服務器的(of)安全配置技巧大(big)全

服務器的(of)安全配置技巧大(big)全


如果平時(hour)懶得對服務器安全進行設置,有些設置其實幾分鍾就可以(by)設置完成,可就是(yes)因爲(for)懶惰,結果萬一(one)服務器被惡意破壞,就需要(want)花費更多的(of)時(hour)間恢複數據,因此服務器安全設置早期打好基礎,危難時(hour)期就會減少很多無謂的(of)損失。


一(one)、操作(do)系統的(of)安裝


操作(do)系統以(by)Windows 2000爲(for)例,高版本的(of)Windows也有類似功能。


格式化硬盤時(hour)候,必須格式化爲(for)NTFS的(of),絕對不(No)要(want)使用(use)FAT32類型。


C盤爲(for)操作(do)系統盤,D盤放常用(use)軟件,E盤網站,格式化完成後立刻設置磁盤權限,C盤默認,D盤的(of)安全設置爲(for)Administrator和(and)System完全控制,其他(he)用(use)戶删除,E盤放網站,如果隻有一(one)個(indivual)網站,就設置Administrator和(and)System完全控制,Everyone讀取,如果網站上某段代碼必須完成寫操作(do),這(this)時(hour)再單獨對那個(indivual)文件所在(exist)的(of)文件夾權限進行更改。


系統安裝過程中一(one)定本着最小服務原則,無用(use)的(of)服務一(one)概不(No)選擇,達到(arrive)系統的(of)最小安裝,在(exist)安裝IIS的(of)過程中,隻安裝最基本必要(want)的(of)功能,那些不(No)必要(want)的(of)危險服務千萬不(No)要(want)安裝,例如:FrontPage 2000服務器擴展,Internet服務管理器(HTML),FTP服務,文檔,索引服務等等。


二、網絡安全配置


網絡安全最基本的(of)是(yes)端口設置,在(exist)“本地(land)連接屬性”,點“Internet協議(TCP/IP)”,點“高級”,再點“選項”-“TCP/IP篩選”。僅打開網站服務所需要(want)使用(use)的(of)端口,配置界面如下圖。


進行如下設置後,從你的(of)服務器将不(No)能使用(use)域名解析,因此上網,但是(yes)外部的(of)訪問是(yes)正常的(of)。這(this)個(indivual)設置主要(want)爲(for)了(Got it)防止一(one)般規模的(of)DDOS攻擊。




三、安全模闆設置


運行MMC,添加獨立管理單元“安全配置與分析”,導入模闆basicsv.inf或者securedc.inf,然後點“立刻配置計算機”,系統就會自動配置“帳戶策略”、“本地(land)策略”、“系統服務”等信息,一(one)步到(arrive)位,不(No)過這(this)些配置可能會導緻某些軟件無法運行或者運行出(out)錯。




四、WEB服務器的(of)設置


以(by)IIS爲(for)例,絕對不(No)要(want)使用(use)IIS默認安裝的(of)WEB目錄,而需要(want)在(exist)E盤新建立一(one)個(indivual)目錄。然後在(exist)IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄配置->應用(use)程序映射,隻保留asp和(and)asa,其餘全部删除。




五、ASP的(of)安全


在(exist)IIS系統上,大(big)部分木馬都是(yes)ASP寫的(of),因此,ASP組件的(of)安全是(yes)非常重要(want)的(of)。


ASP木馬實際上大(big)部分通過調用(use)Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來(Come)實現其功能,除了(Got it)FSO之外,其他(he)的(of)大(big)多可以(by)直接禁用(use)。


WScript.Shell組件使用(use)這(this)個(indivual)命令删除:regsvr32 WSHom.ocx /u


WScript.Network組件使用(use)這(this)個(indivual)命令删除:regsvr32 wshom.ocx /u


Shell.Application可以(by)使用(use)禁止Guest用(use)戶使用(use)shell32.dll來(Come)防止調用(use)此組件。使用(use)命令:cacls C:\WINNT\system32\shell32.dll /e /d guests


禁止guests用(use)戶執行cmd.exe的(of)命令是(yes): cacls C:\WINNT\system32\Cmd.exe /e /d guests


FSO組件的(of)禁用(use)比較麻煩,如果網站本身不(No)需要(want)用(use)這(this)個(indivual)組件,那麽就通過RegSrv32 scrrun.dll /u命令來(Come)禁用(use)吧。如果網站本身也需要(want)用(use)到(arrive)FSO,那麽請參看這(this)篇文章。


另外,使用(use)微軟提供的(of)URLScan Tool這(this)個(indivual)過濾非法URL訪問的(of)工具,也可以(by)起到(arrive)一(one)定防範作(do)用(use)。當然,每天備份也是(yes)一(one)個(indivual)好習慣。


CEO寄語

天翺創立以(by)來(Come),我(I)們(them)專注以(by)專業、高效爲(for)公司的(of)發展理念,以(by)高性能、安全性,滿足企業IT基礎架構所需,希望通過我(I)們(them)的(of)努力,促進數據儲存行業的(of)發展和(and)改革,爲(for)中國的(of)信息化建設貢獻出(out)更多的(of)力量。

- 林列海 , CEO

微信公衆号

聯系方式

©2024 www.taserver.com.cn All rights reserved. 廣州嘗途信息科技有限公司