针对 Win 2000 中优化 Web 服务器性能的一点总结入门教程

技术 2004-12-23 11:1

本文包括的内容:
一、概要二、禁用不必要的服务
三、最大化网络应用程序数据吞吐量四、优化后台服务的性能
五、最小化 IIS 5.0 日志记录六、实现带宽调节
七、限制处理器使八、限制 Web 站点连接
九、使用“保持 HTTP 连接”

一、概要:
为了能够好好的让IIS运行稳定，俺主要介绍用于优化专用的 Windows 2000 Web 服务器性能的一点方法。PS:开始吧。

二、禁用不必要的服务:
禁用专用 Web 服务器不需要的 Windows 2000 服务。方法是：单击开始，依次指向程序、管理工具，然后单击计算机管理。在“计算机管理（本地）”下，展开“服务和应用程序”，然后单击服务。当前所运行服务的状态列中显示已启动。以下服务是专用 Web 服务器上不需要的：

警报器
剪贴簿
计算机浏览器
DHCP 客户端
DHCP 服务器
传真服务
文件复制
红外线监视器
Internet 连接共享
信使
NetMeeting 远程桌面共享
网络 DDE
网络 DDE DSDM
NWLink NetBIOS
NWLink IPX/SPX
后台打印程序
TCP/IP NetBIOS 支持服务
电话
Telnet
不间断电源

记下与要停止的服务有依存关系的那些服务。方法是：
双击所需的服务。例如，双击信使。
单击依存关系选项卡。
在“服务名依赖这些服务”列表中（其中服务名是所选服务的名称），记下该服务依赖的那些服务。
在“这些服务依赖服务名”列表中，记下没有该服务就无法启动的那些服务。
单击确定。
禁用所需的服务。方法是：
右键单击要禁用的服务，然后在出现的快捷菜单上单击属性。
在“启动类型”列表中，单击禁用。
如果要立即停止服务，请单击停止。如果显示停止其他服务对话框，依赖于该服务的其他服务也将被停止。请记下受影响的服务，然后单击是。
单击确定。该服务的启动类型列中会显示禁用。
重复执行第 4 步，禁用其他不必要的服务。
备注：禁用每个服务之后，应测试 Web 服务器计算机是否运行正常。这样就最大程度地减少了禁用可能需要的服务而带来的影响。

备注：如果 IIS 服务器是 Windows 2000 域成员，则必需 TCP/IP 支持服务，以便将组策略正确地应用到计算机中。

三、最大化网络应用程序数据吞吐量
在工作内存中运行 Internet Internet 信息服务 (IIS) 5.0 进程可分页代码。方法是：
在桌面上右键单击网上邻居，然后在出现的快捷菜单中单击属性。
右键单击所需的本地连接图标，然后在出现的快捷菜单中单击属性。
在“此连接使用下列选定的组件”列表中，单击“Microsoft 网络的文件和打印机共享”（但不要清除其复选框），然后单击属性。
单击“最大化网络应用程序数据吞吐量”，然后单击确定两次。

四、优化后台服务的性能
IIS 5.0 进程 (Inetinfo.exe) 作为后台服务运行。要提高后台服务的性能，请按以下步骤操作：
单击开始，指向设置，然后单击控制面板。
在“控制面板”中，双击系统。
单击高级选项卡，然后单击性能选项。
在“应用程序响应”下，单击“后台服务”，然后单击确定两次。
退出“控制面板”。

五、最小化 IIS 5.0 日志记录
禁止对不需要的 Web 站点、虚拟目录或文件及文件夹进行日志记录。方法是：
单击开始，依次指向程序、管理工具，然后单击Internet 服务管理器。
展开“*服务器名”，其中服务器名是 Web 服务器的名称。
找到所需的项，然后用右键单击该项。在出现的快捷菜单上，单击属性。例如，右键单击默认 Web 站点，然后在出现的快捷菜单上单击属性。
执行下列操作之一：
如果选择 Web 站点，则单击主目录选项卡。

- 或 -
如果选择虚拟目录，则单击虚拟目录选项卡。

- 或 -
如果选择实际目录，则单击目录选项卡。
单击“日志访问”复选框，将其清除，然后单击确定。

要禁止整个 Web 站点的日志记录，请单击Web 站点选项卡，单击启用日志记录复选框，将其清除，然后单击确定。
退出“Internet 信息服务”管理单元。

六、启用带宽限制
限制各 Web 站点可用的网络带宽。方法是：
启动“Internet 服务管理器”。
展开“*服务器名”，其中服务器名是 Web 服务器的名称。
右键单击所需的 Web 站点（例如，默认 Web 站点），然后在出现的快捷菜单上单击属性。
单击性能选项卡，然后单击“启用带宽限制”复选框，将其选中。
在“最大网络使用”框中，键入所需的值，然后单击确定。
退出“Internet 信息服务”管理单元。

七、限制处理器使用
限制 Web 站点对处理器的占用量。方法是：
启动“Internet 服务管理器”。
展开“*服务器名”，其中服务器名是 Web 服务器的名称。
右键单击所需的 Web 站点（例如，默认 Web 站点），然后在出现的快捷菜单上单击属性。
单击性能选项卡，然后单击“启用进程限制”复选框，将其选中。
在“最大程度使用 CPU”框中，键入所需的值。
单击“强制性限制”复选框，将其选中，然后单击确定。

备注：如果不启用强制性限制选项，则不会强制执行“最大程度使用 CPU”的限制。在 Web 站点超过其允许的 CPU 使用限制时，即会在“事件日志”中写入事件。
退出“Internet 信息服务”管理单元。

八、限制 Web 站点连接
限制各 Web 站点可用的连接数量。方法是：
启动“Internet 服务管理器”。
展开“*服务器名”，其中服务器名是 Web 服务器的名称。
右键单击所需的 Web 站点（例如，默认 Web 站点），然后在出现的快捷菜单上单击属性。
在连接下，单击限于。
在“连接”框中，键入要允许的连接数量。

备注：连接的每个客户端大约同时使用四个连接。例如，将连接数限制在 200 大约允许 50 名用户访问 Web 站点。
单击确定，然后退出“Internet 信息服务”管理单元。

九、使用“保持 HTTP 连接”
默认情况下，能够使用“保持 HTTP 连接”。要验证是否启用了“保持 HTTP 连接”，请按以下步骤操作：
启动“Internet 服务管理器”。
展开“*服务器名”，其中服务器名是 Web 服务器的名称。
右键单击所需的 Web 站点（例如，默认 Web 站点），然后在出现的快捷菜单上单击属性。
在连接下，确认“已启用保持 HTTP 连接”复选框已被选中，然后单击确定。
退出“Internet 信息服务”管理单元。

　三、运行bastion.inf加固脚本

　　下载最新的bastioninf.zip，解压后运行如下命令：

secedit /configure /cfg bastion.inf /db %temp%\secedit.sdb /verbose /log %temp%\seclog.txt

　　这个安全策略脚本在系统中做了如下改动：

　　　1．设定如下的密码策略：

密码唯一性：记录上次的 6 个密码
最短密码期限：2
密码最长期限：42
最短密码长度：10
密码复杂化(passfilt.dll)：启用
用户必须登录方能更改密码：启用
帐号失败登录锁定的门限：5
锁定后重新启用的时间间隔：720分钟

　　2．审计策略：

审核如下的事件：
用户和组管理成功：失败
登录和注销成功：失败
文件及对象访问失败
更改安全规则成功：失败
用户权限的使用失败
系统事件成功：失败

　　3．用户权限分配：

从网络中访问这台计算机：No one
将工作站添加到域：No one
备份文件和目录：Administrators
更改系统时间：Administrators
强制从远程系统关机：No one
加载和下载设备驱动程序：Administrators
本地登录：Administrators
管理审核和安全日志：Administrators
恢复文件和目录：Administrators
关闭系统：Administrators
获得文件或对象的所属权：Administrators
忽略遍历检查（高级权力）：Everyone
作为服务登录（高级权力）：No one
内存中锁定页：No one
替换进程级记号：No one
产生安全审核：No one
创建页面文件：Administrators
配置系统性能：No one
创建记号对象：No one
调试程序：No one
增加进度优先级：Administrators
添加配额：Administrators
配置单一进程：Administrators
修改固件环境值：Administrators
生成系统策略： Administrators
以批处理作业登录：No one

　　4．事件查看器设置：

应用程序、系统和安全的日志空间都设为100MB
事件日志覆盖方式为：覆盖30天以前的日志
禁止匿名用户查看日志

　　5．注册表的值

KEY Type value
MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo\
HandlerRequired REG_DWORD 1

MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\
NtfsDisable8dot3NameCreation REG_DWORD 1

MACHINE\Software\Microsoft\WindowsNT\Version\Winlogon\AllocateCDRoms REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\Su

MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan
PrintServices\AddPrintDrivers REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\
Parameters\EnablePlainTextPassword REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoDisconnect REG_DWORD 15

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareWks REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\AutoShareServer REG_DWORD 0

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableForcedLogOff REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\RequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\LanManServer\
Parameters\EnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
RequireSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\
EnableSecuritySignature REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\
Parameters\RequireSignOrSeal REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SealSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\
SignSecureChannel REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ RestrictAnonymous
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session Manager\
ProtectionMode REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Lsa\ LmCompatibilityLevel
REG_DWORD 2

MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\LegalNoticeText REG_SZ This is a

private system. Unauthorized use is prohibited.

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\LegalNoticeCaption REG_SZ CISD

MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\DontDisplayLastUserName REG_SZ 1

MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail
REG_DWORD 1

MACHINE\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown REG_DWORD 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\CachedLogonsCount REG_SZ 0

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\AllocateFloppies REG_SZ 1

MACHINE\Software\Microsoft\Windows NT\Current bmitControl
REG_DWORD 0

MACHINE\System\CurrentControlSet\Control\Lsa\
FullPrivilegeAuditing REG_BINARY 1

MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\ShutdownWithoutLogon REG_SZ 1

　　6．文件系统和注册表存取控制：

详见bastion.inf

　　7．管理员帐号：

bastion.inf将Administrator改名为root,可以按照自己的需要更改这个名字，并使用强壮的密码

　　四、可选的注册表设置

1．删除 OS/2 和 POSIX 子系统:

删除如下目录的任何键：
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
删除如下的键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath
删除如下的键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\SubSystems\Os2

删除如下目录：
c:\winnt\system32\os2

　　2．除去RDS漏洞:

删除如下的注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\VbBusObj.VbBusObjCls

　　3．从网络服务中删除不必要的服务：

删除：Netbios接口，计算机浏览器，服务器，工作站
保留：RPC配置

　　五、保护许可

　　1．保护Internet Guest 用户帐号：

　　在用户管理器中，将Internet Guest 帐号改为晦涩的名字，并使用强壮的密码禁止guest帐号。
将改名后的Internet Guest 帐号从组“guests”中删除。

　　设置改名后的Internet Guest 帐号对所有卷的访问为“No Access”，为了保证IIS的正常运行，必须赋予改名后的Internet Guest 帐号对以下目录的读取权限：
默认路径环境变量
c:\ %SystemDrive%
c:\winnt %SystemRoot%
d:\InetPub\wwwroot 你的IIS根目录

　　注意：在设置以上目录的权限时，不要选择替换子目录的权限！！

　　2．锁住组“Users”：

　　设置NT内建组“Users”对所有卷的访问权为“No Access”，因为新用户会自动加入组“Users”中，所以新用户缺省将不能访问任何卷。
　　原文作者：Gavin Reid gavin@shebeen.com

网络端口关闭大法

默认情况下windows有很多端口是开放的.在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑.所以应该关闭.主要有tcp 135 ,139,445,593,1025端口和udp135,137,138,445 端口,一些流行病毒的后门端口,如tcp 2745,3127,6129端口,以及远程服务访问端口3389.

下面介绍如何在xp/2k/2003下手动关闭这些网络端口
点击 "开始菜单/设置/控制面板/管理工具",双击打开"本地策月",选中"ip安全策月,在本地计算机"右边的空白位置右击鼠标,谈出快捷菜单,选择"创建 ip安全策月",弹出向导.在向导中点击下一步下一步,当显示"安全通信请求"画面时,把"激活默认相应规则"左边的钩去掉,点"完成"就创建了一个新的ip安全策月.

右击该ip安全策月,在"属性"对话框中，把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的规则,随后弹出"新规则属性"对话框, 在画面上点击"添加"按纽,弹出ip筛选器列表窗口.在列表中,首先把"使用添加向导"左边的钩去掉,然后再点击右边的"添加"按纽添加新的筛选器.

进入"筛选器属性'对话框,首先看到的是寻地址,源地址选"任何ip地址",目标地址选"我的ip地址",点击"协议"选项卡,在"选择协议类型"的下拉列表中选择“tcp",然后在"到此端口"的下的文本框中输入"135",点击确定.这样就添加了一个屏蔽tcp135 端口的筛选器,可以防止外界通过135端口连上你的电脑.
点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策月.重复以上步骤继续添加tcp 137 139 445 593 端口和udp 135 139 445 端口,为它们建立相应的筛选器.|
重复以上步骤添加tcp 125 2745 3127 6129 3389 端口的屏蔽策月,建立好上述端口的筛选器,最后点击确定按纽.

在"新规则属性"对话框中,选择"新ip筛选器列表'然后点击其左边的复选框,表示已经激活.最后点击"筛选器操作"选项卡中,把"使用添加向导"左边的钩去掉,点击"添加"按钮,进行"阻止"操作,在"新筛选器操作属性"的"安全措施"选项卡中,选择"阻止",然后点击"确定"

进入"新规则属性"对话框,点击"新筛选器操作".,选取左边的复选框,表示已经激活,点击"关闭"按钮,关闭对话框.最后"新ip安全策月属性"对话框,在"新的ip筛选器列表"左边打钩,按确定关闭对话框.在"本地安全策月"窗口,用鼠标右击新添加的ip安全策月,然后选择"指派".

重新启动后,上述端口就可以关闭了!电脑就安全多了!!!}

标签集:TAGS:

回复Comments() 点击Count()

回复Comments

{commentauthor}

{commenttime}

{commentnum}

{commentcontent}

作者:

{commentrecontent}