當(dāng)然，這里的安全設(shè)置教程對Windows Server 2003同樣有效，只是部分步驟有所不同，僅供參考。

　　其實(shí)，不管是windows服務(wù)器系統(tǒng)，還是linux服務(wù)器系統(tǒng)，只要設(shè)置好安全策略，都能最大程度上地保證服務(wù)器安全，說不上用linux一定比windows安全，關(guān)鍵是看你怎么用，怎么設(shè)置安全策略，怎么避免漏洞被利用;windows服務(wù)器系統(tǒng)要保證安全，關(guān)鍵是要避免這個(gè)系統(tǒng)的漏洞被利用。下面是具體的安全配置基礎(chǔ)教程，僅供參考，按個(gè)人喜歡而設(shè)置：

　　修改管理員賬號(hào)及密碼

　　windows 2008服務(wù)器系統(tǒng)通過遠(yuǎn)程登陸來管理的，默認(rèn)管理員賬號(hào)是administactor;如果對方知道你的賬號(hào)，可能通過暴力解密獲取你的密碼;所以，要及時(shí)修改管理員賬號(hào)。

　　修改流程是：選擇“單擊“開始→運(yùn)行”，在彈出的運(yùn)行對話框中輸入“gpedit.msc”打開組策略編輯器，依次展開“設(shè)置→→本地策略→安全選項(xiàng)”，并將右邊列表框下拉到最底下，雙擊“重命名系統(tǒng)管理員賬戶”即可更名;修改賬號(hào)名稱以后，還要記得修改密碼，建議不低于18位的密碼，必用英文大小寫數(shù)字的組合。

　　修改遠(yuǎn)程登陸的端口號(hào)

　　windows系統(tǒng)默認(rèn)的遠(yuǎn)程登陸端口號(hào)是3389，這個(gè)端口號(hào)很容易被掃描到，建議修改成較大的端口號(hào)，好比23429，注意別和已知的端口號(hào)沖突，如果已開啟防火墻，要關(guān)閉3389端口，同時(shí)打開23429端口號(hào)。

　　修改端口號(hào)的流程是：打開“開始→運(yùn)行”，輸入“regedit”，打開注冊表，進(jìn)入以下路徑：[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]，看見PortNamber值，其默認(rèn)值是3389，修改成所希望的端口即可，例如23429;再打開[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDPTcp]，將PortNumber的值(默認(rèn)是3389)修改成端口23429，以后登陸的時(shí)候輸入計(jì)算機(jī)名IP：23429。

　　設(shè)置防火墻關(guān)閉無用端口

　　windows 2008服務(wù)器系統(tǒng)是自帶防火墻的，防火墻可以設(shè)置端口號(hào)開閉，上面修改過遠(yuǎn)程登陸端口號(hào)，要記得關(guān)閉3389端口，同時(shí)增加新設(shè)置的端口號(hào);同時(shí)建議用端口掃描工具掃描一下，一般服務(wù)器只用開啟三個(gè)端口，一個(gè)是80端口，一個(gè)是你的遠(yuǎn)程登陸端口，一個(gè)是FTP端口。

　　開啟防火墻以后，默認(rèn)是禁止PING的，如果希望服務(wù)器支持PING，那么在防火墻設(shè)置中刪除相應(yīng)的禁止規(guī)則。另外，防火墻不是默認(rèn)禁止所有非網(wǎng)絡(luò)服務(wù)端口的，因此建議大家手動(dòng)禁止必須要用以外的端口。

　　去掉FTP及數(shù)據(jù)庫在線管理

　　因?yàn)閣indows 2008服務(wù)器有圖形化界面，因此可用網(wǎng)盤實(shí)現(xiàn)網(wǎng)站的備份，遠(yuǎn)程登陸后備份網(wǎng)站，上傳到網(wǎng)盤，再從本地電腦從網(wǎng)盤下載網(wǎng)站內(nèi)容，這樣便可以不啟用FTP;多開啟一個(gè)端口便意味著多一分風(fēng)險(xiǎn)，既然windows 2008服務(wù)器系統(tǒng)有圖形化界面，那么便應(yīng)該好好利用這一點(diǎn)。

　　至于數(shù)據(jù)庫在線管理，新手都習(xí)慣用phpmyadmin來管理，Linux系統(tǒng)的主機(jī)通過IP/some space/的方式管理數(shù)據(jù)庫，這樣實(shí)際上是不安全的，相當(dāng)于多一個(gè)安全隱患;對于windows 2008系統(tǒng)的用戶而言，實(shí)際上可以遠(yuǎn)程登陸后管理數(shù)據(jù)庫，好比我的網(wǎng)站www.121h.com，原創(chuàng)登陸以后，用IE瀏覽器訪問127.0.0.7即是我的數(shù)據(jù)庫管理地址，別的用戶無法直接訪問到數(shù)據(jù)庫管理后臺(tái)。

　　設(shè)置好文件權(quán)限及補(bǔ)丁更新

　　如果是用windows系統(tǒng)的服務(wù)器建站，那么一定要設(shè)置好文件權(quán)限，好比禁止腳本運(yùn)行什么的，設(shè)置好以后，那么網(wǎng)站程序本身的安全性會(huì)提高不少;另外，要記得及時(shí)更新程序及系統(tǒng)補(bǔ)丁，同時(shí)增加錯(cuò)誤登陸設(shè)置，用戶通過遠(yuǎn)程來登陸系統(tǒng)，輸錯(cuò)密碼三次，可以禁止30分鐘或者一天什么的。

　　前段時(shí)間，mysql/php接連爆出相應(yīng)的漏洞，大家同樣要記得升級這些程序的版本，好比現(xiàn)在虛擬主機(jī)Php版本是5.2.17，這是比較老的穩(wěn)定版本，存在hash沖突漏洞，可以升級到5.3.*或者5.4.*;至于mysql，同樣可以升級到5.5.*版本，直接去官網(wǎng)下載相應(yīng)的程序升級即可，升級前請確認(rèn)網(wǎng)站程序支持新版本的軟件。

　　修改在IDC官網(wǎng)的賬號(hào)信息

　　不管你是購買的什么系統(tǒng)的服務(wù)器，都應(yīng)該保證自己在IDC官網(wǎng)的賬號(hào)信息安全，這里的賬號(hào)、密碼都應(yīng)該與平時(shí)注冊的賬號(hào)密碼不同，避免自己一個(gè)賬號(hào)失竊，被別人利用到這里。另外，部分IDC還有自己的論壇，雖然去論壇交流可以獲得外鏈，不過注意要保證自己的信息安全，不要透露自己的賬號(hào)習(xí)慣。

　　以上是個(gè)人維護(hù)Windows Server 2008服務(wù)器的經(jīng)驗(yàn)，算是基礎(chǔ)的安全配置教程，能夠防范大部分的漏洞攻擊;當(dāng)然，如果內(nèi)存允許，還可以安裝服務(wù)器殺毒軟件，同時(shí)增加別的防范設(shè)置，不過，對于VPS或者云主機(jī)用戶而言，殺毒軟件不是必須的，上層設(shè)置中有這些，再安裝殺毒軟件可能會(huì)沖突。

最新評論