記住服務器安全設置早期打好基礎,危難時期就會減少很多無謂的損失���。對服務器進行安全設置這件尤為重要的事情���,因為我們有時候會犯懶,也有時候根本就忘記了�����,就會導致服務器惡意破壞�,這樣會花很長時間和精力恢復數據。還不如我們對服務器設施早期花幾分鐘完成設置��,這樣更安全更有保障�����。下面分五方面說明服務器的安全配置技巧����,
一、操作系統(tǒng)的安裝
操作系統(tǒng)以Windows 2000為例���,高版本的Windows也有類似功能���。
格式化硬盤時候����,必須格式化為NTFS的,絕對不要使用FAT32類型�����。
C盤為操作系統(tǒng)盤��,D盤放常用軟件��,E盤網站����,格式化完成后立刻設置磁盤權限��,C盤默認��,D盤的安全設置為Administrator和System完全控制����,其他用戶刪除��,E盤放網站���,如果只有一個網站��,就設置Administrator和System完全控制,Everyone讀取��,如果網站上某段代碼必須完成寫操作����,這時再單獨對那個文件所在的文件夾權限進行更改����。
系統(tǒng)安裝過程中一定本著最小服務原則,無用的服務一概不選擇���,達到系統(tǒng)的最小安裝,在安裝IIS的過程中�,只安裝最基本必要的功能,那些不必要的危險服務千萬不要安裝����,例如:FrontPage 2000服務器擴展,Internet服務管理器(HTML)�����,FTP服務����,文檔�,索引服務等等��。
二、網絡安全配置
網絡安全最基本的是端口設置���,在“本地連接屬性”,點“Internet協議(TCP/IP)”���,點“高級”�,再點“選項”-“TCP/IP篩選”�����。僅打開網站服務所需要使用的端口���,配置界面如下圖����。
進行如下設置后����,從你的服務器將不能使用域名解析���,因此上網���,但是外部的訪問是正常的��。這個設置主要為了防止一般規(guī)模的DDOS攻擊。
三�����、安全模板設置
運行MMC����,添加獨立管理單元“安全配置與分析”,導入模板basicsv.inf或者securedc.inf��,然后點“立刻配置計算機”��,系統(tǒng)就會自動配置“帳戶策略”��、“本地策略”�、“系統(tǒng)服務”等信息,一步到位�,不過這些配置可能會導致某些軟件無法運行或者運行出錯���。
四��、WEB服務器的設置
以IIS為例��,絕對不要使用IIS默認安裝的WEB目錄��,而需要在E盤新建立一個目錄���。然后在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄配置->應用程序映射����,只保留asp和asa,其余全部刪除���。
五����、ASP的安全
在IIS系統(tǒng)上���,大部分木馬都是ASP寫的�����,因此��,ASP組件的安全是非常重要的���。
ASP木馬實際上大部分通過調用Shell.Application、WScript.Shell�、WScript.Network、FSO�、Adodb.Stream組件來實現其功能�,除了FSO之外,其他的大多可以直接禁用����。
WScript.Shell組件使用這個命令刪除:regsvr32 WSHom.ocx /u
WScript.Network組件使用這個命令刪除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用戶使用shell32.dll來防止調用此組件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
禁止guests用戶執(zhí)行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests
FSO組件的禁用比較麻煩���,如果網站本身不需要用這個組件�����,那么就通過RegSrv32 scrrun.dll /u命令來禁用吧�����。如果網站本身也需要用到FSO����,那么請參看這篇文章。
另外����,使用微軟提供的URLScan Tool這個過濾非法URL訪問的工具,也可以起到一定防范作用���。當然�����,每天備份也是一個好習慣����。
