VPS(win2003)安全設置教程

2024-09-01 13:45:41

字體：大中小

來源：轉載

供稿：網友

一、禁止默認共享。

方法一：

建立一個記事本，填上以下代碼。保存為*.bat并加到啟動項目中

復制代碼代碼如下:

net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del

方法二：修改注冊表，（注意修改注冊表前一定要先備份一下注冊表，備份方法。在運行>regedit，選擇文件》導出，取個文件名，導出即可，如果修改注冊表失敗，可以找到導出的注冊表文件雙擊運行即可。）

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters

新建 “DWORD值”值名為 “AutoShareWks” 數據值為“0”
二、遠程桌面連接配置。

開始 > 程序 > 管理工具 > 終端服務配置 > 連接

選擇右側”RDP-tcp”連接右擊屬性 > 權限刪除(除system外)所有用戶組添加單一的允許使用的管理員賬戶,這樣即使服務器被創建了其它的管理員.也無法使用終端服務。
三、serv_u安全設置（注意一定要設置管理密碼，否則會被提權）
①打開serv_u,點擊“本地服務“，在右邊點擊”設置/更改密碼“，如果沒有設置密碼，”舊密碼“為空，填好新密碼點擊”確定“。

②另外，建議修改本地管理端口.只需要在ServUDaemon.ini中的[global]里加上一行LocalSetupPortNo=端口號,即可
四、關閉139、445端口

①控制面板-網絡-本地鏈接-屬性(這里勾選取消"網絡文件和打印機共享")-tcp/ip協議屬性-高級-WINS-Netbios設置-禁用Netbios，即可關閉139端口.

②關閉445端口（注意修改注冊表前一定要先備份一下注冊表，備份方法。在運行>regedit，選擇文件》導出，取個文件名，導出即可，如果修改注冊表失敗，可以找到導出的注冊表文件雙擊運行即可。）

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters

新建 “DWORD值”值名為 “SMBDeviceEnabled” 數據為默認值“0”
五、刪除不安全組件

WScript.Shell 、Shell.application 這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。

方法：在“運行”里面分別輸入以下命令

①regsvr32 /u wshom.ocx 卸載WScript.Shell 組件

②regsvr32 /u shell32.dll 卸載Shell.application 組件。

③regsvr32 /u %windir%/system32/Wshext.dll

如果程序不使用fso對象，建議最好也卸載fso組件，需要的時候再重新注冊。

Regsvr32 /u scrrun.dll
六、設置iis權限。

針對每個網站單獨建立一個用戶。

①首先，右擊“我的電腦”》管理》本地計算機和組》用戶，在右邊。右擊“新用戶”，建立新用戶，并設置好密碼。如圖：
例如：添加test為某一網站訪問用戶。
②設置站點文件夾權限

然后，打開internet信息服務管理器。找到相應站點。右擊，選擇“權限”如圖：
選擇權限后，如下圖：
只保留一個超級管理員(可以自己定義)，而不是管理員組。和系統用戶(system)，還有添加的網站用戶。可以點擊“添加”將剛才在系統創建的用戶添加里面(如test)。然后只給該用戶（test）讀取和運行、瀏覽目錄、讀取的權限。其它權限不用給。另外超級管員也不給寫入權限，系統用戶（system）去掉“完全控制”權限。設置后點確定。

③設置訪問用戶。

右擊站點屬性》目錄安全性》編輯，將剛才添加的用戶(如test)添加到匿名訪問用戶。密碼和原來密碼一致。

設置站點訪問權限。

右擊要設置的站點。屬性》主目錄本地路徑下面只選中讀取記錄訪問索引資源

其它都不要選擇。執行權限選擇性“純腳本”.不要選擇“腳本和可執行文件”。如圖所示：
其它設置和就是iis站點的一般設置，不再多說。
注意：對于 ASP.NET 程序，則需要設置 IIS_WPG 組的帳號權限，上傳目錄的權限設置：用戶的網站上可能會設置一個或幾個目錄允許上傳文件，上傳的方式一般是通過 ASP、PHP、ASP.NET 等程序來完成。這時需要注意，一定要將上傳目錄的執行權限設為“無”，這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序，也不會在用戶瀏覽器里就觸發執行

將(純腳本)改成(無).
七、數據庫安全設置
一定要設置數據庫密碼。

另外。對于sql數據庫建議卸載擴展存儲過程xp_cmdshell

xp_cmdshell是進入操作系統的最佳捷徑，是數據庫留給操作系統的一個大后門。請把它去掉。使用這個SQL語句：

use master

sp_dropextendedproc 'xp_cmdshell'

如果你需要這個存儲過程，請用這個語句也可以恢復過來。

sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'

上一篇：在Fedora 10下配置SVN服務器的步驟

下一篇：DNS服務器管理與配置技巧淺談