如何備份一臺win2003服務(wù)器的安全設(shè)置?

IIS的相關(guān)設(shè)置：

創(chuàng)新互聯(lián)公司的客戶來自各行各業(yè)，為了共同目標(biāo)，我們在工作上密切配合，從創(chuàng)業(yè)型小企業(yè)到企事業(yè)單位，感謝他們對我們的要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。專業(yè)領(lǐng)域包括網(wǎng)站建設(shè)、成都網(wǎng)站建設(shè)、電商網(wǎng)站開發(fā)、微信營銷、系統(tǒng)平臺開發(fā)。

刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對應(yīng)的文件目錄c：inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給戶。對于數(shù)據(jù)庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無關(guān)的dll文件如C：WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁面，將其轉(zhuǎn)向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對于用戶站點(diǎn)所在的目錄，在此說明一下，用戶的FTP根目錄下對應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對腳本安全沒辦法做到細(xì)致入微的地步，更多的只能在方法用戶從腳本提升權(quán)限：

ASP的安全設(shè)置：

設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：

regsvr32/u C：\WINNT\System32\wshom.ocx

del C：\WINNT\System32\wshom.ocx

regsvr32/u C：\WINNT\system32\shell32.dll

del C：\WINNT\system32\shell32.dll

即可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點(diǎn)?？梢葬槍π枰狥SO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對于需要FSO的用戶組給予c：winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。

對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用！

PHP的安全設(shè)置：

默認(rèn)安裝的php需要有以下幾個(gè)注意的問題：

C：\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod

默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的；]

MySQL安全設(shè)置：

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為：

刪除mysql中的所有默認(rèn)用戶，只保留本地root帳戶，為root用戶加上一個(gè)復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv，relo

ad_priv，process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去?？梢詾閙ysql設(shè)置一個(gè)啟動(dòng)用戶，該用戶只對mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限（此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息）。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍（4001—4003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動(dòng)用戶：在系統(tǒng)中新建一個(gè)用戶，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限，否則會在連接的時(shí)候出現(xiàn)530 Not logged in， home directory does not exist.比如在測試的時(shí)候ftp根目錄為d：soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒有這些問題，因?yàn)閟ystem一般都擁有這些權(quán)限的。

數(shù)據(jù)庫服務(wù)器的安全設(shè)置

對于專用的MSSQL數(shù)據(jù)庫服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證，加強(qiáng)數(shù)據(jù)庫日志的記錄，審核數(shù)據(jù)庫登陸事件的“成功和失敗”。刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲過程（會造成企業(yè)管理器中部分功能不能使用），這些過程包括如下：

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程，包括有：

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲過程，如果認(rèn)為還有威脅，當(dāng)然要小心Drop這些過程，可以在測試機(jī)器上測試，保證正常的系統(tǒng)能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

。。。。。。

想看后文 請百度“通通網(wǎng)絡(luò)”

服務(wù)器安全設(shè)置？如何設(shè)置服務(wù)器安全？

用NT（2000）建立的WEB站點(diǎn)在所有的網(wǎng)站中占了很大一部分比例，主要因?yàn)槠湟子眯耘c易管理性，使該公司不必再投入大量的金錢在服務(wù)器的管理上，這一點(diǎn)優(yōu)于nix系統(tǒng)，不必請很專業(yè)的管理員，不必支付一份可以節(jié)省的高薪，呵呵，當(dāng)然nix的管理員也不會失業(yè)，因?yàn)槠溟_放源碼和windows系統(tǒng)無與倫比的速度，使得現(xiàn)在幾乎所有的大型服務(wù)器全部采用nix系統(tǒng)。但對于中小型企業(yè)來說windows已經(jīng)足夠，但NT的安全問題也一直比較突出，使得一些每個(gè)基于NT的網(wǎng)站都有一種如履薄冰的感覺，在此我給出一份安全解決方案，算是為中國的網(wǎng)絡(luò)安全事業(yè)做出一份貢獻(xiàn)吧 （說明：本方案主要是針對建立Web站點(diǎn)的NT、2000服務(wù)器安全，對于局域網(wǎng)內(nèi)的服務(wù)器并不合適。）

安全配置NT/2000 SERVER

即使正確的安裝了WIN2000 SERVER，系統(tǒng)還是有很多的漏洞，還需要進(jìn)一步進(jìn)行細(xì)致地配置。

1．端口：

端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全，一般來說，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性-TCP/IP-高級-選項(xiàng)-TCP/IP篩選中啟用TCP/IP篩選，不過對于win2000的端口過濾來說，有一個(gè)不好的特性：只能規(guī)定開哪些端口，不能規(guī)定關(guān)閉哪些端口，這樣對于需要開大量端口的用戶就比較痛苦。

2．IIS：

IIS是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，所以IIS的配置是我們的重點(diǎn)，現(xiàn)在大家跟著我一起來：首先，把C盤那個(gè)什么Inetpub目錄徹底刪掉，在D盤建一個(gè)Inetpub（要是你不放心用默認(rèn)目錄名也可以改一個(gè)名字，但是自己要記得）在IIS管理器中將主目錄指向D:\Inetpub；其次，那個(gè)IIS安裝時(shí)默認(rèn)的什么scripts等虛擬目錄一概刪除，如果你需要什么權(quán)限的目錄可以自己慢慢建，需要什么權(quán)限開什么。（特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒有絕對的必要千萬不要給）第三，應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指的是ASP,ASA和其他你確實(shí)需要用到的文件類型，例如你用到stml等（使用server side include），實(shí)際上90%的主機(jī)有了上面兩個(gè)映射就夠了，其余的映射幾乎每個(gè)都有一個(gè)凄慘的故事：htw, htr, idq, ida……想知道這些故事？去查以前的漏洞列表吧。在IIS管理器中右擊主機(jī)-屬性-WWW服務(wù) 編輯-主目錄配置-應(yīng)用程序映射，然后就開始一個(gè)個(gè)刪吧（里面沒有全選的，嘿嘿）。接著在剛剛那個(gè)窗口的應(yīng)用程序調(diào)試書簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本（除非你想ASP出錯(cuò)的時(shí)候用戶知道你的程序/網(wǎng)絡(luò)/數(shù)據(jù)庫結(jié)構(gòu)）錯(cuò)誤文本寫什么？隨便你喜歡，自己看著辦。點(diǎn)擊確定退出時(shí)別忘了讓虛擬站點(diǎn)繼承你設(shè)定的屬性。安裝新的Service Pack后，IIS的應(yīng)用程序映射應(yīng)重新設(shè)置。（說明：安裝新的Service Pack后，某些應(yīng)用程序映射又會出現(xiàn)，導(dǎo)致出現(xiàn)安全漏洞。這是管理員較易忽視的一點(diǎn)。）

如何配置網(wǎng)絡(luò)服務(wù)器安全

1、安裝補(bǔ)丁程序任何操作系統(tǒng)都有漏洞，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)地將“補(bǔ)丁”打上。大部分中小企業(yè)服務(wù)器使用的是微軟的

Windows2000/2003操作系統(tǒng)，因?yàn)槭褂玫娜颂貏e多，所以發(fā)現(xiàn)的Bug也比較多，同時(shí)，蓄意攻擊它們的人也很多。微軟公司為了彌補(bǔ)操作系統(tǒng)的

安全漏洞，在其網(wǎng)站上提供了許多補(bǔ)丁，可以到網(wǎng)上下載并安裝相關(guān)升級包。對于Windows2003，至少要升級到SP1，對于Windows2000，

至少要升級至ServicePack2。

2、安裝和設(shè)置防火墻現(xiàn)在有許多基于硬件或軟件的防火墻，如華為、神州數(shù)碼、聯(lián)想、瑞星等廠商的產(chǎn)品。對于企業(yè)內(nèi)

部網(wǎng)來說，安裝防火墻是非常必要的。防火墻對于非法訪問具有很好的預(yù)防作用，但是并不是安裝了防火墻之后就萬事大吉了，而是需要進(jìn)行適當(dāng)?shù)脑O(shè)置才能起作

用。如果對防火墻的設(shè)置不了解，需要請技術(shù)支持人員協(xié)助設(shè)置。

3、安裝網(wǎng)絡(luò)殺毒軟件現(xiàn)在網(wǎng)絡(luò)上的病毒非常猖獗，這就需要在網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)版的殺毒軟

件來控制病毒的傳播，目前，大多數(shù)反病毒廠商(如瑞星、冠群金辰、趨勢、賽門鐵克、熊貓等)都已經(jīng)推出了網(wǎng)絡(luò)版的殺毒軟件。同時(shí)，在網(wǎng)絡(luò)版的殺毒軟件使用

中，必須要定期或及時(shí)升級殺毒軟件。

4、賬號和密碼保護(hù)賬號和密碼保護(hù)可以說是系統(tǒng)的第一道防線，目前網(wǎng)上的大部分對系統(tǒng)的攻擊都是從截獲或猜測密碼開始

的。一旦黑客進(jìn)入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就沒有作用，所以對服務(wù)器系統(tǒng)管理員的賬號和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的措施。

5、監(jiān)測系統(tǒng)日

志通過運(yùn)行系統(tǒng)日志程序，系統(tǒng)會記錄下所有用戶使用系統(tǒng)的情形，包括最近登錄時(shí)間、使用的賬號、進(jìn)行的活動(dòng)等。日志程序會定期生成報(bào)表，通過對報(bào)表進(jìn)行分

析，你可以知道是否有異?，F(xiàn)象。

6、關(guān)閉不需要的服務(wù)和端口服務(wù)器操作系統(tǒng)在安裝的時(shí)候，會啟動(dòng)一些不需要的服務(wù)，這樣會占用系統(tǒng)的資源，而且也增加

了系統(tǒng)的安全隱患。對于假期期間完全不用的服務(wù)器，可以完全關(guān)閉;對于假期期間要使用的服務(wù)器，應(yīng)關(guān)閉不需要的服務(wù)，如Telnet等。另外，還要關(guān)掉沒

有必要開的TCP端口。

7、定期對服務(wù)器進(jìn)行備份為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作，必須對系統(tǒng)進(jìn)行安全備份。除了對全系統(tǒng)進(jìn)行每月一次的

備份外，還應(yīng)對修改過的數(shù)據(jù)進(jìn)行每周一次的備份。

公司要購買云服務(wù)器，那么應(yīng)該如何選擇配置和安全設(shè)置

網(wǎng)絡(luò)時(shí)代回答您：

購買服務(wù)器需要考慮的因素：

一、云服務(wù)器的環(huán)境

如果購買的云服務(wù)器在主干節(jié)點(diǎn)上，它將比平均節(jié)點(diǎn)訪問速度快。

二、云服務(wù)器的硬件配置

一般來說，購買云服務(wù)器的配置將直接影響服務(wù)器的響應(yīng)速度。云服務(wù)器的CPU數(shù)量，硬盤越大，內(nèi)存越大，處理器越好，云服務(wù)器運(yùn)行的速度就越快。

三、云服務(wù)器的帶寬大小

云服務(wù)器的帶寬將直接影響到網(wǎng)站訪問的速度。服務(wù)器帶寬越大，訪問速度越快。此外，當(dāng)帶寬小，訪客數(shù)量過多時(shí)，會出現(xiàn)紙箱現(xiàn)象。