页面打开中,请稍候...
www.Gzu521.com
| Gzu521.com我的学习网 |
|
本文包括的内容: 一、概要 二、禁用不必要的服务 三、最大化网络应用程序数据吞吐量 四、优化后台服务的性能 五、最小化 IIS 5.0 日志记录 六、实现带宽调节 七、限制处理器使 八、限制 web 站点连接 九、使用“保持 http 连接” 一、概要: 为了能够好好的让iis运行稳定,俺主要介绍用于优化专用的 windows 2000 web 服务器性能的一点方法。ps:开始吧。 二、禁用不必要的服务: 禁用专用 web 服务器不需要的 windows 2000 服务。方法是:单击开始,依次指向程序、管理工具,然后单击计算机管理。在“计算机管理(本地)”下,展开“服务和应用程序”,然后单击服务。当前所运行服务的状态 列中显示已启动 。以下服务是专用 web 服务器上不需要的: 警报器 剪贴簿 计算机浏览器 dhcp 客户端 dhcp 服务器 传真服务 文件复制 红外线监视器 internet 连接共享 信使 netmeeting 远程桌面共享 网络 dde 网络 dde dsdm nwlink netbios nwlink ipx/spx 后台打印程序 tcp/ip netbios 支持服务 电话 telnet 不间断电源 记下与要停止的服务有依存关系的那些服务。方法是: 双击所需的服务。例如,双击信使。 单击依存关系 选项卡。 在“服务名 依赖这些服务”列表中(其中服务名 是所选服务的名称),记下该服务依赖的那些服务。 在“这些服务依赖服务名”列表中,记下没有该服务就无法启动的那些服务。 单击确定。 禁用所需的服务。方法是: 右键单击要禁用的服务,然后在出现的快捷菜单上单击属性 。 在“启动类型”列表中,单击禁用。 如果要立即停止服务,请单击停止。如果显示停止其他服务 对话框,依赖于该服务的其他服务也将被停止。请记下受影响的服务,然后单击是。 单击确定。该服务的启动类型 列中会显示禁用 。 重复执行第 4 步,禁用其他不必要的服务。 备注:禁用每个服务之后,应测试 web 服务器计算机是否运行正常。这样就最大程度地减少了禁用可能需要的服务而带来的影响。 备注:如果 iis 服务器是 windows 2000 域成员,则必需 tcp/ip 支持服务,以便将组策略正确地应用到计算机中。 三、最大化网络应用程序数据吞吐量 在工作内存中运行 internet internet 信息服务 (iis) 5.0 进程可分页代码。方法是: 在桌面上右键单击网上邻居,然后在出现的快捷菜单中单击属性 。 右键单击所需的本地连接 图标,然后在出现的快捷菜单中单击属性 。 在“此连接使用下列选定的组件”列表中,单击“microsoft 网络的文件和打印机共享”(但不要清除其复选框),然后单击属性。 单击“最大化网络应用程序数据吞吐量”,然后单击确定 两次。 四、优化后台服务的性能 iis 5.0 进程 (inetinfo.exe) 作为后台服务运行。要提高后台服务的性能,请按以下步骤操作: 单击开始,指向设置,然后单击控制面板。 在“控制面板”中,双击系统。 单击高级 选项卡,然后单击性能选项。 在“应用程序响应”下,单击“后台服务”,然后单击确定 两次。 退出“控制面板”。 五、最小化 iis 5.0 日志记录 禁止对不需要的 web 站点、虚拟目录或文件及文件夹进行日志记录。方法是: 单击开始,依次指向程序、管理工具,然后单击internet 服务管理器。 展开“*服务器名”,其中 服务器名 是 web 服务器的名称。 找到所需的项,然后用右键单击该项。在出现的快捷菜单上,单击属性。例如,右键单击默认 web 站点,然后在出现的快捷菜单上单击属性 。 执行下列操作之一: 如果选择 web 站点,则单击主目录 选项卡。 - 或 - 如果选择虚拟目录,则单击虚拟目录 选项卡。 - 或 - 如果选择实际目录,则单击目录 选项卡。 单击“日志访问”复选框,将其清除,然后单击确定。 要禁止整个 web 站点的日志记录,请单击web 站点 选项卡,单击启用日志记录 复选框,将其清除,然后单击确定。 退出“internet 信息服务”管理单元。 六、启用带宽限制 限制各 web 站点可用的网络带宽。方法是: 启动“internet 服务管理器”。 展开“*服务器名”,其中服务器名 是 web 服务器的名称。 右键单击所需的 web 站点(例如,默认 web 站点),然后在出现的快捷菜单上单击属性 。 单击性能 选项卡,然后单击“启用带宽限制”复选框,将其选中。 在“最大网络使用”框中,键入所需的值,然后单击确定。 退出“internet 信息服务”管理单元。 七、限制处理器使用 限制 web 站点对处理器的占用量。方法是: 启动“internet 服务管理器”。 展开“*服务器名”,其中服务器名 是 web 服务器的名称。 右键单击所需的 web 站点(例如,默认 web 站点),然后在出现的快捷菜单上单击属性 。 单击性能 选项卡,然后单击“启用进程限制”复选框,将其选中。 在“最大程度使用 cpu”框中,键入所需的值。 单击“强制性限制”复选框,将其选中,然后单击确定。 备注:如果不启用强制性限制 选项,则不会强制执行“最大程度使用 cpu”的限制。在 web 站点超过其允许的 cpu 使用限制时,即会在“事件日志”中写入事件。 退出“internet 信息服务”管理单元。 八、限制 web 站点连接 限制各 web 站点可用的连接数量。方法是: 启动“internet 服务管理器”。 展开“*服务器名”,其中服务器名 是 web 服务器的名称。 右键单击所需的 web 站点(例如,默认 web 站点),然后在出现的快捷菜单上单击属性 。 在连接下,单击限于。 在“连接”框中,键入要允许的连接数量。 备注:连接的每个客户端大约同时使用四个连接。例如,将连接数限制在 200 大约允许 50 名用户访问 web 站点。 单击确定,然后退出“internet 信息服务”管理单元。 九、使用“保持 http 连接” 默认情况下,能够使用“保持 http 连接”。要验证是否启用了“保持 http 连接”,请按以下步骤操作: 启动“internet 服务管理器”。 展开“*服务器名”,其中服务器名 是 web 服务器的名称。 右键单击所需的 web 站点(例如,默认 web 站点),然后在出现的快捷菜单上单击属性 。 在连接下,确认“已启用保持 http 连接”复选框已被选中,然后单击确定。 退出“internet 信息服务”管理单元。 三、运行bastion.inf加固脚本 下载最新的bastioninf.zip,解压后运行如下命令: secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt 这个安全策略脚本在系统中做了如下改动: 1.设定如下的密码策略: 密码唯一性:记录上次的 6 个密码 最短密码期限:2 密码最长期限:42 最短密码长度:10 密码复杂化(passfilt.dll):启用 用户必须登录方能更改密码:启用 帐号失败登录锁定的门限:5 锁定后重新启用的时间间隔:720分钟 2.审计策略: 审核如下的事件: 用户和组管理 成功:失败 登录和注销 成功:失败 文件及对象访问 失败 更改安全规则 成功: 失败 用户权限的使用 失败 系统事件 成功: 失败 3.用户权限分配: 从网络中访问这台计算机:no one 将工作站添加到域:no one 备份文件和目录:administrators 更改系统时间:administrators 强制从远程系统关机:no one 加载和下载设备驱动程序:administrators 本地登录:administrators 管理审核和安全日志:administrators 恢复文件和目录:administrators 关闭系统:administrators 获得文件或对象的所属权:administrators 忽略遍历检查(高级权力):everyone 作为服务登录(高级权力):no one 内存中锁定页:no one 替换进程级记号:no one 产生安全审核:no one 创建页面文件:administrators 配置系统性能:no one 创建记号对象:no one 调试程序:no one 增加进度优先级:administrators 添加配额:administrators 配置单一进程:administrators 修改固件环境值:administrators 生成系统策略: administrators 以批处理作业登录:no one 4.事件查看器设置: 应用程序、系统和安全的日志空间都设为100mb 事件日志覆盖方式为:覆盖30天以前的日志 禁止匿名用户查看日志 5.注册表的值 key type value machine\software\microsoft\datafactory\handlerinfo\ handlerrequired reg_dword 1 machine\system\currentcontrolset\control\filesystem\ ntfsdisable8dot3namecreation reg_dword 1 machine\software\microsoft\windowsnt\version\winlogon\allocatecdroms reg_sz 1 machine\system\currentcontrolset\control\lsa\auditbaseobjects reg_dword 1 machine\system\currentcontrolset\control\lsa\su machine\system\currentcontrolset\control\print\providers\lanman printservices\addprintdrivers reg_dword 1 machine\system\currentcontrolset\services\rdr\ parameters\enableplaintextpassword reg_dword 0 machine\system\currentcontrolset\services\lanmanserver\ parameters\autodisconnect reg_dword 15 machine\system\currentcontrolset\services\lanmanserver\ parameters\autosharewks reg_dword 0 machine\system\currentcontrolset\services\lanmanserver\ parameters\autoshareserver reg_dword 0 machine\system\currentcontrolset\services\lanmanserver\ parameters\enableforcedlogoff reg_dword 1 machine\system\currentcontrolset\services\lanmanserver\ parameters\requiresecuritysignature reg_dword 1 machine\system\currentcontrolset\services\lanmanserver\ parameters\enablesecuritysignature reg_dword 1 machine\system\currentcontrolset\services\rdr\parameters\ requiresecuritysignature reg_dword 1 machine\system\currentcontrolset\services\rdr\parameters\ enablesecuritysignature reg_dword 1 machine\system\currentcontrolset\services\netlogon\ parameters\requiresignorseal reg_dword 1 machine\system\currentcontrolset\services\netlogon\parameters\ sealsecurechannel reg_dword 1 machine\system\currentcontrolset\services\netlogon\parameters\ signsecurechannel reg_dword 1 machine\system\currentcontrolset\control\lsa\ restrictanonymous reg_dword 1 machine\system\currentcontrolset\control\session manager\ protectionmode reg_dword 1 machine\system\currentcontrolset\control\lsa\ lmcompatibilitylevel reg_dword 2 machine\software\microsoft\windows nt\currentversion\winlogon\legalnoticetext reg_sz this is a private system. unauthorized use is prohibited. machine\software\microsoft\windows nt\currentversion\ winlogon\legalnoticecaption reg_sz cisd machine\software\microsoft\windows nt\currentversion\winlogon\dontdisplaylastusername reg_sz 1 machine\system\currentcontrolset\control\lsa\crashonauditfail reg_dword 1 machine\system\currentcontrolset\control\session manager\memory management\clearpagefileatshutdown reg_dword 1 machine\software\microsoft\windows nt\currentversion\ winlogon\cachedlogonscount reg_sz 0 machine\software\microsoft\windows nt\currentversion\ winlogon\allocatefloppies reg_sz 1 machine\software\microsoft\windows nt\current bmitcontrol reg_dword 0 machine\system\currentcontrolset\control\lsa\ fullprivilegeauditing reg_binary 1 machine\software\microsoft\windows nt\currentversion\ winlogon\shutdownwithoutlogon reg_sz 1 6.文件系统和注册表存取控制: 详见bastion.inf 7.管理员帐号: bastion.inf将administrator改名为root,可以按照自己的需要更改这个名字,并使用强壮的密码 四、可选的注册表设置 1.删除 os/2 和 posix 子系统: 删除如下目录的任何键: hkey_local_machine\software \microsoft\os/2 subsystem for nt 删除如下的键: hkey_local_machine\system\currentcontrolset\control\session manager\environment\os2libpath 删除如下的键: hkey_local_machine\system\currentcontrolset\control\session manager\subsystems\optional hkey_local_machine\system\currentcontrolset\control\session manager\subsystems\posix hkey_local_machine\system\currentcontrolset\control\session manager\subsystems\os2 删除如下目录: c:\winnt\system32\os2 2.除去rds漏洞: 删除如下的注册表项: hkey_local_machine\system\currentcontrolset\services\w3svc\ parameters\adclaunch\rdsserver.datafactory hkey_local_machine\system\currentcontrolset\services\w3svc\ parameters\adclaunch\advanceddatafactory hkey_local_machine\system\currentcontrolset\services\w3svc\ parameters\adclaunch\vbbusobj.vbbusobjcls 3.从网络服务中删除不必要的服务: 删除:netbios接口,计算机浏览器,服务器,工作站 保留:rpc配置 五、保护许可 1. 保护internet guest 用户帐号: 在用户管理器中,将internet guest 帐号改为晦涩的名字,并使用强壮的密码禁止guest帐号。 将改名后的internet guest 帐号从组“guests”中删除。 设置改名后的internet guest 帐号对所有卷的访问为“no access”,为了保证iis的正常运行,必须赋予改名后的internet guest 帐号对以下目录的读取权限: 默认路径 环境变量 c:\ %systemdrive% c:\winnt %systemroot% d:\inetpub\wwwroot 你的iis根目录 注意:在设置以上目录的权限时,不要选择替换子目录的权限!! 2. 锁住组“users”: 设置nt内建组“users”对所有卷的访问权为“no access”,因为新用户会自动加入组“users”中,所以新用户缺省将不能访问任何卷。 原文作者:gavin reid gavin@shebeen.com 网络端口关闭** 默认情况下windows有很多端口是开放的.在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑.所以应该关闭.主要有tcp 135 ,139,445,593,1025端口和udp135,137,138,445 端口,一些流行病毒的后门端口,如tcp 2745,3127,6129端口,以及远程服务访问端口3389. 下面介绍如何在xp/2k/2003下手动关闭这些网络端口 点击 "开始菜单/设置/控制面板/管理工具",双击打开"本地策月",选中"ip安全策月,在本地计算机"右边的空白位置右击鼠标,谈出快捷菜单,选择"创建ip安全策月",弹出向导.在向导中点击下一步 下一步,当显示"安全通信请求"画面时,把"激活默认相应规则"左边的钩去掉,点"完成"就创建了一个新的ip安全策月. 右击该ip安全策月,在"属性"对话框中,把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的规则,随后弹出"新规则属性"对话框,在画面上点击"添加"按纽,弹出ip筛选器列表窗口.在列表中,首先把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的筛选器. 进入"筛选器属性’对话框,首先看到的是寻地址,源地址选"任何ip地址",目标地址选"我的ip地址",点击"协议"选项卡,在"选择协议类型"的下拉列表中选择“tcp",然后在"到此端口"的下的文本框中输入"135",点击确定.这样就添加了一个屏蔽tcp135 端口的筛选器,可以防止外界通过135端口连上你的电脑. 点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策月.重复以上步骤继续添加tcp 137 139 445 593 端口和udp 135 139 445 端口,为它们建立相应的筛选器.| 重复以上步骤添加tcp 125 2745 3127 6129 3389 端口的屏蔽策月,建立好上述端口的筛选器,最后点击确定按纽. 在"新规则属性"对话框中,选择"新ip筛选器列表’然后点击其左边的复选框,表示已经激活.最后点击"筛选器操作"选项卡中,把"使用添加向导"左边的钩去掉,点击"添加"按钮,进行"阻止"操作,在"新筛选器操作属性"的"安全措施"选项卡中,选择"阻止",然后点击"确定" 进入"新规则属性"对话框,点击"新筛选器操作".,选取左边的复选框,表示已经激活,点击"关闭"按钮,关闭对话框.最后"新ip安全策月属性"对话框,在"新的ip筛选器列表"左边打钩,按确定关闭对话框.在"本地安全策月"窗口,用鼠标右击新添加的ip安全策月,然后选择"指派". 重新启动后,上述端口就可以关闭了!电脑就安全多了!!!} |
责任编辑:gzu521
您的位置:
