省时高效:服务器系统维护与升级

ZDNetChina服务器站 x86服务器技巧

　　为了让服务器高效、快捷地对外提供服务，在默认状态下服务器往往会“自作主张”地开通一些服务或权限；尽管这些服务或权限的自动开通，为服务器的高效运行带来了便利，但不可否认的是，服务器的“自作主张”在特定场合下，有时会招惹安全麻烦，甚至会给服务器的高效运行带来负面影响。不信的话，就请各位一起来看看本文下面总结出来的服务器“自作主张”的麻烦吧，相信看了这些内容后，你会在日后更有针对性地维护好自己的服务器。　

　　1、自动升级的麻烦　

　　为了及时让你享用到最新颖、最全面、最安全的功能，Windows服务器常常会“自作主张”地弹出系统自动升级窗口，来提示你对系统进行在线升级。从表面上看这是一件好事，不过对于许多家庭用户或服务器配置不高的用户来说，服务器“自作主张”地进行在线升级，往往会向服务器系统中安装许多个人用户平时根本用不到的“垃圾”，这些“垃圾”占用着太多的服务器资源，从而导致服务器的整体运行性能不断下降。此外，频繁跳出的自动升级提示窗口，也影响着服务器管理人员的正常工作。因此，家庭用户或服务器配置不高的用户完全可以通过合适的设置，禁止服务器“自作主张”地进行自动升级：

　　考虑到服务器系统的启动菜单中并没有自动升级的“痕迹”，因此要想阻止服务器“自作主张”地进行自动升级，必须按照如下步骤才能实现：

　　依次单击“开始”/“程序”/“管理工具”/“服务”命令，在弹出的系统服务列表界面中，选中“Automatic Updates”服务项目，并用鼠标双击该项目；

图1

　　在接着打开的如图1所示的服务设置界面中，你将看到系统的自动更新服务已经被启动；此时，你可以从“启动类型”下拉列表中，选中“已禁用”选项，然后再单击“停止”按钮，最后单击“应用”按钮，再单击“确定”按钮，这样服务器日后就不会“自作主张”地进行自动升级了。

　　2、远程共享的麻烦

　　Windows 2000服务器在默认状态下，会“自作主张”地允许任何普通用户远程访问服务器中的串行端口以及并行端口等设备，这样一来非法用户有可能“趁此机会”，通过这样的访问途径来非法攻击本地服务器，从而给服务器带来安全麻烦。为了尽可能地保证服务器的安全，你一定要想办法禁止服务器“自作主张”地向普通用户开放远程访问共享端口；本文在这里就向各位推荐一种简便的实现方法，那就是通过修改系统注册表的Session Manager分支，来避免远程共享的麻烦：

　　首先打开系统的开始菜单，并执行其中的“运行”命令，在弹出的系统运行框中，执行Regedit注册表编辑命令，在接着出现的编辑界面中，依次展开HKEY_LOCAL_MACHINESystemcurrentControlSetControlSession Manager注册表分支，如图2所示；

图2

　　再用鼠标右键单击“Session Manager”分支，并依次执行快捷菜单中的“新建”、“双字节值”命令，然后将其名称修改为“ProtectionMode”，接着双击新建好的“ProtectionMode”双字节值，在其后出现的数值设置框中输入“1”，最后单击一下“确定”，然后重新启动一下服务器就可以使设置生效了。

　　3、自动报错的麻烦

　　当你小心翼翼地维护Windows服务器，服务器可能会自动跳出一个报告窗口，提示你当前服务器操作遇到错误，你是否需要将该错误发送给Microsoft公司。如果你选择“发送”错误报告的话，服务器自动跳出的错误窗口，可能会将服务器的一些隐私信息泄露出去，例如服务器的登录帐号、超级管理员的管理密码、保存在服务器中的绝密数据等，如果你单击“不发送”按钮的话，服务器正在运行的所有程序或服务，都有可能被强行关闭，甚至有的重要信息会被丢失。很显然，服务器“自作主张”地弹出错误报告窗口，会让服务器管理员左也不是，右也不是。为了避免这样的尴尬，你不妨按照下面的操作方法，阻止服务器自动报错：

　　依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，执行“Services.msc”命令，打开服务器的服务列表界面；

图3

　　接着找到其中的“Error Reporting Service”服务项目，并用鼠标双击该项目，在弹出的如图3所示的服务设置界面中，你将看到该服务在默认状态下是被设置为启动的；此时，你可以从启动类型下拉列表中，选中“已禁用”选项，再单击“停止”按钮，最后重新启动一下服务器系统，就能使设置生效了。

　　当然，要是你希望服务器在遇到严重错误时，还会自动提醒网络管理人员的话，你可以打开服务器的系统属性界面，然后单击“高级”标签页面中的“错误报告”按钮，再将错误报告窗口的“禁用错误汇报”选中，接着把“但在发生严重错误时通知我”选中，如此一来服务器以后遇到重大故障时，还会“善意”地提醒网络管理员的。

　　4、自动缓存的麻烦

　　如果你使用的是Windows 2003服务器，那么你将会发现该服务器往往会“自作主张”地将超级管理员输入的许多密码内容，自动缓存起来并保存到指定缓存中，下次重新调用时就不需要重复输入了。不过，这种“自作主张”地缓存密码信息，往往会把非法攻击者或黑客的目光“吸引”过来，一旦这些被缓存下来的密码被黑客或破坏分子得到的话，那么服务器将会遭受到无法估量的损失。为了尽可能地不将密码信息暴露出去，限制Windows 2003服务器不自动缓存密码信息，就显得十分必要了。为此，本文特意提供下面的方法，帮助你限制Windows 2003服务器的“自作主张”：

　　依次单击Windows 2003服务器中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入“Regedit”命令，单击“确定”按钮后，打开注册表编辑窗口；

　　接着依次展开其中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpolicies注册表分支，并用鼠标右键单击policies分支，从弹出的右键菜单中依次单击“新建”、“项”命令，并将新创建的“项”命名为Network；

图4

　　下面再将Network项选中，在对应该项的右边子窗口中，右击空白区域，并执行快捷菜单中的“新建”、“DWORD”命令，再将新创建的双字节值取名为“DisablePasswordCaching”；

　　接下来用鼠标双击“DisablePasswordCaching”双字节值，在其后打开的如图4所示的数值设置窗口中，输入数值“0x00000001”，并单击“确定”按钮，最后按下键盘上的F5功能键，刷新一下注册表，如此一来Windows 2003服务器日后就不会“自作主张”地缓存各种密码信息了。

　　5、自由切换的麻烦

　　有时为了保护服务器中的数据被非法访问，网络管理人员会在Windows状态下，将这些重要数据所在的文件夹隐藏起来，这样的话普通用户将会无法找到它们；遗憾的是，Windows服务器在默认状态下，会“自做主张”地允许普通用户自由切换到服务器系统的MS-DOS工作状态，在该状态下普通用户能很轻易地找到所有被隐藏起来的文件夹。如此说来，这样工作方式的自由切换，将会给服务器重要数据的“隐蔽”带来麻烦！其实，你可以通过下面的设置，阻止普通用户将服务器系统自由切换到MS-DOS工作状态下：

　　首先打开系统的运行对话框，并在其中执行注册表编辑命令“Regedit”，在随后出现的注册表编辑窗口中，依次选中分支“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp，如图5所示；

图5

　　要是“Policies”分支下面不存在“WinOldApp”子键时，你可以右击“Policies”分支，并从弹出的快捷菜单中依次执行“新建”/“项”命令，再将新创建的项名称设置为“WinOldApp”；

　　下面，再在对应“WinOldApp”项的右边子窗口中，右击空白区域，然后从弹出的右键菜单中依次执行“新建”/“字符串值”命令，并将新创建的字符串名称取为“Disabled”，再将其数值输入为“1”，最后重新启动一下服务器系统就可以了。

　　6、远程会话的麻烦

　　大家知道在默认状态下，WinXP下的终端服务器会“自做主张”地允许任意一个远程用户，同时建立任意多个远程会话连接，而且还允许任意一个远程会话连接保持任意长的时间；很显然，要是不对远程会话连接数目进行限制的话，WinXP下的终端服务器运行性能将会大打折扣，甚至能导致终端服务器发生“崩溃”。为此，你必须想办法阻止终端服务器“自做主张”地允许远程用户，随意创建远程会话连接，以避免终端服务器的系统资源被消耗殆尽：

　　按照前面的办法，打开系统的注册表编辑窗口，再依次展开HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services注册表分支，如图6所示；

图6

　　接着用鼠标右键单击“Terminal Services”分支，从打开的右键菜单中逐一选中“新建”选项、“DWORD值”选项，随后再将新的双字节值名称取为“fSingleSessionPerUser”，然后将它的数值设置为“1”，这样的话终端服务器以后就只允许每一个远程连接用户，同时仅能保持一个会话连接了。

　　7、自动共享的麻烦

　　Windows系统服务器往往在安装、配置完毕后，会“自做主张”地将服务器本地硬盘的C分区、D分区等，设置为隐藏的共享文件夹，殊不知这些隐藏的文件夹可能会为非法攻击者入侵服务器，提供便利的连接“通道”；所以，为了避免服务器遭受无谓的非法攻击，你必须阻止服务器“自做主张”地将服务器本地硬盘设置为隐藏共享：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入系统策略编辑命令“Poledit”，单击“确定”按钮后，打开服务器系统的策略编辑器；

　　在策略编辑器窗口中，单击菜单栏中的“文件”选项，从下拉菜单中执行“打开注册表”命令，接着再双击编辑区域中的“本地计算机”图标，打开本地计算机的属性设置窗口；

图7

　　依次展开该窗口中的“Windows NT网络”/“共享”分支，在随后弹出的如图7所示的界面中，你将看到在默认状态下服务器已经将“创建隐藏的驱动器共享”项目选中；此时你必须将“创建隐藏的驱动器共享”项目取消选中，再单击“确定”按钮，返回到服务器系统的策略编辑器窗口；

　　为了使前面的设置生效，你还需要单击策略编辑器窗口中的“文件”菜单项，从下拉菜单中执行“保存”命令，这样系统将会自动把前面的设置保存到系统注册表中；以后重新启动一下服务器系统，服务器就不会“自做主张”地将本地硬盘设置为隐藏共享了。

　　8、远程剪贴的麻烦

　　在对Windows系统服务器进行维护的过程中，常常需要用到系统的剪贴板，来暂时保存诸如密码或者个人帐号之类的隐私信息；而在默认状态下，服务器会“自做主张”地允许远程用户来查看本地系统的剪贴板信息，如此一来保存在服务器剪贴板中的隐私内容，就可能被非法用户获得，从而会给服务器或个人带来危险！为了避免这样的麻烦，你可以按照下面的办法，阻止服务器“自做主张”地允许远程用户随意查看服务器剪贴板中的信息：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入命令“Services.msc”，单击“确定”按钮后，打开系统的服务列表窗口；

图8

　　选中该窗口中的ClipBook项目，然后用鼠标双击它，在接着出现的如图8所示的服务属性框中，你会发现服务器已经将该服务启动起来了；此时你可以单击一下“启动类型”设置项处的下拉按钮，再从下拉列表中将“已禁用”选中，最后单击一下“确定”按钮，就能轻松避免远程剪贴的麻烦了。