用Mcafee將Windows打造一個相對安全的服務器環境

2019-11-02 16:09:37

字體：大中小

來源：轉載

供稿：網友

本套方案基于Windows2008R2，同時借助了Mcafee企業版殺毒軟件，主要是給大家講解一個思路，希望能給需要的朋友一定的啟發。

首先要說的第一點，就是關于Mcafee，Mcafee可以達到的功能，其實系統都可以做到，只是，對一個小白用戶來說，各種復雜的系統設置實在過于頭疼，而Mcafee使用起來則相對簡單很多了，經過簡單的了解，一般小白都能夠正常使用，不會因為過度的安全設置而給正常操作帶來很大的不便。

接著來說說我整體的方案吧。首先呢，一些簡單必要的設置是必不可少的，常用的包括以下幾點：

1、將ASP等用不到的功能項關掉，這個每個人的服務器需求都可能不同，自己靈活控制就可以了。

2、接著呢，我們給每一個站點單獨分配一個賬戶，這個賬戶對緩存目錄、必要的dll所在目錄、站點目錄具有可讀取權限，對其他地方完全不需要任何權限了

3、處理一些需要寫入權限的目錄。這里以DiscuzX1.5為例，需要寫入權限的目錄包括/data、/uc-server/data、/uc_client/data/cache，設置好寫入權限之后，在IIS7里面找到這些目錄，將這些目錄的腳本執行權限關掉。參考>>>>

4、將遠程桌面的端口改成非默認的3389，同時將系統密碼改得稍微復雜點。在實際過程中我們發現，有些朋友的服務器被黑，其實完全是被社工了而已。

5、使用Mcafee設置一下端口訪問規則，一般服務器不會用來上網，只是對外提供WEB類服務，所以，直接使用Mcafee對所有端口直接進行封堵，禁止入站，其中對MYSQL、Memcache、遠程桌面等進行簡單例外放行。

6、使用Mcafee對常用危險文件進行封堵，這里很簡單，因為服務器不是日常使用的，不需要經常進行軟件安裝，不會經常更改設置，所以，我們直接全局阻止exe/dll/vbs/com/bat/txt等危險格式的寫入（**/*.exe這樣是代表全局exe），具體哪些格式，你可以具體在網上收集一下。以后要安裝程序或者做出其他修改的時候，臨時停止一下Mcafee就可以了

7、使用Mcafee對DiscuzX1.5的目錄進行詳細限制，雖然前面用NTFS權限對目錄進行了限制，但是逃不過系統出現漏洞什么的，所以，我們還需要使用Mcafee對相關目錄進行限制，具體是除了/data、/uc-server/data、/uc_client/data/cache之外的其他目錄全部完全禁止寫入，再細化一下的話，就是進行一些常見攻擊方式的防護，比如說寫入多后綴名文件，我們完全可以使用Mcafee禁止DiscuzX1.5目錄下禁止寫入discuzX1.5/data/**/*.*.*，當然，你還可以自己想到一些其他的細化設置，比如說禁止data/attachment目錄寫入任何非允許附件格式的文件。

8、阻止cmd.exe被讀取，這一點很重要，很多人通過系統組件調用cmd來提權。

9、阻止net.exe被讀取，黑客新建賬號的時候利用的就是它

10、剩下的，我們還需要對常見的附件目錄、數據庫進行定期備份

通過上面幾個簡單的設置，相信我們可以堵住絕大部分的入侵了，那些所謂的小hacker應該是很難拿下你的服務器了。當然，上面的設置并沒有對數據庫進行防護、沒有對惡意刪除附件進行防護，這兩個方面，下一次將與大家分享簡單的防護措施。對上面各條有不清楚的，可以跟帖，我盡量答復大家。上面的各項都是簡單說了一下思路而已，并沒有做詳細嚴謹的闡述，特此說明，請部分站長朋友不要雞蛋里面挑骨頭，謝謝！

上一篇：rashost的windows VPS重裝系統的方法

下一篇：日志中的秘密 Windows登錄類型知多少？