Windows 服务器维护清单

确保您拥有健康的服务器基础设施是一项全职工作。有些任务应该每天、每周和每月执行，以保持一切正常运行。

使用我们的服务器维护清单来维护健康可靠的 Windows Server 基础架构。下载本文末尾的 Excel 清单。

每日检查清单

防病毒和 EDR 软件

防病毒软件是 Windows Server 的关键安全组件。确保每天更新。您可以每天或每周检查一次，但验证您的防病毒或 EDR 软件是否定期更新非常重要。大多数防病毒软件都有一个 GUI 管理工具来检查未更新的客户端。

备份

如果您每晚、每周或每月执行备份，请验证您的备份是否成功。备份对于确保发生故障时能够恢复至关重要。在备份软件中创建警报，以便在备份失败时向您发送电子邮件。

考虑实施 3-2-1 备份策略。 3-2-1 备份策略意味着至少拥有 3 个数据副本。其中两个可以在现场，一个可以在场外。两次现场应该出现在不同形式的媒体上。

尽可能执行备份完整性检查。

监控服务器服务

积极监控您的服务器和网络。监控关键服务器服务。如果您的基础设施是基于云的，请监控资源消耗。

投资服务器和网络监控软件有助于主动支持您的基础设施。您可以实时监控以确保高可用性并快速解决问题。

检查关键服务器基础设施（包括网络设备）上的硬件错误。检查RAID告警。

活动目录复制

如果您使用 Active Directory，请经常检查日志和复制。您可以使用repadmin 命令检查复制运行状况。 AD 复制问题可能会导致各种奇怪的身份验证问题，因此复制正常运行至关重要。

每周服务器清单

检查服务器资源

为了确保最佳性能并避免中断，请每周检查资源使用情况。这对于高可用性服务器基础设施尤其重要。您应该查看以下服务器资源：

• 中央处理器
• 记忆
• 磁盘空间
• 带宽
• 服务

监控服务器资源的推荐工具：

• 太阳风 SAM
• 佩斯勒PRTG
• 自由网络管理系统
• 扎比克斯

检查日志

检查事件查看器中的日志，包括应用程序、安全性和系统日志是否有任何严重错误。

如果您使用的是 Active Directory，请检查 DNS 日志以监控任何可疑活动或延迟。检查 DHCP 日志是否有失败的租用或 IP 池耗尽。查看安全日志以了解登录失败、密码错误尝试和帐户锁定的情况。此外，还要检查特权组和敏感组的访问权限是否有任何更改。

如果您拥有大型服务器基础设施，请考虑实施集中式日志服务器和日志分析工具。

备份

是的，我在清单中多次列出了备份。备份就是这么重要。您应该每天检查一次，并每周进行一次回顾。每周测试将虚拟机恢复到沙盒环境也是一个好主意。

每月服务器清单

Windows 安全更新

定期扫描服务器是否缺少 Microsoft 补丁。微软在每月的第二个星期二发布补丁，也称为补丁星期二。这些补丁对于您的服务器至关重要。它们解决安全漏洞以及软件更新。

您可以使用 Windows Server 自动打补丁，或者有大量第三方软件解决方案可以帮助您自动安装补丁。

修补第 3 方软件

Windows 更新不仅对您的服务器至关重要，而且升级和修补 Windows 服务器上安装的第三方软件也至关重要。请务必与软件供应商核实您的 Windows Server 版本（包括服务包）是否与较新版本兼容。

扫描服务器是否存在漏洞

每月扫描服务器和网络是否存在漏洞。市场上有多种软件解决方案可以帮助识别基础设施中的漏洞。 Nessus 扫描器是一款出色的漏洞管理工具，可与 Windows 服务器和 Linux 操作系统配合使用。

重置管理员密码

如果您使用本地管理帐户，请考虑每月或每季度重置密码。另外，请考虑使用 Microsoft LAPS，它将为每个本地管理员帐户设置唯一的密码。

检查不间断电源

检查 UPS 设备的电池利用率和电压。如果有 UPS，请对 UPS 进行自检。如果可能的话，拔掉 UPS 的插头以真正测试其性能。另外，请下载制造商的软件（如果有）以远程监控您的 UPS。

账户安全

定期审核您的用户/管理员帐户，尤其是那些密码必须设置为永不过期的帐户。扫描 Active Directory 中的非活动用户帐户并禁用它们。未使用且仍处于活动状态的帐户是一个安全问题。

检查服务器正常运行时间

检查服务器正常运行时间以确定资源一致且可靠。服务器重新启动通常在安装 Windows 更新后发生，但有时会被跳过。运行脚本或工具来检查所有服务器上的 Windows 服务器正常运行时间会很有帮助。这将帮助您和您的团队验证服务器的正常运行时间和上次启动时间。

日志和临时文件

定期删除临时文件以清理 C:\windows\temp 以及您可能定义的任何其他临时位置中的空间。清除不再需要的所有日志文件。

域控制器健康检查

如果您有域控制器，则应每月对其运行一次 Active Directory 运行状况检查。 Active Directory 是一项关键服务，您希望确保域控制器正常运行。

域名系统

DNS 通常是许多网络问题的根本原因。最好检查您的 DNS 服务器是否存在任何问题并删除任何过时的资源记录。

活动目录清理

每月运行一次 Active Directory 清理以删除已禁用 90 天（或根据您的公司策略）的用户和计算机非常重要。禁用帐户可能会带来安全问题，也会给资产管理带来麻烦。

季度检查表

审核 Active Directory 权限和组成员身份

审核特权组成员身份并删除不需要访问权限的用户。审核包含敏感或特权数据的文件共享的权限，并根据需要进行更改。授予对数据和资源的访问权限时，始终应用最小权限原则 (PoLP)。

查看 AD 组成员报告工具，轻松审核 Active Directory 组和组成员。

恢复完整性测试

每月或每季度测试恢复数据和服务器。制定经过测试的恢复计划将确保在发生故障时能够成功恢复。根据您的备份基础架构，创建测试环境或沙箱来定期恢复服务器和数据。记录恢复过程。

文件夹权限审核

您应该每季度检查文件夹安全权限，以确保文件和文件夹的安全。您可以使用 PowerShell 脚本或 NTFS Permissions Reporter 等工具轻松生成 NTFS 安全权限报告。

组策略

查看组策略和设置。组策略可以控制关键策略设置，例如密码、审核日志、应用程序设置和客户端操作系统设置。每季度记录和审查组策略更改非常重要。

双年度检查表

SSL 证书

SSL 证书至关重要，如果过期，可能会导致关键应用程序和服务中断。创建组织的 SSL 证书列表并经常查看。

固件和 BIOS

检查设备上的固件和 BIOS 版本。在确认新版本与您环境中的所有设备兼容后，升级到可用的新版本。升级时请务必仔细遵循说明。在升级固件之前备份配置，并将该配置存储在您可以访问的位置，以备需要恢复设备时使用。如果需要，计划停机时间。

清理服务器机房和设备

检查您的设备始终是一个好主意，即使它位于环境受控的房间中。灰尘仍会积聚在组件上，并可能导致设备过热。需要时清洁您的设备。

每年至少保养一次或两次空调。如果您有温度监测设备，请检查以确保其正常工作。

如果您使用灭火系统，请每年检查一次或两次。

如果您有发电机，每年至少测试一次或两次以确认其正常工作。

年度服务器清单

审查硬件和软件维护合同

每年审查硬件和软件维护合同。记下它们何时需要续订或将其设置为自动续订。合同应保持最新，以便您可以更新固件和软件，并获得设备服务。

网络渗透测试

执行网络渗透测试可以帮助识别基础设施中的漏洞。网络攻击和数据泄露是许多组织面临的主要问题。渗透测试（网络渗透测试）可以识别您需要提高安全性的领域。这在很多方面都是有益的：

• 它让您了解您的组织多么容易受到攻击。
• 它可以帮助组织优先考虑需要花钱的地方来保护基础设施。
• 让第三方进行渗透测试可以让您以公正且全新的眼光审视您的基础设施。

测试灾难恢复计划

每年至少审查和测试您的灾难恢复计划一次。您需要确信自己可以从设备故障、自然灾害或网络攻击等灾难中恢复。确保恢复计划和备份有效的唯一方法是对其进行测试。

Windows Server 维护清单模板

这是一个简单的 Excel 模板，您可以根据需要下载和修改。如果您有多个管理员，您可以将所有者分配给不同的任务。

我错过了什么吗？请在下面的评论中告诉我。