VPS服务器安全设置教程.docVIP

安全设置 一、禁止默认共享。 方法一： 建立一个记事本，填上以下代码。保存为*.bat并加到启动项目中 net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del 方法二：修改注册表，（注意修改注册表前一定要先备份一下注册表，备份方法。在 运行regedit，选择 文件》导出 ，取个文件名，导出即可，如果修改注册表失败，可以找到导出的注册表文件双击运行即可。） HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建 “DWORD值”值名为 “AutoShare” 数据值为“0” ”RDP-tcp”连接右击 属性== 权限 删除其它用户，只保留system,添加administrator(不是administrators),设置这两个用户(system和administrator)是”完全控制”权限,这样即使服务器被创建了其它的管理员.也无法使用终端服务。 三、serv_u安全设置（注意一定要设置管理密码，否则会被提权） 打开serv_u,点击“本地服务“，在右边点击”设置/更改密码“，如果没有设置密码，”旧密码为空，填好新密码点击”确定“。 四、关闭139、445端口 ①控制面板(网络(本地链接(属性(这里勾选取消网络文件和打印机共享)(tcp/ip协议属性(高级(WINS(Netbios设置==禁用Netbios，即可关闭139端口. ②关闭445端口 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters 新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”删除不安全组件 WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。regsvr32 /u wshom.ocx 卸载WScript.Shell 组件 regsvr32 /u shell32.dll 卸载Shell.application 组件regsvr32 /u %windir%\system32\Wshext.dll 六、设置iis权限。 针对每个网站单独建立一个用户。（下面仅是其中一个站点的权限设置,如果vps上有多个站点，其它站点依据本站点分别设置不同的internet来宾用户。） ①首先，右击“我的电脑”》管理》本地计算机和组》用户，在右边。右击“新用户”，建立新用户，并设置好密码。如图： 例如：本测试添加test为某一网站访问用户。 ②设置站点文件夹的权限 然后，打开internet信息服务管理器。找到相应站点。右击，选择“权限”如图： 选择权限后，如下图： 删除其它用户，只保留一个超级管理员administrator(可以自己定义，注意不是管理员组administrators）。和系统用户(system)，还有添加访问网站的inernet来宾用户。可以点击“添加”将刚才在系统创建的用户(如test)添加里面。然后勾选该用户（test）读取和运行、列出文件夹目录、读取、写入的权限。超级管员(administrator)”完全控制”，系统用户（system） “完全控制”权限。并且选择用户(test)(“高级”出现如下图 选中“用在些显示的可以应用到子对象的项目替代所有子对象的权限项目”点击“应用”后，等待文件夹权限传递完毕。 然后点“确定”。 ③设置访问用户。 右击 站点 属性==》目录安全性==》编辑， 将刚才添加的用户(如test)添加到匿名访问用户。密码和添加用户时密码一致。 ④设置站点访问权限。 右击要设置的站点。属性==》主目录 本地路径下面只选中 读取 记录访问 索引资源 其它都不要选择。执行权限 选择 “纯脚本”。不要选择“脚本和可执行文件”。如图所示： 其它设置和就是iis站点的一般设置，不再多说。 注意：对于 ASP.NET 程序，则需要设置 IIS_WPG 组的帐号权限上传目录的权限设置这时需要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里触发执行将(纯脚本)改成(无)扩展存储过程xp_cmdshellxp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句： use master exec sp_dropextendedp