|
|
|
| |
|
| |
|
万网服务器安全配置全套详解 |
| 发布人:雅友网络 发布时间:2010-9-15 1:33:40 |
|
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置:
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个組里,然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和組,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。
改名或卸载不安全组件
不安全组件不惊人
我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
谨慎决定是否卸载一个组件
组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。
比如,FSO和XML是非常常用的组件之一,很多程序会用到他们。WSH组件会被一部分主机管理程序用到,也有的打包程序也会用到。
一、操作系统配置
1.安装操作系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。
2.安装系统补丁。扫描漏洞全面杀毒
3.删除Windows Server 2003默认共享
首先编写如下内容的批处理文件:
复制代码 代码如下:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。
4.禁用IPC连接
打开CMD后输入如下命令即可进行连接:net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
本文来源网络:万网代理 www.yayb.com
|
现在时间:2025-5-31 9:32:38
|
|
|
| 相关资讯: |
|
阿里云windows共享虚拟主机到期期限内免费升级为5G空间 2024-6-18 10:14:04
【重要】域名暂代实名认证通知 2017-5-17 10:48:04
【重要】域名实名认证通知 2017-5-17 10:47:29
域名实名认证公告 2017-3-20 13:24:28
万网8月25日凌晨官网系统升级 2012-8-24 20:13:41
哪款万网企业邮箱更适合我? 2011-1-20 19:17:26
不加www的域名,网站为什么不能访问? 2011-1-20 19:15:52
新手选购虚拟主机必须做的事情 2011-1-20 19:15:21
什么是万网智能双线虚拟主机? 2011-1-10 22:37:52
访问网站出现Directory Listing Denied 是什么原因? 2011-1-10 22:37:20
万网空间与免费空间区别 2011-1-9 21:58:14
万网个人做网站需注意的三大网站建设事项 2011-1-6 23:40:41
万网空间网站中木马了怎么处理 2011-1-6 23:40:17
怎样方便的管理我的万网邮箱? 2011-1-5 23:55:25
万网主机Service Unavailable出现原因及解决方法 2011-1-5 23:54:47
万网空间404错误页面设置办法 2011-1-5 23:54:08
万网空间IIS连接数和在线人数的关系 2011-1-5 23:53:40
关于元旦假期期间暂停国内域名资料审核通知 2011-1-3 1:20:19
网站更换域名万网空间的注意事项 2011-1-3 1:18:37
万网空间使用unix虚拟主机有哪些优点? 2011-1-3 1:17:36
万网空间如何选择数据库? 2011-1-3 1:17:11
如何解决万网空间unauthorised 2011-1-3 1:16:51
万网空间常见的四个错误及解决方法 2010-12-30 0:29:15
中文.香港域名即将推出通告 2010-12-28 22:03:16
万网国内空间和国外空间如何选择 2010-12-26 19:10:29
万网服务器云平台升级维护通知 2010-12-23 20:07:05
如何预防万网邮箱中毒? 2010-12-23 20:02:36
万网空间数据库MSSQL和MYSQL有什么区别? 2010-12-23 20:02:03
万网空间支持JMAIL组件么? 2010-12-23 20:01:37
互联网热潮微博团购网购 2010-12-23 20:00:24
服务器的稳定性对百度优化的影响 2010-12-21 23:50:50
关注CN域名注册的减少与未来 2010-12-21 23:50:14
万网空间IIS链接人数过多是什么原因 2010-12-20 22:39:52
网站为什么会出现“Service Unavailable”的提示? 2010-12-20 22:37:32
购买美国空间常见的四大误区 2010-12-20 22:36:57
网站访问很慢一般是什么原因 2010-12-20 22:33:39
选择万网虚拟空间个人网站成败之关键 2010-12-18 2:09:11
网站迁移万网虚拟主机的正确操作方法 2010-12-16 20:27:29
市面上最好的企业邮箱:万网绿色G邮箱 2010-12-16 20:26:03
选择虚拟主机的20个注意 2010-12-16 20:24:36
万网虚拟主机服务的分类 2010-12-16 0:17:58
为什么外贸网站要使用万网企业邮箱 2010-12-14 21:31:07
万网代理及分销合作伙伴合作协议 2010-12-13 19:48:37
万网国际域名注册信息更新提醒通知 2010-12-13 19:46:43
万网企业邮箱1G变3G,免费加邮 2010-12-13 19:46:09
万网G主机已经支持fsockopen函数 2010-12-13 1:46:01
万网标准建站加速智能建站成熟 2010-12-13 1:44:59
当前虚拟主机的三种流量限制 2010-12-12 0:49:20
万网空间为何要使用独立IP? 2010-12-12 0:48:49
万网主机万网空间机房介绍 2010-12-11 0:46:24
|
|
|
|
|
|
|
010-51661675 , 18601941675
[客服01] 
