年前一直在趕項(xiàng)目，到最后幾日才拿到新服務(wù)器新添加的硬盤，重做陣列配置生產(chǎn)環(huán)境，還要編寫部署文檔做好安全策略，交給測(cè)試部門與相關(guān)部門做上線前最后測(cè)試，然后將部署文檔交給相關(guān)部門同事，讓他根據(jù)部署文檔再做一次系統(tǒng)，以保證以后其他同事能自己正常部署服務(wù)器，最后終于趕在放假前最后一天匆忙搞定測(cè)試后，簡(jiǎn)單的指導(dǎo)同事按部署文檔將服務(wù)器重新部署了一次就先跑路回家了，剩下的就留給加班的同事負(fù)責(zé)將服務(wù)器托管到機(jī)房了。年后回來(lái)上班后按工作計(jì)劃開始做文檔（主要對(duì)之前編寫的部署文檔進(jìn)行修正和將相關(guān)未添加的安全策略添加進(jìn)文檔中，并在測(cè)試環(huán)境進(jìn)行安全測(cè)試）。等搞定后要對(duì)服務(wù)器做最后一次安全檢查時(shí)，運(yùn)營(yíng)部門已將網(wǎng)站推廣出去了，真是暈死，都不給人活了......只能是加班加點(diǎn)對(duì)已掛到公網(wǎng)的服務(wù)器日志和相關(guān)設(shè)置項(xiàng)做一次體檢。當(dāng)然一檢查發(fā)現(xiàn)掛出去的服務(wù)器有著各種各樣的攻擊記錄，不過(guò)還好都防住了，沒(méi)有什么問(wèn)題，然后就是繼續(xù)添加一些防火墻策略和系統(tǒng)安全設(shè)置。

　　接下來(lái)還是不停的忙，要寫《服務(wù)器安全檢查指引——日常維護(hù)說(shuō)明》。公司新項(xiàng)目要開發(fā)，得對(duì)新項(xiàng)目分析需求，編寫開發(fā)文檔，然后搭建前后端開發(fā)框架，舊系統(tǒng)要增加新功能，又得寫V3、V4不同版本的功能升級(jí)開發(fā)文檔......今天終于忙得七七八八了，回頭一看，2月份就這樣一眨眼就過(guò)去了，看來(lái)程序員老得快還是有道理的，時(shí)間都不是自己的了。

　　前面啰哩啰嗦的講了一大堆費(fèi)話，現(xiàn)在開始轉(zhuǎn)入正題。

　　對(duì)于服務(wù)器的安全，相信很多開發(fā)人員都會(huì)碰到，但絕大多數(shù)人對(duì)安全都沒(méi)有什么概念。記得10年前我剛接手服務(wù)器時(shí)，僅興奮，又彷徨，而真正面對(duì)時(shí)，卻無(wú)從下手，上百度和谷歌上找，也沒(méi)有完整的說(shuō)明介紹，對(duì)安全都是一頭霧水。剛開始配置的服務(wù)器漏洞百出，那時(shí)幾乎吃睡在機(jī)房，也避免不了服務(wù)器給黑的事情發(fā)生，而且大多被黑后還一無(wú)所知，想想都是郁悶~~~當(dāng)然經(jīng)驗(yàn)也是在被黑的過(guò)程中慢慢升級(jí)的，哈哈......

　　下面就將寫好的《服務(wù)器安全部署文檔》分享出來(lái)，希望能對(duì)大家有所幫助。當(dāng)然本人不是黑客，也不知道所有的攻擊手段，所以其中可能存在遺漏的地方，也請(qǐng)大家提出建議。按本文檔的安全設(shè)置思想配置服務(wù)器（不同平臺(tái)、操作系統(tǒng)不同版本的配置都有一定的不同之處，但安全設(shè)置思路是共通的），管理的眾多服務(wù)器（其中包括各種Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、流媒體服務(wù)器、游戲服務(wù)器（Linux系統(tǒng))）從2005年到現(xiàn)在，還沒(méi)發(fā)現(xiàn)給入侵成功的例子，當(dāng)然也有可能沒(méi)有非常利害的黑客來(lái)進(jìn)行攻擊有關(guān)，但從中也可以看到安全方面還是有一些保障的（呵呵...自夸的得多了，都不好意思了）。如果手上沒(méi)有服務(wù)器的朋友，也可以在自己電腦用虛擬機(jī)安裝配置試試（在我公司技術(shù)部，將文檔發(fā)給大家后，不少同事都嘗試按文檔指引操作過(guò)，對(duì)提升服務(wù)器安全部署還是相當(dāng)有幫助的）。當(dāng)然虛擬機(jī)在配置時(shí)，有一些地方與實(shí)際服務(wù)器上操作還是有些細(xì)微的差別的。

1. 前言

其實(shí)要配置一臺(tái)安全的服務(wù)器，簡(jiǎn)單來(lái)說(shuō)就幾句話：

能不開放的端口和可以不運(yùn)行的服務(wù)全部關(guān)閉或禁用；

使用可進(jìn)行端口通訊訪問(wèn)策略配置的防火墻；

嚴(yán)格控制系統(tǒng)中各種程序?qū)Ω鱾€(gè)目錄創(chuàng)建、修改與刪除可執(zhí)行腳本、動(dòng)態(tài)鏈接庫(kù)與程序的權(quán)限；

對(duì)于網(wǎng)站目錄，能寫入的目錄或文件不能有執(zhí)行權(quán)限，有執(zhí)行權(quán)限的目錄不可以賦給寫入權(quán)限。（這條最為關(guān)鍵）

2. 部署環(huán)境

2.1    服務(wù)器環(huán)境信息

服務(wù)器硬件配置：

略

服務(wù)器軟件環(huán)境：

名稱	說(shuō)明
磁盤陣列	RAID 10
操作系統(tǒng)	Windwos2008 R2 Enterprise 64Bit （其實(shí)本人最熟悉的還是win2003服務(wù)器，由于公司購(gòu)買的Dell R820服務(wù)器不再支持低端系統(tǒng)，沒(méi)辦法只能將自己升級(jí)起來(lái)，當(dāng)前如果你的服務(wù)器還是使用win2003的話，查看本文還是有一定幫助的，兩者只是在配置某些地方有不一樣，但整體的安全思想是一致的）
IIS	7.5
SQL	MSSQL2008
.NET Framework	.net 4.0
殺毒軟件與防火墻	McaFee 64位vse880; HostIPS Client700；
郵件發(fā)送軟件	JMail
IP地址	192.168.1.10

3.     磁盤陣列配置

具體配置請(qǐng)查看《RAID配置中文手冊(cè)》，鏈

接地址：
http://support1.ap.dell.com/cn/zh/forum/thread.asp?fid=20&tid=61244
配置前，請(qǐng)?zhí)崆皞浞莺糜脖P里的數(shù)據(jù)，重新做過(guò)陣列后，硬盤中的數(shù)據(jù)將全部丟失。
（筆者使用的是Dell R820服務(wù)器，Dell服務(wù)器的售后服務(wù)確實(shí)不錯(cuò)，服務(wù)器有什么問(wèn)題，直接打幾個(gè)售后電話就可以解決，非常方便）

4. 安裝操作系統(tǒng)

具體安裝操作步驟，請(qǐng)查看《R820服務(wù)器安裝指南》

1)    通過(guò)Lifecycle 安裝 windows 2008：

http://zh.community.dell.com/support_forums/poweredge/f/279/t/2812.aspx
這個(gè)方法是開機(jī)直接按F10，進(jìn)行安裝操作系統(tǒng)，可以快速的安裝。 其它官方支持的系統(tǒng)安裝，只是在選擇操作系統(tǒng)的時(shí)候，選擇對(duì)應(yīng)的就可以進(jìn)行快速的安裝。

2)    手動(dòng)安裝2012 ：
http://zh.community.dell.com/support_forums/poweredge/f/279/t/9621.aspx
這個(gè)方法是直接通過(guò)2012的安裝光盤，從光驅(qū)啟動(dòng)進(jìn)行安裝的操作方法。
在選擇安裝磁盤時(shí)，可將本文檔所在文件夾中的RAID驅(qū)動(dòng)解壓到U盤中，將U盤插入服務(wù)器后手動(dòng)選擇載入驅(qū)動(dòng)進(jìn)行安裝。

其他安裝過(guò)程的操作方法同平時(shí)安裝操作系統(tǒng)一樣，這里就不做詳細(xì)描述了。

5.安裝軟件

5.1安裝磁盤碎片整理程序

由于服務(wù)器的相關(guān)文件、圖片和各種日志文件會(huì)不停的創(chuàng)建與刪除，服務(wù)器運(yùn)行時(shí)間長(zhǎng)了以后，磁盤上會(huì)存在很多文件碎片，這樣就會(huì)降低服務(wù)器的性能，縮短硬盤壽命。
Diskeeper2011_ProPremier是一個(gè)實(shí)時(shí)碎片整理程序，它不干擾系統(tǒng)資源，自動(dòng)化運(yùn)行，可以自動(dòng)防止關(guān)鍵系統(tǒng)文件產(chǎn)生碎片，實(shí)時(shí)監(jiān)控磁盤，一旦產(chǎn)生碎片就進(jìn)行整理，最大程度地保證系統(tǒng)穩(wěn)定性和速度，而它的智能文件訪問(wèn)加速順序技術(shù)I-FAAST2.0最高可將最常用文件的訪問(wèn)速度提高80%(平均10%~20%)。（具體介紹請(qǐng)查看官方相關(guān)文檔）
運(yùn)行安裝：

5.2安裝虛擬光盤

略

5.3安裝IIS

打開服務(wù)器管理器，選擇角色=》點(diǎn)擊“添加角色”

選擇Web服務(wù)器（IIS）

點(diǎn)下一步后，按下圖所選內(nèi)容進(jìn)行勾選

5.4 安裝.NET Framework4

運(yùn)行dotNetFx40_Full_x86_x64.exe安裝.net4框架（這個(gè)必須在IIS安裝完成后才進(jìn)行安裝，這樣才會(huì)在IIS的相關(guān)屬性中自動(dòng)綁定.net4框架）

5.5 安裝SQL2008

安裝SQL2008前，首先要安裝.net3.5框架，打開服務(wù)器管理器，點(diǎn)擊功能=》添加功能=》勾選.NET Framework3.5.1運(yùn)行安裝

繼續(xù)安裝SQL2008，請(qǐng)先操作第6.1修改系統(tǒng)默認(rèn)帳戶名步驟后的管理員用戶再進(jìn)行下面步驟

按6.1操作后，將SQL2008_CHS.iso載入虛擬光盤，運(yùn)行安裝
選擇“安裝”=》 “全新SQL Server 獨(dú)立安裝或向現(xiàn)有安裝添加功能”

這里選擇的帳戶名是SYSTEM，密碼為空

操作到這一步時(shí)請(qǐng)注意：
1）身份驗(yàn)證模式選擇混合模式
2）設(shè)置的SA密碼必須為長(zhǎng)于32位的中英文（大小寫）+數(shù)字，誰(shuí)也記不住的亂碼，設(shè)置好后都不再使用該賬號(hào)與密碼。
3）指定的SQL Server管理員為當(dāng)前用戶（必須是操作第6.1修改系統(tǒng)默認(rèn)帳戶名步驟后的管理員用戶，如果不是的話有可能導(dǎo)致登陸不了SQL）

有時(shí)候運(yùn)行到最后一步時(shí)會(huì)顯示安裝出錯(cuò)，這時(shí)重啟后進(jìn)入控制面板，點(diǎn)擊卸載程序，將剛安裝的SQL2008刪掉后再次重啟電腦，進(jìn)行安裝就可以了，當(dāng)然我試過(guò)一次通過(guò)，也試過(guò)這樣操作三四次后才成功，為什么會(huì)這樣就不知道了。

5.6安裝JMail

略

5.7 安裝殺毒軟件與防火墻

殺毒軟件與防火墻的安裝，最好將 ”6.14.配置McAfee防火墻” 之前的所有步驟全部完成后才進(jìn)行，不然可能會(huì)造成一些配置或操作無(wú)法成功的情況，因?yàn)榉阑饓Π惭b成功后，會(huì)阻止系統(tǒng)軟件的運(yùn)行與操作。如果已經(jīng)安裝好了的話，則先打開殺毒軟件控制臺(tái)，將“訪問(wèn)保護(hù)”先禁用，而防火墻則先不開啟。

具體也不進(jìn)行細(xì)說(shuō)，直接上圖
安裝殺毒軟件：

安裝防火墻

直接運(yùn)行McAfeeHIP_ClientSetup.exe （注：正版的安裝方法與下面是不一樣的，有一些區(qū)別）

運(yùn)行后不會(huì)有任何安裝界面出來(lái)，等待一會(huì)后再運(yùn)行補(bǔ)丁，如下圖

雙擊鼠標(biāo)左鍵就可以了，然后進(jìn)入下圖路徑，找到已經(jīng)安裝好的防火墻程序

運(yùn)行McAfeeFire.exe，就可以打開防火墻軟件了

6. 服務(wù)器網(wǎng)站與安全配置

6.1. 修改系統(tǒng)默認(rèn)帳戶名

修改系統(tǒng)默認(rèn)帳戶名并新建一個(gè)Administrator帳戶作為陷阱帳戶，設(shè)置超長(zhǎng)密碼，并去掉所有用戶組。(就是在用戶組那里設(shè)置為空即可.讓這個(gè)帳號(hào)不屬于任何用戶組)，同樣改名禁用掉Guest用戶。

先對(duì)原Administrator用戶進(jìn)行重命名

修改為你自己喜歡的名稱

然后新建一個(gè)Administrator欺騙帳戶，設(shè)置混合超長(zhǎng)密碼

對(duì)它進(jìn)行編輯

刪除隸屬的組

因這個(gè)是欺騙帳戶，所以充許網(wǎng)絡(luò)策略控制訪問(wèn)

將Guest也進(jìn)行重命名操作

　　設(shè)置完成后必須重啟電腦，不然安裝SQL時(shí)可能會(huì)導(dǎo)致安裝失敗，需要重新安裝的問(wèn)題

6.2. 配置帳戶鎖定策略

在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無(wú)效”，“鎖定時(shí)間30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。

6.3. 服務(wù)器硬盤安全訪問(wèn)安全配置

所有磁盤除CREATOR OWNER、administrators和system的用戶權(quán)限全部刪除（C盤必須保留Users用戶組，理論上來(lái)說(shuō)是要?jiǎng)h除Users用戶組的，但很多朋友如果這里直接刪除，操作不當(dāng)?shù)脑?，網(wǎng)站有可能就訪問(wèn)不了，必須對(duì)系統(tǒng)目錄下的不少目錄重新配置權(quán)限非常麻煩，所以本文建議保留，只要按下面的一些設(shè)置做到位，這里也不會(huì)有多大的安全隱患的）

6.4. 配置網(wǎng)站

將網(wǎng)站代碼與圖片復(fù)制到指定文件夾里

（由于本站的前后端分開，圖片站也是獨(dú)立的，另外做了一個(gè)圖片異步跨服務(wù)器更新程序，所以有下面四個(gè)文件夾）

打開服務(wù)器管理器，進(jìn)入本地用戶和組管理，為上面幾個(gè)網(wǎng)站添加對(duì)應(yīng)的綁定用戶，并分別設(shè)置超長(zhǎng)混合密碼，并記錄下來(lái)，后面?zhèn)溆?/p>

注：后來(lái)經(jīng)同事提醒，原來(lái)win2008服務(wù)器的IIS訪問(wèn)可以使用應(yīng)用程序池名稱做為帳號(hào)來(lái)設(shè)置（大家可以參考：http://www.dbjr.com.cn/article/65315.htm），而不用再創(chuàng)建多個(gè)獨(dú)立的賬號(hào)，不過(guò)文檔都已經(jīng)寫了，就懶得改了，還是使用Win2003的設(shè)置模式來(lái)添加帳戶

然后將創(chuàng)建好的幾個(gè)帳戶所隸屬的默認(rèn)組刪除，添加Guests組

將遠(yuǎn)程控制去掉

將撥入設(shè)置為拒絕

打開IIS，將默認(rèn)站點(diǎn)刪除

對(duì)網(wǎng)站點(diǎn)右鍵，添加網(wǎng)站

創(chuàng)建好對(duì)應(yīng)的站點(diǎn)

 

點(diǎn)擊連接為按鈕，設(shè)置訪問(wèn)帳戶，設(shè)置路徑憑據(jù)為：特定用戶，然后輸入用戶名為剛才創(chuàng)建好的用戶名，與相應(yīng)的密碼

 

設(shè)置身份驗(yàn)證

點(diǎn)擊應(yīng)用程序池，將剛創(chuàng)建好的網(wǎng)站對(duì)應(yīng)程序池.NET Framework版本和托管管道模式

.NET Framework版本設(shè)置為.NET Framework v4.0.30319
托管管道模式設(shè)置為經(jīng)典模式

設(shè)置網(wǎng)站的默認(rèn)文檔為Index.aspx

設(shè)置ISAPI和CGI限制

將Active Server Pages設(shè)置為不允許，將ASP.NET v4.0.30319設(shè)置為充許

進(jìn)入C:\Windows\Microsoft.NET\Framework64\v4.0.30319目錄，設(shè)置Temporary ASP.NET Files文件夾的訪問(wèn)權(quán)限

點(diǎn)右鍵=》屬性

添加紅框框住的用戶，并設(shè)置為可修改

進(jìn)入C:\Windows\Microsoft.NET\Framework64\v2.0.50727目錄，對(duì)Temporary ASP.NET Files文件夾做同樣的操作

然后為當(dāng)前創(chuàng)建的網(wǎng)站設(shè)置相應(yīng)的文件夾訪問(wèn)權(quán)限

添加剛才創(chuàng)建的，并在IIS里綁定的帳戶、Authenticated Users和NETWORK SERVICE三個(gè)帳號(hào)

設(shè)置權(quán)限為默認(rèn)權(quán)限（讀取和執(zhí)行、列出文件夾內(nèi)容、讀取）

啟用父路徑

雙擊ASP打開屬性編輯，將啟用父路徑修改為True

附加數(shù)據(jù)庫(kù)操作
打開SQL2008

附加數(shù)據(jù)庫(kù)

找到數(shù)據(jù)庫(kù)存放位置

刪除數(shù)據(jù)庫(kù)中原綁定用戶

新建登陸名

將數(shù)據(jù)庫(kù)鏈接的用戶名與密碼填寫在SQL新建登陸名對(duì)應(yīng)文本框中，并按下圖進(jìn)行設(shè)置

然后點(diǎn)擊用戶映射，勾選數(shù)據(jù)，并設(shè)置數(shù)據(jù)庫(kù)擁有db_owner角色權(quán)限（注：點(diǎn)擊確定后最好重新檢查新建用戶的屬性，用戶映射項(xiàng)，查看db_owner角色權(quán)限是否賦值成功，這里經(jīng)常會(huì)出現(xiàn)創(chuàng)建后沒(méi)有賦值成功的情況，需要手動(dòng)重新設(shè)置過(guò)后才可以）

打開網(wǎng)站目錄，找到Web.config文件，記事本打開，填上新創(chuàng)建的數(shù)據(jù)庫(kù)用戶名與密碼

運(yùn)行ASP.NET State Service服務(wù)，并將它設(shè)置為自動(dòng)運(yùn)行

 其他幾個(gè)網(wǎng)站也按上面的步驟與配置進(jìn)行設(shè)置后，打開瀏覽器就可以正常該問(wèn)了

為可寫入目錄設(shè)置寫入權(quán)限

將紅框框住的兩個(gè)帳戶設(shè)置可修改權(quán)限

禁用可寫入目錄的執(zhí)行權(quán)限（也可以將所有不用運(yùn)行ASPX腳本的目錄都禁用執(zhí)行權(quán)限，比如css、js等）

6.5.配置跨服務(wù)器同步更新圖片網(wǎng)站

rsync是linux與windows下常用的同步工具，以前的版本都是免費(fèi)的，配置也不復(fù)雜，主要是當(dāng)前確實(shí)沒(méi)有多好的替代工具，我自己也是一直用的這個(gè)工具，剛好看到這篇文字特分享下

具體的可以參考這篇文章 http://www.dbjr.com.cn/article/60002.htm

6.6. 屏蔽xplog70.dll漏洞

進(jìn)入安裝好的SQL目錄搜索 xplog70.dll  然后將找到的文件刪除（這樣操作會(huì)使SQL代理服務(wù)停止運(yùn)行，所以如果使用代理功能的朋友請(qǐng)不要?jiǎng)h除）

6.7.設(shè)置網(wǎng)絡(luò)訪問(wèn)策略

在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-安全選項(xiàng)，將
網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的共享;
網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道;  
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑;
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑;
以上四項(xiàng)清空

6.8. 設(shè)置用戶權(quán)限分配策略

在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)限分配
將“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”策略中的“Everyone”刪除

在“拒絕通過(guò)遠(yuǎn)程桌面服務(wù)登陸”策略中，添加下面用戶組和用戶

另外，在添加新站點(diǎn)時(shí)，也必須將創(chuàng)建的新用戶添加到這里

6.9. 關(guān)閉默認(rèn)共享

打開注冊(cè)表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
新建DOWRD值，名稱為“AutoShareServer”、“AutoShareWKs”，設(shè)置值為“0”

6.10.禁用不需要的和危險(xiǎn)的服務(wù)

打開服務(wù)器管理器，進(jìn)入“服務(wù)”管理，將下列服務(wù)禁用（用黃色標(biāo)識(shí)的服務(wù)在2008系統(tǒng)中可能不存在）

6.11. 修改審核策略

6.12. 系統(tǒng)防火墻安全設(shè)置

開啟系統(tǒng)防火墻（控制面板=》系統(tǒng)和安全=》Windwos防火墻=》打開或關(guān)閉Windows防火墻），如果遠(yuǎn)程操作的話就要小心，不要將自己的連接也給禁用了

關(guān)閉“文件和打印共享”功能

注：如果為了更安全的話，最好是將遠(yuǎn)程桌面關(guān)閉，使用更安全的第三方遠(yuǎn)程登陸程序。或者修改遠(yuǎn)程連接端口，一般來(lái)說(shuō)做了前面的設(shè)置后，就算留了“肉雞”在，問(wèn)題也不是很大。
添加新的防火墻規(guī)則，請(qǐng)參考6.13的相關(guān)操作

6.13.開啟遠(yuǎn)程桌面功能

對(duì)我的電腦點(diǎn)擊左鍵=》屬性，打開系統(tǒng)屬性窗口

修改遠(yuǎn)程桌面鏈接端口
點(diǎn)擊開始菜單，輸入regedit打開注冊(cè)表
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp項(xiàng)的PortNumber值由3389修改為比如：12345這些高端端口

將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp項(xiàng)的PortNumber值由3389修改為12345

修改了遠(yuǎn)程桌面端口后，原防火墻的遠(yuǎn)程桌面規(guī)則就會(huì)失效了，需要重新創(chuàng)建規(guī)則
打開Windows防火墻，點(diǎn)擊“高級(jí)設(shè)置”

設(shè)置后重新電腦就馬上生效了

注：如果是遠(yuǎn)程修改端口的話，需要同時(shí)修改McAfee防火墻，添加新的端口規(guī)則，這樣才不會(huì)出現(xiàn)無(wú)法遠(yuǎn)程登陸的情況

6.14. 配置McAfee訪問(wèn)保護(hù)

打開VirusScan控制臺(tái)

啟用訪問(wèn)保護(hù)

打開訪問(wèn)保護(hù)屬性

添加用戶定義的規(guī)則

要排除的進(jìn)程：

csc.exe, DTSWizard.exe, Explorer.EXE, FrameworkService.exe, HIPSvc.exe, McScript_InUse.exe, SqlWb.exe, Ssms.exe, vbc.exe, w3wp.exe

要排除的進(jìn)程：

FrameworkService.exe, mmc.exe, svchost.exe

開啟防火墻的各項(xiàng)阻止規(guī)則

按下面要求，在對(duì)應(yīng)的規(guī)則里添加排除的進(jìn)程

名稱	說(shuō)明
通用最大保護(hù):禁止將程序注冊(cè)為服務(wù)	svchost.exe, mmc.exe, Explorer.EXE
防病毒標(biāo)準(zhǔn)保護(hù):禁止群發(fā)郵件蠕蟲發(fā)送郵件	w3wp.exe
通用最大保護(hù):禁止在 Windows 文件夾中創(chuàng)建新的可執(zhí)行文件	w3wp.exe, csc.exe, vbc.exe

這些規(guī)則的添加，需要經(jīng)常查看“訪問(wèn)保護(hù)日志”，看那些程序是我們請(qǐng)?jiān)试S執(zhí)行的，但卻給防火墻阻止了，將它們到對(duì)應(yīng)的排除進(jìn)程當(dāng)中（具體操作如果不懂的可以查查百度，或者查看我下一篇文章《服務(wù)器安全檢查指引——日常維護(hù)說(shuō)明》，它屬性服務(wù)器的日常維護(hù)內(nèi)容）

6.15. 配置McAfee防火墻

按下面路徑進(jìn)入防火墻文件夾

運(yùn)行McAfeeFire.exe打開防火墻軟件

點(diǎn)擊解除鎖定，密碼默認(rèn)為abcde12345

解鎖后對(duì)防火墻的相關(guān)選項(xiàng)進(jìn)行設(shè)置

啟用防火墻功能——如果是遠(yuǎn)程桌面操作的話，這一步操作后遠(yuǎn)程桌面會(huì)馬上無(wú)法聯(lián)接，需要在服務(wù)器本地設(shè)置請(qǐng)?jiān)试S才能再聯(lián)接上

啟用后用遠(yuǎn)程桌面聯(lián)接一下，并給予授權(quán)

點(diǎn)擊充許后，再用遠(yuǎn)程桌面聯(lián)接就可以登陸了，其他端口、軟件或網(wǎng)站的授權(quán)訪問(wèn)也是一樣的操作，在給予授權(quán)操作時(shí)，請(qǐng)仔細(xì)留意一下是否是我們請(qǐng)?jiān)试S的程序訪問(wèn)的，不是的話或不明白的一律給予拒絕，拒絕后發(fā)現(xiàn)網(wǎng)站某項(xiàng)功能無(wú)法訪問(wèn)或出問(wèn)題時(shí)，再來(lái)這里進(jìn)行排查和修改規(guī)則，以保證服務(wù)器的安全。

7. 部署注意事項(xiàng)

1、更新前一定要經(jīng)過(guò)自測(cè)和測(cè)試部門人員測(cè)試通過(guò)；
2、修改網(wǎng)站任何配置都必須提前做好備份，方便回檔；
3、修改了服務(wù)器端的任何設(shè)置都必須提交做好拷屏與記錄，方便網(wǎng)站出現(xiàn)任何問(wèn)題時(shí)快速的找出問(wèn)題；
4、對(duì)服務(wù)器端的相關(guān)端口進(jìn)行變動(dòng)時(shí)，必須提前在Windows防火墻和McAfee防火墻提前開通對(duì)應(yīng)的端口，修改好端口重啟服務(wù)器或軟件后，記得關(guān)閉原端口，并且做好測(cè)試工作，防止發(fā)生無(wú)法訪問(wèn)的情況，特別對(duì)于遠(yuǎn)程訪問(wèn)端口的修改必須小心，不然可能會(huì)造成無(wú)法遠(yuǎn)程登陸的情況；
5、當(dāng)發(fā)生某功能無(wú)法運(yùn)行或出錯(cuò)的時(shí)候，請(qǐng)先檢查Windows防火墻、McAfee訪問(wèn)保護(hù)和防火墻，看看是否是給訪問(wèn)保護(hù)規(guī)則阻止了。
6、必須定期檢查用戶管理查看是否有多余的用戶和用戶隸屬組是否改變；檢查應(yīng)用程序日志、安全日志、系統(tǒng)日志、IIS訪問(wèn)日志、網(wǎng)站后臺(tái)管理記錄的日志、網(wǎng)站目錄中記錄的操作日志與充值日志、McAfee訪問(wèn)保日志等，并做好備份工作；查看Windows防火墻、McAfee訪問(wèn)保護(hù)和防火墻是否運(yùn)行中，有沒(méi)有不小心關(guān)閉后忘記開啟了；檢查SQL的相關(guān)日志與記錄增長(zhǎng)量，檢查SQL備份情況，備份空間是否足夠等；（具體可查看我下一篇文章《服務(wù)器安全檢查指引——日常維護(hù)說(shuō)明》）
7、除了做好服務(wù)器安全相關(guān)配置外，代碼的安全也是非常重要的，所有提交的數(shù)據(jù)必須做好過(guò)濾操作，防SQL注入和XSS攻擊，客戶端定期殺毒查木馬，定期修改登陸密碼，以保證系統(tǒng)安全。

8. 結(jié)束語(yǔ)

服務(wù)器的安全無(wú)小事，事事須小心，一出問(wèn)題就是大問(wèn)題，所以真正操作時(shí)需要非常細(xì)心+小心。

作為一個(gè)服務(wù)器維護(hù)人員，除了日常的維護(hù)工作外，有時(shí)間的話還須學(xué)習(xí)掌握各種常用的黑客工具，熟悉各種攻擊手段，多點(diǎn)上上烏云網(wǎng)等這種類型的網(wǎng)站，去看看別人是怎么入侵的，以做到更好的防護(hù)。

由于公司網(wǎng)站的一些特殊性，所以發(fā)布的內(nèi)容是經(jīng)過(guò)刪減過(guò)的，有一些特殊配置和設(shè)置沒(méi)有發(fā)布出來(lái)，呵呵......不過(guò)基本的安全防護(hù)描述的差不多了。里面是否還存在有安全問(wèn)題就不太清楚了，希望有經(jīng)驗(yàn)的朋友多多指教。

如果你覺(jué)本篇文章有幫到你，也請(qǐng)幫忙點(diǎn)推薦。 

 版權(quán)聲明：

　　本文由AllEmpty發(fā)布于博客園，本文版權(quán)歸作者和博客園共有，歡迎轉(zhuǎn)載，但未經(jīng)作者同意必須保留此段聲明，且在文章頁(yè)面明顯位置給出原文鏈接，如有問(wèn)題，可以通過(guò)1654937#qq.com 聯(lián)系我，非常感謝。

　　發(fā)表本編內(nèi)容，只要主為了和大家共同學(xué)習(xí)共同進(jìn)步，有興趣的朋友可以加加Q群：327360708 或Email給我（1654937#qq.com），大家一起探討，由于本人工作很繁忙，如果疑問(wèn)請(qǐng)先留言，回復(fù)不及時(shí)也請(qǐng)諒解。

最新評(píng)論