服務器的(de)安全配置技巧大(dà)全

如果平時(shí)懶得對服務器安全進行設置，有些設置其實幾分鍾就(jiù)可以(yǐ)設置完成，可就(jiù)是(shì)因爲(wéi / wèi)懶惰，結果萬一(yī / yì ／yí)服務器被惡意破壞，就(jiù)需要(yào / yāo)花費更多的(de)時(shí)間恢複數據，因此服務器安全設置早期打好基礎，危難時(shí)期就(jiù)會減少很多無謂的(de)損失。

一(yī / yì ／yí)、操作系統的(de)安裝

操作系統以(yǐ)Windows 2000爲(wéi / wèi)例，高版本的(de)Windows也(yě)有類似功能。

格式化硬盤時(shí)候，必須格式化爲(wéi / wèi)NTFS的(de)，絕對不(bù)要(yào / yāo)使用FAT32類型。

C盤爲(wéi / wèi)操作系統盤，D盤放常用軟件，E盤網站，格式化完成後立刻設置磁盤權限，C盤默認，D盤的(de)安全設置爲(wéi / wèi)Administrator和(hé / huò)System完全控制，其他(tā)用戶删除，E盤放網站，如果隻有一(yī / yì ／yí)個(gè)網站，就(jiù)設置Administrator和(hé / huò)System完全控制，Everyone讀取，如果網站上(shàng)某段代碼必須完成寫操作，這(zhè)時(shí)再單獨對那個(gè)文件所在(zài)的(de)文件夾權限進行更改。

系統安裝過程中一(yī / yì ／yí)定本着最小服務原則，無用的(de)服務一(yī / yì ／yí)概不(bù)選擇，達到(dào)系統的(de)最小安裝，在(zài)安裝IIS的(de)過程中，隻安裝最基本必要(yào / yāo)的(de)功能，那些不(bù)必要(yào / yāo)的(de)危險服務千萬不(bù)要(yào / yāo)安裝，例如：FrontPage 2000服務器擴展，Internet服務管理器(HTML)，FTP服務，文檔，索引服務等等。

二、網絡安全配置

網絡安全最基本的(de)是(shì)端口設置，在(zài)“本地(dì / de)連接屬性”，點“Internet協議(TCP/IP)”，點“高級”，再點“選項”-“TCP/IP篩選”。僅打開網站服務所需要(yào / yāo)使用的(de)端口，配置界面如下圖。

進行如下設置後，從你的(de)服務器将不(bù)能使用域名解析，因此上(shàng)網，但是(shì)外部的(de)訪問是(shì)正常的(de)。這(zhè)個(gè)設置主要(yào / yāo)爲(wéi / wèi)了(le／liǎo)防止一(yī / yì ／yí)般規模的(de)DDOS攻擊。

三、安全模闆設置

運行MMC，添加獨立管理單元“安全配置與分析”，導入模闆basicsv.inf或者securedc.inf，然後點“立刻配置計算機”，系統就(jiù)會自動配置“帳戶策略”、“本地(dì / de)策略”、“系統服務”等信息，一(yī / yì ／yí)步到(dào)位，不(bù)過這(zhè)些配置可能會導緻某些軟件無法運行或者運行出(chū)錯。

四、WEB服務器的(de)設置

以(yǐ)IIS爲(wéi / wèi)例，絕對不(bù)要(yào / yāo)使用IIS默認安裝的(de)WEB目錄，而(ér)需要(yào / yāo)在(zài)E盤新建立一(yī / yì ／yí)個(gè)目錄。然後在(zài)IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄配置->應用程序映射，隻保留asp和(hé / huò)asa，其餘全部删除。

五、ASP的(de)安全

在(zài)IIS系統上(shàng)，大(dà)部分木馬都是(shì)ASP寫的(de)，因此，ASP組件的(de)安全是(shì)非常重要(yào / yāo)的(de)。

ASP木馬實際上(shàng)大(dà)部分通過調用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來(lái)實現其功能，除了(le／liǎo)FSO之(zhī)外，其他(tā)的(de)大(dà)多可以(yǐ)直接禁用。

WScript.Shell組件使用這(zhè)個(gè)命令删除：regsvr32 WSHom.ocx /u

WScript.Network組件使用這(zhè)個(gè)命令删除：regsvr32 wshom.ocx /u

Shell.Application可以(yǐ)使用禁止Guest用戶使用shell32.dll來(lái)防止調用此組件。使用命令：cacls C：\WINNT\system32\shell32.dll /e /d guests

禁止guests用戶執行cmd.exe的(de)命令是(shì)： cacls C：\WINNT\system32\Cmd.exe /e /d guests

FSO組件的(de)禁用比較麻煩，如果網站本身不(bù)需要(yào / yāo)用這(zhè)個(gè)組件，那麽就(jiù)通過RegSrv32 scrrun.dll /u命令來(lái)禁用吧。如果網站本身也(yě)需要(yào / yāo)用到(dào)FSO，那麽請參看這(zhè)篇文章。

另外，使用微軟提供的(de)URLScan Tool這(zhè)個(gè)過濾非法URL訪問的(de)工具，也(yě)可以(yǐ)起到(dào)一(yī / yì ／yí)定防範作用。當然，每天備份也(yě)是(shì)一(yī / yì ／yí)個(gè)好習慣。