總結VPS的安全設置問題,總共11條�����,要仔細看�,防范于未然����!
一、禁止默認共享�����。
方法一:
建立一個記事本,填上以下代碼���。保存為*.bat并加到啟動項目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
方法二:修改注冊表���,(注意修改注冊表前一定要先備份一下注冊表,備份方法�����。在 運行>regedit���,選擇 文件》導出 ��,取個文件名�����,導出即可���,如果修改注冊表失敗,可以找到導出的注冊表文件雙擊運行即可�����。)
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
新建 “DWORD值”值名為 “AutoShareServer” 數據值為“0”
二、遠程桌面連接配置����。
開始 > 程序 > 管理工具 > 終端服務配置 > 連接
選擇右側”RDP-tcp”連接右擊 屬性==> 權限 刪除其它用戶�,只保留system,添加administrator(不是administrators),設置這兩個用戶(system和administrator)是”完全控制”權限,這樣即使服務器被創建了其它的管理員.也無法使用終端服務。
三�����、serv_u安全設置(注意一定要設置管理密碼����,否則會被提權)
打開serv_u,點擊“本地服務“,在右邊點擊”設置/更改密碼“��,如果沒有設置密碼���,”舊密碼為空���,填好新密碼點擊”確定“。
四��、關閉139、445端口
①控制面板網絡本地鏈接屬性(這里勾選取消"網絡文件和打印機共享")tcp/ip協議屬性高級WINSNetbios設置==>禁用Netbios����,即可關閉139端口.
②關閉445端口(注意修改注冊表前一定要先備份一下注冊表,備份方法�����。在 運行>regedit��,選擇 文件》導出 ��,取個文件名���,導出即可��,如果修改注冊表失敗�����,可以找到導出的注冊表文件雙擊運行即可��。)
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters
新建 “DWORD值”值名為 “SMBDeviceEnabled” 數據為默認值“0”
五����、刪除不安全組件
WScript.Shell 、Shell.application 這兩個組件一般一些ASP木馬或一些惡意程序都會使用到����。
方法:在“運行”里面分別輸入以下命令
①regsvr32 /u wshom.ocx 卸載WScript.Shell 組件
②regsvr32 /u shell32.dll 卸載Shell.application 組件。
③regsvr32 /u %windir%/system32/Wshext.dll
六���、設置iis權限。
針對每個網站單獨建立一個用戶���。(下面僅是其中一個站點的權限設置,如果vps上有多個站點��,其它站點依據本站點分別設置不同的internet來賓用戶�����。)
①首先��,右擊“我的電腦”》管理》本地計算機和組》用戶����,在右邊�����。右擊“新用戶”,建立新用戶���,并設置好密碼��。如圖:
例如:本測試添加test為某一網站訪問用戶��。
②設置站點文件夾的權限
然后�����,打開internet信息服務管理器����。找到相應站點����。右擊,選擇“權限”如圖:
選擇權限后��,如下圖:
刪除其它用戶��,只保留一個超級管理員administrator(可以自己定義�,注意不是管理員組administrators)。和系統用戶(system),還有添加訪問網站的inernet來賓用戶�����?����?梢渣c擊“添加”將剛才在系統創建的用戶(如test)添加里面����。然后勾選該用戶(test)讀取和運行、列出文件夾目錄�����、讀取�����、寫入的權限���。超級管員(administrator)”完全控制”,系統用戶(system) “完全控制”權限����。并且選擇用戶(test)“高級”出現如下圖
選中“用在些顯示的可以應用到子對象的項目替代所有子對象的權限項目”點擊“應用”后���,等待文件夾權限傳遞完畢。
然后點“確定”���。
③設置訪問用戶��。
右擊 站點 屬性==》目錄安全性==》編輯����, 將剛才添加的用戶(如test)添加到匿名訪問用戶�����。密碼和添加用戶時密碼一致��。
④設置站點訪問權限�。
右擊要設置的站點。屬性==》主目錄 本地路徑下面只選中 讀取 記錄訪問 索引資源
其它都不要選擇����。執行權限 選擇 “純腳本”。不要選擇“腳本和可執行文件”�。如圖所示:
其它設置和就是iis站點的一般設置,不再多說。
注意:對于 ASP.NET 程序�,則需要設置 IIS_WPG 組的帳號權限、上傳目錄的權限設置�。這時需要注意,一定要將上傳目錄的執行權限設為“無”���,將文件夾的寫入權限選上,這樣即使上傳了 ASP���、PHP 等腳本程序或者 exe 程序,也不會在用戶瀏覽器里觸發執行,
對于純靜態網站(全部是html)將(純腳本)改成(無)��。
對于某些程序可能要求everyone有完全控制的權限���,可以將網站訪問用戶(如test用戶)對文件夾設置完全控制的權限就行了��,并不需要添加everyone來設置完全控制。
七�、數據庫安全設置
一定要設置數據庫密碼。
另外�。對于sql數據庫建議卸載擴展存儲過程xp_cmdshell
xp_cmdshell是進入操作系統的最佳捷徑,是數據庫留給操作系統的一個大后門�����。請把它去掉。使用這個SQL語句:
use master
exec sp_dropextendedproc 'xp_cmdshell'
如果你需要這個存儲過程���,請用這個語句也可以恢復過來�����。
第一步執行:
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
第二步執行:
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
八�����、防止access數據庫被下載
在IIS屬性 ——主目錄——配置——映射——應用程序擴展那里添加���。mdb文件的應用解析。注意這里的選擇的D LL不要選擇asp.dll,找一個映射里面不使用的dll文件�����。
九�����、利用防火墻限制端口�。
對外只打開自己需要的端口,對于vps用戶�����,需要打開網站服務端口80,遠程登錄端口3389���,如果使用的有serv_u等ftp服務軟件��,需要打開21端口�。
具體打開端口請參考下面:
1����、 右擊網上鄰居選擇“屬性”,===>本地連接==屬性==高級設置
選中”啟用”按鈕.
2、 點擊“例外”==》添加端口�。根據自己需要添加對外的端口。注意在添加的端口前面勾選上
3���、 添加完端口,點擊”確定”確定
十�����、防止列出用戶組和系統進程
如果上傳asp木馬用戶列表可能會被黑客利用,我們應當隱藏起來���,方法是:
【開始→程序→管理工具→服務】�����,找到Workstation���,停止它��,禁用它���。
十一、安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題�����,但是殺毒軟件避免了很多問題�,可以查殺部分木馬程序。建議安裝占用內存資源比較小的殺毒軟件��,另外����,要經常升級軟件才有效。
