服务器安全配置：终极防黑揭密

第一点： 安装服务器版杀毒软件、防火墙（地球人都应该了解了！）

不建议服务器安装个人版的杀毒软件及防火墙，比如：瑞星，卡巴！

360安全卫士可以装一下，打补丁时候要用的！

建议安装： Mcafee、symantec endpoint protection（附带有防火墙功能的杀软） 简称SEP。

也可以再安装个DDOS防火墙

建议安装： 冰盾DDOS防火墙、DoSnipe防火墙（可能会对FTP传输有一定影响！）。

ARP防火墙这个是可选的（这里推荐：彩影ARP防火墙）

第二点：及时安装微软补丁（这里不说，我相信大家都明白。）

第三点： 3389远程桌面端口修改

修改远程终端端口是为了防止别人暴力破解超管的。

修改方法：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

修改注册表这两个路径下面的PortNumber值，默认： d3d（十六进制的）。 3389 （十进制）

或者用软件自动修改终端端口，推荐用”华盾3389端口修改”。

第四点：服务器组件优化

组件是为了应用而出现的，而不是为了不安全而出现的，所有的组件都有它的用处，所以在卸载一个组件之前，你必须确认这个组件是你的网站程序不需要的，或者即使去掉也不关大体的。否则，你只能留着这个组件并在你的ASP程序本身上下工夫，防止别人进来，而不是防止别人进来后SHELL。

需要删除的组件shell.application和wscript.shell（有两种方法删除）

1．删除的组件shell.application

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

regsvr32 shell32.dll /u /s //删除

删除的组件wscript.shell

cacls %systemroot%\system32\WSHom.Ocx /e /d guests //禁止guests使用

regsvr32 WSHom.Ocx /u /s //删除

Filesystemobject组件不建议删除。（只要服务器权限设置正确，就不会出现安全问题）

第五点：关闭一些危险端口

这个可以用IP安全策略来实现，为了方便一些可以用” 一键封杀木马”这款软件来实现。

第六点：目录权限设置

权限设置的原理：

WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。

IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

权限设置的思路：

要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有