服务器配置规范

1Windows2000/2003/2008服务器配置规范最后更新：2011-1-18目录1定义....................................................................................................................................................22安装操作系统.....................................................................................................................................22.1版本选择................................................................................................................................22.2安装........................................................................................................................................22.3安装后配置............................................................................................................................33系统安全配置.....................................................................................................................................43.1帐户策略................................................................................................................................43.2审核策略................................................................................................................................43.3用户权利指派........................................................................................................................53.4安全选项................................................................................................................................53.5系统服务................................................................................................................................63.6其它安全配置项....................................................................................................................63.7网络安全................................................................................................................................73.8上线前安全扫描....................................................................................................................74系统更新.............................................................................................................................................74.1补丁管理................................................................................................................................74.2补丁安装................................................................................................................................75防病毒软件.........................................................................................................................................85.1版本........................................................................................................................................85.2病毒定义码更新....................................................................................................................8版本更新说明.........................................................................................................................................921定义按照主要功能区分Windows服务器为以下类别：（1）办公网ActiveDirectory/文件和打印服务器（2）业务网ActiveDirectory服务器（3）业务网SNA服务器（4）Web服务器：运行IISWeb服务（5）FTP服务器：运行IISFTP或Server-U等FTP服务（6）SQLServer服务器：运行SQLServer2000或SQLServer2005（7）应用服务器：运行其他网络应用请注意：本规范中部分配置项仅适用于特定的服务器类别，请注意区分。如未列明类别，则适用于所有服务器。2安装操作系统2.1版本选择根据开发人员/软件供应商的要求，结合服务器硬件类型，选择合适的操作系统版本。如无特殊要求，建议使用32位WindowsServer2003中文标准版。允许安装使用的操作系统版本：(2011-1-18更新)(1)Windows2000，安装ServicePack4(2)WindowsServer2003（x86，x64和IA64版），安装ServicePack2(3)WindowsServer2003R2（x86，x64和IA64版），包含ServicePack2(4)WindowsServer2008R22.2安装1.使用硬件厂商提供的向导光盘启动服务器，开始操作系统安装；2.操作系统安装目标分区所在磁盘，必须配置为具有容错功能的硬件磁盘阵列（RAID1/RAID1+0/RAID5/ADG等），确认磁盘阵列已经按照要求配置；3.系统分区必须使用NTFS文件系统，大小建议不低于40G；4.选择正确的操作系统类型，根据实际情况输入用户名和组织名；5.输入操作系统CDKey；6.由于使用服务器管理软件（如HPInsightManagementAgent等）而必需安装SNMP组件时，必须修改默认SNMP社区名，要求最短8位，并同时包含字母、数字和特殊字符，在可能的情况下设置SNMP仅接受来自本地或特定IP地址的访问。除此之外一般不启用SNMP；37.“许可模式”一般设置为“每客户端”模式，或根据实际情况修改；8.放入操作系统安装光盘，开始操作系统安装；9.设置计算机名称，应简洁直观，能反映服务器的主要用途，同一用途有多台服务器的，要添加数字或字母后缀作为区别；10.Administrator帐户初始密码应设置为最少8位，并同时包含大写/小写字母、数字和特殊字符其中的至少3类；11.根据事先申请的IP地址等网络参数配置网络，根据服务器用途设置所在工作组名称（如“DBGROUP”），在安装所有安全补丁和防病毒软件之前，仅能接入测试网络；12.正确设置时间和时区；13.配置合适的显示分辨率/颜色质量/刷新率，刷新频率不应过高；14.完成操作系统安装。2.3安装后配置1.将系统分区（C分区）卷标设置为“SYS”；调整驱动器盘符，使光驱使用最靠后的顺序盘符；划分剩余磁盘空间并格式化，所有分区必须使用NTFS文件系统，卷标应表明该空间主要用途；2.设置页面文件放置于C分区，页面文件大小建议设置为物理内存的2倍，一般不超过4096MB，最低不小于200MB；3.对于32位操系统，如果物理内存为4GB，建议在Boot.ini文件中添加“/PAE”参数，以使操作系统中能够正确识别物理内存数量，如果需要添加“/3GB”参数，须事先同软件开发人员/软件供应厂商确认；如果物理内存大于4GB，需在Boot.ini文件中增加启动参数“/PAE”（不能和/3GB参数同时使用），重启后确认能够从资源管理器中正确识别物理内存数量；4.参照本规范第4、5节，安装操作系统补丁和防病毒软件，完成此操作以前不应连接业务网络；5.建议安装相应WindowsServer版本的SupportTools；6.从“添加/删除系统组件”中删除“辅助工具”、“游戏”、“多媒体”、“索引服务”、“ScriptDebugger”、“更新根证书”等所有非必需组件；7.调整应用程序、安全和系统日志，将“最大日志文件大小”设置为至少20MB，安全日志原则上不应设置覆盖，应定期检查是否有足够日志空间，在空间耗尽前及时进行日志备份和截断，服务器日常检查应包括日志中异常信息的检查；8.安装其它所需软件，所安装的应用程序必须在配置文档中记录，根据需要将安装源文件保存在服务器上备查；9.记录硬件信息并制作标签，标明服务器名称、用途和维护管理人员联系方式。记录服务器硬件序列号，整理售后服务联系方式，按需要向厂商进行服务器注册；10.对于域控制器，在完成第3节安全设置前不能进行ActiveDirectory安装操作；11.对于不加入域的WindowsServer2003操作系统，应在“时间/日期属性”-“Internet时间”中，关闭“自动与Internet时间服务器同步”。如果该服务器需4要加入域，需运以下行命令以配置同域服务器同步时钟：NetTime/setsntp如果该服务器不加入域，但有可用时间服务器的，可根