1 禁止默認(rèn)共享。

    方法一：

    建立一個記事本，填上以下代碼。保存為*.bat到啟動項(xiàng)目中

    net share c$/del

    net slare d$ /del

    net share e$ /del

    net share f$/del

    net share ipc$ /del

    net share admin$ /del

    方法二：修改注冊表，（注意修改注冊表前一定要先備份一下注冊表，備份方法。在運(yùn)行> regedit，選擇文件>導(dǎo)出，取個文件名，導(dǎo)出即可，如果修改注冊表失敗，可以找到導(dǎo)出的注冊表文件雙擊運(yùn)行即可。）

    HKEY_LOCAL_MACHINE\SYS-TEM\CurrentControISet\Sen,ices\Lan-manServer\Parameters

    新建“DWORD值”值名為

    “AutoShareServer”數(shù)據(jù)值為“O”

2 遠(yuǎn)程桌面連接配置。

    開始——程序——管理工具——終端服務(wù)配置——連接

    選擇右側(cè)“RDP - tcp”連接右擊屬性一權(quán)限刪除（除system外）所有用戶組添加單一的允許使用的管理員賬戶，這樣即使服務(wù)器被創(chuàng)建了其它的管理員，也無法使用終端服務(wù)。

3 serv_u安全設(shè)置（注意一定要設(shè)置管理密碼，否則會被提權(quán)）

    打開serv_u，點(diǎn)擊“本地服務(wù)“，在右邊點(diǎn)擊”設(shè)置／更改密碼“，如果沒有設(shè)置密碼，”舊密碼為空，填好新密碼點(diǎn)擊”確定”。

4 關(guān)閉139、445端口

    ①控制面板——網(wǎng)絡(luò)——本地鏈接——屬性（這里勾選取消”網(wǎng)絡(luò)文件和打印機(jī)共享”- tcp/ip協(xié)議屬性——高級——WINS——Netbios設(shè)置——禁用Netbios，即可關(guān)閉139端口．

    ②關(guān)閉445端口（注意修改注冊表前一定耍先備份一下注冊表，備份方法。在運(yùn)行> regcdit，選擇文件>導(dǎo)出，取個文件名，導(dǎo)出即可，如果修改注冊表失敗，可以找到導(dǎo)出的注冊表文件雙擊運(yùn)行即可。）

    HKEY_LOCAL_MACHINE\Sys-tem\CurrentControlSet\ServicesetBT\Parameters

    新建“DWORD值”值名為“SMBDeviceEnabled”數(shù)據(jù)為默認(rèn)值“0”

5 刪除不安全組件

    WScript.Shell、Shell.application這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。

    方法：在“運(yùn)行”里面分別輸入以下命令

    ①regwr32 /u wshom.ocx卸載WScript.Shell組件

    ②regsvr32 /u shell32.dn卸載Shell．a(chǎn)pplication紐件。

    ③regsvr32 /u%windir%＼system32\Wshext．dll

6 設(shè)置iis權(quán)限。

    針對每個網(wǎng)站單獨(dú)建立一個用戶。

    ①先右擊“我的電腦”一管理一本地計(jì)算機(jī)和組一用戶，在右邊。右擊“新用戶”，建立新用戶，并設(shè)置好密碼。

    ②沒置站點(diǎn)文件夾的權(quán)限

    然后，打開internet信息服務(wù)管理器。找到相應(yīng)站點(diǎn)。右擊，選擇“權(quán)限”，只保留一個超級管理員adminis-trator（可以自己定義），而不是管理員組administrators。和系統(tǒng)用戶(systern)，還有添加訪問網(wǎng)站的用戶。可以點(diǎn)擊“添加”將剛才在系統(tǒng)創(chuàng)建的用戶(如tesr)添加里面。然后勾選該用戶(test)讀取和運(yùn)行、列出文件夾目錄、讀取、寫入的權(quán)限。超級管員(administrator)”完全控制”，系統(tǒng)用戶（system）“完全控制”權(quán)限。并且選擇用戶(Cest)“高級”，點(diǎn)擊“應(yīng)用”后，等待文件夾權(quán)限傳遞完畢。然后點(diǎn)“確定”。

    ③設(shè)置訪問用戶。

    右擊站點(diǎn)屬性——目錄安全性——編輯，將剛才添加的用戶(如test)添加到匿名訪問用戶。密碼和添加用戶時(shí)密碼一致。

    ④設(shè)置站點(diǎn)訪問權(quán)限。

    右擊要設(shè)置的站點(diǎn)屬性->主日錄，本地路徑下面只逸中、讀取，記錄訪問、索引資源，其它都不要選擇。執(zhí)行權(quán)限選擇“純腳本”，不要選擇“腳本和可執(zhí)行文件”。

    注意：對于ASP.NET程序，則需要設(shè)置IIS_WPG組的帳號權(quán)限、上傳目錄的權(quán)限設(shè)置。這時(shí)需要注意，一定要將上傳目錄的執(zhí)行權(quán)限設(shè)為“無”，將文件夾的寫入權(quán)限選上，這樣即使上傳了ASP、PHP等腳本程序或者exe程序，也不會在用戶瀏覽器里觸發(fā)執(zhí)行，對于純靜態(tài)網(wǎng)站(全部是html)將（純腳本）改成（無）。

    對于某些程序可能要求everyone有完全控制的權(quán)限，可以將網(wǎng)站訪問用戶（如test用戶）對文件夾設(shè)置完全控制的權(quán)限就行了，并不需要添加everyone來設(shè)置完全控制。

7 防止access數(shù)據(jù)庫被下載

    在IIS屬性一>主目錄一>配置一>映射一>應(yīng)用程序擴(kuò)展那里添加。mdb文件的應(yīng)用解析。注意這里的選擇的DLL不要選擇asp.dll．找一個映射里面不使用的dll文件。

8 利用防火墻限制端口。

    對外只打開自己需要的端口，對于vps用戶，需要打開網(wǎng)站服務(wù)端口80．遠(yuǎn)程登錄端口3389．景安公司提供的密碼修改服務(wù)端口6088．如果使用的有serv_u等ftp服務(wù)軟件，需要打開21端口。

    具體打開端口請參考下面：

    (1)右擊網(wǎng)上鄰居選擇“屬性”——本地連接——屬性——高級——設(shè)置——選中“啟用”按鈕．

    (2)點(diǎn)擊“例外”->添加端口。根據(jù)自己需要添加對外的端口。注意在添加的端口前面勾選上

    (3)添加完端口，點(diǎn)擊“確定”。

9 防止列出用戶組和系統(tǒng)進(jìn)程

    如果上傳asp木馬用戶列表可能會被黑客利用，我們應(yīng)當(dāng)隱藏起來，方法是：

    開始——程序——管理工具——服務(wù)，找到Workstation．停止它，禁用它。

10 數(shù)據(jù)庫安全設(shè)置

    一定要設(shè)置數(shù)據(jù)庫密碼。

    另外，對于sql數(shù)據(jù)庫建議卸載擴(kuò)展存儲過程xp_cmdshell。

    xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。請把它去掉。使用這個SQL語句：

    use master

    sp_dropenendedproc“xp_cmdshell”

    如果你需要這個存儲過程，請用這個語句也可以恢復(fù)過來。

    sp_addextendedproc “xp-cmdshell”,xpsq170.dll

11 安裝殺毒軟件

    雖然殺毒軟件有時(shí)侯不能解決問題，但是殺毒軟件避免了很多問題，可以查殺部分木馬程序。建議安裝占用內(nèi)存資源比較小的殺毒軟件，另外，要經(jīng)常升級軟件才有效。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：VPS虛擬專用服務(wù)器安全設(shè)置參考

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112155820.html