服務(wù)器安全部署文檔 服務(wù)器的安全配置與管理

安全開(kāi)發(fā)運(yùn)維必備的Nginx代理Web服務(wù)器性能優(yōu)化與安全加固配置

為了更好的指導(dǎo)部署與測(cè)試藝術(shù)升系統(tǒng)nginx網(wǎng)站服務(wù)器高性能同時(shí)下安全穩(wěn)定運(yùn)行,需要對(duì)nginx服務(wù)進(jìn)行調(diào)優(yōu)與加固;

創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿(mǎn)足客戶(hù)于互聯(lián)網(wǎng)時(shí)代的蘇尼特右網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

本次進(jìn)行Nginx服務(wù)調(diào)優(yōu)加固主要從以下幾個(gè)部分：

本文檔僅供內(nèi)部使用，禁止外傳，幫助研發(fā)人員，運(yùn)維人員對(duì)系統(tǒng)長(zhǎng)期穩(wěn)定的運(yùn)行提供技術(shù)文檔參考。

Nginx是一個(gè)高性能的HTTP和反向代理服務(wù)器，也是一個(gè)IMAP/POP3/SMTP服務(wù)器。Nginx作為負(fù)載均衡服務(wù)器, Nginx 既可以在內(nèi)部直接支持 Rails 和 PHP 程序?qū)ν膺M(jìn)行服務(wù)，也可以支持作為 HTTP代理服務(wù)器對(duì)外進(jìn)行服務(wù)。

Nginx版本選擇:

項(xiàng)目結(jié)構(gòu):

Nginx文檔幫助:

Nginx首頁(yè)地址目錄: /usr/share/nginx/html

Nginx配置文件:

localtion 請(qǐng)求匹配的url實(shí)是一個(gè)正則表達(dá)式:

Nginx 匹配判斷表達(dá)式:

例如,匹配末尾為如下后綴的靜態(tài)并判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數(shù)：

http_gzip模塊

開(kāi)啟gzip壓縮輸出(常常是大于1kb的靜態(tài)文件)，減少網(wǎng)絡(luò)傳輸;

http_fastcgi_module模塊

nginx可以用來(lái)請(qǐng)求路由到FastCGI服務(wù)器運(yùn)行應(yīng)用程序由各種框架和PHP編程語(yǔ)言等?？梢蚤_(kāi)啟FastCGI的緩存功能以及將靜態(tài)資源進(jìn)行剝離，從而提高性能。

keepalive模塊

長(zhǎng)連接對(duì)性能有很大的影響，通過(guò)減少CPU和網(wǎng)絡(luò)開(kāi)銷(xiāo)需要開(kāi)啟或關(guān)閉連接;

http_ssl_module模塊

Nginx開(kāi)啟支持Https協(xié)議的SSL模塊

Linux內(nèi)核參數(shù)部分默認(rèn)值不適合高并發(fā),Linux內(nèi)核調(diào)優(yōu)，主要涉及到網(wǎng)絡(luò)和文件系統(tǒng)、內(nèi)存等的優(yōu)化，

下面是我常用的內(nèi)核調(diào)優(yōu)配置：

文件描述符

文件描述符是操作系統(tǒng)資源，用于表示連接、打開(kāi)的文件，以及其他信息。NGINX 每個(gè)連接可以使用兩個(gè)文件描述符。

例如如果NGINX充當(dāng)代理時(shí)，通常一個(gè)文件描述符表示客戶(hù)端連接，另一個(gè)連接到代理服務(wù)器，如果開(kāi)啟了HTTP 保持連接，這個(gè)比例會(huì)更低（譯注：為什么更低呢）。

對(duì)于有大量連接服務(wù)的系統(tǒng)，下面的設(shè)置可能需要調(diào)整一下：

精簡(jiǎn)模塊:Nginx由于不斷添加新的功能，附帶的模塊也越來(lái)越多,建議一般常用的服務(wù)器軟件使用源碼編譯安裝管理;

(1) 減小Nginx編譯后的文件大小

(2) 指定GCC編譯參數(shù)

修改GCC編譯參數(shù)提高編譯優(yōu)化級(jí)別穩(wěn)妥起見(jiàn)采用 -O2 這也是大多數(shù)軟件編譯推薦的優(yōu)化級(jí)別。

GCC編譯參數(shù)優(yōu)化 [可選項(xiàng)] 總共提供了5級(jí)編譯優(yōu)化級(jí)別：

常用編譯參數(shù):

緩存和壓縮與限制可以提高性能

NGINX的一些額外功能可用于提高Web應(yīng)用的性能，調(diào)優(yōu)的時(shí)候web應(yīng)用不需要關(guān)掉但值得一提，因?yàn)樗鼈兊挠绊懣赡芎苤匾?/p>

簡(jiǎn)單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉(zhuǎn) (永久)

nginx配置文件指令優(yōu)化一覽表

描述:Nginx因?yàn)榘踩渲貌缓线m導(dǎo)致的安全問(wèn)題,Nginx的默認(rèn)配置中存在一些安全問(wèn)題,例如版本號(hào)信息泄露、未配置使用SSL協(xié)議等。

對(duì)Nginx進(jìn)行安全配置可以有效的防范一些常見(jiàn)安全問(wèn)題，按照基線(xiàn)標(biāo)準(zhǔn)做好安全配置能夠減少安全事件的發(fā)生,保證采用Nginx服務(wù)器系統(tǒng)應(yīng)用安全運(yùn)行;

Nginx安全配置項(xiàng)：

溫馨提示: 在修改相應(yīng)的源代碼文件后需重新編譯。

設(shè)置成功后驗(yàn)證:

應(yīng)配置非root低權(quán)限用戶(hù)來(lái)運(yùn)行nginx服務(wù),設(shè)置如下建立Nginx用戶(hù)組和用戶(hù)，采用user指令指運(yùn)行用戶(hù)

加固方法:

我們應(yīng)該為提供的站點(diǎn)配置Secure Sockets Layer Protocol (SSL協(xié)議)，配置其是為了數(shù)據(jù)傳輸?shù)陌踩?，SSL依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

不應(yīng)使用不安全SSLv2、SSLv3協(xié)議即以下和存在脆弱性的加密套件(ciphers), 我們應(yīng)該使用較新的TLS協(xié)議也應(yīng)該優(yōu)于舊的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發(fā)送者用來(lái)提高他們正在嘗試推廣的網(wǎng)站的互聯(lián)網(wǎng)搜索引擎排名一種技術(shù)，如果他們的垃圾信息鏈接顯示在訪(fǎng)問(wèn)日志中，并且這些日志被搜索引擎掃描，則會(huì)對(duì)網(wǎng)站排名產(chǎn)生不利影響

加固方法:

當(dāng)惡意攻擊者采用掃描器進(jìn)行掃描時(shí)候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯(cuò)誤或者重定向;

Nginx支持webdav，雖然默認(rèn)情況下不會(huì)編譯。如果使用webdav，則應(yīng)該在Nginx策略中禁用此規(guī)則。

加固方法: dav_methods 應(yīng)設(shè)置為off

當(dāng)訪(fǎng)問(wèn)一個(gè)特制的URL時(shí)，如"../nginx.status"，stub_status模塊提供一個(gè)簡(jiǎn)短的Nginx服務(wù)器狀態(tài)摘要,大多數(shù)情況下不應(yīng)啟用此模塊。

加固方法：nginx.conf文件中stub_status不應(yīng)設(shè)置為：on

如果在瀏覽器中出現(xiàn)Nginx自動(dòng)生成的錯(cuò)誤消息，默認(rèn)情況下會(huì)包含Nginx的版本號(hào),這些信息可以被攻擊者用來(lái)幫助他們發(fā)現(xiàn)服務(wù)器的潛在漏洞

加固方法: 關(guān)閉"Server"響應(yīng)頭中輸出的Nginx版本號(hào)將server_tokens應(yīng)設(shè)置為：off

client_body_timeout設(shè)置請(qǐng)求體（request body）的讀超時(shí)時(shí)間。僅當(dāng)在一次readstep中，沒(méi)有得到請(qǐng)求體，就會(huì)設(shè)為超時(shí)。超時(shí)后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout應(yīng)設(shè)置為：10

client_header_timeout設(shè)置等待client發(fā)送一個(gè)請(qǐng)求頭的超時(shí)時(shí)間（例如：GET / HTTP/1.1）。僅當(dāng)在一次read中沒(méi)有收到請(qǐng)求頭，才會(huì)設(shè)為超時(shí)。超時(shí)后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應(yīng)設(shè)置為：10

keepalive_timeout設(shè)置與client的keep-alive連接超時(shí)時(shí)間。服務(wù)器將會(huì)在這個(gè)時(shí)間后關(guān)閉連接。

加固方法：nginx.conf文件中keepalive_timeout應(yīng)設(shè)置為：55

send_timeout設(shè)置客戶(hù)端的響應(yīng)超時(shí)時(shí)間。這個(gè)設(shè)置不會(huì)用于整個(gè)轉(zhuǎn)發(fā)器，而是在兩次客戶(hù)端讀取操作之間。如果在這段時(shí)間內(nèi)，客戶(hù)端沒(méi)有讀取任何數(shù)據(jù)，Nginx就會(huì)關(guān)閉連接。

加固方法：nginx.conf文件中send_timeout應(yīng)設(shè)置為：10

GET和POST是Internet上最常用的方法。Web服務(wù)器方法在RFC 2616中定義禁用不需要實(shí)現(xiàn)的可用方法。

加固方法:

limit_zone 配置項(xiàng)限制來(lái)自客戶(hù)端的同時(shí)連接數(shù)。通過(guò)此模塊可以從一個(gè)地址限制分配會(huì)話(huà)的同時(shí)連接數(shù)量或特殊情況。

加固方法：nginx.conf文件中l(wèi)imit_zone應(yīng)設(shè)置為：slimits $binary_remote_addr 5m

該配置項(xiàng)控制一個(gè)會(huì)話(huà)同時(shí)連接的最大數(shù)量，即限制來(lái)自單個(gè)IP地址的連接數(shù)量。

加固方法：nginx.conf 文件中 limit_conn 應(yīng)設(shè)置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述后端獲取Proxy后的真實(shí)Client的IP獲取需要安裝--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))進(jìn)行獲取;

描述: 如果要使用geoip地區(qū)選擇,我們需要再nginx編譯時(shí)加入 --with-http_geoip_module 編譯參數(shù)。

描述: 為了防止外部站點(diǎn)引用我們的靜態(tài)資源，我們需要設(shè)置那些域名可以訪(fǎng)問(wèn)我們的靜態(tài)資源。

描述: 下面收集了Web服務(wù)中常規(guī)的安全響應(yīng)頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進(jìn)行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們服務(wù)器上, 導(dǎo)致服務(wù)器被警告關(guān)停，將會(huì)對(duì)業(yè)務(wù)或者SEO排名以及企業(yè)形象造成影響，我們可以通過(guò)如下方式進(jìn)行防范。

執(zhí)行結(jié)果:

描述: 有時(shí)你的網(wǎng)站可能只需要被某一IP或者IP段的地址請(qǐng)求訪(fǎng)問(wèn)，那么非白名單中的地址訪(fǎng)問(wèn)將被阻止訪(fǎng)問(wèn), 我們可以如下配置;

常用nginx配置文件解釋?zhuān)?/p>

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實(shí)現(xiàn)這個(gè)合并文件的功能。

(2) PHP-FPM的優(yōu)化

如果您高負(fù)載網(wǎng)站使用PHP-FPM管理FastCGI對(duì)于PHP-FPM的優(yōu)化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開(kāi) resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址:

如何部署vcenter server 5.x

兼容性和安裝

ESXi、vCenter Server 和 vSphere Web Client 的版本兼容性

VMware 產(chǎn)品互操作性列表詳細(xì)介紹了 VMware vSphere 組件（包括 ESXi、VMware vCenter Server、vSphere Web Client 和可選的 VMware 產(chǎn)品）當(dāng)前版本與早期版本的兼容性問(wèn)題。此外，在安裝 ESXi 或 vCenter Server 之前，請(qǐng)查看 VMware 產(chǎn)品互操作性列表以了解有關(guān)受支持的管理和備份代理的信息。

vSphere Client 和 vSphere Web Client 打包在 vCenter Server ISO 上。您可以使用 VMware vCenter? 安裝程序向?qū)?lái)安裝其中一個(gè)客戶(hù)端，也可以同時(shí)安裝這兩個(gè)客戶(hù)端。

vSphere Client 與使用 vCenter Server 5.x 的鏈接模式環(huán)境之間的連接

vCenter Server 5.5 在鏈接模式下只能與 vCenter Server 5.5 的其他實(shí)例共存。

此版本的安裝說(shuō)明

有關(guān)安裝和配置 vCenter Server 的指導(dǎo)，請(qǐng)閱讀 《vSphere 安裝和設(shè)置》文檔。

雖然安裝過(guò)程很簡(jiǎn)單，但是仍須執(zhí)行若干后續(xù)配置步驟。請(qǐng)閱讀以下文檔：

《vCenter Server 和主機(jī)管理》文檔中的“許可”

《vSphere 網(wǎng)絡(luò)連接》文檔中的“網(wǎng)絡(luò)連接”

《vSphere 安全性》文檔中的“安全性” ，了解有關(guān)防火墻端口的信息

本版本的升級(jí)

有關(guān)升級(jí) vCenter Server 的說(shuō)明，請(qǐng)參見(jiàn) 《vSphere 升級(jí)》文檔。

VMware vSphere 5.5 的開(kāi)放源組件

可從 的 [開(kāi)放源代碼] 選項(xiàng)卡上獲取適用于 vSphere 5.5 中分發(fā)的開(kāi)放源軟件組件的版權(quán)聲明和許可證。您還可以下載 vSphere 最新可用版本的所有 GPL、LGPL 或者其他要求公開(kāi)源代碼或?qū)υ创a進(jìn)行修改的類(lèi)似許可證的源文件。

產(chǎn)品支持注意事項(xiàng)

vSphere Web Client。由于 Adobe Flash 不再支持 Linux 平臺(tái)，因此 Linux 操作系統(tǒng)不支持 vSphere Web Client。已添加 Adobe Flash 支持的第三方瀏覽器仍可在 Linux 操作系統(tǒng)上繼續(xù)工作。

VMware vCenter Server Appliance。在 vSphere 5.5 中，VMware vCenter Server Appliance 可通過(guò)強(qiáng)制執(zhí)行美國(guó)國(guó)防信息系統(tǒng)局《安全技術(shù)信息準(zhǔn)則》(STIG) 來(lái)滿(mǎn)足嚴(yán)格監(jiān)管的合規(guī)性標(biāo)準(zhǔn)要求。部署 VMware vCenter Server Appliance 之前，請(qǐng)參見(jiàn)《VMware 強(qiáng)化虛擬設(shè)備操作指南》 以獲取有關(guān)新安全部署標(biāo)準(zhǔn)的信息，以確保操作成功。

vCenter Server 數(shù)據(jù)庫(kù)。vSphere 5.5 不再支持使用 IBM DB2 作為 vCenter Server 數(shù)據(jù)庫(kù)。

VMware Tools。從 vSphere 5.5 開(kāi)始，有關(guān)如何在 vSphere 中安裝和配置 VMware Tools 的所有信息都將與其他 vSphere 文檔合并。有關(guān)在 vSphere 中使用 VMware Tools 的信息，請(qǐng)參見(jiàn) vSphere 文檔。 《安裝和配置 VMware Tools》與 vSphere 5.5 及更高版本不相關(guān)。

vSphere Data Protection。由于 vSphere Web Client 運(yùn)行方式的更改，vSphere Data Protection 5.1 將與 vSphere 5.5 不兼容。升級(jí)到 vSphere 5.5 的 vSphere Data Protection 5.1 用戶(hù)如繼續(xù)使用 vSphere Data Protection，必須同時(shí)更新 vSphere Data Protection。

已解決的問(wèn)題

本節(jié)介紹了此版本中以下幾個(gè)主題方面的已解決的問(wèn)題：

升級(jí)和安裝

vCenter Server、vSphere Client 和 vSphere Web Client

vCenter Single Sign-On

虛擬機(jī)管理

升級(jí)和安裝

將 vSphere Web Client 升級(jí)到 vSphere 5.5 時(shí)失敗，并顯示一個(gè)錯(cuò)誤

嘗試將 vSphere Web Client 升級(jí)到 vSphere 5.5 時(shí)失?。ㄈ绻惭b在自定義的非默認(rèn)位置）。將顯示類(lèi)似于以下內(nèi)容的錯(cuò)誤消息：

錯(cuò)誤 29107。服務(wù)或解決方案用戶(hù)已經(jīng)注冊(cè)... (Error 29107. The service or solution user already registered...)

本版本已解決該問(wèn)題。

vCenter Server、vSphere Client 和 vSphere Web Client

vCenter Server 5.5 在主機(jī) [摘要] 選項(xiàng)卡上的黃色配置問(wèn)題框中顯示警告消息

使用 vSphere Client 或 vSphere Web Client 連接到 VMware vCenter Server 5.5 時(shí)，ESXi 5.5 主機(jī)的 [摘要] 選項(xiàng)卡會(huì)在黃色配置問(wèn)題框中顯示類(lèi)似以下內(nèi)容的警告消息：

主機(jī)名 上的快速統(tǒng)計(jì)信息不是最新的 (Quick stats on hostname is not up-to-date)

本版本已解決該問(wèn)題。

嘗試使用日志瀏覽器導(dǎo)出日志包失敗

嘗試使用日志瀏覽器界面導(dǎo)出日志包時(shí)，瀏覽器窗口將顯示 安全連接失敗 (Secure Connection Failed)錯(cuò)誤頁(yè)面，其中包含以下消息：

您的證書(shū)包含與證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的其他證書(shū)相同的序列號(hào)。請(qǐng)獲取一個(gè)包含唯一序列號(hào)的新證書(shū) (Your certificate contains the same serial number as another certificate issued by the certificate authority. Please get a new certificate containing a unique serial number)。

本版本已解決該問(wèn)題。

注意：如果您從 vCenter Server 5.5 版本升級(jí)，請(qǐng)參見(jiàn)已知問(wèn)題部分中提供的 解決辦法。

嘗試登錄 vSphere Web Client 時(shí)顯示錯(cuò)誤消息

如果未在 [SSO 配置] 頁(yè)面中配置本地操作系統(tǒng)標(biāo)識(shí)源，則嘗試登錄 vSphere Web Client 時(shí)會(huì)顯示錯(cuò)誤消息。將顯示類(lèi)似于以下內(nèi)容的錯(cuò)誤消息：

無(wú)法對(duì) Inventory Service 服務(wù)器 IP:10443 進(jìn)行身份驗(yàn)證 (Failed to authenticate to inventory service server IP:10443)

本版本已解決該問(wèn)題。

vCenter Single Sign-On

安裝 vCenter Single Sign-On 5.5 后，嘗試連接到 vCenter Single Sign-On 服務(wù)器時(shí)可能失敗

在未加入域并且具有多個(gè)網(wǎng)絡(luò)接口的 Windows 系統(tǒng)上安裝 vCenter Single Sign-On 5.5 后，嘗試從其他組件連接到 SSO 服務(wù)器時(shí)可能失敗。您可能會(huì)看到類(lèi)似以下內(nèi)容的消息：

無(wú)法連接到 vCenter Single Sign On....請(qǐng)確保在 URL 中指定 IP 地址 (Could not connect vCenter Single Sign On....make sure the IP address is specified in the URL)。

本版本已解決該問(wèn)題。

從 vCenter Server Appliance 5.0.x 升級(jí)到 5.5 時(shí)，如果選擇外部 vCenter Single Sign-On，則 vCenter Server 無(wú)法啟動(dòng)

如果在將 vCenter Server Appliance 從 5.0.x 升級(jí)到 5.5 時(shí)選擇外部 vCenter Single Sign-On 實(shí)例，vCenter Server 在升級(jí)后將無(wú)法啟動(dòng)。在設(shè)備管理界面中，vCenter Single Sign-On 列為 [未配置]。

本版本已解決該問(wèn)題。

如果 SSL 證書(shū)采用 PKCS12 格式，則嘗試將 vCenter Single Sign-On 升級(jí)到 5.5 時(shí)會(huì)失敗

從 vCenter Single Sign-On 5.1 升級(jí)到 5.5 時(shí)，安裝程序會(huì)在您選擇 SSO 部署方法之前失敗并回滾，且顯示以下錯(cuò)誤消息：

由于出現(xiàn)錯(cuò)誤，vCenter Single Sign-On 安裝向?qū)б烟崆敖Y(jié)束 (vCenter Single Sign-On Setup Wizard ended prematurely because of an error)

將向 vim-sso-msi.log文件中記錄類(lèi)似以下內(nèi)容的錯(cuò)誤消息：

DEBUG:Error 2896:Executing action ExtractKeystoreInfo failed.

本版本已通過(guò)顯示以下警告消息解決該問(wèn)題：

安裝程序檢測(cè)到當(dāng)前配置存在問(wèn)題，升級(jí)將失敗。您的證書(shū)密鑰存儲(chǔ)格式可能不受支持。請(qǐng)參見(jiàn) VMware 知識(shí)庫(kù)文章 2061404(Setup has detected a problem with your current configuration which will cause upgrade to fail. Your certificate key store format might be unsupported. See VMware KB 2061404)。

在您選擇部署類(lèi)型之前，升級(jí)到 vCenter Single Sign-On 5.5 失敗

在您能夠選擇部署類(lèi)型之前，嘗試升級(jí)到 vCenter Single Sign-On 5.5 失敗。將向 vminst.log文件中記錄類(lèi)似以下內(nèi)容的錯(cuò)誤消息：

VMware Single Sign-On-build-1302472:09/26/13 15:18:19 VmSetupMsiIsVC50Installed exit:Error = 1605

VMware Single Sign-On-build-1302472:09/26/13 15:18:19 VmSetupGetMachineInfo exit:Error code = 1605

本版本已解決該問(wèn)題。

Active Directory 未自動(dòng)添加為 vCenter Single Sign-On 中的標(biāo)識(shí)資源

在屬于 Active Directory 的 Windows 系統(tǒng)中最初安裝 vCenter Single Sign-On 時(shí)，Active Directory 未自動(dòng)添加為 vCenter Single Sign-On 服務(wù)器中的默認(rèn)標(biāo)識(shí)資源。

本版本已解決該問(wèn)題。

無(wú)法在 vSphere Web Client 中編輯 vSphere 5.5 標(biāo)識(shí)源

無(wú)法在 vSphere Web Client 中編輯 vSphere 5.5 標(biāo)識(shí)源，因?yàn)?Active Directory 標(biāo)識(shí)源的 [編輯] 圖標(biāo)已禁用。您會(huì)看到類(lèi)似以下內(nèi)容的警告消息：

編輯標(biāo)識(shí)源 (不可用) (Edit Identity Source (Not available))

本版本已解決該問(wèn)題。

從 vCenter Server 5.1 升級(jí)到 5.5 后，無(wú)法修改密碼或從 system-domain 刪除用戶(hù)

從 vCenter Server 5.1 升級(jí)到 vCenter Server 5.5 后，無(wú)法從 system-domain 刪除用戶(hù)或修改這些用戶(hù)的密碼。

本版本已解決該問(wèn)題。

vCenter Single Sign-On Identity Management 服務(wù)重復(fù)記錄以下消息：Enumerate trusts failed Failed to enumerate domain trusts for domain_name (dwError - 5)

在 vCenter Single Sign-On 中配置 Active Directory（已集成 Windows 身份驗(yàn)證）標(biāo)識(shí)源時(shí)，位于 C:\ProgramData\VMware\CIS\logs\vmware-sso的 vmware-sts-idmd.log文件會(huì)重復(fù)記錄以下消息：

INFO [ActiveDirectoryProvider] Enumerate trusts failed Failed to enumerate domain trusts for domain_name(dwError - 5)

本版本已解決該問(wèn)題。

虛擬機(jī)管理

目標(biāo)數(shù)據(jù)存儲(chǔ)為 Storage DRS POD 時(shí)，嘗試克隆、創(chuàng)建虛擬機(jī)或?qū)μ摂M機(jī)執(zhí)行 Storage vMotion 操作失敗

在 vCenter Server 中，如果目標(biāo)數(shù)據(jù)存儲(chǔ)為 Storage DRS POD，并且存儲(chǔ)設(shè)備打開(kāi)了重復(fù)數(shù)據(jù)刪除功能，則虛擬機(jī)創(chuàng)建、克隆或?qū)μ摂M機(jī)執(zhí)行 Storage vMotion 操作等消耗存儲(chǔ)空間的操作將失敗。此時(shí)會(huì)顯示以下錯(cuò)誤：

數(shù)據(jù)存儲(chǔ) xxxxx 上的磁盤(pán)空間不足 (Insufficient disk space on datastore xxxxx)

本版本已解決該問(wèn)題。

已知問(wèn)題

已知問(wèn)題分為如下類(lèi)別：

安裝

升級(jí)

vCenter Single Sign-On

網(wǎng)絡(luò)

存儲(chǔ)器

vCenter Server 和 vSphere Web Client

虛擬機(jī)管理

遷移

VMware HA 和 Fault Tolerance

其他

之前未記錄的已知問(wèn)題以 * 符號(hào)標(biāo)記。

安裝問(wèn)題

重新安裝 vCenter Single Sign-On 5.5 在顯示以下消息后停止：Configuring SSO Components...（知識(shí)庫(kù)文章 2059131）

安裝 vCenter Server 并將其卸載后，存儲(chǔ)配置文件在 vSphere Web Client 中不可見(jiàn)

如果通過(guò) Windows 控制面板項(xiàng) [添加/刪除程序] 或 [程序和功能] 卸載 vCenter Server，還會(huì)卸載配置文件驅(qū)動(dòng)的存儲(chǔ)。重新安裝 vCenter Server 時(shí)，還會(huì)安裝文件驅(qū)動(dòng)的存儲(chǔ)服務(wù)，但您將無(wú)法在 vSphere Web Client 中看見(jiàn)以前創(chuàng)建的存儲(chǔ)配置文件。仍可創(chuàng)建新的存儲(chǔ)配置文件。

解決辦法：要卸載 vCenter Server 而不卸載配置文件驅(qū)動(dòng)的存儲(chǔ)，請(qǐng)使用 MSI 命令。之后，在您重新安裝 vCenter Server 時(shí)，即使通過(guò)安裝程序向?qū)Щ驈拿钚羞M(jìn)行安裝，您仍然可以在 vSphere Web Client 中看見(jiàn)以前創(chuàng)建的存儲(chǔ)配置文件。

要卸載 vCenter Server，請(qǐng)以下面的示例命令為例：

msiexec.exe /x vCenter Server Product code

例如：

msiexec.exe /x {E1F05550-4238-4378-87F0-105147A251D9}

vCenter 的確切產(chǎn)品代碼可以從以下注冊(cè)表項(xiàng)中獲?。?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VMware vCenter Server。

如果 vCenter Single Sign-On 5.5 包含多個(gè)節(jié)點(diǎn)，則本地操作系統(tǒng)用戶(hù)的登錄可能會(huì)失敗

在安裝或升級(jí)后提供本地操作系統(tǒng)標(biāo)識(shí)源，如下所示： * vCenter Single Sign-On 安裝程序?qū)⒈镜夭僮飨到y(tǒng)標(biāo)識(shí)源添加到 vCenter Single Sign-On 配置中。如果創(chuàng)建多個(gè)節(jié)點(diǎn)，則主節(jié)點(diǎn)中的本地操作系統(tǒng)在其他所有節(jié)點(diǎn)上顯示為一個(gè)標(biāo)識(shí)源。 * 如果升級(jí) vCenter Single Sign-On 高可用性環(huán)境，則主節(jié)點(diǎn)中的本地操作系統(tǒng)在其他所有節(jié)點(diǎn)上顯示為一個(gè)標(biāo)識(shí)源。 不過(guò)，即使第一個(gè)節(jié)點(diǎn)中的本地操作系統(tǒng)在輔助節(jié)點(diǎn)中顯示為標(biāo)識(shí)源，第一個(gè)節(jié)點(diǎn)中的本地操作系統(tǒng)用戶(hù)也無(wú)法登錄到那些輔助節(jié)點(diǎn)。

解決辦法：無(wú)。

在 Windows Server 2008 R2 和 Windows 2012 主機(jī)上使用簡(jiǎn)單安裝執(zhí)行安裝失敗

如果您使用簡(jiǎn)單安裝在 Windows Server 2008 R2 或 Windows 2012 主機(jī)上安裝 vCenter Server 及其組件，而該主機(jī)配置為使用 DHCP IP 尋址，安裝失敗并顯示警告和錯(cuò)誤消息。

解決辦法：執(zhí)行下列操作之一。

在 Windows Server 2008 R2 或 2012 主機(jī)上：將 Windows Server 配置為使用靜態(tài) IP 和主機(jī)名。

僅限在 Windows Server 2008 R2 主機(jī)上：在操作系統(tǒng)中將 DHCP IP 和主機(jī)名映射到系統(tǒng)的 HOST文件。

在 vCenter Single Sign-On 5.5 安裝過(guò)程中，您無(wú)法指定與您正在安裝 vCenter Single Sign-On 的這臺(tái)計(jì)算機(jī)的 FQDN 不同的主機(jī)名

vCenter Single Sign-On 安裝程序沒(méi)有用于在安裝過(guò)程中指定主機(jī)名的選項(xiàng)。安裝程序會(huì)始終使用您正在安裝 vCenter Single Sign-On 的這臺(tái)計(jì)算機(jī)的 FQDN。您無(wú)法在安裝過(guò)程中使用 CNAME 來(lái)代替 FQDN。

解決辦法：無(wú)。

在土耳其語(yǔ)版本的 Windows Server 上安裝 vCenter Server 時(shí)會(huì)顯示錯(cuò)誤消息 25205

在任一土耳其語(yǔ)版本的 Windows Server 2008 或 2012 上安裝 vCenter Server 時(shí)，如果 vCenter Server 數(shù)據(jù)庫(kù)位于同一臺(tái)主機(jī)上，則會(huì)顯示錯(cuò)誤消息 25205。

解決辦法：在遠(yuǎn)程英語(yǔ)版本的 Windows Server 上安裝并運(yùn)行 vCenter Server 數(shù)據(jù)庫(kù)。

簡(jiǎn)單安裝僅在系統(tǒng)驅(qū)動(dòng)器上檢查空間要求

簡(jiǎn)單安裝會(huì)在開(kāi)始安裝前檢查是否有足夠的空間。但是，只有在系統(tǒng)驅(qū)動(dòng)器上安裝時(shí)才會(huì)執(zhí)行該檢查。如果嘗試在非系統(tǒng)驅(qū)動(dòng)器上安裝，則該安裝程序不會(huì)檢查是否有足夠的空間。

解決辦法：安裝前，檢查目標(biāo)驅(qū)動(dòng)器上是否有足夠的磁盤(pán)空間。簡(jiǎn)單安裝至少需要 10GB 的可用空間。建議預(yù)留更多空間。請(qǐng)參見(jiàn) 《安裝和設(shè)置》文檔 。

如果 vCenter Single Sign-On 安裝失敗并進(jìn)行回滾，則 vCenter Server Java 組件 (JRE) 和 vCenter tc Server 組件仍會(huì)進(jìn)行安裝

如果 Single Sign-On 安裝被取消或失敗，則該安裝將回滾到安裝前的狀態(tài)，此時(shí)系統(tǒng)會(huì)顯示一條消息，指出系統(tǒng)未進(jìn)行修改。但是，vCenter Server Java 組件 (JRE) 和 vCenter tc Server 組件仍會(huì)進(jìn)行安裝。

解決辦法：在 Windows 控制面板的 [程序和功能] 中手動(dòng)移除這些組件。

如果安裝路徑包含非 ASCII 字符，則 vSphere Authentication Proxy 安裝失敗

如果安裝路徑包含非 ASCII 字符，則 vSphere Authentication Proxy 安裝會(huì)失敗，并顯示錯(cuò)誤消息： 錯(cuò)誤 29106。未知錯(cuò)誤。(Error 29106. Unknown Error.)

解決辦法：確保安裝路徑僅包含 ASCII 字符。

如果已登錄用戶(hù)的用戶(hù)名包含非 ASCII 字符，則安裝 vCenter Server 及相關(guān)組件會(huì)失敗

如果當(dāng)前已登錄用戶(hù)的用戶(hù)名包含非 ASCII 字符，則安裝 vCenter Server、vCenter Inventory Server、vCenter Single Sign-On 或 vSphere Web Client 會(huì)失敗，并顯示錯(cuò)誤消息： 用戶(hù)名包含非 ASCII 字符。請(qǐng)使用僅包含 ASCII 字符的用戶(hù)名登錄 (The user name contains non-ASCII characters. Please log in with a user name that contains only ASCII characters)。

解決辦法：使用不包含非 ASCII 字符的用戶(hù)名登錄，然后重新嘗試安裝。

autoPartition 引導(dǎo)選項(xiàng)可能會(huì)意外地對(duì) SSD 進(jìn)行分區(qū)

默認(rèn)情況下，在 Visor（即，寫(xiě)入到設(shè)備中的 ESXi dd 映像）中， autoPartition引導(dǎo)選項(xiàng)會(huì)設(shè)置為 TRUE。此設(shè)置將對(duì)所有空白本地磁盤(pán)（包括可能打算在 vFlash 和 Virtual SAN 中使用的 SSD）進(jìn)行分區(qū)。

解決辦法：將 skipPartitioningSsds=TRUE添加到引導(dǎo)選項(xiàng)行中。

在 vCenter Server 簡(jiǎn)單安裝期間會(huì)顯示一個(gè)對(duì)話(huà)框，其中包含一條警告，指出某個(gè)腳本正在使瀏覽器運(yùn)行速度變慢

vCenter Server 簡(jiǎn)單安裝選項(xiàng)需要很長(zhǎng)時(shí)間來(lái)安裝或升級(jí)所有必需 vCenter Server 組件。該操作可能會(huì)使運(yùn)行 vCenter Server 安裝程序自動(dòng)運(yùn)行屏幕的 Internet Explorer 瀏覽器進(jìn)程顯示以下警告消息：

此頁(yè)面上的一個(gè)腳本正在使瀏覽器運(yùn)行速度變慢。如果繼續(xù)運(yùn)行，您的計(jì)算機(jī)可能會(huì)無(wú)響應(yīng)。是否要中止該腳本? (A script on this page is causing your browser to run slowly. If it continues to run, your computer might become unresponsive. Do you want to abort the script?)

當(dāng)安裝時(shí)間超過(guò)以下 Windows 注冊(cè)表項(xiàng)設(shè)置的時(shí)間時(shí)會(huì)顯示警告對(duì)話(huà)框： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\MaxScriptStatements

在 Windows Server 2012 操作系統(tǒng)上會(huì)頻繁除出現(xiàn)此問(wèn)題。

解決辦法：在警告消息中單擊 [否]，或?qū)?MaxScriptStatements注冊(cè)表項(xiàng)的值設(shè)置為 0xffffffff。

升級(jí)問(wèn)題

升級(jí)到 vCenter Server 5.5 不會(huì)檢測(cè)出過(guò)期的 SSL 證書(shū)

在使用 [簡(jiǎn)單安裝] 升級(jí)到 vCenter Server 5.5 時(shí)，安裝程序不會(huì)檢測(cè)出任何過(guò)期的 SSL 證書(shū)。

如果使用 [自定義安裝] 中的各個(gè)安裝程序從 5.1.x 升級(jí)到 5.5，則只有 vSphere Web Client 會(huì)檢測(cè)出過(guò)期的 SSL 證書(shū)并停止安裝。vCenter Single Sign-On 將顯示一條常規(guī)警告消息來(lái)驗(yàn)證 SSL 證書(shū)的有效性。vCenter Inventory Service 和 vCenter Server 的各個(gè)安裝程序均不會(huì)檢測(cè)出過(guò)期的 SSL 證書(shū)。

解決辦法：在開(kāi)始使用 [簡(jiǎn)單安裝] 或 [自定義安裝] 中的各個(gè)應(yīng)用程序升級(jí)到 vCenter Server 5.5 之前，請(qǐng)檢查 vCenter Single Sign-On、vSphere Web Client、vCenter Inventory Service 和 vCenter Server 的 SSL 證書(shū)的有效性。在開(kāi)始升級(jí)過(guò)程之前，將所有過(guò)期的 SSL 證書(shū)都替換為有效的證書(shū)。

在將 vCenter Server 升級(jí)到 5.5 后，無(wú)存儲(chǔ)功能的存儲(chǔ)配置文件可能會(huì)丟失

升級(jí)到 vCenter Server 5.5 后，使用 vCenter Server 的早期版本創(chuàng)建的存儲(chǔ)配置文件在 vSphere Web Client 中不可見(jiàn)。此問(wèn)題僅影響未附加任何存儲(chǔ)功能的存儲(chǔ)配置文件。

解決辦法：升級(jí)之前，將存儲(chǔ)功能附加到需要在 vCenter Server 5.5 中使用的存儲(chǔ)配置文件。升級(jí)后，現(xiàn)有存儲(chǔ)功能會(huì)轉(zhuǎn)換為“舊版用戶(hù)標(biāo)簽”類(lèi)別的標(biāo)記，而存儲(chǔ)配置文件會(huì)轉(zhuǎn)換為引用這些標(biāo)記的存儲(chǔ)配置文件。

在使用負(fù)載平衡器的高可用性部署中，將 vCenter Single Sign-On 5.1.x 升級(jí)到版本 5.5 之后，必須重新配置負(fù)載平衡器

在從 vCenter Single Sign-On 5.1 升級(jí)到 5.5 期間，文件 server.xml會(huì)進(jìn)行遷移，但在升級(jí)后，必須手動(dòng)進(jìn)行更新。

解決辦法：請(qǐng)參見(jiàn)《vSphere 升級(jí)》文檔中的“將 vCenter Single Sign-On 高可用性部署升級(jí)到版本 5.5 后重新配置負(fù)載平衡器” 。

在將 vSphere Web Client 和 vCenter Single Sign-On 升級(jí)到版本 5.5 后，vCenter Server 5.1 不可見(jiàn)

假設(shè)將 vSphere Single Sign-On 和 vSphere Web Client 從版本 5.1 升級(jí)到版本 5.5，但不升級(jí) vCenter Server 系統(tǒng)。如果您在升級(jí)后登錄到 vSphere Web Client，則 vCenter Server 系統(tǒng)版本 5.1 將不可見(jiàn)。此問(wèn)題僅適用于 Windows 升級(jí)，在升級(jí) vCenter Server Appliance 時(shí)不會(huì)出現(xiàn)此問(wèn)題。

解決辦法：重新啟動(dòng) vCenter Server 系統(tǒng)和 vSphere Inventory Service ( services.msc)。要查看 vCenter Server 5.1 清單，請(qǐng)以 admin@System-Domain身份登錄。請(qǐng)參見(jiàn) VMware 知識(shí)庫(kù)文章 1003895。

在將 vCenter Server 從版本 5.0 Update 2 升級(jí)到版本 5.5 后，VMware VirtualCenter Server 服務(wù)可能無(wú)法啟動(dòng)

解決辦法：手動(dòng)啟動(dòng) VMware VirtualCenter Server 服務(wù)：

在 Windows [開(kāi)始] 菜單中，打開(kāi) [管理工具] 控制面板項(xiàng)。

選擇 [服務(wù)]。

右鍵單擊 [VMware VirtualCenter Server] 并選擇 [啟動(dòng)]。

vSphere Client 和 vSphere PowerCLI 可能無(wú)法連接到 vCenter Server 5.5，并出現(xiàn)握手錯(cuò)誤

安裝在 Windows XP 或 Windows Server 2003 主機(jī)上之后，vSphere Client 和 vSphere PowerCLI 可能無(wú)法連接到 vCenter Server 5.5，并出現(xiàn)握手錯(cuò)誤。vSphere 5.5 使用 Open SSL 庫(kù)，為安全起見(jiàn)，該庫(kù)會(huì)默認(rèn)配置為僅接受使用強(qiáng)密碼套件的連接。在 Windows XP 或 Windows Server 2003 上，vSphere Client 和 vSphere PowerCLI 不使用強(qiáng)密碼套件來(lái)連接 vCenter Server。服務(wù)器端會(huì)出現(xiàn)錯(cuò)誤 沒(méi)有匹配的密碼套件 (No matching cipher suite)，并在 vSphere Client 或 vSphere PowerCLI 端出現(xiàn)握手錯(cuò)誤。

解決辦法：執(zhí)行下列操作之一。

對(duì)于 Windows Server 2003 或 64 位 Windows XP，應(yīng)用適用于您的平臺(tái)的 Microsoft 修補(bǔ)程序：

x64 平臺(tái)：

ia64 平臺(tái)：

i386 平臺(tái)：

對(duì)于 Windows XP 32 位、Windows XP 64 位或 Windows Server 2003，請(qǐng)執(zhí)行下列操作之一。

在主機(jī)上安裝 vSphere Client 或 vSphere PowerCLI 之前，將 Windows 操作系統(tǒng)升級(jí)到 Windows Vista 或更高版本。

在 vCenter Server 主機(jī)上，通過(guò)允許服務(wù)器使用弱密碼套件進(jìn)行通信來(lái)降低隱含安全性。為此，請(qǐng)?jiān)?vCenter Server vpxd.cfg文件中加入以下內(nèi)容：

config

...

vmacore

...

ssl

...

cipherListALL/cipherList

...

/ssl

...

/vmacore

...

/config

如果現(xiàn)有 vCenter Server Appliance 采用靜態(tài) IP 配置，并且現(xiàn)有 vCenter Server Appliance 和升級(jí)后的 vCenter Server Appliance 位于不同子網(wǎng)中，則在升級(jí) vCenter Server Appliance 后，網(wǎng)絡(luò)連接將丟失

升級(jí)在以下兩種情況中配置的 vCenter Server Appliance 后，網(wǎng)絡(luò)連接將丟失：

現(xiàn)有 vCenter Server Appliance 采用靜態(tài) IP 配置。

現(xiàn)有 vCenter Server Appliance 和升級(jí)后的 vCenter Server Appliance 位于不同子網(wǎng)中。

解決辦法：要還原網(wǎng)絡(luò)連接，請(qǐng)執(zhí)行以下操作：

通過(guò)虛擬機(jī)控制臺(tái)登錄 vCenter Server Appliance。

運(yùn)行 /opt/vmware/share/vami/vami_config_net以重新配置網(wǎng)絡(luò)連接。

嘗試將 vSphere Web Client 升級(jí)到版本 5.5 時(shí)會(huì)顯示警告消息：錯(cuò)誤: 29108

在將 vSphere Web Client 升級(jí)到版本 5.5 期間會(huì)顯示以下警告消息： 錯(cuò)誤:29108. 取消注冊(cè)服務(wù)或解決方案用戶(hù)失敗。(Error: 29108. The unregistration of the service or Solution user failed.)出現(xiàn)此錯(cuò)誤的原因是，安裝程序無(wú)法以編程方式移除應(yīng)用程序用戶(hù)。

解決辦法：

記下該警告消息中指定的確切 vSphere Web Client 解決方案用戶(hù)。

單擊 [確定] 以關(guān)閉警告消息，并完成 vSphere Web Client 版本 5.5 的升級(jí)。

以 Single Sign-On 管理員身份登錄到 vSphere Web Client

在 [管理] 中的 [Single Sign-On] 下單擊 [用戶(hù)和組]，然后單擊 [應(yīng)用程序用戶(hù)] 選項(xiàng)卡。

要移除上述警告消息中指定的解決方案用戶(hù)（應(yīng)用程序用戶(hù)），請(qǐng)選擇該用戶(hù)所對(duì)應(yīng)的行，然后單擊 [刪除]。

vSphere Web Client 服務(wù)在升級(jí) vCenter Server Appliance 后不啟動(dòng)

將 vCenter Server Appliance 從 5.0 或 5.1 版本升級(jí)到 5.5 版本后，vSphere Web Client 服務(wù)不啟動(dòng)，并且在 Virgo Server 日志中顯示下消息：

[ERROR] startup-tracker org.eclipse.virgo.medic.eventlog.default KE0004E Kernel failed to start within 300 seconds.

[INFO ] startup-tracker org.eclipse.virgo.medic.eventlog.default KE0011I Immediate shutdown initiated.

解決辦法：使用 vCenter Server Appliance 管理界面啟動(dòng) vSphere Web Client 服務(wù)。

vCenter Single Sign-On 問(wèn)題

如何設(shè)置Windows服務(wù)器安全設(shè)置

如何設(shè)置Windows服務(wù)器安全設(shè)置

一、取消文件夾隱藏共享在默認(rèn)狀態(tài)下，Windows 2000/XP會(huì)開(kāi)啟所有分區(qū)的隱藏共享，從“控制面板/管理工具/計(jì)算機(jī)管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”，就可以看到硬盤(pán)上的每個(gè)分區(qū)名后面都加了一個(gè)“$”。但是只要鍵入“計(jì)算機(jī)名或者IPC$”，系統(tǒng)就會(huì)詢(xún)問(wèn)用戶(hù)名和密碼，遺憾的是，大多數(shù)個(gè)人用戶(hù)系統(tǒng)Administrator的密碼都為空，入侵者可以輕易看到C盤(pán)的內(nèi)容，這就給網(wǎng)絡(luò)安全帶來(lái)了極大的隱患。

怎么來(lái)消除默認(rèn)共享呢?方法很簡(jiǎn)單，打開(kāi)注冊(cè)表編輯器，進(jìn)入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個(gè)名為“AutoShareWKs”的雙字節(jié)值，并將其值設(shè)為“0”，然后重新啟動(dòng)電腦，這樣共享就取消了。關(guān)閉“文件和打印共享”文件和打印共享應(yīng)該是一個(gè)非常有用的功能，但在不需要它的時(shí)候，也是黑客入侵的很好的安全漏洞。所以在沒(méi)有必要“文件和打印共享”的情況下，我們可以將它關(guān)閉。用鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對(duì)話(huà)框中的兩個(gè)復(fù)選框中的鉤去掉即可。二、禁止建立空連接打開(kāi)注冊(cè)表編輯器，進(jìn)入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協(xié)議對(duì)于服務(wù)器來(lái)說(shuō)，只安裝TCP/IP協(xié)議就夠了。鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，再鼠標(biāo)右擊“本地連接”，選擇“屬性”，卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源，對(duì)于不需要提供文件和打印共享的主機(jī)，還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉，避免針對(duì)NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級(jí)”，進(jìn)入“高級(jí)TCP/IP設(shè)置”對(duì)話(huà)框，選擇“WINS”標(biāo)簽，勾選“禁用TCP/IP上的NETBIOS”一項(xiàng)，關(guān)閉NETBIOS。四、禁用不必要的服務(wù):Automatic Updates(自動(dòng)更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠(yuǎn)程修改注冊(cè)表)Server(文件共享)Task Scheduler(計(jì)劃任務(wù))TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶(hù)

Administrator帳戶(hù)擁有最高的系統(tǒng)權(quán)限，一旦該帳戶(hù)被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶(hù)的密碼，所以我們要重新配置Administrator帳號(hào)。

首先是為Administrator帳戶(hù)設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼(個(gè)人建議至少12位)，然后我們重命名Administrator帳戶(hù)，再創(chuàng)建一個(gè)沒(méi)有管理員權(quán)限的Administrator帳戶(hù)欺騙入侵者。這樣一來(lái)，入侵者就很難搞清哪個(gè)帳戶(hù)真正擁有管理員權(quán)限，也就在一定程度上減少了危險(xiǎn)性六、把Guest及其它不用的賬號(hào)禁用有很多入侵都是通過(guò)這個(gè)賬號(hào)進(jìn)一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計(jì)算機(jī)給別人當(dāng)玩具，那還是禁止的好。打開(kāi)控制面板，雙擊“用戶(hù)和密碼”，單擊“高級(jí)”選項(xiàng)卡，再單擊“高級(jí)”按鈕，彈出本地用戶(hù)和組窗口。在Guest賬號(hào)上面點(diǎn)擊右鍵，選擇屬性，在“常規(guī)”頁(yè)中選中“賬戶(hù)已停用”。另外，將Administrator賬號(hào)改名可以防止黑客知道自己的管理員賬號(hào)，這會(huì)在很大程度上保證計(jì)算機(jī)安全。七、防范木馬程序

木馬程序會(huì)竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時(shí)先放到自己新建的文件夾里，再用殺毒軟件來(lái)檢測(cè)，起到提前預(yù)防的作用。

● 在“開(kāi)始”→“程序”→“啟動(dòng)”或“開(kāi)始”→“程序”→“Startup”選項(xiàng)里看是否有不明的運(yùn)行項(xiàng)目，如果有，刪除即可。

● 將注冊(cè)表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開(kāi)放了Web服務(wù)，還需要對(duì)IIS服務(wù)進(jìn)行安全配置：

(1) 更改Web服務(wù)主目錄。右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

(2) 刪除原默認(rèn)安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開(kāi)審核策略Windows默認(rèn)安裝沒(méi)有打開(kāi)任何安全審核，所以需要進(jìn)入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開(kāi)相應(yīng)的審核。系統(tǒng)提供了九類(lèi)可以審核的事件，對(duì)于每一類(lèi)都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對(duì)象訪(fǎng)問(wèn)：失敗事件過(guò)程追蹤：根據(jù)需要選用目錄服務(wù)訪(fǎng)問(wèn)：失敗事件特權(quán)使用：失敗事件系統(tǒng)事件：成功和失敗賬戶(hù)登錄事件：成功和失敗賬戶(hù)管理：成功和失敗十、安裝必要的安全軟件

我們還應(yīng)在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網(wǎng)時(shí)打開(kāi)它們，這樣即便有黑客進(jìn)攻我們的安全也是有保證的。當(dāng)然我們也不應(yīng)安裝一些沒(méi)必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門(mén).最后建議大家給自己的系統(tǒng)打上補(bǔ)丁，微軟那些沒(méi)完沒(méi)了的補(bǔ)丁還是很有用的。

文章標(biāo)題：服務(wù)器安全部署文檔 服務(wù)器的安全配置與管理
文章URL：http://www.muchs.cn/article22/dohsccc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站制作、網(wǎng)站設(shè)計(jì)公司、響應(yīng)式網(wǎng)站、網(wǎng)站內(nèi)鏈、網(wǎng)站設(shè)計(jì)、網(wǎng)站營(yíng)銷(xiāo)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)