14點(diǎn)做好vps安裝及服務(wù)器安全配置指南

首先感謝您選用我們的10vps產(chǎn)品.為使您更為安全高效的使用我們的產(chǎn)品.特制作此幫助.希望對(duì)您能有所幫助.
在這里我們以2003服務(wù)器為例.

設(shè)置步驟分為兩部分,系統(tǒng)安全設(shè)置和針對(duì)網(wǎng)站程序的安全設(shè)置兩部分.在這里我們只談最最必要和最需要特別注意的部分.一般的設(shè)置都可以在網(wǎng)上搜索的到.在這里就不再一一贅述.

服務(wù)器安全設(shè)置

1.系統(tǒng)盤(pán)和站點(diǎn)放置盤(pán)必須設(shè)置為NTFS格式,方便設(shè)置權(quán)限.

2.系統(tǒng)盤(pán)和站點(diǎn)放置盤(pán)除administrators 和system的用戶權(quán)限全部去除.

3.啟用windows自帶防火墻,只保留有用的端口,比如遠(yuǎn)程和Web,Ftp(3389,80,21)等等,有郵件服務(wù)器的還要打開(kāi)25和130端口.

4.安裝好SQL后進(jìn)入目錄搜索 xplog70  然后將找到的三個(gè)文件改名或者刪除.

5.更改sa密碼為你都不知道的超長(zhǎng)密碼,在任何情況下都不要用sa這個(gè)帳戶.

6.改名系統(tǒng)默認(rèn)帳戶名并新建一個(gè)Administrator帳戶作為陷阱帳戶,設(shè)置超長(zhǎng)密碼,并去掉所有用戶組.(就是在用戶組那里設(shè)置為空即可.讓這個(gè)帳號(hào)不屬于任何用戶組)同樣改名禁用掉Guest用戶.

7.配置帳戶鎖定策略(在運(yùn)行中輸入gpedit.msc回車(chē)，打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無(wú)效”，“鎖定時(shí)間30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。)

8.在安全設(shè)置里 本地策略-安全選項(xiàng)   將 
網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的共享 ; 
網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道 ;  
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 ; 
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 ; 
以上四項(xiàng)清空.

9.在安全設(shè)置里 本地策略-安全選項(xiàng) 通過(guò)終端服務(wù)拒絕登陸 加入 
ASPNET 
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger  
(****表示你的機(jī)器名,具體查找可以點(diǎn)擊 添加用戶或組  選  高級(jí)  選 立即查找 在底下列出的用戶列表里選擇. 注意不要添加進(jìn)user組和administrators組 添加進(jìn)去以后就沒(méi)有辦法遠(yuǎn)程登陸了.)

10.去掉默認(rèn)共享,將以下文件存為reg后綴,然后執(zhí)行導(dǎo)入即可.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareServer"=dword:00000000

"AutoSharewks"=dword:00000000

11. 禁用不需要的和危險(xiǎn)的服務(wù),以下列出服務(wù)都需要禁用.
Alerter  發(fā)送管理警報(bào)和通知

Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新

Distributed File System: 局域網(wǎng)管理共享文件

Distributed linktracking client   用于局域網(wǎng)更新連接信息

Error reporting service   發(fā)送錯(cuò)誤報(bào)告

Remote Procedure Call (RPC) Locator   RpcNs*遠(yuǎn)程過(guò)程調(diào)用 (RPC) 

Remote Registry  遠(yuǎn)程修改注冊(cè)表

Removable storage  管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)

Remote Desktop Help Session Manager  遠(yuǎn)程協(xié)助

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Messenger  消息文件傳輸服務(wù)
Net Logon   域控制器通道管理

NTLMSecuritysupportprovide  telnet服務(wù)和Microsoft Serch用的

PrintSpooler  打印服務(wù)

telnet   telnet服務(wù)

Workstation   泄漏系統(tǒng)用戶名列表

12.更改本地安全策略的審核策略

賬戶管理 成功 失敗

登錄事件 成功 失敗

對(duì)象訪問(wèn) 失敗 

策略更改 成功 失敗

特權(quán)使用 失敗 

系統(tǒng)事件 成功 失敗 

目錄服務(wù)訪問(wèn) 失敗 

賬戶登錄事件 成功 失敗

13.更改有可能會(huì)被提權(quán)利用的文件運(yùn)行權(quán)限,找到以下文件,將其安全設(shè)置里除administrators用戶組全部刪除,重要的是連system也不要留.
net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

c.exe 特殊文件 有可能在你的計(jì)算機(jī)上找不到此文件.

在搜索框里輸入  
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 點(diǎn)擊搜索 然后全選 右鍵 屬性 安全 

以上這點(diǎn)是最最重要的一點(diǎn)了,也是最最方便減少被提權(quán)和被破壞的可能的防御方法了.

14.后備工作,將當(dāng)前服務(wù)器的進(jìn)程抓圖或記錄下來(lái)，將其保存，方便以后對(duì)照查看是否有不明的程序。將當(dāng)前開(kāi)放的端口抓圖或記錄下來(lái)，保存，方便以后對(duì)照查看是否開(kāi)放了不明的端口。當(dāng)然如果你能分辨每一個(gè)進(jìn)程，和端口這一步可以省略。

以上是設(shè)置安全服務(wù)器必要的步驟.下面我們來(lái)說(shuō)說(shuō)數(shù)據(jù)庫(kù)安裝. 

1.在企業(yè)管理器內(nèi)建立一個(gè)空的數(shù)據(jù)庫(kù)名為oblog4,打開(kāi)查詢分析器,將data目錄的oblog4.sql導(dǎo)入查詢分析器.找到oblog4數(shù)據(jù)庫(kù)執(zhí)行.

2.將初始數(shù)據(jù)庫(kù)oblog4.mdb導(dǎo)入我們剛剛建立好的數(shù)據(jù)庫(kù).

好了數(shù)據(jù)庫(kù)裝好了,下面我們來(lái)說(shuō)說(shuō)IIS的安全設(shè)置.

1. 在計(jì)算機(jī)管理中設(shè)定一個(gè)新的用戶組 iis guest 這個(gè)用戶組來(lái)將我們的站點(diǎn)使用的匿名用戶歸類(lèi).方便管理.

2. 新建一個(gè)用戶已 U_開(kāi)頭 以后站點(diǎn)的匿名用戶就都是以U_開(kāi)頭方便識(shí)別和管理 當(dāng)然你可以自己設(shè)定,只要方便識(shí)別即可.然后去掉其所歸屬的user用戶組添加入 iis guest用戶組.比如新建的站點(diǎn)是www.oblog.cn 那么我我們就新建一個(gè) 
U_oblog.cn用戶,然后將它除去user組的隸屬關(guān)系,然后將其加入iis guest組.(這一段我們可以看視頻教程演示.)

3. 在發(fā)布盤(pán)上新建一個(gè)文件夾作為網(wǎng)站目錄.再這里我們新建E:\wwwroot為我們的站點(diǎn)文件夾

4. 將從官方下載的oblog4.rar解壓到此文件夾下.

5. 設(shè)置iis發(fā)布此站點(diǎn).站點(diǎn)的主機(jī)頭設(shè)為您的域名.如果您購(gòu)買(mǎi)了二級(jí)域名組件的話,請(qǐng)?zhí)砑右粋�(gè)空的主機(jī)頭進(jìn)去.

6. 設(shè)置iis匿名用戶訪問(wèn)權(quán)限為剛剛我們新建的U_oblog.cn用戶.

7. 設(shè)置發(fā)布目錄文件夾權(quán)限所有為U_oblog.cn用戶讀取運(yùn)行權(quán)限.

8. 設(shè)置 目錄U(用戶日志生成靜態(tài)目錄),目錄 Uploadfiles(上傳目錄) skin下的skin.mdb 根目錄下的 index.html 等目錄或文件權(quán)限為可以修改.

9. 在iis上設(shè)置Uploadfiles文件夾為不可執(zhí)行腳本.

10. 修改conn.asp和config.asp文件.適應(yīng)我們的設(shè)置.

11. 訪問(wèn)您設(shè)定的網(wǎng)址 安裝完成.