1 禁止默認共享。
方法一:
建立一個記事本,填上以下代碼。保存為*.bat到啟動項目中
net share c$/del
net slare d$ /del
net share e$ /del
net share f$/del
net share ipc$ /del
net share admin$ /del
方法二:修改注冊表,(注意修改注冊表前一定要先備份一下注冊表,備份方法。在運行> regedit,選擇文件>導出,取個文件名,導出即可,如果修改注冊表失敗,可以找到導出的注冊表文件雙擊運行即可。)
HKEY_LOCAL_MACHINE\SYS-TEM\CurrentControISet\Sen,ices\Lan-manServer\Parameters
新建“DWORD值”值名為
“AutoShareServer”數(shù)據(jù)值為“O”
2 遠程桌面連接配置。
開始——程序——管理工具——終端服務配置——連接
選擇右側“RDP - tcp”連接右擊屬性一權限刪除(除system外)所有用戶組添加單一的允許使用的管理員賬戶,這樣即使服務器被創(chuàng)建了其它的管理員,也無法使用終端服務。
3 serv_u安全設置(注意一定要設置管理密碼,否則會被提權)
打開serv_u,點擊“本地服務“,在右邊點擊”設置/更改密碼“,如果沒有設置密碼,”舊密碼為空,填好新密碼點擊”確定”。
4 關閉139、445端口
①控制面板——網(wǎng)絡——本地鏈接——屬性(這里勾選取消”網(wǎng)絡文件和打印機共享”- tcp/ip協(xié)議屬性——高級——WINS——Netbios設置——禁用Netbios,即可關閉139端口.
②關閉445端口(注意修改注冊表前一定耍先備份一下注冊表,備份方法。在運行> regcdit,選擇文件>導出,取個文件名,導出即可,如果修改注冊表失敗,可以找到導出的注冊表文件雙擊運行即可。)
HKEY_LOCAL_MACHINE\Sys-tem\CurrentControlSet\ServicesetBT\Parameters
新建“DWORD值”值名為“SMBDeviceEnabled”數(shù)據(jù)為默認值“0”
5 刪除不安全組件
WScript.Shell、Shell.application這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。
方法:在“運行”里面分別輸入以下命令
①regwr32 /u wshom.ocx卸載WScript.Shell組件
②regsvr32 /u shell32.dn卸載Shell.a(chǎn)pplication紐件。
③regsvr32 /u%windir%\system32\Wshext.dll
6 設置iis權限。
針對每個網(wǎng)站單獨建立一個用戶。
①先右擊“我的電腦”一管理一本地計算機和組一用戶,在右邊。右擊“新用戶”,建立新用戶,并設置好密碼。
②沒置站點文件夾的權限
然后,打開internet信息服務管理器。找到相應站點。右擊,選擇“權限”,只保留一個超級管理員adminis-trator(可以自己定義),而不是管理員組administrators。和系統(tǒng)用戶(systern),還有添加訪問網(wǎng)站的用戶。可以點擊“添加”將剛才在系統(tǒng)創(chuàng)建的用戶(如tesr)添加里面。然后勾選該用戶(test)讀取和運行、列出文件夾目錄、讀取、寫入的權限。超級管員(administrator)”完全控制”,系統(tǒng)用戶(system)“完全控制”權限。并且選擇用戶(Cest)“高級”,點擊“應用”后,等待文件夾權限傳遞完畢。然后點“確定”。
③設置訪問用戶。
右擊站點屬性——目錄安全性——編輯,將剛才添加的用戶(如test)添加到匿名訪問用戶。密碼和添加用戶時密碼一致。
④設置站點訪問權限。
右擊要設置的站點屬性->主日錄,本地路徑下面只逸中、讀取,記錄訪問、索引資源,其它都不要選擇。執(zhí)行權限選擇“純腳本”,不要選擇“腳本和可執(zhí)行文件”。
注意:對于ASP.NET程序,則需要設置IIS_WPG組的帳號權限、上傳目錄的權限設置。這時需要注意,一定要將上傳目錄的執(zhí)行權限設為“無”,將文件夾的寫入權限選上,這樣即使上傳了ASP、PHP等腳本程序或者exe程序,也不會在用戶瀏覽器里觸發(fā)執(zhí)行,對于純靜態(tài)網(wǎng)站(全部是html)將(純腳本)改成(無)。
對于某些程序可能要求everyone有完全控制的權限,可以將網(wǎng)站訪問用戶(如test用戶)對文件夾設置完全控制的權限就行了,并不需要添加everyone來設置完全控制。
7 防止access數(shù)據(jù)庫被下載
在IIS屬性一>主目錄一>配置一>映射一>應用程序擴展那里添加。mdb文件的應用解析。注意這里的選擇的DLL不要選擇asp.dll.找一個映射里面不使用的dll文件。
8 利用防火墻限制端口。
對外只打開自己需要的端口,對于vps用戶,需要打開網(wǎng)站服務端口80.遠程登錄端口3389.景安公司提供的密碼修改服務端口6088.如果使用的有serv_u等ftp服務軟件,需要打開21端口。
具體打開端口請參考下面:
(1)右擊網(wǎng)上鄰居選擇“屬性”——本地連接——屬性——高級——設置——選中“啟用”按鈕.
(2)點擊“例外”->添加端口。根據(jù)自己需要添加對外的端口。注意在添加的端口前面勾選上
(3)添加完端口,點擊“確定”。
9 防止列出用戶組和系統(tǒng)進程
如果上傳asp木馬用戶列表可能會被黑客利用,我們應當隱藏起來,方法是:
開始——程序——管理工具——服務,找到Workstation.停止它,禁用它。
10 數(shù)據(jù)庫安全設置
一定要設置數(shù)據(jù)庫密碼。
另外,對于sql數(shù)據(jù)庫建議卸載擴展存儲過程xp_cmdshell。
xp_cmdshell是進入操作系統(tǒng)的最佳捷徑,是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。請把它去掉。使用這個SQL語句:
use master
sp_dropenendedproc“xp_cmdshell”
如果你需要這個存儲過程,請用這個語句也可以恢復過來。
sp_addextendedproc “xp-cmdshell”,xpsq170.dll
11 安裝殺毒軟件
雖然殺毒軟件有時侯不能解決問題,但是殺毒軟件避免了很多問題,可以查殺部分木馬程序。建議安裝占用內(nèi)存資源比較小的殺毒軟件,另外,要經(jīng)常升級軟件才有效。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標題:VPS虛擬專用服務器安全設置參考
本文網(wǎng)址:http://www.guhuozai8.cn/html/support/1112155820.html