Windows 20032008服务器配置规范

1 定义

按照主要功能区分Windows 服务器为以下类别：

（1）办公网Active Directory /文件和打印服务器

（2）业务网 Active Directory服务器

（3）业务网SNA 服务器

（4）Web服务器：运行 IIS Web服务

（5）FTP服务器：运行IIS FTP或Server-U等FTP服务

（6）SQL Server 服务器：运行SQL Server 2005或SQL Server 2008

（7）应用服务器：运行其他网络应用

请注意：本规范中部分配置项仅适用于特定的服务器类别，请注意区分。如未列明类别，则适用于所有服务器。

2 安装操作系统

2.1  版本选择

根据开发人员/软件供应商的要求，结合服务器硬件类型，选择合适的操作系统版本。

如无特殊要求，建议使用32位Windows Server 2003 中文标准版。

允许安装使用的操作系统版本：

(1) Windows Server 2003（x86，x和IA版），安装Service Pack 2

(2) Windows Server 2003 R2（x86，x和IA版），包含Service Pack2

(3)Windows Server 2008 R2

2.2  微码升级

如果硬件微码版本过低，或者其他有升级微码的必要性，才能升级硬件微码，否则不升级微码。

2.3  安装

1.使用硬件厂商提供的向导光盘启动服务器，开始操作系统安装；

2.操作系统安装目标分区所在磁盘，必须配置为具有容错功能的硬件磁盘阵列（RAID1/RAID1+0/RAID5/ADG等），确认磁盘阵列已经按照要求配置；

3.系统分区必须使用NTFS文件系统，大小建议不低于40G；

4.选择正确的操作系统类型，根据实际情况输入用户名和组织名；

5.输入操作系统CD Key；

6.由于使用服务器管理软件（如HP Insight Management Agent等）而必需安装SNMP组件时，必须修改默认SNMP社区名，要求最短8位，并同时包含字母、数字和特殊字符，在可能的情况下设置SNMP仅接受来自本地或特定IP地址的访问。除此之外一般不启用SNMP；

7.“许可模式”一般设置为“每客户端”模式，或根据实际情况修改；

8.放入操作系统安装光盘，开始操作系统安装；

9.设置计算机名称，应简洁直观，能反映服务器的主要用途，同一用途有多台服务器的，要添加数字或字母后缀作为区别；

10.Administrator帐户初始密码应设置为最少8位，并同时包含大写/小写字母、数字和特殊字符其中的至少3类；

11.根据事先申请的IP地址等网络参数配置网络，根据服务器用途设置所在工作组名称（如“DBGROUP”），在安装所有安全补丁和防病毒软件之前，仅能接入测试网络；

12.正确设置时间和时区；

13. 配置合适的显示分辨率/颜色质量/刷新率，刷新频率不应过高；

14. 完成操作系统安装。

2.4  安装后配置

1.将系统分区（C分区）卷标设置为“SYS”；调整驱动器盘符，使光驱使用最靠后的顺序盘符；划分剩余磁盘空间并格式化，所有分区必须使用NTFS文件系统，卷标应表明该空间主要用途； 

2.设置页面文件放置于C分区，页面文件大小建议设置为物理内存的2倍，一般不超过4096MB，最低不小于200MB；

3.对于32位操系统，如果物理内存为4GB，建议在Boot.ini文件中添加“/PAE”参数，以使操作系统中能够正确识别物理内存数量，如果需要添加“/3GB”参数，须事先同软件开发人员/软件供应厂商确认；如果物理内存大于4GB，需在Boot.ini文件中增加启动参数“/PAE”（不能和/3GB参数同时使用），重启后确认能够从资源管理器中正确识别物理内存数量；

4.参照本规范第4、5节，安装操作系统补丁和防病毒软件，完成此操作以前不应连接业务网络；

5.建议安装相应Windows Server版本的Support Tools；

6.从“添加/删除系统组件”中删除“辅助工具”、“游戏”、“多媒体”、“索引服务”、“Script Debugger”、“更新根证书”等所有非必需组件；

7.调整应用程序、安全和系统日志，将“最大日志文件大小”设置为至少20MB，安全日志原则上不应设置覆盖，应定期检查是否有足够日志空间，在空间耗尽前及时进行日志备份和截断，服务器日常检查应包括日志中异常信息的检查；

8.安装其它所需软件，所安装的应用程序必须在配置文档中记录，根据需要将安装源文件保存在服务器上备查；

9.记录硬件信息并制作标签，标明服务器名称、用途和维护管理人员联系方式。记录服务器硬件序列号，整理售后服务联系方式，按需要向厂商进行服务器注册；

10.对于域控制器，在完成第3节安全设置前不能进行Active Directory安装操作；

11.对于不加入域的Windows Server 2003 操作系统，应在“时间/日期 属性”-“Internet时间”中，关闭“自动与Internet时间服务器同步”。如果该服务器需要加入域，需运以下行命令以配置同域服务器同步时钟：

Net Time /setsntp

 如果该服务器不加入域，但有可用时间服务器的，可根据需要配置时间同步。

12.启用“密码保护的屏幕保护”；

13.对于Windows Server 2008 R2，删除计划任务程序-计划任务程序库中内建的计划任务“User_Feed_Synchronization……”。

3 系统安全配置

3.1  帐户策略

使用“本地安全策略”管理工具修改本地帐户密码策略，对于域控制器，使用“域安全策略”进行域用户帐户密码策略配置。（注意：定义在组织单元（OU）上组策略对象中的密码策略，仅作用于该OU下的计算机的本地帐户。）

启用密码复杂性，密码长度最低8位，强制密码历史最低为2，最短期限1天，禁用“为域中所有用户使用可还原的加密来储存密码”。

密码更改最长期限：

●办公网AD/文件和打印服务器，密码更改最长期限不超过180天。

●业务网AD服务器，密码更改最长期限不超过90天。

●业务SNA服务器，密码更改最长期限不超过90天。

●对于其它类别服务器，根据需要设置，建议不超过90天。

根据需要启用和配置帐户锁定策略。

注意：SNA服务器一般不启用帐户锁定策略，避免通信用户锁定导致的问题。

必须修改默认内建管理员帐户Administrator名称。

确保管理员组Administrators中仅包含授权帐户，尽量减少管理员组成员数量，但每服务器应至少有两个可用管理员帐户。

必须修改 Guest 帐户名称并禁用。

禁用其它非必需帐户。

3.2  审核策略

使用“本地安全策略”管理工具或通过组策略修改审核策略：

●审核帐户登录事件：成功、失败；

●审核登录事件：成功（失败审计根据需要开启）；

●审核帐户管理：成功；

●审核策略更改：成功。

对于文件和打印服务器，可根据需要开启：

●审核对象访问：成功、失败

根据需要启用其它的审核策略。

审核策略启用后，需定期检查安全日志空间使用情况，建立安全日志转储备份机制。

3.3  用户权利指派

使用“本地安全策略”管理工具或通过组策略修改“用户权利指派”：

●从网络访问此计算机：移除Everyone组；

●允许在本地登录：仅保留Administrators、Backup Operators组和其他必需成员；

●关闭系统：移除Users组和Power Users组。

3.4  安全选项

使用“本地安全策略”管理工具或通过组策略修改以下安全选项，未列出项保持默认或根据需要修改。

（以下针对Windows Server 2003）：

●关机：清除虚拟内存页面文件 启用（根据需要设置）

●交互式登录：不显示上次登录用户名 启用

●设备：只有本地登录的用户才能访问 CD-ROM 启用

●设备：只有本地登录的用户才能访问软盘 启用

●网络安全：LAN Manager身份验证级别：仅发送 NTLM v2 响应\拒绝 LM 

●网络访问：不允许SAM账户和共享的匿名枚举 启用

●账户：来宾账户状态 已禁用 

（以下针对Windows Server 2008）：

●关机：清除虚拟内存页面文件 启用（根据需要设置）

●关机：允许系统在未登录的情况下关闭 禁用

●恢复控制台：允许自动管理登录 禁用

●交互式登录：不显示最后的用户名 启用

●设备：将CD-ROM的访问权限仅限于本地登录的用户 启用

●设备：将软盘驱动器的访问权限仅限于本地登录的用户 启用

●网络安全：LAN 管理器身份验证级别：仅发送 NTLM v2 响应\拒绝 LM 

●网络访问：不允许SAM账户的匿名枚举 启用

●网络访问：不允许SAM账户和共享的匿名枚举 启用

●账户：来宾账户状态 已禁用

注意：

（1）对于办公网AD/文件服务器、业务网AD服务器和业务网SNA服务器，如果有低版本客户端（Windows NT/9x，DOS）访问，需要降低安全级别至“发送 LM/NTLM - 如果已协商，使用NTLM v2会话安全”。

（2）当启用“关机时清除虚拟内存页面文件”时，会显著延长操作系统关闭的时间，建议根据需要确定是否开启。

3.5  系统服务

停止以下系统服务并设置启动方式为“禁用”（如果存在）：

●Alter

●Computer Browser

●Error Reporting Service

●Messenger

●Shell Hardware Detection

●Windows Audio

●WinHTTP Web Proxy Auto-Discovery Service

未列出的服务建议保持系统默认状态。

注意：某些特定应用程序可能依赖于以上服务，如CA ARCServe 需要启动Computer Brower服务，请根据实际情况进行调整。

对于加入域的计算机，以下服务必须启用：

●DHCP Client

●DNS Client

●Net Logon

●TCP/IP NetBIOS Helper

●Windows Time

●Workstation

●Group Policy Client （Windows Server 2008）

对于要求严格安全设置的应用服务器，可根据需要停用其它非必需的系统服务。在停用默认为“启动”的系统服务前，需进行全面测试。

3.6  其它安全配置项

使用Gpeidt.msc编辑本地组策略或修改组策略，设置“计算机配置”-“管理模板”-“系统”-“关闭自动播放”对所有驱动器启用。

可根据需要修改注册表以关闭默认管理共享（注意：办公网AD/文件和打印服务器，业务网AD服务器，业务网SNA服务器不能进行此修改）：

[HKLM\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters]

“AutoShareServer”=dword:0

修改完成后重启Server服务。

3.7  网络安全

可根据需要删除或取消绑定网络连接“属性”中“Microsoft 网络的文件和打印共享”组件（注意：除办公网AD/文件和打印服务器，业务网AD服务器，业务网SNA服务器不能进行移除）。

建议在所有网络连接的TCP/IP协议“属性”中，配置“禁用TCP/IP上的NetBIOS”。（注意：此设置可能带来一些问题，如致Net Send命令无法使用，禁用了SMB over TCP/IP的客户端无法访问共享等，需留意。）

对于Windows Server 2003，一般应关闭Windows 防火墙。

对于Windows Server 2008，一般应关闭Windows防火墙（注意：需要在高级安全Windows防火墙属性中关闭所有配置文件的防火墙后，才能停用Windows Firewall服务）。

向网络管理员提交需要连接此服务器的网络地址范围，通信使用的TCP/IP端口等信息。

3.8  上线前安全扫描

在服务器上线运行前，填写系统扫描申请，由安全管理员进行扫描，采取措施消除所有中高级风险漏洞，并对低风险漏洞进行逐一确认。

保存安全扫描结果存档。

4 系统更新

4.1  补丁管理

服务器上线前，连接办公网WSUS服务器，下载并安装所有适用的补丁。

服务器上线后，配置通过业务网WSUS服务器进行自动更新：

●自动下载并通知安装

●正确设置Intranet更新和统计服务器地址

在自动更新服务提示有新的补丁可用时，首先在相同操作系统的测试服务器上进行测试，确认安装正常后，提出补丁安装申请，批准后才能进行安装。

4.2  补丁安装

经过测试的补丁，只能在服务器非工作时间段安装。

补丁安装后，应进行全面的系统检查，确认运行正常。

5 防病毒软件

5.1  版本

至本规范最后更新时，新安装的服务器安装防病毒软件版本要求为：

●Symantec Endpoint Security 12

应根据服务器操作系统版本选择对应的防病毒软件功能和语言版本。

防病毒软件的安装包的获取、安装、配置方法，以总行信息技术部安全管理室发布的相关文档为准。

SEP 11在服务器上安装时候，不应安装“主动威胁防护”和“网络威胁防护”模块。

5.2  病毒定义码更新

在测试环境安装防病毒软件前，确保服务器能够通过DNS服务器或HOSTS文件解析防病毒管理服务器名称和对应IP地址。安装时选择接受管理，正确指定防病毒管理服务器名称，确认防病毒软件安装成功，病毒定义码升级为最新版本。

业务网服务器上线后，确认能够连接业务网病毒服务器。

如果设置定时扫描，需要安排在空闲时段进行。

应根据实际情况设置实时检测和扫描的排除项，如排除数据库和应用程序事务日志所在目录。

定期检查病毒定义码是否及时更新，并检查病毒扫描日志。