W e b F t精编l服务器的日常管理与维护手册文件编码（008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256）《服务器日常管理手册》前言《服务器日常管理手册》终于跟大家见面了。

这里面凝聚着E动人的心血和对广大客户的关爱。

在多年的服务过程中，通过长期的观察与总结，我们发现，仅仅靠我们的服务是不够的，因为我们的服务属于亡羊补牢式的服务。

要想让客户服务器能稳定正常运行，关键还是要少出故障。

这就显示出客户的日常维护的重要性。

在目前广大客户技术水平参差不齐的情况下，我们考虑，提供一个服务器日常管理的范本，将我们多年服务器管理的经验拿出来与大家分享，让更多的新IT从业人员少走弯路，减少不必要的错误。

我们能体会到客户的迫切心情和对E动的殷切希望，我们也一直努力提高我们的技术水平与服务能力。

我们知道，仅仅靠一个管理手册解决不了所有问题，但这是E动人为提高客户技术水平所做的努力。

我们欢迎有更多的客户能加入到我们这行列，把自己好的管理经验与大家一起分享，共同为创造一个更加稳定和谐的网络环境而努力。

中国E动网12月26日Web Ftp Mail服务器的日常管理与维护一、设置和管理账户二、网络服务安全管理三、系统安全管理四、打开相应的审核策略五、IIS的安装与配置六、Serv-U的基本设置七、用WebEasyMail架构Web邮件服务器一、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码。

3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。

4、开始-程序-管理工具-本地安全策略，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用。

6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)二、网络服务安全管理1、禁止C$、D$、ADMIN$一类的缺省共享打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\paramet ers，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改.2、解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的服务，以下为建议选项开始-所有程序-管理工具-服务Computer Browser:维护网络计算机更新，禁用Distributed File System: 局域网管理共享文件，不需要禁用Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告Microsoft Serch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用PrintSpooler：如果没有打印机可禁用Remote Registry：禁止远程修改注册表Remote Desktop Help Session Manager：禁止远程协助Messenger:信使服务(windows2000)Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉)TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持注：新上架的服务器已经做过其他安全设置只开以下端口，需要开其他端口可以在。

右击网上邻居-属性-Internet协议（TCP/IP）属性-高级-选项-TCP/IP筛选－属性-TCP端口－添加你想要开的端口.默认开启的端口列表：FTP:mail:Web:80pcanywhere:5631远程桌面：3389 (3389不要关闭，否则将无法远程连接)三、系统安全管理1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

2. Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

3. 另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限.4. ，，，，，，，这些文件都设置只允许访问.guests禁止访问四、打开相应的审核策略开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略注:windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置.推荐的要审核的项目是：登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败五、IIS的安装与配置安装过程在控制面板里依次选择“添加或删除程序”的“添加/删除Windows组件”；双击“应用程序服务器”，再双击“Internet信息服务(IIS)”，选中“万维网服务”（注：此选项下还可进一步作选项筛选，请根据自己需要选用，如下图所示），点确定即安装完成。

(一个方便的方法:选中其他的组件会自动选上)的配置WEB服务默认随系统启动，最初安装完成是只支持静态内容的（即不能正常显示基于ASP的网页内容），因此首先要做的就是打开其动态内容支持功能。

依次选择“开始”－“程序”－“管理工具”－“inter信息服务管理器”，在打开的IIS管理窗口左面点“web服务扩展”；将鼠标所在的项“ 以及“Active Server Pages”项启用（点允许）即可。

右击网站-新建-网站.按向导操作输入网站描述：这里可以随便填.一般为了方便查找.填写网站的域名网站IP地址：服务器只有一个IP地址这里可以选(全部未分配),如果选了IP.在更换服务器IP时.这里的IP也要进行更换.所以为方便.这里也不选.网站TCP端口(默认值:80)(T)：:默认为80.有特殊需要也可以更改为其他没有用的端口(如81).但访问时要在域名端口号此网站的主机头（默认：无）：服务器做虚拟主机或者服务器上有多个站点时。

主机头填写该站点的域名。

只有一个站点可以不填（注：主机头是唯一的。

不可以和其他主机头重复）路径：单击浏览。

找到网站程序所放的目录。

允许下列权限：默认权限即可。

这样一个站点就初步建好了。

添加主机头：右击刚建的站点（）－属性－文档选项卡－添加添加上默认的首页文件名：默认的首面文件通常有：网站选项卡新建站点的一个基本设置在这里可能更改。

选择高级：可以给网站添加多个域名。

IP地址：默认端口：80主机头值：需要添加的域名(如：注：添加的域名不可重复。

更改IIS日志的路径右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性建议:IIS日志默认是放在C:\WINDOWS\system32\LogFiles下.服务器运行一段时间后.日志会特别大.造成C盘空间不足.建议把路径改在其他盘符2、性能选项卡：对于做虚拟主机想限制各个站点带宽的。

这项很有用。

3、主目录选项卡：本地路径-浏览：网站程序的路径。

配置－选项选项卡：会话超时：session的存活时间启用父路径：windows默认没有勾选这个选项。

在asp程序中使用“../”，请请复选框选中4、目录安全性选卡如果你的网站访问需要用户名和密码。

可以检查一下，是否启用了匿名访问，并检查一下上面的用户名：如上图就是：IUSR_EDONG-FU5JINJ65 这个用户对网站程序有没有访问的权限。

5、IIS设置进行备份有多种方法可以用来完成此项工作。

在Internet信息服务管理器控制台（IIS 插件）中所设置的属性和值都被储存在文件中，缺省情况下，这个文件位于“C:\winnt\system32\inetsrv”目录中。

在IIS 中，你可以从内置的IIS插件中来备份元数据。

如果需要进行此工作，请选择桌面上的计算机图标然后单击右健。

然后再选择“备份/恢复配置”。

然后你就可以选择备份现有元数据设置或者恢复以前的版本。

与此相同的选项在MetaEdit 中也可找到。

当你以这种方式保存了元数据时，你的备份将以.md0文件的格式储存在C:\winnt\system32\instrv\metaback文件夹中。

当你执行备份时，文件将使用你所指定的名称，如。

如果你使用相同的文件名创建了多个备份，他们将使用数字逐渐递增的扩展名，如，等等。

在你的元数据严重损坏的情况下，你将不能启动IIS。

此时，你也不能从IIS插件或metaedit中执行恢复操作。

如果真的发生了类似情况，你就可以通过从备份文件夹中选用最合适的.md0（.md1等等）元数据备份文件来替换。

如果你的备份文件没有错误，IIS将会立刻启动。

制作元数据的备份还有其它两个意义。

你可以使用xcopy，scopy或其它复制程序来简单地复制文件。

你应该先停止Internet服务，以保证你的元数据是最新的并且不在使用状态中。

最后，我们还提供了两个脚本和它们位于Inetpub/IISSamples/sdk/admin（如果你在IIS 上安装了IIS SDK）文件夹中或在IIS Resource Kit/Utility/ADSI Admin Scripts文件夹（如果你安装了IIS Resource Kit）中。

这些.vbs脚本使用了一个ADSI命令，它是专门为创建元数据备份而提供的。

6、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.7、如果需要加装ＰＨＰ支持，ＰＨＰ的安装目录网站匿名用户一定要有读的权限。