服務器的安全配置技巧大(dà)全

服務器的安全配置技巧大(dà)全


如果平時懶得對服務器安全進行設置,有些設置其實幾分(fēn)鍾就可以設置完成,可就是因爲懶惰,結果萬一(yī)服務器被惡意破壞,就需要花費(fèi)更多的時間恢複數據,因此服務器安全設置早期打好基礎,危難時期就會減少很多無謂的損失。


一(yī)、操作系統的安裝


操作系統以Windows 2000爲例,高版本的Windows也有類似功能。


格式化硬盤時候,必須格式化爲NTFS的,絕對不要使用FAT32類型。


C盤爲操作系統盤,D盤放(fàng)常用軟件,E盤網站,格式化完成後立刻設置磁盤權限,C盤默認,D盤的安全設置爲Administrator和System完全控制,其他用戶删除,E盤放(fàng)網站,如果隻有一(yī)個網站,就設置Administrator和System完全控制,Everyone讀取,如果網站上某段代碼必須完成寫操作,這時再單獨對那個文件所在的文件夾權限進行更改。


系統安裝過程中(zhōng)一(yī)定本着最小(xiǎo)服務原則,無用的服務一(yī)概不選擇,達到系統的最小(xiǎo)安裝,在安裝IIS的過程中(zhōng),隻安裝最基本必要的功能,那些不必要的危險服務千萬不要安裝,例如:FrontPage 2000服務器擴展,Internet服務管理器(HTML),FTP服務,文檔,索引服務等等。


二、網絡安全配置


網絡安全最基本的是端口設置,在“本地連接屬性”,點“Internet協議(TCP/IP)”,點“高級”,再點“選項”-“TCP/IP篩選”。僅打開(kāi)網站服務所需要使用的端口,配置界面如下(xià)圖。


進行如下(xià)設置後,從你的服務器将不能使用域名解析,因此上網,但是外(wài)部的訪問是正常的。這個設置主要爲了防止一(yī)般規模的DDOS攻擊。




三、安全模闆設置


運行MMC,添加獨立管理單元“安全配置與分(fēn)析”,導入模闆basicsv.inf或者securedc.inf,然後點“立刻配置計算機”,系統就會自動配置“帳戶策略”、“本地策略”、“系統服務”等信息,一(yī)步到位,不過這些配置可能會導緻某些軟件無法運行或者運行出錯。




四、WEB服務器的設置


以IIS爲例,絕對不要使用IIS默認安裝的WEB目錄,而需要在E盤新建立一(yī)個目錄。然後在IIS管理器中(zhōng)右擊主機->屬性->WWW服務 編輯->主目錄配置->應用程序映射,隻保留asp和asa,其餘全部删除。




五、ASP的安全


在IIS系統上,大(dà)部分(fēn)木馬都是ASP寫的,因此,ASP組件的安全是非常重要的。


ASP木馬實際上大(dà)部分(fēn)通過調用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來實現其功能,除了FSO之外(wài),其他的大(dà)多可以直接禁用。


WScript.Shell組件使用這個命令删除:regsvr32 WSHom.ocx /u


WScript.Network組件使用這個命令删除:regsvr32 wshom.ocx /u


Shell.Application可以使用禁止Guest用戶使用shell32.dll來防止調用此組件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests


禁止guests用戶執行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests


FSO組件的禁用比較麻煩,如果網站本身不需要用這個組件,那麽就通過RegSrv32 scrrun.dll /u命令來禁用吧。如果網站本身也需要用到FSO,那麽請參看這篇文章。


另外(wài),使用微軟提供的URLScan Tool這個過濾非法URL訪問的工(gōng)具,也可以起到一(yī)定防範作用。當然,每天備份也是一(yī)個好習慣。