基本項
1:系統運行狀況檢查
1.1:事件日志檢查(應用程序/安全性/系統)
:每日檢查
:發現有錯誤的日志出現需要檢查出原因並排除錯誤
1.2:共享文件夾檢查
:每日檢查
:發現有未經允許的共享文件夾,馬上刪除
1.3:本地用戶和組檢查
:每日檢查
:發現有未經允許的用戶和組,馬上刪除
1.4:磁盤大小和碎片檢查
:每日檢查
:發現磁盤空間低於警戒值(30%可用),需要清理無用的磁盤文件
:發現磁盤碎片大於警戒值(70%碎片),需要在服務器空閒時間進行碎片整理
1.5:系統服務和應用程序檢查
:每日檢查
:發現未經允許的系統服務和應用程序的安裝,馬上刪除
1.6:IIS的檢查
: 每日檢查
:發現有未經允許的web網站運行,馬上刪除
1.7:進程和應用程序檢查
:每日多次檢查
:發現有可疑的進程和應用程序,馬上關閉並找到運行文件進行刪除
1.8:檢查cpu使用和內存的占用情況
:每日多次檢查
:發現cpu長時間占用過高(90%)檢查主要原因,看情況重啟服務器
2:數據庫狀態檢查維護
2.1:檢查數據庫的日常維護的運行結果
:每日檢查
:保證數據和日志按要求正確備份,運行失敗的重新手工備份且排除出錯原因
2:2:檢查數據庫的事務日志
:每日檢查
:當事務日志大於300M時候,需要完整備份日志後對日志進行收縮操作
2.3:檢查數據庫文件的碎片
:每半月檢查
:當數據庫的碎片大於警戒值,需要進行碎片整理工作
:方法1
以下是代碼片段:
如果掃描密度與平均頁面密度小於100%表示有碎片產生,此兩項應保持較高的百分比。而邏輯與扇區掃描碎片應盡可能接近於0,一般不應超過10。
以下是代碼片段:
3:web系統檢查
3.1:web系統的登陸檢查
:每日檢查
:確保web系統能正常登陸
3.2:web系統的響應檢查
:每日檢查
:檢查web系統的請求和響應速度,如果響應過慢或者無響應,需要檢查原因和排除.
3.3:web系統的文件檢查
:每月檢查
:檢查和備份web系統的程序文件
4:web流量檢查
4.1:web流量檢查
:每日檢查
:確保流量正常,發現流量異常的情況,需要查明原因和解決掉。
特別項
1.“計算機配置”/“Windows設置”/“安全設置”/“軟件限制策略”選項,同時用鼠標右鍵單擊該選項,並執行快捷菜單中的“創建軟件限制策略”命令;用鼠標雙擊“強制”組策略項目,打開如圖1所示的設置對話框,選中其中的“除本地管理員以外的所有用戶”選項,其余參數都保持默認設置,再單擊“確定”按鈕結束上述設置操作
2.拒絕網絡病毒藏於臨時文件
組策略編輯命令“gpedit.msc”依次選中“計算機配置”/“Windows設置”/“安全設置”/“軟件限制策略”/“其他規則”選項,同時用鼠標右鍵單擊該選項,並執行快捷菜單中的“新建路徑規則”命令,打開如圖2所示的設置對話框;單擊其中的“浏覽”按鈕,從彈出的文件選擇對話框中,選中並導入Windows Server 2008系統的臨時文件夾,同時再將“安全級別”參數設置為“不允許”,最後單擊“確定”
3.防止非法PING
字符串命令“gpedit.msc”“計算機配置”節點選項,並從目標節點下面逐一點選“Windows設置”、“安全設置”、“高級安全Windows防火牆”、“高級安全Windows防火牆——本地組策略對象”選項,再用鼠標選中目標選項下面的“入站規則”項目;接著在對應“入站規則”項目右側的“操作”列表中,點選“新規則”選項,此時系統屏幕會自動彈出新建入站規則向導對話框,依照向導屏幕的提示,先將“自定義”選項選中,再將“所有程序”項目選中,之後從協議類型列表中選中“ICMPv4”。
之後向導屏幕會提示我們選擇什麼類型的連接條件時,我們可以選中“阻止連接”選項,
4.斷開遠程連接恢復系統狀態[特殊情況下處理]
輸入“gpedit.msc”命令,其次選中組策略控制台窗口左側位置處的“用戶配置”節點分支,並用鼠標逐一點選目標節點分支下面的“管理模板”/“網絡”/“網絡連接”組策略選項,之後雙擊“網絡連接”分支下面的“刪除所有用戶遠程訪問連接”選項,在彈出的如圖5所示的選項設置對話框中,選中“已啟用”選項,再單擊“確定”按鈕保存
5、強行保護所有連接
運行框中輸入字符串命令“gpedit.msc”,進入本地服務器系統的組策略編輯界面;
其次將鼠標定位於“計算機配置”/“管理模板”/“網絡”/“網絡連接”/“Windows防火牆”/“標准配置文件”分支選項,在“標准配置文件”分支選項下面,用鼠標雙擊“Windows防火牆:保護所有網絡連接”組策略選項,打開如圖4所示的目標組策略屬性界面;選中該界面中的“已啟用”項目,最後單擊“確定”按鈕
第二部分
1.開機關閉默認共享
2.修改密碼最長使用期限 90天
3.帳戶鎖定阈值 5次失敗 10分鐘後可再嘗試
4.審核策略
審核策略更改 成功失敗
審核登錄事件 成功失敗
審核系統事件 成功失敗
? 嘗試更改系統時間
? 嘗試安全啟動或關閉系統
? 嘗試加載可擴展身份驗證組件
? 由於審核系統失敗而導致已審核事件丟失
? 安全日志大小超過可配置的警告阈值級別。
審核帳戶管理 成功失敗
此安全設置確定是否審核計算機上的每個帳戶管理事件。帳戶管理事件示例包括:
創建、更改或刪除用戶帳戶或組。
重命名、禁用或啟用用戶帳戶。
5.交互式登錄: 不顯示最後的用戶名 啟用
6.網絡訪問: 可遠程訪問的注冊表路徑 禁用
網絡訪問: 可遠程訪問的注冊表路徑和子路徑
7.帳戶: 重命名管理員帳戶
8 打印機
基於web的打印 禁用
Active Directory 中自動發布計算機 禁用