无遮挡韩国在线观看_中文字幕伊人无码久热_18se体验区_在线免费观看a

提供高品質(zhì)的網(wǎng)站建設(shè)、網(wǎng)站制作、網(wǎng)站設(shè)計(jì)及網(wǎng)站優(yōu)化SEO服務(wù)!歡迎致電:0724-4266823       
當(dāng)前位置:首頁 > 技術(shù)展廳 > 服務(wù)器配置及問題
會做網(wǎng)站,并不見得能做好網(wǎng)站!
虛擬主機(jī)安全配置與優(yōu)化

以下是我虛擬主機(jī)的操作系統(tǒng)和服務(wù)器軟件:
OS:Win2k Advancd Server
ftp server:Serv-u 6.0.2
www server: IIS
mail server: WebEasyMail 3.5.3.1 企業(yè)版
防火墻:天網(wǎng)防火墻個人破解版
殺毒軟件:McAfee VirusScan Enterprise 8.0.i版
遠(yuǎn)程管理軟件:Terminal Services終端服務(wù)

下面我來說一下從安裝系統(tǒng)、安裝服務(wù)器應(yīng)用程序、安全設(shè)置和優(yōu)化的過程。

1.硬盤分區(qū)和安裝系統(tǒng)

關(guān)于分區(qū)我強(qiáng)烈建議大家選擇NTFS文件格式,不僅NTFS文件系統(tǒng)可以給我們帶來很高的安全性,而且對于

做WEB服務(wù)的虛擬主機(jī)來說磁盤配額很最要.還有文件和文件夾的壓縮都給我們這些系統(tǒng)管理員提供了很高

便利性。
在分區(qū)之前和大家說一下,一定要合理的設(shè)置分區(qū)。合理的分區(qū)不僅可以給我們帶來工作的方便,還可以

提高系統(tǒng)的安全和穩(wěn)定性。我的硬盤一共分了5個區(qū)(120G)。
C盤用來裝操作系統(tǒng)的文件。D盤用來存儲各個WEB站點(diǎn)的文件。E盤用來保存IIS日志文件、Internet臨時文

件夾和頁面文件。F盤用來裝應(yīng)用程序。就是說所有的應(yīng)用程序都安裝在F盤里。G盤用來保存?zhèn)浞菸募鸵?BR>
些常用的工具。大家可以根據(jù)自己的情況合理的設(shè)置分區(qū),而不必一一對應(yīng)。下面就是安裝系統(tǒng)了,在安

裝系統(tǒng)的時候組件的選擇一定要僅僅安裝自己需要的組件,而一些用不到的組件我們不要安裝。那些用不

到的組件會給我們帶來一些意想不到的“驚喜”。在安裝IIS的時候把FrontPage2000服務(wù)器擴(kuò)展、Inetern

et服務(wù)管理器(HTML)、NNTP Server、SMTP Server、文件傳輸協(xié)議(FTP)服務(wù)器的復(fù)選框去掉。以保證這些

用不到的服務(wù)不會給我們帶來安全隱患。
把Internet臨時文件夾移動到非系統(tǒng)分區(qū)中,如我的設(shè)置是E盤: Internet Explorer-右擊-

屬性-Ineternet臨時文件-設(shè)置-移動文件夾,選擇相應(yīng)的分區(qū)。
把虛擬內(nèi)存頁面文件移動到到非系統(tǒng)分區(qū)中,,如我的設(shè)置是E盤:我的電腦-右擊-屬性-高級選項(xiàng)卡-性能選

項(xiàng)-更改,設(shè)置初始大小和最大值,重啟計(jì)算機(jī)。注意:以上兩項(xiàng)操作都必需重啟后生效。

2.為用戶提供正常的服務(wù)。

在D盤里面為各個WEB站點(diǎn)建立相應(yīng)的文件夾,以保證各個站點(diǎn)的文件存儲在相應(yīng)的文件夾中。在IIS里面建

立相應(yīng)的WEB站點(diǎn)、設(shè)置和相應(yīng)的主機(jī)頭、主目錄、端口、IP地址。對應(yīng)的在Serv-u里面建立相應(yīng)的用戶,

以指向各自的WEB文件夾中,以便日后維護(hù)上傳、下載的需要。在WebEasyMail里面設(shè)置相應(yīng)的各個域的郵

件用戶、和容量等。關(guān)于服務(wù)器軟件的安裝問題,請您自己參考相應(yīng)的文章。

3.服務(wù)的配置

在Windows里面有很多服務(wù),這些服務(wù)都是為了不同的需求而提供的。在這里我們要根據(jù)自己的環(huán)境來配置

服務(wù),禁用那些不要的服務(wù).老生常談的一句話:"最少的服務(wù)+最小權(quán)限=最大的安全".
禁用那些用不到的服務(wù):Alerter、ClipBook、Computer Browser、 Distributed File System、Indexing

Service、Internet Connection Sharing、Messenger、NetMeeting Remote Desktop Sharing、Print

Spooler、Remote Registry Service、Smart Card、Task Scheduler、TCP/IP NetBIOS Helper Service、

Telnet、Windows Time、Workstation.關(guān)于為什么禁用Workstation服務(wù)我會在下面說到。

3.端口的配置

下面我來說一下怎樣關(guān)閉常見的危險(xiǎn)端口和一些無用的共享,如:默認(rèn)共享。
在本地連接-屬性中,把"Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享"卸載掉。
在選定的組件中之留下TCP/IP協(xié)議和Microsoft網(wǎng)絡(luò)客戶端.大家可能會說為什么要留Microsoft網(wǎng)絡(luò)客戶端

,根據(jù)前幾天的調(diào)試,如果不裝它的話,重新啟動IIS的時候會提示“服務(wù)不能啟動,無法驗(yàn)證的服務(wù)”。
選中TCP/IP協(xié)議-屬性-高級-WINS-禁用TCP/IP上的Netbios選項(xiàng)。
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI,Timeout雙字節(jié)值改為

0。建議大家設(shè)為0.這個鍵值對玩游戲有用,做虛擬主機(jī)我們用不到。
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa項(xiàng)下的數(shù)值restrictanonymous,由0改為1

。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters項(xiàng)下新建雙字節(jié)

值A(chǔ)utoShareServer值為0。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters項(xiàng)下新建雙字節(jié)值SMBDev

iceEnabled值為0。
在防火墻中添加IP規(guī)則,允許21、25、80、110。禁止135端口。最后啟動禁止所有別的端口的通過。
我們也可以通過系統(tǒng)自帶的本地安全策略和TCP/IP篩選來設(shè)置相應(yīng)打開和關(guān)閉的端口。

4.IIS和權(quán)限設(shè)置

為了使IIS運(yùn)行的更穩(wěn)定和安全我們需要修改它,如:刪除一些不用的映射、日志的設(shè)置等。
下面是我的IIS的設(shè)置情況:
Internet信息服務(wù)-計(jì)算機(jī)名稱-屬性-WWW服務(wù)(編輯)-主目錄-配置-應(yīng)用程序映射,刪除下面的應(yīng)用程序映

射:.htr、.idc、.printer、.cer、.shtm、.stm 、.cdx 。只保留.asp和.asa映射。對一般的應(yīng)用比如運(yùn)

行ASP,已經(jīng)夠用了。多出那些無用的安全映射會給系統(tǒng)帶來不必要的麻煩。
在進(jìn)程選項(xiàng)卡的腳本文件高速緩存中把放入高速緩存的最多ASP文件數(shù)設(shè)成300,以改善ASP文件的執(zhí)行效率

。在應(yīng)用程序調(diào)試選項(xiàng)卡中選中"發(fā)送文本錯誤消息給客戶"以防止通過錯誤消息來取得系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)

庫的信息。
在Internet信息服務(wù)-計(jì)算機(jī)名稱-屬性-WWW服務(wù)(編輯)-服務(wù)選項(xiàng)卡選中HTTP壓縮的壓縮靜態(tài)文件,提高執(zhí)

行效率。
在一個非系統(tǒng)分區(qū)中建立日志文件夾,來保存各個站點(diǎn)的日志。如我設(shè)置的分區(qū)是E,在分區(qū)中建立IISlog

目錄,用它來保存各個站點(diǎn)的日志文件,而不用系統(tǒng)默認(rèn)的路徑。把各個站點(diǎn)的日志指向IISlog文件夾中。
設(shè)置如下:Internet服務(wù)管理器-Web站點(diǎn)-屬性-Web站點(diǎn)選項(xiàng)卡-活動日志格式-屬性-日志文件目錄,把日

志指向IISlog文件夾中。以便于以后我們查看日志的方便。
為了保證系統(tǒng)的安全和各個站點(diǎn)FSO,在本地用戶和組中為各個站點(diǎn)用戶創(chuàng)建相應(yīng)的用戶,設(shè)置相應(yīng)的密碼,

并把所屬的默認(rèn)組User刪去,加入到guests組中。在各個Web站點(diǎn)的屬性-目錄安全性-匿名訪問和驗(yàn)證控制

-編輯-匿名訪問使用帳號的對話框中選中自己站點(diǎn)相對應(yīng)的用戶帳戶.我們在D盤各個站點(diǎn)文件夾的屬性-安

全選項(xiàng)卡去掉父系繼承來的權(quán)限,把這個文件夾的訪問權(quán)限設(shè)成redblood(這個用戶是我改名后的管理員,

我會在后面提到的)完全控制(FC)、SYSTEM(FC)、和Web站點(diǎn)對應(yīng)用戶的修改、讀取及運(yùn)行、列出文件夾目

錄、讀取、寫入權(quán)限。這樣當(dāng)其中的一個WEB站點(diǎn)被上傳ASP木馬,就不會危害其它的站點(diǎn),因?yàn)樗挥羞@

個Web站點(diǎn)的權(quán)限而沒有其它站點(diǎn)權(quán)限。
把各個分區(qū)的權(quán)限設(shè)成只有redblood和system完全控制.但是要注意一點(diǎn),如果你的頁面文件通過設(shè)置而放

到其它的分區(qū)中,比如我放到了E盤中,你除了給這個分區(qū)redblood、system的完全控制權(quán)限外還必須給這

個分區(qū)everyone的讀權(quán)限,否則重啟的時候會報(bào)錯!
在C:\Program Files\Common Files文件夾屬性對話框安全選項(xiàng)卡中,取消"允許將來自父系的可繼承權(quán)限

傳播給該對象",訪問權(quán)限設(shè)成redblood、system完全控制,everyone讀取及運(yùn)行、列出文件夾目錄、讀取

。因?yàn)锳SP連接數(shù)據(jù)庫的時候會用到這個目錄。然后把WINNT目錄也按照同樣的方法來設(shè)置成和Common

Files文件夾同樣的權(quán)限。
我們還要特殊設(shè)置一個目錄那就是C:\WINNT\Temp,這個目錄的訪問權(quán)限是everyone修改、讀取及運(yùn)行、列

出文件夾目錄、讀取、寫入。
把如下文件設(shè)置成只有redblood完全控制權(quán)限,取消父系繼承來的權(quán)限。這些文件有:C:\winnt\sytem32

文件夾和C:\winnt\sytem32\dllcache文件夾的net.exe、net1.exe、netstat、netsh、cacls、cmd.exe、f

tp.exe、tftp.exe、at.exe、format.com、xcopy.exe.
把裝應(yīng)用程序的目錄我這里是f:\soft目錄的訪問權(quán)限設(shè)成redblood、system完全控制和everyone讀取、讀

取和運(yùn)行、列出文件夾目錄的權(quán)限。
禁用一些不安全的組件,如:Scripting.FileSystemObject、WScript.Shell、Shell.Application組件。
Scripting.FileSystemObject組件:
我們可以修改對應(yīng)項(xiàng)在注冊表里面的名稱和值:
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項(xiàng)目的值
WScript.Shell組件:
HKEY_CLASSES_ROOT\WScript.Shell\
HKEY_CLASSES_ROOT\WScript.Shell.1\
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項(xiàng)目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項(xiàng)目的值
Shell.Application組件:
HKEY_CLASSES_ROOT\Shell.Application\
HKEY_CLASSES_ROOT\Shell.Application.1\
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值
HKEY_CLASSES_ROOT\Shell.Application.1\CLSID\項(xiàng)目的值
因?yàn)樵谇袄镂覀円呀?jīng)單獨(dú)的設(shè)置相應(yīng)的Web站點(diǎn),所以不必修改Scripting.FileSystemObject(fso)組件。
在這里我直接注銷下面兩個組件:
regsvr32 /u C:\WINNT\System32\wshom.ocx對應(yīng)于WScript.Shell組件。
regsvr32/u C:\WINNT\System32\shell32.dll對應(yīng)于Shell.Application組件。
禁止guests組的用戶調(diào)用它:
cacls C:\WINNT\system32\scrrun.dll /e /d guests
cacls C:\WINNT\system32\shell32.dll /e /d guests
前面在服務(wù)設(shè)置的時候我把Workstation服務(wù)禁用了,因?yàn)锳SP木馬運(yùn)行候可以通過它來列出系統(tǒng)的用戶和

進(jìn)程。所以為了安全考慮我們禁用它。

5.修改注冊表提高系統(tǒng)安全和性能

下面我使用注冊表和組策略一起來設(shè)置系統(tǒng)。
開始-運(yùn)行-gpeidt.msc打開組策略,計(jì)算機(jī)配置-Windows配置-安全設(shè)置-帳戶策略-密碼策略.
下面是我的策略設(shè)置:

密碼策略
密碼必須符合復(fù)雜性要求:啟用
密碼長度最小值:8個字符
密碼最長存留期:30天
密碼最短存留期:3天
強(qiáng)制密碼歷史:5個記住的密碼

帳戶鎖定策略設(shè)置
復(fù)位帳戶鎖定計(jì)數(shù)器:20分鐘之后
帳戶銷定時間:20分鐘
帳戶鎖定閥值:5次無效登錄

計(jì)算機(jī)配置-Windows配置-安全設(shè)置-本地策略,審核策略設(shè)置:
審核策略更改:成功、失敗
審核登錄事件:成功、失敗
審核對象訪問:失敗
審核過程追蹤:無審核
審核目錄服務(wù)訪問:無審核
審核特權(quán)使用:失敗
審核系統(tǒng)事件:失敗
審核帳戶登錄事件:成功、失敗
審核帳戶管理:成功、失敗

計(jì)算機(jī)配置-Windows配置-安全設(shè)置-本地策略-用戶權(quán)限指派
更改系統(tǒng)時間:administrators
關(guān)閉系統(tǒng):administrators
管理審核和安全日志:administrators

計(jì)算機(jī)配置-Windows配置-安全設(shè)置-本地策略-安全選項(xiàng)
登錄屏幕上不要顯示上次登錄的用戶名:已啟用
對匿名連接的額個限制:不允許枚舉 SAM 帳號和共享
故障恢復(fù)控制臺:允許對所以驅(qū)動器和文件夾進(jìn)行軟盤復(fù)制和訪問:已啟用
在關(guān)機(jī)時清理虛擬內(nèi)存頁面交換文件:已啟用
重命名來賓帳戶:我命名成administrator。
重命名系統(tǒng)管理員帳戶:redblood
在本地用戶和組中把來賓用戶和系統(tǒng)管理員的描述互換一下,這樣可以起一個迷惑的作用。算是一個很無

聊的小把戲吧。我們再添加一個系統(tǒng)管理員帳戶,這樣可以防止如果忘記了口令可以及時的恢復(fù)系統(tǒng),如

果駭客進(jìn)入系統(tǒng)改了密碼,我們可以很快的取得系統(tǒng)的控制權(quán)。大家一定要給系統(tǒng)管理員設(shè)置一個強(qiáng)壯的密

碼,最少也得8位以上,由大小字母+數(shù)字組成。

通過修改系統(tǒng)注冊表的自啟動項(xiàng)目把一些無用的啟動項(xiàng)刪除掉,以下是常見的各啟動項(xiàng):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
以上這幾個啟動項(xiàng)是木馬出現(xiàn)很頻繁的地方,大家以后維護(hù)的時候多注意一些。

6.FTP服務(wù)器配置

FTP服務(wù)器除了對所在的文件夾設(shè)置權(quán)限之外,還可以修改一下Banner,這種方法可以迷惑一些駭客,讓他

在表面上認(rèn)為我們的FTP的服務(wù)器不是Serv-u,下面我說一下設(shè)置的方法:
右鍵單擊托盤區(qū)的Serv-u圖標(biāo),啟動管理員-本地服務(wù)器-域-設(shè)置-常規(guī)-消息選項(xiàng)卡的服務(wù)器響應(yīng)消息下,將

服務(wù)器ID文本設(shè)為:"Welcome Wu-Ftpd V2.6.2 for SCO Unix." 在HELP命令回復(fù)下設(shè)置成:"Direct

comments or bugs to admin@xxx.com. 我們在給FTP服務(wù)器啟動的時候設(shè)上密碼。這樣啟動Serv-u的時候

就會讓我們輸入密碼。

7.遠(yuǎn)程控制配置

這里我選用Win系統(tǒng)自帶的遠(yuǎn)程控制軟件終端服務(wù),選擇遠(yuǎn)程管理模式。為遠(yuǎn)程登錄啟動日志記錄:
開始-程序-管理工具-終端服務(wù)配置-連接-rdp/tcp-右鍵-屬性-權(quán)限-添加administrators組-高級-審核-添

加everyone組,選擇審核的項(xiàng)目為登錄和注銷。

8.防火墻、殺毒軟件和補(bǔ)丁

天網(wǎng)防火墻和McAfee都有設(shè)置啟動密碼的功能,我們都設(shè)成相應(yīng)的密碼。這個可以保證別人不會更改我們

的密碼。最后就是打補(bǔ)丁,我們一定要及時的升級自己的系統(tǒng),以防那些惡意的駭客利用系統(tǒng)的漏洞攻擊我們。接著我們把防火墻和殺毒軟件都升級到最新的版本,以減少那些惡意的網(wǎng)絡(luò)攻擊和病毒攻擊。

總結(jié):網(wǎng)絡(luò)服務(wù)器的維護(hù)工作看著簡單,但是每一個步驟都關(guān)系著整個系統(tǒng)的安危,整個服務(wù)器的安

裝、配置和維護(hù)都是一個系統(tǒng)工程,我們必須用心去對待它,及時的查看日志,常給系統(tǒng)打補(bǔ)丁,升級

防火墻和殺毒軟件的病毒庫,每個動作都是一些基本的工作,但是我們必須重視它,因?yàn)樗苯雨P(guān)系到我們系統(tǒng)的安全和穩(wěn)定性。我們要做一個勤快的管理員,做一個用心的管理員。

以上文章是我個人的設(shè)置過程,因?yàn)闀r間和能力有限所以一些遺漏在所難免,如有說錯的地方也大家提出寶貴的意見. 
 
 
網(wǎng)絡(luò)經(jīng)濟(jì)主體信息
主 頁 | 網(wǎng)站報(bào)價 | 支付中心 | 關(guān)于我們 | 友情鏈接 | 聯(lián)系我們 | 網(wǎng)站地圖| 業(yè)務(wù)平臺
Copyright © 2002-2021 鐘祥瑞安快網(wǎng)網(wǎng)絡(luò)有限公司.ICP備案鄂ICP備07010791號
聯(lián)系人:黃定快 電話:0724-4266823 TEL13339759320
地址:湖北省鐘祥市王府大道23號(皇城門居委會二樓)鐘祥法院隔壁
您是本站第19436197位貴賓!