服務(wù)器安全設(shè)置-獨(dú)享主機(jī)、VPS、云主機(jī)安全設(shè)置參考

日期 2013-04-12 / 人氣 2817 / 欄目： 新聞動(dòng)態(tài) 網(wǎng)絡(luò)顧問

獨(dú)享主機(jī)、VPS、云主機(jī)、以及windows2003、windows2008安全設(shè)置

二、遠(yuǎn)程桌面連接配置。
開始 > 程序 > 管理工具 > 終端服務(wù)配置 > 連接
選擇右側(cè)”RDP-tcp”連接右擊 屬性 > 權(quán)限 刪除(除system外)所有用戶組 添加單一的允許使用的管理員賬戶,這樣即使服務(wù)器被創(chuàng)建了其它的管理員.也無(wú)法使用終端服務(wù)。

三、serv_u安全設(shè)置（注意一定要設(shè)置管理密碼，否則會(huì)被提權(quán)）

打開serv_u,點(diǎn)擊“本地服務(wù)“，在右邊點(diǎn)擊”設(shè)置/更改密碼“，如果沒有設(shè)置密碼，”舊密碼為空，填好新密碼點(diǎn)擊”確定“。

四、關(guān)閉139、445端口
   
①控制面板-網(wǎng)絡(luò)-本地鏈接-屬性(這里勾選取消"網(wǎng)絡(luò)文件和打印機(jī)共享")-tcp/ip協(xié)議屬性-高級(jí)-WINS-Netbios設(shè)置-禁用Netbios，即可關(guān)閉139端口.
②關(guān)閉445端口（注意修改注冊(cè)表前一定要先備份一下注冊(cè)表，備份方法。在 運(yùn)行>regedit，選擇 文件》導(dǎo)出 ，取個(gè)文件名，導(dǎo)出即可，如果修改注冊(cè)表失敗，可以找到導(dǎo)出的注冊(cè)表文件雙擊運(yùn)行即可。）
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 “DWORD值”值名為 “SMBDeviceEnabled” 數(shù)據(jù)為默認(rèn)值“0”

五、刪除不安全組件
WScript.Shell 、Shell.application 這兩個(gè)組件一般一些ASP木馬或一些惡意程序都會(huì)使用到。
方法：在“運(yùn)行”里面分別輸入以下命令
①regsvr32 /u wshom.ocx 卸載WScript.Shell 組件
②regsvr32  /u shell32.dll 卸載Shell.application 組件。
③regsvr32 /u %windir%\system32\Wshext.dll
六、設(shè)置iis權(quán)限。
針對(duì)每個(gè)網(wǎng)站單獨(dú)建立一個(gè)用戶。
①首先，右擊“我的電腦”》管理》本地計(jì)算機(jī)和組》用戶，在右邊。右擊“新用戶”，建立新用戶，并設(shè)置好密碼。如圖：

例如：添加test為某一網(wǎng)站訪問用戶。

②設(shè)置站點(diǎn)文件夾的權(quán)限
然后，打開internet信息服務(wù)管理器。找到相應(yīng)站點(diǎn)。右擊，選擇“權(quán)限”如圖：

選擇權(quán)限后，如下圖：

只保留一個(gè)超級(jí)管理員administrator(可以自己定義)，而不是管理員組administrators。和系統(tǒng)用戶(system)，還有添加訪問網(wǎng)站的用戶?？梢渣c(diǎn)擊“添加”將剛才在系統(tǒng)創(chuàng)建的用戶(如test)添加里面。然后勾選該用戶（test）讀取和運(yùn)行、列出文件夾目錄、讀取、寫入的權(quán)限。超級(jí)管員(administrator)”完全控制”，系統(tǒng)用戶（system） “完全控制”權(quán)限。并且選擇用戶(test)?“高級(jí)”出現(xiàn)如下圖

點(diǎn)擊“應(yīng)用”后，等待文件夾權(quán)限傳遞完畢。
然后點(diǎn)“確定”。
注意：
③設(shè)置訪問用戶。
右擊 站點(diǎn) 屬性==》目錄安全性==》編輯， 將剛才添加的用戶(如test)添加到匿名訪問用戶。密碼和添加用戶時(shí)密碼一致。

④設(shè)置站點(diǎn)訪問權(quán)限。
右擊要設(shè)置的站點(diǎn)。屬性==》主目錄  本地路徑下面只選中 讀取  記錄訪問  索引資源
其它都不要選擇。執(zhí)行權(quán)限 選擇 “純腳本”.不要選擇“腳本和可執(zhí)行文件”。如圖所示：

其它設(shè)置和就是iis站點(diǎn)的一般設(shè)置，不再多說(shuō)。

注意：對(duì)于 ASP.NET 程序，則需要設(shè)置 IIS_WPG 組的帳號(hào)權(quán)限、上傳目錄的權(quán)限設(shè)置。這時(shí)需要注意，一定要將上傳目錄的執(zhí)行權(quán)限設(shè)為“無(wú)”，將文件夾的寫入權(quán)限選上,這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序，也不會(huì)在用戶瀏覽器里觸發(fā)執(zhí)行,
對(duì)于純靜態(tài)網(wǎng)站(全部是html)將(純腳本)改成(無(wú))。
對(duì)于某些程序可能要求everyone有完全控制的權(quán)限，可以將網(wǎng)站訪問用戶(如test用戶)對(duì)文件夾設(shè)置完全控制的權(quán)限就行了，并不需要添加everyone來(lái)設(shè)置完全控制。

七、數(shù)據(jù)庫(kù)安全設(shè)置

一定要設(shè)置數(shù)據(jù)庫(kù)密碼。
另外。對(duì)于sql數(shù)據(jù)庫(kù)建議卸載擴(kuò)展存儲(chǔ)過程xp_cmdshell
xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫(kù)留給操作系統(tǒng)的一個(gè)大后門。請(qǐng)把它去掉。使用這個(gè)SQL語(yǔ)句：
use master
sp_dropextendedproc "xp_cmdshell"
如果你需要這個(gè)存儲(chǔ)過程，請(qǐng)用這個(gè)語(yǔ)句也可以恢復(fù)過來(lái)。
sp_addextendedproc "xp_cmdshell", "xpsql70.dll

八、防止access數(shù)據(jù)庫(kù)被下載

在IIS屬性 ——主目錄——配置——映射——應(yīng)用程序擴(kuò)展那里添加。mdb文件的應(yīng)用解析。注意這里的選擇的D LL不要選擇asp.dll,找一個(gè)映射里面不使用的dll文件。

九、利用防火墻限制端口。

對(duì)外只打開自己需要的端口，對(duì)于vps用戶，需要打開網(wǎng)站服務(wù)端口80，遠(yuǎn)程登錄端口3389，景安公司提供的密碼修改服務(wù)端口6088,如果使用的有serv_u等f(wàn)tp服務(wù)軟件，需要打開21端口。
具體打開端口請(qǐng)參考下面：
1、 右擊網(wǎng)上鄰居選擇“屬性”,===>本地連接==?屬性==?高級(jí)?設(shè)置

選中”啟用”按鈕.
2、 點(diǎn)擊“例外”==》添加端口。根據(jù)自己需要添加對(duì)外的端口。注意在添加的端口前面勾選上
3、 添加完端口,點(diǎn)擊”確定”?確定

十、防止列出用戶組和系統(tǒng)進(jìn)程
如果上傳asp木馬用戶列表可能會(huì)被黑客利用，我們應(yīng)當(dāng)隱藏起來(lái)，方法是：
【開始→程序→管理工具→服務(wù)】，找到Workstation，停止它，禁用它。

十一、安裝殺毒軟件
雖然殺毒軟件有時(shí)候不能解決問題，但是殺毒軟件避免了很多問題，可以查殺部分木馬程序。建議安裝占用內(nèi)存資源比較小的殺毒軟件，另外，要經(jīng)常升級(jí)軟件才有效。

 推薦閱讀：
服務(wù)器安全設(shè)置系列
① 系統(tǒng)服務(wù)配置步驟簡(jiǎn)單提示 http://xueli518.com/adviser/225.html
② 獨(dú)享主機(jī)、VPS、云主機(jī)安全設(shè)置參考  http://xueli518.com/adviser/224.html
③ 目錄權(quán)限、注冊(cè)表、安全策略以及組件的安全設(shè)置 http://xueli518.com/adviser/226.html

轉(zhuǎn)載整理本文請(qǐng)注明出處【通聯(lián)臺(tái)州網(wǎng)站建設(shè)中心】

標(biāo)簽：