伺服器的安全設定技巧大全

伺服器的安全設定技巧大全

　　如果平時懶得對伺服器安全進行設定，有些設定其實幾分鐘就可以設定完成，可就是因為懶惰，結果萬一伺服器被惡意破壞，就需要花費更多的時間恢復資料，因此伺服器安全設定早期打好基礎，危難時期就會減少很多無謂的損失。

一、作業系統的安裝

　　作業系統以Windows 2000為例，高版本的Windows也有類似功能。

　　格式化硬碟時候，必須格式化為NTFS的，絕對不要使用FAT32型別。

　　C槽為作業系統盤，D槽放常用軟體，E槽網站，格式化完成後立刻設定磁碟許可權，C槽預設，D槽的安全設定為Administrator和System完全控制，其他使用者刪除，E槽放網站，如果只有一個網站，就設定Administrator和System完全控制，Everyone讀取，如果網站上某段程式碼必須完成寫操作，這時再單獨對那個檔案所在的資料夾許可權進行更改。

　　系統安裝過程中一定本著最小服務原則，無用的服務一概不選擇，達到系統的最小安裝，在安裝IIS的過程中，只安裝最基本必要的功能，那些不必要的危險服務千萬不要安裝，例如：FrontPage 2000伺服器擴充套件，Internet服務管理器(HTML)，FTP服務，檔案，索引服務等等。

二、網路安全設定

　　網路安全最基本的是埠設定，在“本地連線屬性」，點“Internet協定(TCP/IP)」，點“高階」，再點“選項」-“TCP/IP篩選」。僅開啟網站服務所需要使用的埠，設定介面如下圖。

　　進行如下設定後，從你的伺服器將不能使用域名解析，因此上網，但是外部的存取是正常的。這個設定主要為了防止一般規模的DDOS攻擊。

三、安全模板設定

　　執行MMC，新增獨立管理單元“安全設定與分析」，匯入模板basicsv.inf或者securedc.inf，然後點“立刻設定計算機」，系統就會自動設定“帳戶策略」、“本地策略」、“系統服務」等資訊，一步到位，不過這些設定可能會導致某些軟體無法執行或者執行出錯。

四、WEB伺服器的設定

　　以IIS為例，絕對不要使用IIS預設安裝的WEB目錄，而需要在E槽新建立一個目錄。然後在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄設定->應用程式對映，只保留asp和asa，其餘全部刪除。

五、ASP的安全

　　在IIS系統上，大部分木馬都是ASP寫的，因此，ASP元件的安全是非常重要的。

　　ASP木馬實際上大部分通過呼叫Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream元件來實現其功能，除了FSO之外，其他的大多可以直接禁用。

　　WScript.Shell元件使用這個命令刪除：regsvr32 WSHom.ocx /u

　　WScript.Network元件使用這個命令刪除：regsvr32 wshom.ocx /u

　　Shell.Application可以使用禁止Guest使用者使用shell32.dll來防止呼叫此元件。使用命令：cacls C：WINNTsystem32shell32.dll /e /d guests

　　禁止guests使用者執行cmd.exe的命令是： cacls C：WINNTsystem32Cmd.exe /e /d guests

　　FSO元件的禁用比較麻煩，如果網站本身不需要用這個元件，那麼就通過RegSrv32 scrrun.dll /u命令來禁用吧。如果網站本身也需要用到FSO，那麼請參看這篇文章。

　　另外，使用微軟提供的URLScan Tool這個過濾非法URL存取的工具，也可以起到一定防範作用。當然，每天備份也是一個好習慣。