WEB 服务器硬件配置方案.docx
《WEB 服务器硬件配置方案.docx》由会员分享,可在线阅读,更多相关《WEB 服务器硬件配置方案.docx(23页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、WEB 服务器硬件配置方案 WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案 备注: 1,系统支持Windows Server 2022 R2 Enterprise Edition、Windows Server 2022 R2 Web Edition、Windows Server 2022 R2 x64 Enterprise Edition、Windows
2、Server 2022 R2 x64 Standard Edition、Windows Storage Server 2022 R2 Workgroup Edition 2,工作环境:相对工作温度10-35,相对工作湿度20%-80% 无冷凝,相对存储温度-40-65,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 、按照Windows2022安装光盘的提示安装,默认情况下2022没有把IIS6.0安装在系统里面。 、IIS6.0的安装 开始菜单控制面板添加或删除程序添加/删除W
3、indows组件 应用程序 (可选) |启用网络COM+ 访问(必选) |Internet 信息服务(IIS)Internet 信息服务管理器(必选) |公用文件(必选) |万维网服务Active Server pages(必选) |Internet 数据连接器(可选) |WebDAV 发布(可选) |万维网服务(必选) |在服务器端的包含文件(可选) 然后点击确定下一步安装。 、系统补丁的更新 点击开始菜单所有程序Windows Update 按照提示进行补丁的安装。 、备份系统 用GHOST备份系统。 、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、
4、系统权限的设置 、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘Documents and SettingsAll Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文
5、件只给Administrators 组和SYSTEM 的完全控制权限 、本地安全策略设置 开始菜单管理工具本地安全策略 A、本地策略审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略安全选项 交互式登陆:不显示上次的用户名
6、启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除 网络访问:可匿名访问的命全部删除 网络访问:可远程访问的注册表路径全部删除 网络访问:可远程访问的注册表路径和子路径全部删除 帐户:重命名来宾帐户重命名一个帐户 帐户:重命名系统管理员帐户重命名一个帐户 、禁用不必要的服务 开始菜单管理工具服务 Print Spooler Remote Registry TCP/IP NetBIOS Helper Server 以上是在Windows Server 2022 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别
7、需要的话不要启动。 、启用防火墙 桌面网上邻居(右键)属性本地连接(右键)属性高级(选中)Internet 连接防火墙设置 把服务器上面要用到的服务端口选中 例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389) 在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号 如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。 然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。 三、Windows 2022安全配置 确保所有磁盘分区为NTFS分区 操作系统、We
8、b主目录、日志分别安装在不同的分区 不要安装不需要的协议,比如IPX/SPX, NetBIOS? 不要安装其它任何操作系统 安装所有补丁(用瑞星安全漏洞扫描下载) 关闭所有不需要的服务 * Alerter (disable) * ClipBook Server (disable) * Computer Browser (disable) * DHCP Client (disable) * Directory Replicator (disable) * FTP publishing service (disable) * License Logging Service (disable) *
9、Messenger (disable) * Netlogon (disable) * Network DDE (disable) * Network DDE DSDM (disable) * Network Monitor (disable) * Plug and Play (disable after all hardware configuration) * Remote Access Server (disable) * Remote Procedure Call (RPC) locater (disable) * Schedule (disable) * Server (disable
10、) * Simple Services (disable) * Spooler (disable) * TCP/IP Netbios Helper (disable) * Telephone Service (disable) . 帐号和密码策略 1)保证禁止guest帐号 2)将administrator改名为比较难猜的帐号 3)密码唯一性:记录上次的 6 个密码 4)最短密码期限:2 5)密码最长期限:42 6)最短密码长度:8 7)密码复杂化(passfilt.dll):启用 8)用户必须登录方能更改密码:启用 9)帐号失败登录锁定的时限:6 10)锁定后重新启用的时间间隔:720分钟
11、保护文件和目录 将C:winnt, C:winntconfig, C:winntsystem32, C:winntsystem等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限 注册表一些条目的修改 1)去除logon对话框中的shutdown按钮 将HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrent VersionWinlogon中 ShutdownWithoutLogon REG_SZ 值设为0 2)去除logon信息的cashing功能 将HKEY_LOCAL_MACHINESOFTWARE Micro
12、softWindows NTCurrent VersionWinlogon中 CachedLogonsCount REG_SZ 值设为0 4)限制LSA匿名访问 将HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlLSA中 RestriCanonymous REG_DWORD 值设为1 5)去除所有网络共享 将HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanManServerParameters中 AutoShareServer REG_DWORD 值设为0 四、IIS的安全配置 关闭并删
13、除默认站点: 默认FTP站点 默认Web站点 管理Web站点 建立自己的站点,与系统不在一个分区,如 D:wwwroot3建立E:Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是:Administrators(完全控制)System(完全控制) 删除IIS的部分目录: IISHelp C:winnthelpiishelp IISAdmin C:system32inetsrviisadmin MSADC C:Program FilesCommon FilesSystemmsadc 删除C:inetpub . 删除不必要的IIS映射和扩展: IIS 被预先
14、配置为支持常用的文件名扩展如.asp 和.shtm 文件。IIS 接收到这些类型的文件请求时,该调用由DLL 处理。如果您不使用其中的某些扩展或功能,则应删除该映射,步骤如下: 选择计算机名,点鼠标右键,选择属性: 然后选择编辑 然后选择主目录,点击配置 选择扩展名.htw,.htr,.idc,.ida,.idq和.printer,点击删除 如果不使用server side include,则删除.shtm .stm 和.shtml . 禁用父路径: “父路径”选项允许您在对诸如MapPath 函数调用中使用“.”。在默认情况下,该选项 处于启用状态,应该禁用它。 禁用该选项的步骤如下: 右键
15、单击该Web 站点的根,然后从上下文菜单中选择“属性”。 单击“主目录”选项卡。 单击“配置”。 单击“应用程序选项”选项卡。 取消选择“启用父路径”复选框。 . 在虚拟目录上设置访问控制权限 主页使用的文件按照文件类型应使用不同的访问控制列表: CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators(完全控制) System(完全控制) 脚本文件(.asp) Everyone (X) Administrators(完全控制) System(完全控制) include 文件(.inc, .shtm, .shtml) Everyone (X
16、) Administrators(完全控制) System(完全控制) 静态内容(.txt, .gif, .jpg, .html) Everyone (R) Administrators(完全控制) System(完全控制) 在创建Web站点时,没有必要在每个文件上设置访问控制权限,应该为每个文件类型创建一个新目录,然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。 例如,目录结构可为以下形式: D:wwwrootmyserverstatic (.html) D:wwwrootmyserverinclude (.inc) D:wwwrootmyserver script (.as
17、p) D:wwwrootmyserver executable (.dll) D:wwwrootmyserverimages (.gif, .jpeg) . 启用日志记录 确定服务器是否被攻击时,日志记录是极其重要的。 应使用W3C 扩展日志记录格式,步骤如下: 打开Internet 服务管理器: 右键单击站点,然后从上下文菜单中选择“属性”。 单击“Web 站点”选项卡。 选中“启用日志记录”复选框。 从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。 单击“属性”。 单击“扩展属性”选项卡,然后设置以下属性: * 客户IP 地址 * 用户名 * 方法 * URI 资源 * HT
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WEB 服务器硬件配置方案 服务器 硬件 配置 方案
限制150内