服務器的安全配置技巧大全

如(rú)果平時懶得(dé / de / děi)對(duì)服務器安全進行(háng / xíng)設置，有些設置其(qí)實幾分鍾就(jiù)可(kě)以設置完成，可(kě)就(jiù)是因爲懶惰，結果萬一服務器被惡意破壞，就(jiù)需要(yào / yāo)花費更多的時間恢複數據，因此服務器安全設置早期打好基礎，危難時期就(jiù)會(huì)減少很多無謂的損失。

一、操作系統的安裝

操作系統以Windows 2000爲例，高版本的Windows也有類似功能(néng)。

格式化硬盤時候，必須格式化爲NTFS的，絕對(duì)不要(yào / yāo)使用(yòng)FAT32類型。

C盤爲操作系統盤，D盤放常用(yòng)軟件，E盤網站，格式化完成後(hòu)立刻設置磁盤權限，C盤默認，D盤的安全設置爲Administrator和System完全控制，其(qí)他用(yòng)戶删除，E盤放網站，如(rú)果隻有一個網站，就(jiù)設置Administrator和System完全控制，Everyone讀取，如(rú)果網站上某段代碼必須完成寫操作，這時再單獨對(duì)那(nà)個文件所(suǒ)在的文件夾權限進行(háng / xíng)更改。

系統安裝過(guò)程中一定本着(zhe／zhuó／zhāo／zháo)最小服務原則，無用(yòng)的服務一概不選擇，達到系統的最小安裝，在安裝IIS的過(guò)程中，隻安裝最基本必要(yào / yāo)的功能(néng)，那(nà)些不必要(yào / yāo)的危險服務千萬不要(yào / yāo)安裝，例如(rú)：FrontPage 2000服務器擴展，Internet服務管理器(HTML)，FTP服務，文檔，索引服務等等。

二、網絡安全配置

網絡安全最基本的是端口設置，在“本地連接屬性”，點“Internet協議(TCP/IP)”，點“高級”，再點“選項”-“TCP/IP篩選”。僅打開網站服務所(suǒ)需要(yào / yāo)使用(yòng)的端口，配置界面如(rú)下(xià)圖。

進行(háng / xíng)如(rú)下(xià)設置後(hòu)，從你(nǐ)的服務器将不能(néng)使用(yòng)域名解析，因此上網，但是外部的訪問是正常的。這個設置主要(yào / yāo)爲了防止一般規模的DDOS攻擊。

三、安全模闆設置

運行(háng / xíng)MMC，添加獨立管理單元“安全配置與分析”，導入模闆basicsv.inf或者securedc.inf，然後(hòu)點“立刻配置計算機”，系統就(jiù)會(huì)自(zì)動配置“帳戶策略”、“本地策略”、“系統服務”等信息，一步到位，不過(guò)這些配置可(kě)能(néng)會(huì)導緻某些軟件無法運行(háng / xíng)或者運行(háng / xíng)出錯。

四、WEB服務器的設置

以IIS爲例，絕對(duì)不要(yào / yāo)使用(yòng)IIS默認安裝的WEB目錄，而(ér)需要(yào / yāo)在E盤新建立一個目錄。然後(hòu)在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄配置->應用(yòng)程序映射，隻保留asp和asa，其(qí)餘全部删除。

五、ASP的安全

在IIS系統上，大部分木馬都是ASP寫的，因此，ASP組件的安全是非常重要(yào / yāo)的。

ASP木馬實際上大部分通過(guò)調用(yòng)Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來實現其(qí)功能(néng)，除了FSO之外，其(qí)他的大多可(kě)以直接禁用(yòng)。

WScript.Shell組件使用(yòng)這個命令删除：regsvr32 WSHom.ocx /u

WScript.Network組件使用(yòng)這個命令删除：regsvr32 wshom.ocx /u

Shell.Application可(kě)以使用(yòng)禁止Guest用(yòng)戶使用(yòng)shell32.dll來防止調用(yòng)此組件。使用(yòng)命令：cacls C：\WINNT\system32\shell32.dll /e /d guests

禁止guests用(yòng)戶執行(háng / xíng)cmd.exe的命令是： cacls C：\WINNT\system32\Cmd.exe /e /d guests

FSO組件的禁用(yòng)比較麻煩，如(rú)果網站本身不需要(yào / yāo)用(yòng)這個組件，那(nà)麽就(jiù)通過(guò)RegSrv32 scrrun.dll /u命令來禁用(yòng)吧。如(rú)果網站本身也需要(yào / yāo)用(yòng)到FSO，那(nà)麽請參看這篇文章。

另外，使用(yòng)微軟提供的URLScan Tool這個過(guò)濾非法URL訪問的工具，也可(kě)以起到一定防範作用(yòng)。當然，每天(tiān)備份也是一個好習慣。