服务器与vps安全设置必须要注意.docx

服务器与vps安全设置必须要注意，防止入侵最好的方法一、禁止默认共享。方法一：建立一个记事本，填上以下代码。保存为*.bat并加到启动项目中 net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del方法二：修改注册表，（注意修改注册表前一定要先备份一下注册表，备份方法。在 运行regedit，选择 文件导出 ，取个文件名，导出即可，如果修改注册表失败，可以找到导出的注册表文件双击运行即可。）hkey_local_machinesystemcurrentcontrolsetserviceslanmanserverparameters新建 “dword值”值名为 “autoshareserver” 数据值为“0”二、远程桌面连接配置。开始 程序 管理工具 终端服务配置 连接选择右侧”rdp-tcp”连接右击 属性 权限 删除(除system外)所有用户组 添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。三、serv_u安全设置（注意一定要设置管理密码，否则会被提权）打开serv_u,点击“本地服务“，在右边点击”设置/更改密码“，如果没有设置密码，”旧密码为空，填好新密码点击”确定“。四、关闭139、445端口 控制面板-网络-本地链接-属性(这里勾选取消网络文件和打印机共享)-tcp/ip协议属性-高级-wins-netbios设置-禁用netbios，即可关闭139端口.关闭445端口（注意修改注册表前一定要先备份一下注册表，备份方法。在 运行regedit，选择 文件导出 ，取个文件名，导出即可，如果修改注册表失败，可以找到导出的注册表文件双击运行即可。）hkey_local_machinesystemcurrentcontrolsetservicesnetbtparameters新建 “dword值”值名为 “smbdeviceenabled” 数据为默认值“0”五、删除不安全组件wscript.shell 、shell.application 这两个组件一般一些asp木马或一些恶意程序都会使用到。方法：在“运行”里面分别输入以下命令regsvr32 /u wshom.ocx 卸载wscript.shell 组件 regsvr32 /u shell32.dll 卸载shell.application 组件。regsvr32 /u %windir%system32wshext.dll六、设置iis权限。针对每个网站单独建立一个用户。首先，右击“我的电脑”管理本地计算机和组用户，在右边。右击“新用户”，建立新用户，并设置好密码。如图：例如：添加test为某一网站访问用户。设置站点文件夹的权限然后，打开internet信息服务管理器。找到相应站点。右击，选择“权限”如图：选择权限后，如下图：只保留一个超级管理员administrator(可以自己定义)，而不是管理员组administrators。和系统用户(system)，还有添加访问网站的用户。可以点击“添加”将刚才在系统创建的用户(如test)添加里面。然后勾选该用户（test）读取和运行、列出文件夹目录、读取、写入的权限。超级管员(administrator)”完全控制”，系统用户（system） “完全控制”权限。并且选择用户(test)?“高级”出现如下图点击“应用”后，等待文件夹权限传递完毕。然后点“确定”。注意：设置访问用户。右击 站点 属性=目录安全性=编辑， 将刚才添加的用户(如test)添加到匿名访问用户。密码和添加用户时密码一致。设置站点访问权限。右击要设置的站点。属性=主目录 本地路径下面只选中 读取 记录访问 索引资源其它都不要选择。执行权限 选择 “纯脚本”.不要选择“脚本和可执行文件”。如图所示：其它设置和就是iis站点的一般设置，不再多说。注意：对于 asp.net 程序，则需要设置 iis_wpg 组的帐号权限、上传目录的权限设置。这时需要注意，一定要将上传目录的执行权限设为“无”，将文件夹的写入权限选上,这样即使上传了 asp、php 等脚本程序或者 exe 程序，也不会在用户浏览器里触发执行,对于纯静态网站(全部是html)将(纯脚本)改成(无)。对于某些程序可能要求everyone有完全控制的权限，可以将网站访问用户(如test用户)对文件夹设置完全控制的权限就行了，并不需要添加everyone来设置完全控制。七、数据库安全设置一定要设置数据库密码。另外。对于sql数据库建议卸载扩展存储过程xp_cmdshellxp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。请把它去掉。使用这个sql语句： use master sp_dropextendedproc xp_cmdshell 如果你需要这个存储过程，请用这个语句也可以恢复过来。 sp_addextendedproc xp_cmdshell, xpsql70.dll八、防止access数据库被下载在iis属性 主目录配置映射应用程序扩展那里添加。mdb文件的应用解析。注意这里的选择的d ll不要选择asp.dll,找一个映射里面不使用的dll文件。九、利用防火墙限制端口。对外只打开自己需要的端口，对于vps用户，需要打开网站服务端口80，远程登录端口3389，景安公司提供的密码修改服务端口6088,如果使用的有serv_u等ftp服务软件，需要打开21端口。具体打开端口请参考下面：1、 右击网上邻居选择“属性”,=本地连接=?属性=?高级?设置选中”启用”按钮.2、 点击“例外”=添加端口。根据自己需要添加对外的端口。注意在添加的端口前面勾选上3、 添加完端口,点击”确定”?确定十、防止列出用户组和系统进程如果上传asp木马用户列表可能会被黑客利用