更新：自动下载并通知安装正确设置Intranet更新和统计服务器地址在自动更新服务提示有新的补丁可用时，首先在相同操作系统的测试服务器上进行测试，确认安装正常后，提出补丁安装申请，批准后才能进行安装。4. 2补丁安装经过测试的补丁，只能在服务器非工作时间段安装。补丁安装后，应进行全面的系统检查，确认运行正常。5防病毒软件5.1版