7．检查系统文件

主要检查系统盘的exe和dll文件，建议系统安装完毕之后用dir *.exe /s >1.txt将c盘所有的exe文件列表保存下来，然后每次检查的时候再用该命令生成一份当时的列表，用fc比较两个文件，同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。

8．检查安全策略是否更改

打开本地连接的属性，查看“常规”中是否只勾选了“tcp/ip协议”，打开“tcp/ip”协议设置，点“高级”==》“选项”，查看“ip安全机制”是否是设定的ip策略，查看“tcp/ip”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”，查看目前使用的ip安全策略是否发生更改。

9．检查目录权限

重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有

c:;c:winnt; c:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;

c:documents and settings;

然后再检查serv-u安装目录，查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限，包括：cmd，net，ftp，tftp，cacls等文件。

10．检查启动项

主要检查当前的开机自启动程序。可以使用areporter来检查开机自启动的程序。

发现入侵时的应对措施

对于即时发现的入侵事件，以下情况针对系统已遭受到破坏情况下的处理，系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施：

视情况严重决定处理的方式，是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理，在发现入侵的第一时间通知机房关闭服务器，待处理人员赶到机房时断开网线，再进入系统进行检查。如采用远程处理，如情况严重第一时间停止所有应用服务，更改ip策略为只允许远程管理端口进行连接然后重新启动服务器，重新启动之后再远程连接上去进行处理，重启前先用areporter检查开机自启动的程序。然后再进行安全检查。

以下处理措施针对用户站点被入侵但未危及系统的情况，如果用户要求加强自己站点的安全性，可按如下方式加固用户站点的安全：

站点根目录----只给administrator读取权限，权限继承下去。

wwwroot ------给web用户读取、写入权限。高级里面有删除子文件夹和文件权限

logfiles------给system写入权限。

database------给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限

如需要进一步修改，可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限，对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志，找出漏洞原因，协助用户修补程序漏洞。

数据备份和数据恢复

数据备份工作大致如下：

1． 每月备份一次系统数据。

2． 备份系统后的两周单独备份一次应用程序数据，主要包括iis、serv-u、数据库等数据。

3． 确保备份数据的安全，并分类放置这些数据备份。因基本上采用的都是全备份方法，对于数据的保留周期可以只保留该次备份和上次备份数据两份即可。

数据恢复工作：

1．系统崩溃或遇到其他不可恢复系统正常状态情况时，先对上次系统备份后发生的一些更改事件如应用程序、安全策略等的设置做好备份，恢复完系统后再恢复这些更改。

2．应用程序等出错采用最近一次的备份数据恢复相关内容。

服务器性能优化

整理系统空间:

删除系统备份文件，删除驱动备份，刪除不用的輸入法，刪除系统的帮助文件，卸载不常用的组件。最小化c盘文件。

性能优化

删除多余的开机自动运行程序；减少预读取，减少进度条等待时间；让系统自动关闭停止响应的程序；禁用错误报告,但在发生严重错误时通知；关闭自动更新,改为手动更新计算机；启用硬件和directx加速；禁用关机事件跟踪；禁用配置服务器向导； 减少开机磁盘扫描等待时间；将处理器计划和内存使用都调到应用程序上；调整虚拟内存；内存优化；修改cpu的二级缓存；修改磁盘缓存。

iis性能优化

1、调整iis高速缓存 hkey_local_machine\ system\currentcontrolset\services\inetinfoparametersmemorycachesize

memorycachesize的范围是从0道4gb，缺省值为3072000(3mb)。一般来说此值最小应设为服务器内存的10%。iis通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0，那就意味着“不进行任何高速缓存”。在这种情况下系统的性能可能会降低。如果你的服务器网络通讯繁忙，并且有足够的内存空间，可以考虑增大该值。必须注意的是修改注册表后，需要重新启动才能使新值生效。

2．不要关闭系统服务: “protected storage”

3．对访问流量进行限制

a.对站点访问人数进行限制。

b.站点带宽限制。保持http连接。

c.进程限制, 输入cpu的耗用百分比。

4．提高iis的处理效率。

应用程序设置”处的“应用程序保护”下拉按钮，从弹出的下拉列表中，选中“低(iis进程)”选项,iis服务器处理程序的效率可以提高20%左右。但此设置会带来严重的安全问题，不值得推荐。

5．将iis服务器设置为独立的服务器。

a.提高硬件配置来优化iis性能硬盘：硬盘空间被nt和iis服务以如下两种方式使用：一种是简单地存储数据；另一种是作为虚拟内存使用。如果使用ultra2的scsi硬盘，可以显著提高iis的性能。

b.可以把nt服务器的页交换文件分布到多个物理磁盘上，注意是多个“物理磁盘”，分布在多个分区上是无效的。另外，不要将页交换文件放在与windows nt引导区相同的分区中。

c.使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能。

d.最好把所有的数据都储存在一个单独的分区里。然后定期运行磁盘碎片整理程序以保证在存储web服务器数据的分区中没有碎片。使用ntfs有助于减少碎片。推荐使用norton的speeddisk，可以很快的整理ntfs分区。

6．起用http压缩

http压缩是在web服务器和浏览器间传输压缩文本内容的方法。http压缩采用通用的压缩算法如gzip等压缩html、javascript或css文件。可使用pipeboost进行设置。

7．起用资源回收

使用iis5recycle定时回收进程资源。

服务器常见故障排除

1． asp“请求的资源正在使用中”的解决办法：

该问题一般与杀毒软件有关，在服务器上安装个人版杀毒软件所致。出现这种错误可以通过卸载杀毒软件解决，也可尝试重新注册vbscript.dll和jscript.dll来解决，在命令行下运行：regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。