2004/12/23 | 针对 Win 2000 中优化 Web 服务器性能的一点总结入门教程
类别(技术) | 评论(0) | 阅读(67) | 发表于 11:01


本文包括的内容:
一、概要 二、禁用不必要的服务
三、最大化网络应用程序数据吞吐量 四、优化后台服务的性能
五、最小化 IIS 5.0 日志记录 六、实现带宽调节
七、限制处理器使 八、限制 Web 站点连接
九、使用“保持 HTTP 连接”

一、概要:
为了能够好好的让IIS运行稳定,俺主要介绍用于优化专用的 Windows 2000 Web 服务器性能的一点方法。PS:开始吧。


二、禁用不必要的服务:
禁用专用 Web 服务器不需要的 Windows 2000 服务。方法是:单击开始,依次指向程序、管理工具,然后单击计算机管理。在“计算机管理(本地)”下,展开“服务和应用程序”,然后单击服务。当前所运行服务的状态 列中显示已启动 。以下服务是专用 Web 服务器上不需要的:

警报器
剪贴簿
计算机浏览器
DHCP 客户端
DHCP 服务器
传真服务
文件复制
红外线监视器
Internet 连接共享
信使
NetMeeting 远程桌面共享
网络 DDE
网络 DDE DSDM
NWLink NetBIOS
NWLink IPX/SPX
后台打印程序
TCP/IP NetBIOS 支持服务
电话
Telnet
不间断电源

记下与要停止的服务有依存关系的那些服务。方法是:
双击所需的服务。例如,双击信使。
单击依存关系 选项卡。
在“服务名 依赖这些服务”列表中(其中服务名 是所选服务的名称),记下该服务依赖的那些服务。
在“这些服务依赖服务名”列表中,记下没有该服务就无法启动的那些服务。
单击确定。
禁用所需的服务。方法是:
右键单击要禁用的服务,然后在出现的快捷菜单上单击属性 。
在“启动类型”列表中,单击禁用。
如果要立即停止服务,请单击停止。如果显示停止其他服务 对话框,依赖于该服务的其他服务也将被停止。请记下受影响的服务,然后单击是。
单击确定。该服务的启动类型 列中会显示禁用 。
重复执行第 4 步,禁用其他不必要的服务。
备注:禁用每个服务之后,应测试 Web 服务器计算机是否运行正常。这样就最大程度地减少了禁用可能需要的服务而带来的影响。

备注:如果 IIS 服务器是 Windows 2000 域成员,则必需 TCP/IP 支持服务,以便将组策略正确地应用到计算机中。

三、最大化网络应用程序数据吞吐量
在工作内存中运行 Internet Internet 信息服务 (IIS) 5.0 进程可分页代码。方法是:
在桌面上右键单击网上邻居,然后在出现的快捷菜单中单击属性 。
右键单击所需的本地连接 图标,然后在出现的快捷菜单中单击属性 。
在“此连接使用下列选定的组件”列表中,单击“Microsoft 网络的文件和打印机共享”(但不要清除其复选框),然后单击属性。
单击“最大化网络应用程序数据吞吐量”,然后单击确定 两次。


四、优化后台服务的性能
IIS 5.0 进程 (Inetinfo.exe) 作为后台服务运行。要提高后台服务的性能,请按以下步骤操作:
单击开始,指向设置,然后单击控制面板。
在“控制面板”中,双击系统。
单击高级 选项卡,然后单击性能选项。
在“应用程序响应”下,单击“后台服务”,然后单击确定 两次。
退出“控制面板”。


五、最小化 IIS 5.0 日志记录
禁止对不需要的 Web 站点、虚拟目录或文件及文件夹进行日志记录。方法是:
单击开始,依次指向程序、管理工具,然后单击Internet 服务管理器。
展开“*服务器名”,其中 服务器名 是 Web 服务器的名称。
找到所需的项,然后用右键单击该项。在出现的快捷菜单上,单击属性。例如,右键单击默认 Web 站点,然后在出现的快捷菜单上单击属性 。
执行下列操作之一:
如果选择 Web 站点,则单击主目录 选项卡。

- 或 -
如果选择虚拟目录,则单击虚拟目录 选项卡。

- 或 -
如果选择实际目录,则单击目录 选项卡。
单击“日志访问”复选框,将其清除,然后单击确定。

要禁止整个 Web 站点的日志记录,请单击Web 站点 选项卡,单击启用日志记录 复选框,将其清除,然后单击确定。
退出“Internet 信息服务”管理单元。


六、启用带宽限制
限制各 Web 站点可用的网络带宽。方法是:
启动“Internet 服务管理器”。
展开“*服务器名”,其中服务器名 是 Web 服务器的名称。
右键单击所需的 Web 站点(例如,默认 Web 站点),然后在出现的快捷菜单上单击属性 。
单击性能 选项卡,然后单击“启用带宽限制”复选框,将其选中。
在“最大网络使用”框中,键入所需的值,然后单击确定。
退出“Internet 信息服务”管理单元。


七、限制处理器使用
限制 Web 站点对处理器的占用量。方法是:
启动“Internet 服务管理器”。
展开“*服务器名”,其中服务器名 是 Web 服务器的名称。
右键单击所需的 Web 站点(例如,默认 Web 站点),然后在出现的快捷菜单上单击属性 。
单击性能 选项卡,然后单击“启用进程限制”复选框,将其选中。
在“最大程度使用 CPU”框中,键入所需的值。
单击“强制性限制”复选框,将其选中,然后单击确定。

备注:如果不启用强制性限制 选项,则不会强制执行“最大程度使用 CPU”的限制。在 Web 站点超过其允许的 CPU 使用限制时,即会在“事件日志”中写入事件。
退出“Internet 信息服务”管理单元。


八、限制 Web 站点连接
限制各 Web 站点可用的连接数量。方法是:
启动“Internet 服务管理器”。
展开“*服务器名”,其中服务器名 是 Web 服务器的名称。
右键单击所需的 Web 站点(例如,默认 Web 站点),然后在出现的快捷菜单上单击属性 。
在连接下,单击限于。
在“连接”框中,键入要允许的连接数量。

备注:连接的每个客户端大约同时使用四个连接。例如,将连接数限制在 200 大约允许 50 名用户访问 Web 站点。
单击确定,然后退出“Internet 信息服务”管理单元。


九、使用“保持 HTTP 连接”
默认情况下,能够使用“保持 HTTP 连接”。要验证是否启用了“保持 HTTP 连接”,请按以下步骤操作:
启动“Internet 服务管理器”。
展开“*服务器名”,其中服务器名 是 Web 服务器的名称。
右键单击所需的 Web 站点(例如,默认 Web 站点),然后在出现的快捷菜单上单击属性 。
在连接下,确认“已启用保持 HTTP 连接”复选框已被选中,然后单击确定。
退出“Internet 信息服务”管理单元。

 三、运行bastion.inf加固脚本

  下载最新的bastioninf.zip,解压后运行如下命令:

secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt

  这个安全策略脚本在系统中做了如下改动:

   1.设定如下的密码策略:

密码唯一性:记录上次的 6 个密码
最短密码期限:2
密码最长期限:42
最短密码长度:10
密码复杂化(passfilt.dll):启用
用户必须登录方能更改密码:启用
帐号失败登录锁定的门限:5
锁定后重新启用的时间间隔:720分钟

  2.审计策略:

审核如下的事件:
用户和组管理 成功:失败
登录和注销 成功:失败
文件及对象访问 失败
更改安全规则 成功: 失败
用户权限的使用 失败
系统事件 成功: 失败

  3.用户权限分配:

从网络中访问这台计算机:No one
将工作站添加到域:No one
备份文件和目录:Administrators
更改系统时间:Administrators
强制从远程系统关机:No one
加载和下载设备驱动程序:Administrators
本地登录:Administrators
管理审核和安全日志:Administrators
恢复文件和目录:Administrators
关闭系统:Administrators
获得文件或对象的所属权:Administrators
忽略遍历检查(高级权力):Everyone
作为服务登录(高级权力):No one
内存中锁定页:No one
替换进程级记号:No one
产生安全审核:No one
创建页面文件:Administrators
配置系统性能:No one
创建记号对象:No one
调试程序:No one
增加进度优先级:Administrators
添加配额:Administrators
配置单一进程:Administrators
修改固件环境值:Administrators
生成系统策略: Administrators
以批处理作业登录:No one

  4.事件查看器设置:

应用程序、系统和安全的日志空间都设为100MB
事件日志覆盖方式为:覆盖30天以前的日志
禁止匿名用户查看日志

  5.注册表的值

KEY Type value
MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo\
HandlerRequired REG_DWORD 1

MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\
NtfsDisable8dot3NameCreation REG_DWORD 1

MACHINE\Software\Microsoft\WindowsNT\Version\Winlogon\AllocateCDRoms REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\Su

MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan
PrintServices\AddPrintDrivers REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\
Parameters\EnablePlainTextPassword REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoDisconnect REG_DWORD 15

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareWks REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareServer REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableForcedLogOff REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\RequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
RequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
EnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\
Parameters\RequireSignOrSeal REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SealSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SignSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ RestrictAnonymous
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session Manager\
ProtectionMode REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ LmCompatibilityLevel
REG_DWORD 2

MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\LegalNoticeText REG_SZ This is a

private system. Unauthorized use is prohibited.

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\LegalNoticeCaption REG_SZ CISD

MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\DontDisplayLastUserName REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown REG_DWORD 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\CachedLogonsCount REG_SZ 0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\AllocateFloppies REG_SZ 1

MACHINE\Software\Microsoft\Windows NT\Current bmitControl
REG_DWORD 0

MACHINE\System\CurrentControlSet\Control\Lsa\
FullPrivilegeAuditing REG_BINARY 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\ShutdownWithoutLogon REG_SZ 1

  6.文件系统和注册表存取控制:

详见bastion.inf

  7.管理员帐号:

bastion.inf将Administrator改名为root,可以按照自己的需要更改这个名字,并使用强壮的密码

  四、可选的注册表设置

1.删除 OS/2 和 POSIX 子系统:

删除如下目录的任何键:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2

删除如下目录:
c:\winnt\system32\os2

  2.除去RDS漏洞:

删除如下的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\VbBusObj.VbBusObjCls

  3.从网络服务中删除不必要的服务:

删除:Netbios接口,计算机浏览器,服务器,工作站
保留:RPC配置


  五、保护许可

  1. 保护Internet Guest 用户帐号:

  在用户管理器中,将Internet Guest 帐号改为晦涩的名字,并使用强壮的密码禁止guest帐号。
将改名后的Internet Guest 帐号从组“guests”中删除。

  设置改名后的Internet Guest 帐号对所有卷的访问为“No Access”,为了保证IIS的正常运行,必须赋予改名后的Internet Guest 帐号对以下目录的读取权限:
默认路径 环境变量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目录

  注意:在设置以上目录的权限时,不要选择替换子目录的权限!!

  2. 锁住组“Users”:

  设置NT内建组“Users”对所有卷的访问权为“No Access”,因为新用户会自动加入组“Users”中,所以新用户缺省将不能访问任何卷。
  原文作者:Gavin Reid gavin@shebeen.com




网络端口关闭大法


默认情况下windows有很多端口是开放的.在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑.所以应该关闭.主要有tcp 135 ,139,445,593,1025端口和udp135,137,138,445 端口,一些流行病毒的后门端口,如tcp 2745,3127,6129端口,以及远程服务访问端口3389.

下面介绍如何在xp/2k/2003下手动关闭这些网络端口
点击 "开始菜单/设置/控制面板/管理工具",双击打开"本地策月",选中"ip安全策月,在本地计算机"右边的空白位置右击鼠标,谈出快捷菜单,选择"创建 ip安全策月",弹出向导.在向导中点击下一步下一步,当显示"安全通信请求"画面时,把"激活默认相应规则"左边的钩去掉,点"完成"就创建了一个新的ip安全策月.

右击该ip安全策月,在"属性"对话框中,把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的规则,随后弹出"新规则属性"对话框, 在画面上点击"添加"按纽,弹出ip筛选器列表窗口.在列表中,首先把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的筛选器.

进入"筛选器属性'对话框,首先看到的是寻地址,源地址选"任何ip地址",目标地址选"我的ip地址",点击"协议"选项卡,在"选择协议类型"的下拉列表中选择“tcp",然后在"到此端口"的下的文本框中输入"135",点击确定.这样就添加了一个屏蔽tcp135 端口的筛选器,可以防止外界通过135端口连上你的电脑.
点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策月.重复以上步骤继续添加tcp 137 139 445 593 端口和udp 135 139 445 端口,为它们建立相应的筛选器.|
重复以上步骤添加tcp 125 2745 3127 6129 3389 端口的屏蔽策月,建立好上述端口的筛选器,最后点击确定按纽.

在"新规则属性"对话框中,选择"新ip筛选器列表'然后点击其左边的复选框,表示已经激活.最后点击"筛选器操作"选项卡中,把"使用添加向导"左边的钩去掉,点击"添加"按钮,进行"阻止"操作,在"新筛选器操作属性"的"安全措施"选项卡中,选择"阻止",然后点击"确定"

进入"新规则属性"对话框,点击"新筛选器操作".,选取左边的复选框,表示已经激活,点击"关闭"按钮,关闭对话框.最后"新ip安全策月属性"对话框,在"新的ip筛选器列表"左边打钩,按确定关闭对话框.在"本地安全策月"窗口,用鼠标右击新添加的ip安全策月,然后选择"指派".

重新启动后,上述端口就可以关闭了!电脑就安全多了!!!}
0

评论Comments

日志分类
首页[1019]
技术[317]
English[3]
下载[59]
IT业界[203]
发现[47]
音乐[17]
网文[322]
blog应用[36]
BLOG参考[15]