本套方案基于Windows2008R2,同时借助了Mcafee企业版杀毒软件,主要是给大家讲解一个思路,希望能给需要的朋友一定的启发。
首先要说的第一点,就是关于Mcafee,Mcafee可以达到的功能,其实系统都可以做到,只是,对一个小白用户来说,各种复杂的系统设置实在过于头疼,而Mcafee使用起来则相对简单很多了,经过简单的了解,一般小白都能够正常使用,不会因为过度的安全设置而给正常操作带来很大的不便。
接着来说说我整体的方案吧。首先呢,一些简单必要的设置是必不可少的,常用的包括以下几点:
1、将ASP等用不到的功能项关掉,这个每个人的服务器需求都可能不同,自己灵活控制就可以了。
2、接着呢,我们给每一个站点单独分配一个账户,这个账户对缓存目录、必要的dll所在目录、站点目录具有可读取权限,对其他地方完全不需要任何权限了
3、处理一些需要写入权限的目录。这里以DiscuzX1.5为例,需要写入权限的目录包括/data、/uc-server/data、/uc_client/data/cache,设置好写入权限之后,在IIS7里面找到这些目录,将这些目录的脚本执行权限关掉。 参考>>>>
4、将远程桌面的端口改成非默认的3389,同时将系统密码改得稍微复杂点。在实际过程中我们发现,有些朋友的服务器被黑,其实完全是被社工了而已。
5、使用Mcafee设置一下端口访问规则,一般服务器不会用来上网,只是对外提供WEB类服务,所以,直接使用Mcafee对所有端口直接进行封堵,禁止入站,其中对MYSQL、Memcache、远程桌面等进行简单例外放行。
6、使用Mcafee对常用危险文件进行封堵,这里很简单,因为服务器不是日常使用的,不需要经常进行软件安装,不会经常更改设置,所以,我们直接全局阻止exe\dll\vbs\com\bat\txt等危险格式的写入(**\*.exe这样是代表全局exe),具体哪些格式,你可以具体在网上收集一下。以后要安装程序或者做出其他修改的时候,临时停止一下Mcafee就可以了
7、使用Mcafee对DiscuzX1.5的目录进行详细限制,虽然前面用NTFS权限对目录进行了限制,但是逃不过系统出现漏洞什么的,所以,我们还需要使用Mcafee对相关目录进行限制,具体是除了/data、/uc-server/data、/uc_client/data/cache之外的其他目录全部完全禁止写入,再细化一下的话,就是进行一些常见攻击方式的防护,比如说写入多后缀名文件,我们完全可以使用Mcafee禁止DiscuzX1.5目录下禁止写入discuzX1.5\data\**\*.*.*,当然,你还可以自己想到一些其他的细化设置,比如说禁止data\attachment目录写入任何非允许附件格式的文件。
8、阻止cmd.exe被读取,这一点很重要,很多人通过系统组件调用cmd来提权。
9、阻止net.exe被读取,黑客新建账号的时候利用的就是它
10、剩下的,我们还需要对常见的附件目录、数据库进行定期备份
通过上面几个简单的设置,相信我们可以堵住绝大部分的入侵了,那些所谓的小hacker应该是很难拿下你的服务器了。当然,上面的设置并没有对数据库进行防护、没有对恶意删除附件进行防护,这两个方面,下一次将与大家分享简单的防护措施。对上面各条有不清楚的,可以跟帖,我尽量答复大家。上面的各项都是简单说了一下思路而已,并没有做详细严谨的阐述,特此说明,请部分站长朋友不要鸡蛋里面挑骨头,谢谢!
当前位置: 操作系统/服务器>linux
本页文章导读:
▪用Mcafee将Windows打造一个相对安全的服务器环境
本套方案基于Windows2008R2,同时借助了Mcafee企业版杀毒软件,主要是给大家讲解一个思路,希望能给需要的朋友一定的启发。 首先要说的第一点,就是关于Mcafee,Mcafee可以达到的功能,其实.........
▪远程桌面一连就断的解决方法(经常掉线)
打开注册表 找到[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\RDPDR\ 在左侧的RDPDR上右键-权限,选上完全控制,把以下注册表内容.复制到记事本保存为reg文件.再导入注册表. 说明:此方法我也不知道.........
▪win2003连接限制TCP连接限制
目前是音频直播的服务,在线人数达到一定数量的值,就会发生掉线情况,例如在线100人。这个程序是采用TCP进行连接的!请问,win server 2003在TCP连接方面是否有并发连接数量限制, 另外,.........
[1]用Mcafee将Windows打造一个相对安全的服务器环境
来源: 互联网 发布时间: 2013-12-24
[2]远程桌面一连就断的解决方法(经常掉线)
来源: 互联网 发布时间: 2013-12-24
打开注册表
找到[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\RDPDR\
在左侧的RDPDR上右键-权限,选上完全控制,把以下注册表内容.复制到记事本保存为reg文件.再导入注册表.
说明:此方法我也不知道有没有危害跟能不能用的啊..
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\RDPDR\0000]
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"
"Class"="System"
"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\
00,00,00,00,00
"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\0030"
"Mfg"="(标准系统设备)"
"Service"="rdpdr"
"DeviceDesc"="终端服务器设备重定向器"
"ConfigFlags"=dword:00000000
"Capabilities"=dword:00000000
找到[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\RDPDR\
在左侧的RDPDR上右键-权限,选上完全控制,把以下注册表内容.复制到记事本保存为reg文件.再导入注册表.
说明:此方法我也不知道有没有危害跟能不能用的啊..
代码如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\RDPDR\0000]
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"
"Class"="System"
"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\
00,00,00,00,00
"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\0030"
"Mfg"="(标准系统设备)"
"Service"="rdpdr"
"DeviceDesc"="终端服务器设备重定向器"
"ConfigFlags"=dword:00000000
"Capabilities"=dword:00000000
[3]win2003连接限制TCP连接限制
来源: 互联网 发布时间: 2013-12-24
目前是音频直播的服务,在线人数达到一定数量的值,就会发生掉线情况,例如在线100人。这个程序是采用TCP进行连接的!请问,win server 2003在TCP连接方面是否有并发连接数量限制, 另外,我是想确认一下,请问windows server 2003在TCP连接方面是否有连接数量限制,谢谢!
回答:根据我的研究,Windows Server 对于IIS 的连接,默认没有限制,不过在IIS中可以对总的带宽和连接数量进行限制,设置方法如下:
1. 展开IIS节点。
2. 展开Web Site\Site Name。
3. 右键点击Site Name,选择属性,单击性能。
如果在IIS中没有做限制,那么服务器处理连接请求的能力仅限于程序本身和服务器的性能。
默认没有设置这个限制,但是可以通过更改注册表来设置TCP 连接的数量。注册表位置如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpNumConnections
没有这个键值的话,可以新建,类型如下:
Key: Tcpip\Parameters
Value Type: REG_DWORD - Number
Valid Range: 0 - 0xfffffe
Default: 0xfffffe
罗俊华 微软全球技术支持中心
回答:根据我的研究,Windows Server 对于IIS 的连接,默认没有限制,不过在IIS中可以对总的带宽和连接数量进行限制,设置方法如下:
1. 展开IIS节点。
2. 展开Web Site\Site Name。
3. 右键点击Site Name,选择属性,单击性能。
如果在IIS中没有做限制,那么服务器处理连接请求的能力仅限于程序本身和服务器的性能。
默认没有设置这个限制,但是可以通过更改注册表来设置TCP 连接的数量。注册表位置如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpNumConnections
没有这个键值的话,可以新建,类型如下:
Key: Tcpip\Parameters
Value Type: REG_DWORD - Number
Valid Range: 0 - 0xfffffe
Default: 0xfffffe
罗俊华 微软全球技术支持中心
最新技术文章: