网站服务器提高安全性方案.docxVIP

网站服务器提高安全性方案 从系统安全和网站程序安全防入侵： 一、基本的服务器系统安全设置 1、 安装系统补丁 2、 安装杀毒软件 3、 删除默认共享、禁用某些服务 女 口： Remote Registry、Task Scheduler Telnet、Print Spool er Server TCP/IPNetBIOSHelper 等 4、 删除一些不必要的用户，给administrator改名，密码设定复杂密 码。 5、 在组策略设定“帐户锁定策略”输错5次，帐号锁定30分钟。防 别人爆力猜解密码。 6、 安装防火墙。 7、 如果没有装防火墙就用netstat - na查系统开放那些端口，可以 用IPSec （IP安全策略來阻力这些端口）。 8、 因为是服务器都耍开放远程桌面服务，方便管理，设定远程桌面 连接权限，把远程桌面器权限只允许几个用户，把administrators 这组权 限拿掉。即使黑客通过Webshell在服务器建一个管理员帐号 也无法远程桌面到服务器。启用基于TPSEC安全协商加强远程桌面服 务（3389端口），就算你放开3389端口也知道你的用户及密码，也 法远程连到你的服务器。3389端口改成其他端口，通过修改注册表 实现。如h 10001 o 9、 启动系统审核策略，将审核登录事件、审核对象访问、审核系统 事件和审核帐户登录事件启用成功方式的审核，有黑客入侵可以查到 日志。 10、 禁用Guests组用户调用cmd. exe命令，命令：cacl s C:\WINNT\system32\Cmd. exe /e /d guests 11、 每天检查网站主目录有没有产生木马文件，如php和asp结尾不 熟悉的文件，如发现木马文件服务器被入侵了，及时处理查找从那里 入侵的。 12、 定期检查有没有后门的隐藏帐号和克隆帐号。 二、网站安全相关设置 1、系统盘及冃录权限设定：administrators组 全部权限,system全 部权限，将C盘的所有子目录和子文件继承C盘的administrator （组 或用户）和SYSTEM所有权限的两个权限，然后做如下修改： C: \Program Files\Common Mies 开放 Everyone 默认的读取及运 行列出文件耳录 读取三个权限，C:\WI\DOWS\开放Everyone默认 的读取及运行列出文件冃录 读取三个权限，C:\WIND0WS\Temp开放 Everyone修改，读取及运行，列出文件目录，读取，写入权限，这样设 置完这后我们的服务器就很安全了?这样asp木马无法在系统目录下 运行了。系统盘\Windows\System32\cacls? exe cmd. exe net. exe netl. exe文件只给Administrators组和SYSTEM的完全控制权限。 2、 如果服务器里有多个网站，为了防止旁注给每个网站新建一个用 户，只加入guests组，每个网站匿名用户启用相对应的用户。 3、 每个网站主目录设定权限只允许administrators和system组完 全控制权限，网站用户只读和执行权限，对于要上传文件口录权限设 定只读和写入，但是不要执行权限，这样上传了木马也运行不了。 4、 改名或卸载不安全组件 在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是 非常重要的。 ASP木马实际上大部分通过调用Shel 1. Appl i cat io n、 WScript. Shell WScript. Network FSO Adodb. Stream 组件来实现 其功能，除了 FSO之外，其他的大多可以直接禁用。 WScript. Shell 组件使用这个命令删除：regsvr32 WSHom. ocx /u WScript. Network 组件使用这个命令删除：regsvr32 wshom. ocx /u Shell. Application 可以使用禁止 Guest 用户使用 shell32. dll 来防止调用此组件。使用命令：cacls C : \windows\system32\shell32.dll /e /d guests 5SQL Server2005数据库管理也要设定复杂密码,mssql的sa用户, 删除不必要的存储过程，因为有些存储过程能很容易地被人利用起来 提升权限或进行破坏。如:不需要扩展存储过程xp_cmdshell请把它 去掉。xp_cmdshell根本就是一个大后门等，使用IPSec策略阻止所 有地址访问本机的TCP1433与UDP1434端口，SQL里面用户权限细化。 6、 很多WEB服务器都会安装FTP服务器，方便上传更新网站，防止 Serv-U权限提升，FTP用户是明文验证