找回密码
 注册

QQ登录

只需一步,快速开始

广告位招租QQ156975948 方维购物分享系统问题集锦!泊君SEO伪原创软件2011终身版! 团购中
多多淘客返利系统最新7.3版 免费下载SEO伴侣VIP账号! 火热 团购中链接买卖! 赚取美元从这里开始
20万元!邀请您代言淘宝客专用虚拟主机 免备案 香港主机广告位招租QQ156975948

Windows服务器高安全配置技巧

来源: admin 2011-2-27 16:15:46 显示全部楼层 |阅读模式
      目前Linux的家庭用户比较少,在用户量方面Linux是敌不过Windows的,因为大部分游戏,应用软件等都是基于win平台VB,VC,C#等开发的,而且目前电脑初学者学习的教材方面大部分都是关于Windows的,至少这几年,十几年内微软应该还是win霸主。在Linux挖掘出一个漏洞,能通过利用此漏洞广为传播病毒的计算机感染数量很少,所以Linux的漏洞价值不是很高。而且玩Linux的高手我认为大部分是技术型的,不屑于去追求那些蝇头小利以及炫耀什么,乐于开源以及分享自己最新的研究成果,这个原因也造就了如今Linux的安全性。

       Windows只要安全细节做得好,入侵成功的几率是很低的。下面进入正文,谈谈我对web服务器安全防护的经验和方案。
这里提供一种思路,比如:一个外网IP开放VPN和NAT端口转发,然后路由器里面的一台计算机连接VPN,把80端口转发到内网,内网又有一个MySQL内网服务器。

方案如下:

系统平台:
Win2003sp2企业版,打上所有微软发布的安全更新。
主要硬件:Intel双核CPU,512M内存
优化设置:
关闭默认共享$admin,$c等,代码如下:
net share c$ /delete
net share admin$ /delete
echo .. delshare.reg .......
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo .. delshare.reg .....
regedit /s c:\delshare.reg
echo .. delshare.reg ....
del c:\delshare.reg
新建文本文档另存为.bat文件运行.
尽量不安装任何应用软件(如:迅雷,QQ等),安装好杀毒软件以及防火墙。
安装winrar,关闭多余系统服务项(如自带的防火墙,计划任务,打印机等。注意:请根据服务器实际情况来关闭,如果不懂系统后台服务不建议去修改。
开机自启的注册表键值除输入法外一般都可以删除。

系统安全设置

       磁盘都使用NTFS格式,如果是FAT32,请转换。命令格式如:convert c:/fs:ntfs(命令默认是C盘,如果是别的分区,请修改盘符)对根目录的权限值保留administrator、system完全权限,
Web根目录只保留administrator、system、以及用来启动该web的IIS用户完全访问权限。
CMD.EXE,NET.EXE,NET1.EXE,以及回收站目录只保留administrator和system的完全权限,
删除安装IIS后生成的intepub目录。目录安全权限设置完毕


      PHP安全设置

由于此文说的是安全,跳过PHP安装步骤。编辑PHP配置文件,用文本编辑器打开php.ini。做如下修改:
safe_mode = On
disable_functions = passthru, exec, shell_exec, system, fopen, mkdir, rmdir, chmod, unlink, dir, fopen, fread, fclose, fwrite, file_exists, closedir, is_dir, readdir, opendir, fileperms, copy, unlink, delfile, popen, COM
PHP使用network service这个用户组启动的,所以在PHP的安装目录我们需要给他权限,
至此PHP的安全设置已经完毕。

       MySQL安全设置

安装好MySQL和phpmyadmin后使用root账户登录,修改root为强密码,最好是数字+大写+小写,如果记得住特殊符号也行。然后点权限,添加新用户新建一个用户,创建与用户同名的数据库并授予所有权限,不给予特殊权限。网站连接MySQL的用户就使用这个新建的,千万不要用root!

      IIS安全设置

对每个挂在IIS里面的网站设置一下权限,如MDB数据库路径在IIS里设置不能读取,写入等,无执行权限
上传目录无执行可读取。
关闭未知的扩展等,最好在每个网站都用一个独立用户启动,可以命名为IIS_***,对应每一个网站根目录的权限,IIS允许匿名访问,这样可以防止别的网站跨目录访问

      防护CC和DDOS攻击

      攻击的原理就不说了,搜索引擎搜索一下就知道了,一般的CC攻击都是WEB动态页面发起的,而且会在短时间新建很多TCP端口连接,根据这个特征,我们可以安装一个DDOS防火墙,设置规则。
在端口过滤里面可以设置流量。
这样设置完以后就能防止DDOS以及CC攻击。
而且能防止扫描软件扫描WEB页面和暴力破解后台登陆(因为做了连接数过多屏蔽,一般的扫描和破解都是多线程开放很多端口同时进行,工具扫描的连接数过多就自动屏蔽了,增大安全性能)
回复

使用道具 举报

前瞻经济学人微信二维码

前瞻经济学人

专注于中国各行业市场分析、未来发展趋势等。扫一扫立即关注。

前瞻产业研究院微信二维码

前瞻产业研究院

如何抓准行业的下一个风口?未来5年10年行业趋势如何把握?(站长自定义)

您需要登录后才可以回帖 登录 | 注册

相关推荐

顶尖数据恢复软件v6.30-破解版

顶尖数据恢复软件v6.30-破解版

谈到数据恢复,有很多用户都会联想到的是那些动辄收费数千元的人工恢复机构。也正

建站软件:USBWebserver V8.5 快速搭建本地PHP环境

建站软件:USBWebserver V8.5 快速搭建本地PHP环境

USBWebserver 是一款非常简单实用的 本地PHP环境搭建工具,无需安装,只需双击运

PP桌面v5.0.6测试版

PP桌面v5.0.6测试版

打造最专业最全面的桌面图画浏览工具,本软件的图片,每天都在不断更新中, 本软件

网站整站下载器(HTTrack Website Copier)V3.48-19中文绿色版

网站整站下载器(HTTrack Website Copier)V3.48-19中文绿色版

HTTrack Website Copier是一个免费的网页离线浏览器,它能把您指定的整个网站下载下来

做淘宝客4个月,终于创收了,这得得益于自己的坚持,淘客新手们坚持就是胜利

做淘宝客4个月,终于创收了,这得得益于自己的坚持,淘客新手们

记得我是从去年10月份开始接触淘宝客的,当时刚听说淘宝客,听说很多人兼职在

公司取名软件V16.0-公司名称评测(破解版)

公司取名软件V16.0-公司名称评测(破解版)

《公司取名软件》为您的新公司起个好名字!有了公司取名软件,按您设置轻轻一点,

迅雷VIP帐号获取工具V1.0

迅雷VIP帐号获取工具V1.0

获取网络上公布的迅雷VIP帐号,功能自己使用就会明白。 迅雷VIP获取工具.zip 在他

好用的table网页转换成DIV+CSS代码工具Table2css V3.0 汉化破解版

好用的table网页转换成DIV+CSS代码工具Table2css V3.0 汉化破解

有好多做网站和喜欢SEO的朋友都青睐把网站用DIV+CSS构建,但对于DIV+CSS技术不