WEB服務器的安全設置方面,最近有些深入研究,所以我寫這篇文章共享下。從兩方面設定安全防***。
一、基本的服務器系統安全設置
1、安裝補丁
安裝好操作系統之後,最好能在託管之前就完成補丁的安裝,配置好網絡後,如果是2000則確定安裝上了SP4,如果是2003,則最好安裝上SP2,然後點擊開始→Windows Update,安裝所有的關鍵更新。
2、安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題,但是殺毒軟件避免了很多問題。前段時間搞***免殺對殺毒軟件有一定深入瞭解,單獨殺病毒軟件時代已過時了,建議用瑞星殺***很厲害、卡巴斯基也不錯。不要指望殺毒軟件殺掉所有的***,因爲ASP***的特徵是可以通過一定手段來避開殺毒軟件的查殺。
3、刪除默認共享、禁用某些服務
如:Remote Registry、Task Scheduler、Telnet、Print Spooler等
4、刪除一些不必要的用戶,給administrator改名,密碼設定複雜密碼。
5、在組策略設定“帳戶鎖定策略”輸錯5次,帳號鎖定30分鐘。防別人爆力猜解密碼。
6、安裝防火牆,計算機上都有一些服務,不管是服務器系統還是個人系統。 而每一種服務都對應着一個甚至多個端口。而你開的端口越多,被***的風險越大,關閉137、138、139和445端口,所以你要儘量少開端口。但有的朋友對計算機網絡不是非常熟悉,不知道如何關閉端口,就需要使用防火牆來把我們的計算機與互聯網上的***相隔離。
7、如果沒有裝防火牆就用netstat –na查系統開放那些端口,可以用IPSec(IP安全策略來阻力這些端口)。
參考: http://hukunlin.blog.51cto.com/545402/144788
8、因爲是服務器都要開放遠程桌面服務,方便管理,設定遠程桌面連接權限,把遠程桌面器權限只允許幾個用戶,把administrators這組權限拿掉。好處***通過Webshell在你的服務器建一個管理員帳號也無法遠程桌面到你的服務器。最好方法啓用基於IPSEC安全協商加強遠程桌面服務(3389端口),就算你放開3389端口也知道你的用戶及密碼,也法遠程連到你的服務器。最好把3389端口改成其他端口,通過修改註冊表實現。如:10001。
9、啓動系統審覈策略,將審覈登錄事件、審覈對象訪問、審覈系統事件和審覈帳戶登錄事件啓用成功方式的審覈,有******可以查到日誌。
二、網站安全相關設置
1、在C盤安全權限中,取消users的特殊權限,因爲這個權限可以新建目錄,又可以新建的目錄中創建文件。刪除everyone組權限。
2、如果服務器裏有多個網站,爲了防止旁註給每個網站新建一個用戶,只加入guests組,每個網站匿名用戶啓用相對應的用戶。
3、每個網站主目錄設定權限只允許administrators和system組完全控制權限,網站用戶只讀和執行權限,對於要上傳文件目錄權限設定只讀和寫入,但是不要執行權限,這樣上傳了***也運行不了。
4、改名或卸載不安全組件
參考: http://hukunlin.blog.51cto.com/545402/327408
5、數據庫管理也要設定複雜密碼,mssql的sa用戶,mysql的root用戶,還有數據庫裏面的更深入權限設定。
6、很多WEB服務器都會安裝FTP服務器,方便上傳更新網站,防止Serv-U權限提升。
用Ultraedit打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。
另外注意設置Serv-U所在的文件夾的權限,不要讓IIS匿名用戶有讀取的權限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。
7、網站管理後臺及上傳頁入口不要取常見的文件名。
8、用一些***工具檢測你的網站有沒有漏洞和注入點,發現及時修復。 常用的工具如啊D注入、明小子等。
9、定期做好備份,備份重要性就不多說了,全國人們都知道這個重要,哈哈。
以上都是服務器防黑的措施,通過以上安全設定,我想你的服務器很安全了,一般的***只會用一些工具做壞事,防這個檔次的“***”應改沒有什麼問題了。哈哈,當然也有更牛的***,網絡安全是沒有絕對安全的。