快捷導(dǎo)航

windows服務(wù)器的安全配置技巧總結(jié)

更新時(shí)間：2011年04月11日 23:45:20 作者：

下面我就結(jié)合自己的經(jīng)驗(yàn)和教訓(xùn)總結(jié)一下服務(wù)器安全設(shè)置的一些技巧和方法。

昨天的服務(wù)器被黑的事件中，我自己也是有一些責(zé)任，因?yàn)槠綍r(shí)懶得對(duì)服務(wù)器安全進(jìn)行設(shè)置，有些設(shè)置其實(shí)幾分鐘就可以設(shè)置完成，可就是懶惰，結(jié)果萬(wàn)一服務(wù)器被惡意破壞，就需要花費(fèi)更多的時(shí)間恢復(fù)數(shù)據(jù)，因此服務(wù)器安全設(shè)置早期打好基礎(chǔ)，危難時(shí)期就會(huì)減少很多無(wú)謂的損失。

　　下面我就結(jié)合自己的經(jīng)驗(yàn)和教訓(xùn)總結(jié)一下服務(wù)器安全設(shè)置的一些技巧和方法。

　　一、操作系統(tǒng)的安裝

　　我這里說(shuō)的操作系統(tǒng)以Windows 2000為例，高版本的Windows也有類似功能。

　　格式化硬盤時(shí)候，必須格式化為NTFS的，絕對(duì)不要使用FAT32類型。

　　C盤為操作系統(tǒng)盤，D盤放常用軟件，E盤網(wǎng)站，格式化完成后立刻設(shè)置磁盤權(quán)限，C盤默認(rèn)，D盤的安全設(shè)置為Administrator和System完全控制，其他用戶刪除，E盤放網(wǎng)站，如果只有一個(gè)網(wǎng)站，就設(shè)置Administrator和System完全控制，Everyone讀取，如果網(wǎng)站上某段代碼必須完成寫操作，這時(shí)再單獨(dú)對(duì)那個(gè)文件所在的文件夾權(quán)限進(jìn)行更改。

　　系統(tǒng)安裝過(guò)程中一定本著最小服務(wù)原則，無(wú)用的服務(wù)一概不選擇，達(dá)到系統(tǒng)的最小安裝，在安裝IIS的過(guò)程中，只安裝最基本必要的功能，那些不必要的危險(xiǎn)服務(wù)千萬(wàn)不要安裝，例如：FrontPage 2000服務(wù)器擴(kuò)展，Internet服務(wù)管理器（HTML），F(xiàn)TP服務(wù)，文檔，索引服務(wù)等等。

操作系統(tǒng)的安裝

　　二、網(wǎng)絡(luò)安全配置

　　網(wǎng)絡(luò)安全最基本的是端口設(shè)置，在“本地連接屬性”，點(diǎn)“Internet協(xié)議（TCP/IP）”，點(diǎn)“高級(jí)”，再點(diǎn)“選項(xiàng)”-“TCP/IP篩選”。僅打開網(wǎng)站服務(wù)所需要使用的端口，配置界面如下圖。

網(wǎng)絡(luò)安全配置

　　進(jìn)行如下設(shè)置后，從你的服務(wù)器將不能使用域名解析，因此上網(wǎng)，但是外部的訪問(wèn)是正常的。這個(gè)設(shè)置主要為了防止一般規(guī)模的DDOS攻擊。

　　三、安全模板設(shè)置

　　運(yùn)行MMC，添加獨(dú)立管理單元“安全配置與分析”，導(dǎo)入模板basicsv.inf或者securedc.inf，然后點(diǎn)“立刻配置計(jì)算機(jī)”，系統(tǒng)就會(huì)自動(dòng)配置“帳戶策略”、“本地策略”、“系統(tǒng)服務(wù)”等信息，一步到位，不過(guò)這些配置可能會(huì)導(dǎo)致某些軟件無(wú)法運(yùn)行或者運(yùn)行出錯(cuò)。

安全模板設(shè)置