zoukankan      html  css  js  c++  java
  • VPS的安全设置

    ---恢复内容开始---

    网络安全收集了一些对VPS安全设置的方法,本站也准备购买个VPS服务器,收集一下顺便与大家分享。

    一、禁止默认共享。
    方法一:
    建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
    net share c$ /del
    net share d$ /del
    net share e$ /del
    net share f$ /del
    net share ipc$ /del
    net share admin$ /del
    方法二:修改注册表,(注意修改注册表前一定要先备份一下注册表,备份方法。在 运行>regedit,选择 文件》导出 ,取个文件名,导出即可,如果修改注册表失败,可以找到导出的注册表文件双击运行即可。)
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
    新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

    二、远程桌面连接配置。
    开始 > 程序 > 管理工具 > 终端服务配置 > 连接
    选择右侧”RDP-tcp”连接右击 属性 > 权限 删除(除system外)所有用户组 添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。

    三、serv_u安全设置(注意一定要设置管理密码,否则会被提权)

    打开serv_u,点击“本地服务“,在右边点击”设置/更改密码“,如果没有设置密码,”旧密码为空,填好新密码点击”确定“。

    四、关闭139、445端口

    ①控制面板-网络-本地链接-属性(这里勾选取消”网络文件和打印机共享”)-tcp/ip协议属性-高级-WINS-Netbios设置-禁用Netbios,即可关闭139端口.
    ②关闭445端口(注意修改注册表前一定要先备份一下注册表,备份方法。在 运行>regedit,选择 文件》导出 ,取个文件名,导出即可,如果修改注册表失败,可以找到导出的注册表文件双击运行即可。)
    HKEY_LOCAL_MACHINESystemCurrentControlSetServices etBTParameters
    新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”

    五、删除不安全组件
    WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。
    方法:在“运行”里面分别输入以下命令
    ①regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
    ②regsvr32  /u shell32.dll 卸载Shell.application 组件。
    ③regsvr32 /u %windir%system32Wshext.dll
    六、设置iis权限。
    针对每个网站单独建立一个用户。
    ①首先,右击“我的电脑”》管理》本地计算机和组》用户,在右边。右击“新用户”,建立新用户,并设置好密码。如图:

    例如:添加test为某一网站访问用户。

    ②设置站点文件夹的权限
    然后,打开internet信息服务管理器。找到相应站点。右击,选择“权限”如图:

    选择权限后,如下图:

    只保留一个超级管理员administrator(可以自己定义),而不是管理员组administrators。和系统用户(system),还有添加访问网站的用户。可以点击“添加”将刚才在系统创建的用户(如test)添加里面。然后勾选该用户(test)读取和运行、列出文件夹目录、读取、写入的权限。超级管员(administrator)”完全控制”,系统用户(system) “完全控制”权限。并且选择用户(test)?“高级”出现如下图

    点击“应用”后,等待文件夹权限传递完毕。
    然后点“确定”。
    注意:
    ③设置访问用户。
    右击 站点 属性==》目录安全性==》编辑, 将刚才添加的用户(如test)添加到匿名访问用户。密码和添加用户时密码一致。
    ④设置站点访问权限。
    右击要设置的站点。属性==》主目录  本地路径下面只选中 读取  记录访问  索引资源
    其它都不要选择。执行权限 选择 “纯脚本”.不要选择“脚本和可执行文件”。如图所示:

    其它设置和就是iis站点的一般设置,不再多说。

    注意:对于 ASP.NET 程序,则需要设置 IIS_WPG 组的帐号权限、上传目录的权限设置。这时需要注意,一定要将上传目录的执行权限设为“无”,将文件夹的写入权限选上,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序,也不会在用户浏览器里触发执行,
    对于纯静态网站(全部是html)将(纯脚本)改成(无)。
    对于某些程序可能要求everyone有完全控制的权限,可以将网站访问用户(如test用户)对文件夹设置完全控制的权限就行了,并不需要添加everyone来设置完全控制。

    七、数据库安全设置

    一定要设置数据库密码。
    另外。对于sql数据库建议卸载扩展存储过程xp_cmdshell
    xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:
    use master
    sp_dropextendedproc ‘xp_cmdshell’
    如果你需要这个存储过程,请用这个语句也可以恢复过来。
    sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll
    八、防止access数据库被下载

    在IIS属性 ——主目录——配置——映射——应用程序扩展那里添加。mdb文件的应用解析。注意这里的选择的D LL不要选择asp.dll,找一个映射里面不使用的dll文件。

    九、利用防火墙限制端口。

    对外只打开自己需要的端口,对于vps用户,需要打开网站服务端口80,远程登录端口3389,景安公司提供的密码修改服务端口6088,如果使用的有serv_u等ftp服务软件,需要打开21端口。
    具体打开端口请参考下面:
    1、 右击网上邻居选择“属性”,===>本地连接==?属性==?高级?设置

    选中”启用”按钮.
    2、 点击“例外”==》添加端口。根据自己需要添加对外的端口。注意在添加的端口前面勾选上
    3、 添加完端口,点击”确定”?确定

    十、防止列出用户组和系统进程
    如果上传asp木马用户列表可能会被黑客利用,我们应当隐藏起来,方法是:
    【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。

    十一、安装杀毒软件
    虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题,可以查杀部分木马程序。建议安装占用内存资源比较小的杀毒软件,另外,要经常升级软件才有效。

    ---恢复内容结束---

  • 相关阅读:
    开始学习编写用于 Windows SideShow 设备的小工具【转】
    Windows Mobile 6.5 Developer Tool Kit 下载
    Microsoft Security Essentials 微软免费杀毒软件下载
    SQL Server 2008 空间数据存储摘抄(SRID 点 MultiPoint LineString MultiLineString 多边形 MultiPolygon GeometryCollection)
    Vista Sidebar Gadget (侧边栏小工具)开发教程 (2)
    Vista Sidebar Gadget (侧边栏小工具)开发教程 (4)
    负载测试、压力测试和性能测试的异同
    Windows Server 2008 Vista Sidebar Gadget (侧边栏小工具) 入门开发实例
    Silverlight Tools 安装失败 解决办法
    SQL Server 2008 空间数据库 空间索引概念及创建(取自帮助)
  • 原文地址:https://www.cnblogs.com/ahuing/p/3666589.html
Copyright © 2011-2022 走看看