快捷導(dǎo)航

用Mcafee將Windows打造一個(gè)相對(duì)安全的服務(wù)器環(huán)境

更新時(shí)間：2011年11月02日 23:36:49 作者：

安全問(wèn)題永遠(yuǎn)是個(gè)解不開(kāi)的結(jié)，道高一尺魔高一丈，Linux比Windows更安全、Windows漏洞百出等等說(shuō)法并不完全準(zhǔn)確，任何系統(tǒng)都可以打造出一個(gè)相對(duì)安全的環(huán)境，今天就給大家簡(jiǎn)單分享一下最近給幾個(gè)朋友做的服務(wù)器安全方案

本套方案基于Windows2008R2，同時(shí)借助了Mcafee企業(yè)版殺毒軟件，主要是給大家講解一個(gè)思路，希望能給需要的朋友一定的啟發(fā)。

首先要說(shuō)的第一點(diǎn)，就是關(guān)于Mcafee，Mcafee可以達(dá)到的功能，其實(shí)系統(tǒng)都可以做到，只是，對(duì)一個(gè)小白用戶來(lái)說(shuō)，各種復(fù)雜的系統(tǒng)設(shè)置實(shí)在過(guò)于頭疼，而Mcafee使用起來(lái)則相對(duì)簡(jiǎn)單很多了，經(jīng)過(guò)簡(jiǎn)單的了解，一般小白都能夠正常使用，不會(huì)因?yàn)檫^(guò)度的安全設(shè)置而給正常操作帶來(lái)很大的不便。

接著來(lái)說(shuō)說(shuō)我整體的方案吧。首先呢，一些簡(jiǎn)單必要的設(shè)置是必不可少的，常用的包括以下幾點(diǎn)：
1、將ASP等用不到的功能項(xiàng)關(guān)掉，這個(gè)每個(gè)人的服務(wù)器需求都可能不同，自己靈活控制就可以了。
2、接著呢，我們給每一個(gè)站點(diǎn)單獨(dú)分配一個(gè)賬戶，這個(gè)賬戶對(duì)緩存目錄、必要的dll所在目錄、站點(diǎn)目錄具有可讀取權(quán)限，對(duì)其他地方完全不需要任何權(quán)限了
3、處理一些需要寫入權(quán)限的目錄。這里以DiscuzX1.5為例，需要寫入權(quán)限的目錄包括/data、/uc-server/data、/uc_client/data/cache，設(shè)置好寫入權(quán)限之后，在IIS7里面找到這些目錄，將這些目錄的腳本執(zhí)行權(quán)限關(guān)掉。參考>>>>
4、將遠(yuǎn)程桌面的端口改成非默認(rèn)的3389，同時(shí)將系統(tǒng)密碼改得稍微復(fù)雜點(diǎn)。在實(shí)際過(guò)程中我們發(fā)現(xiàn)，有些朋友的服務(wù)器被黑，其實(shí)完全是被社工了而已。
5、使用Mcafee設(shè)置一下端口訪問(wèn)規(guī)則，一般服務(wù)器不會(huì)用來(lái)上網(wǎng)，只是對(duì)外提供WEB類服務(wù)，所以，直接使用Mcafee對(duì)所有端口直接進(jìn)行封堵，禁止入站，其中對(duì)MYSQL、Memcache、遠(yuǎn)程桌面等進(jìn)行簡(jiǎn)單例外放行。
6、使用Mcafee對(duì)常用危險(xiǎn)文件進(jìn)行封堵，這里很簡(jiǎn)單，因?yàn)榉?wù)器不是日常使用的，不需要經(jīng)常進(jìn)行軟件安裝，不會(huì)經(jīng)常更改設(shè)置，所以，我們直接全局阻止exe\dll\vbs\com\bat\txt等危險(xiǎn)格式的寫入（**\*.exe這樣是代表全局exe），具體哪些格式，你可以具體在網(wǎng)上收集一下。以后要安裝程序或者做出其他修改的時(shí)候，臨時(shí)停止一下Mcafee就可以了
7、使用Mcafee對(duì)DiscuzX1.5的目錄進(jìn)行詳細(xì)限制，雖然前面用NTFS權(quán)限對(duì)目錄進(jìn)行了限制，但是逃不過(guò)系統(tǒng)出現(xiàn)漏洞什么的，所以，我們還需要使用Mcafee對(duì)相關(guān)目錄進(jìn)行限制，具體是除了/data、/uc-server/data、/uc_client/data/cache之外的其他目錄全部完全禁止寫入，再細(xì)化一下的話，就是進(jìn)行一些常見(jiàn)攻擊方式的防護(hù)，比如說(shuō)寫入多后綴名文件，我們完全可以使用Mcafee禁止DiscuzX1.5目錄下禁止寫入discuzX1.5\data\**\*.*.*，當(dāng)然，你還可以自己想到一些其他的細(xì)化設(shè)置，比如說(shuō)禁止data\attachment目錄寫入任何非允許附件格式的文件。
8、阻止cmd.exe被讀取，這一點(diǎn)很重要，很多人通過(guò)系統(tǒng)組件調(diào)用cmd來(lái)提權(quán)。
9、阻止net.exe被讀取，黑客新建賬號(hào)的時(shí)候利用的就是它
10、剩下的，我們還需要對(duì)常見(jiàn)的附件目錄、數(shù)據(jù)庫(kù)進(jìn)行定期備份

通過(guò)上面幾個(gè)簡(jiǎn)單的設(shè)置，相信我們可以堵住絕大部分的入侵了，那些所謂的小hacker應(yīng)該是很難拿下你的服務(wù)器了。當(dāng)然，上面的設(shè)置并沒(méi)有對(duì)數(shù)據(jù)庫(kù)進(jìn)行防護(hù)、沒(méi)有對(duì)惡意刪除附件進(jìn)行防護(hù)，這兩個(gè)方面，下一次將與大家分享簡(jiǎn)單的防護(hù)措施。對(duì)上面各條有不清楚的，可以跟帖，我盡量答復(fù)大家。上面的各項(xiàng)都是簡(jiǎn)單說(shuō)了一下思路而已，并沒(méi)有做詳細(xì)嚴(yán)謹(jǐn)?shù)年U述，特此說(shuō)明，請(qǐng)部分站長(zhǎng)朋友不要雞蛋里面挑骨頭，謝謝！