当前位置: 首页 > 图文教程 > 网站运营 > 建站经验 > 服务器安全配置:终极防黑揭密

建站经验
评价网站推广的效果的方法
中国流量巨大的10种类型的商业网站
轻松快速打造PR5的网站
新手需要了解的网站建设的过程和步骤
推广个人博客最好办法 免费书签收藏代码
能坚持下来的站长让痛苦来的更猛烈些吧
博客首页该如何布局才能吸引与留住人
用户需求网站目标涉及行业盈利模式决定你做什么
建站流程应该是边修改边上线 推荐
建站经验谈 豆瓣网怎么推广的
GOOGLE在中国市场落后的5点原因分析
地方分类信息网站的有效推广方法小结
跟Alexa类似的网站流量跟踪的5个国外网站
网站建设与SEO的流程图
关于解决网站内容复制几点建议 强烈推荐
开心网转帖功能 网站推广经验
Site 网站首页不在第一页的原因及解决方法
解决首页不在第一页的问题的方法参考
网站推广 如何招兼职网络推广员
网站用户体验与公交车的用户体验

建站经验 中的 服务器安全配置:终极防黑揭密


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-17   浏览: 135 ::
收藏到网摘: n/a

第一点: 安装服务器版杀毒软件、防火墙(地球人都应该了解了!)

不建议服务器安装个人版的杀毒软件及防火墙,比如:瑞星,卡巴!

360安全卫士可以装一下,打补丁时候要用的!

建议安装: Mcafee、symantec endpoint protection(附带有防火墙功能的杀软) 简称SEP。

也可以再安装个DDOS防火墙

建议安装: 冰盾DDOS防火墙、DoSnipe防火墙(可能会对FTP传输有一定影响!)。

ARP防火墙这个是可选的(这里推荐:彩影ARP防火墙)

第二点:及时安装微软补丁(这里不说,我相信大家都明白。)

第三点: 3389远程桌面端口修改

修改远程终端端口是为了防止别人暴力破解超管的。

修改方法:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

修改注册表这两个路径下面的PortNumber值,默认: d3d(十六进制的)。 3389 (十进制)

或者用软件自动修改终端端口,推荐用”华盾3389端口修改”。

第四点:服务器组件优化

组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。

需要删除的组件shell.application和wscript.shell(有两种方法删除)

1.删除的组件shell.application

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

regsvr32 shell32.dll /u /s //删除

删除的组件wscript.shell

cacls %systemroot%\system32\WSHom.Ocx /e /d guests //禁止guests使用

regsvr32 WSHom.Ocx /u /s //删除

Filesystemobject组件不建议删除。(只要服务器权限设置正确,就不会出现安全问题)

第五点:关闭一些危险端口

这个可以用IP安全策略来实现,为了方便一些可以用” 一键封杀木马”这款软件来实现。

第六点:目录权限设置

权限设置的原理:

WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。

IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。

权限设置的思路:

要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。

这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了。