當(dāng)前位置:網(wǎng)站首頁(yè)>網(wǎng)站知識(shí)
Vps的平安設(shè)置
發(fā)布時(shí)間:2016-04-01
總結(jié)VPS的安全設(shè)置問(wèn)題,總共11條����,要仔細(xì)看����,防范于未然�����!
一�����、禁止默認(rèn)共享�����。
方法一:
建立一個(gè)記事本���,填上以下代碼�。保存為*.bat并加到啟動(dòng)項(xiàng)目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
方法二:修改注冊(cè)表���,(注意修改注冊(cè)表前一定要先備份一下注冊(cè)表�����,備份方法��。在 運(yùn)行>regedit�,選擇 文件》導(dǎo)出 ���,取個(gè)文件名���,導(dǎo)出即可,如果修改注冊(cè)表失敗,可以找到導(dǎo)出的注冊(cè)表文件雙擊運(yùn)行即可��。)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建 “DWORD值”值名為 “AutoShareServer” 數(shù)據(jù)值為“0”
二���、遠(yuǎn)程桌面連接配置�����。
開始 > 程序 > 管理工具 > 終端服務(wù)配置 > 連接
選擇右側(cè)”RDP-tcp”連接右擊 屬性==> 權(quán)限 刪除其它用戶����,只保留system,添加administrator(不是administrators),設(shè)置這兩個(gè)用戶(system和administrator)是”完全控制”權(quán)限,這樣即使服務(wù)器被創(chuàng)建了其它的管理員.也無(wú)法使用終端服務(wù)���。
三�、serv_u安全設(shè)置(注意一定要設(shè)置管理密碼��,否則會(huì)被提權(quán))
打開serv_u,點(diǎn)擊“本地服務(wù)“��,在右邊點(diǎn)擊”設(shè)置/更改密碼“���,如果沒(méi)有設(shè)置密碼����,”舊密碼為空����,填好新密碼點(diǎn)擊”確定“。
四����、關(guān)閉139、445端口
①控制面板網(wǎng)絡(luò)本地鏈接屬性(這里勾選取消”網(wǎng)絡(luò)文件和打印機(jī)共享”)tcp/ip協(xié)議屬性高級(jí)WINSNetbios設(shè)置==>禁用Netbios����,即可關(guān)閉139端口.
②關(guān)閉445端口(注意修改注冊(cè)表前一定要先備份一下注冊(cè)表,備份方法���。在 運(yùn)行>regedit���,選擇 文件》導(dǎo)出 ,取個(gè)文件名��,導(dǎo)出即可�����,如果修改注冊(cè)表失敗�����,可以找到導(dǎo)出的注冊(cè)表文件雙擊運(yùn)行即可。)
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesnetBTParameters
新建 “DWORD值”值名為 “SMBDeviceEnabled” 數(shù)據(jù)為默認(rèn)值“0”
五�����、刪除不安全組件
WScript.Shell ���、Shell.application 這兩個(gè)組件一般一些ASP木馬或一些惡意程序都會(huì)使用到�。
方法:在“運(yùn)行”里面分別輸入以下命令
①regsvr32 /u wshom.ocx 卸載WScript.Shell 組件
②regsvr32 /u shell32.dll 卸載Shell.application 組件��。
③regsvr32 /u %windir%system32Wshext.dll
六�、設(shè)置iis權(quán)限。
針對(duì)每個(gè)網(wǎng)站單獨(dú)建立一個(gè)用戶����。(下面僅是其中一個(gè)站點(diǎn)的權(quán)限設(shè)置,如果vps上有多個(gè)站點(diǎn),其它站點(diǎn)依據(jù)本站點(diǎn)分別設(shè)置不同的internet來(lái)賓用戶�����。)
①首先�����,右擊“我的電腦”》管理》本地計(jì)算機(jī)和組》用戶,在右邊���。右擊“新用戶”�,建立新用戶���,并設(shè)置好密碼。如圖:
例如:本測(cè)試添加test為某一網(wǎng)站訪問(wèn)用戶���。
②設(shè)置站點(diǎn)文件夾的權(quán)限
然后�,打開internet信息服務(wù)管理器�����。找到相應(yīng)站點(diǎn)���。右擊�,選擇“權(quán)限”如圖:
選擇權(quán)限后����,如下圖:
刪除其它用戶,只保留一個(gè)超級(jí)管理員administrator(可以自己定義��,注意不是管理員組administrators)。和系統(tǒng)用戶 (system)�����,還有添加訪問(wèn)網(wǎng)站的inernet來(lái)賓用戶�。可以點(diǎn)擊“添加”將剛才在系統(tǒng)創(chuàng)建的用戶(如test)添加里面�����。然后勾選該用戶(test)讀取和運(yùn)行��、列出文件夾目錄��、讀取����、寫入的權(quán)限。超級(jí)管員(administrator)”完全控制”�����,系統(tǒng)用戶(system) “完全控制”權(quán)限�。并且選擇用戶(test)“高級(jí)”出現(xiàn)如下圖
選中“用在些顯示的可以應(yīng)用到子對(duì)象的項(xiàng)目替代所有子對(duì)象的權(quán)限項(xiàng)目”點(diǎn)擊“應(yīng)用”后,等待文件夾權(quán)限傳遞完畢���。
然后點(diǎn)“確定”��。
③設(shè)置訪問(wèn)用戶��。
右擊 站點(diǎn) 屬性==》目錄安全性==》編輯���, 將剛才添加的用戶(如test)添加到匿名訪問(wèn)用戶����。密碼和添加用戶時(shí)密碼一致���。
④設(shè)置站點(diǎn)訪問(wèn)權(quán)限。
右擊要設(shè)置的站點(diǎn)�����。屬性==》主目錄 本地路徑下面只選中 讀取 記錄訪問(wèn) 索引資源
其它都不要選擇�。執(zhí)行權(quán)限 選擇 “純腳本”。不要選擇“腳本和可執(zhí)行文件”���。如圖所示:
其它設(shè)置和就是iis站點(diǎn)的一般設(shè)置�����,不再多說(shuō)�����。
注意:對(duì)于 ASP.NET 程序�,則需要設(shè)置 IIS_WPG 組的帳號(hào)權(quán)限、上傳目錄的權(quán)限設(shè)置�����。這時(shí)需要注意��,一定要將上傳目錄的執(zhí)行權(quán)限設(shè)為“無(wú)”�,將文件夾的寫入權(quán)限選上,這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序���,也不會(huì)在用戶瀏覽器里觸發(fā)執(zhí)行,
對(duì)于純靜態(tài)網(wǎng)站(全部是html)將(純腳本)改成(無(wú))��。
對(duì)于某些程序可能要求everyone有完全控制的權(quán)限�����,可以將網(wǎng)站訪問(wèn)用戶(如test用戶)對(duì)文件夾設(shè)置完全控制的權(quán)限就行了����,并不需要添加everyone來(lái)設(shè)置完全控制。
七��、數(shù)據(jù)庫(kù)安全設(shè)置
一定要設(shè)置數(shù)據(jù)庫(kù)密碼�����。
另外���。對(duì)于sql數(shù)據(jù)庫(kù)建議卸載擴(kuò)展存儲(chǔ)過(guò)程xp_cmdshell
xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑�����,是數(shù)據(jù)庫(kù)留給操作系統(tǒng)的一個(gè)大后門。請(qǐng)把它去掉�。使用這個(gè)SQL語(yǔ)句:
use master
exec sp_dropextendedproc ‘xp_cmdshell’
如果你需要這個(gè)存儲(chǔ)過(guò)程,請(qǐng)用這個(gè)語(yǔ)句也可以恢復(fù)過(guò)來(lái)���。
第一步執(zhí)行:
EXEC sp_addextendedproc xp_cmdshell,@dllname =’xplog70.dll’declare @o int
第二步執(zhí)行:
sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’
八�、防止access數(shù)據(jù)庫(kù)被下載
在IIS屬性 ——主目錄——配置——映射——應(yīng)用程序擴(kuò)展那里添加�����。mdb文件的應(yīng)用解析��。注意這里的選擇的D LL不要選擇asp.dll,找一個(gè)映射里面不使用的dll文件。
九�、利用防火墻限制端口。
對(duì)外只打開自己需要的端口��,對(duì)于vps用戶�����,需要打開網(wǎng)站服務(wù)端口80���,遠(yuǎn)程登錄端口3389����,如果使用的有serv_u等f(wàn)tp服務(wù)軟件����,需要打開21端口。
具體打開端口請(qǐng)參考下面:
1���、 右擊網(wǎng)上鄰居選擇“屬性”,===>本地連接==屬性==高級(jí)設(shè)置
選中”啟用”按鈕.
2����、 點(diǎn)擊“例外”==》添加端口。根據(jù)自己需要添加對(duì)外的端口��。注意在添加的端口前面勾選上
3����、 添加完端口,點(diǎn)擊”確定”確定
十、防止列出用戶組和系統(tǒng)進(jìn)程
如果上傳asp木馬用戶列表可能會(huì)被黑客利用����,我們應(yīng)當(dāng)隱藏起來(lái),方法是:
【開始→程序→管理工具→服務(wù)】�,找到Workstation,停止它�,禁用它。
十一����、安裝殺毒軟件
雖然殺毒軟件有時(shí)候不能解決問(wèn)題,但是殺毒軟件避免了很多問(wèn)題���,可以查殺部分木馬程序。建議安裝占用內(nèi)存資源比較小的殺毒軟件���,另外���,要經(jīng)常升級(jí)軟件才有效�����。
