一個安全的ce伺服器怎麼配置

⑴ 阿里雲ecs伺服器怎麼設置更安全

雲伺服器的安全安全設置主要有一下幾個比較重要的幾個方面：

1、首先是伺服器的用戶管理，很多的攻擊和破解，首先是針對於系統的遠程登錄，畢竟拿到登錄用戶之後就能進入系統進行操作，所以首先要做的就是禁止root超級用戶的遠程登錄。

2、把ssh的默認埠改為其他不常用的埠。你可能不知道我們的伺服器其實每天都在被很多的掃描工具在掃描著，尤其是對於Linux伺服器的ssh默認22埠，掃描工具掃描出22埠之後就可能會嘗試破解和登錄。把ssh的默認埠修改後可以減少被掃描和暴力登錄的概率。此外你還可以使用fail2ban等程序防止ssh被暴力破解，其原理是嘗試多少次登錄失敗之後就把那個IP給禁止登錄了。

3、SSH 改成使用密鑰登錄，這樣子就不必擔心暴力破解了，因為對方不可能有你的密鑰，比密碼登錄安全多了。

4、一定要定期檢查和升級你的網站程序以及相關組件，及時修復那些重大的已知漏洞。網上也有很多的爬蟲機器人每天在掃描著各式各樣的網站，嘗試找系統漏洞。即使你前面把伺服器用戶許可權管理、登錄防護都做得很好了，然而還是有可能在網站程序上被破解入侵。

5、另外如果雲伺服器上運行多個網站系統(博客+企業官網)。我推薦使用docker容器的方式隔離運行環境，將每個程序運行在一個單獨的容器里，這樣即使伺服器上其中的一個網站程序被破解入侵了，也會被限制在被入侵的容器內，不會影響到其他的容器，也不會影響到系統本身。

⑵ 公司要購買雲伺服器，那麼應該如何選擇配置和安全設置

網路時代回答您：
購買伺服器需要考慮的因素：
一、雲伺服器的環境
如果購買的雲伺服器在主幹節點上，它將比平均節點訪問速度快。
二、雲伺服器的硬體配置
一般來說，購買雲伺服器的配置將直接影響伺服器的響應速度。雲伺服器的CPU數量，硬碟越大，內存越大，處理器越好，雲伺服器運行的速度就越快。
三、雲伺服器的帶寬大小
雲伺服器的帶寬將直接影響到網站訪問的速度。伺服器帶寬越大，訪問速度越快。此外，當帶寬小，訪客數量過多時，會出現紙箱現象。

⑶ Windows 伺服器安全設置的方法教程

阿江的Windows 2000伺服器安全設置教程

前言

其實，在伺服器的安全設置方面，我雖然有一些經驗，但是還談不上有研究，所以我寫這篇文章的時候心裡很不踏實，總害怕說錯了會誤了別人的事。

本文更側重於防止ASP漏洞攻擊，所以伺服器防黑等方面的講解可能略嫌少了點。

基本的伺服器安全設置

安裝補丁

安裝好操作系統之後，最好能在託管之前就完成補丁的安裝，配置好網路後，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然後點擊開始→Windows Update，安裝所有的關鍵更新。

安裝殺毒軟體

雖然殺毒軟體有時候不能解決問題，但是殺毒軟體避免了很多問題。我一直在用諾頓2004，據說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機好，不過我沒用過。

不要指望殺毒軟體殺掉所有的木馬，因為ASP木馬的特徵是可以通過一定手段來避開殺毒軟體的查殺。

設置埠保護和防火牆、刪除默認共享

都是伺服器防黑的措施，即使你的伺服器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區，大概知道屏蔽埠用本地安全策略，不過這方面的東西網上攻略很多，大家可以擻出來看看，晚些時候我或者會復制一些到我的網站上。

許可權設置

阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優秀的許可權設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

許可權設置的原理

WINDOWS用戶，在WINNT系統中大多數時候把許可權按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。

NTFS許可權設置，請記住分區的時候把所有的硬碟都分為NTFS分區，然後我們可以確定每個分區對每個用戶開放的許可權。【文件（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）許可權。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫「IIS匿名用戶），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的許可權，就是這個「IIS匿名用戶所具有的許可權。

許可權設置的思路

要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置許可權的身份。

在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。

設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父許可權，並且要加上超管組和SYSTEM組）。

這樣設置了之後，這個站點里的ASP程序就只有當前這個文件夾的許可權了，從探針上看，所有的硬碟都是紅叉叉。

我的設置方法

我是先創建一個用戶組，以後所有的站點的用戶都建在這個組里，然後設置這個組在各個分區沒病許可權。然後再設置各個IIS用戶在各在的文件夾里的許可權。

因為比較多，所以我很不想寫，其實知道了上面的原理，大多數人都應該懂了，除非不知道怎麼添加系統用戶和組，不知道怎麼設置文件夾許可權，不知道IIS站點屬性在那裡。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，如果我有空，我會寫我的具體設置方法，很傲能還會配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我的在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的伺服器支持很多不安全組件。

其實，只要做好了上面的許可權設置，那麼FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的許可權。那個歡樂時光更不用怕，有殺毒軟體在還怕什麼時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬碟里的EXE等程序，比如它可以運行提升程序來提升SERV-U許可權甚至用SERVU來運行更高許可權的系統程序。

卸載最不安全的組件

最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下伺服器，你會發現這三個都提示「×安全了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，並且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】，然後【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項：「{13709620-C279-11CE-A49E-444553540000}和「Shell.application。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_ajiang

那麼，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然後把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名後的注冊表項之後，別忘記了刪除原有的`那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改後的代碼（兩個文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

防止列出用戶組和系統進程

我在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統用戶和系統進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

防止Serv-U許可權提升

其實，注銷了Shell組件之後，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字元就可以了，ServUAdmin.exe也一樣處理。

另外注意設置Serv-U所在的文件夾的許可權，不要讓IIS匿名用戶有讀取的許可權，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防範

一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了許可權，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然後用木馬上傳提升工具來獲得更高的許可權，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網論壇並且資料庫忘記了改名，人家就可以直接下載你的資料庫了，然後距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個伺服器，因為如果你的伺服器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些許可權設置和防提升之後，黑客就算是進入了一個站點，也無法破壞這個網站以外的東西。

⑷ 伺服器如何配置 需要怎麼做

1、首先應該配置伺服器的外部介面。你應該已經知道如何做到這一點，並且可能已經完成了。如果你不這樣做，那麼現在就這樣做。

2、現在我們調出內部介面。根據我們選擇的數字，伺服器的內部介面是192.168.40.254。所以我們必須配置該介面。

3、設置路線。 我們現在可以與當地網路上的機器通信，但我們無法訪問其他內部網路。這需要更多的代碼行。

4、任何發往192.168.0.0網路的流量都應該輸出eth1，並且它應該交給思科。我們的本地網路的流量仍然可以達到應有的位置，因為路由表按網路掩碼的大小排序。如果我們在我們的網路中有其他內部網路，我們將為每個網路提供如上所述的線路。

5、現在我們可以訪問我們可能需要的每台機器，我們需要編寫允許或拒絕通過VPN伺服器訪問的防火牆過濾規則。

6、對於家庭用戶來說，一切都可以在這里工作。但是對於遠程辦公室，我們需要做一些路由。首先，我們需要告訴主路由器或思科，遠程辦公室是VPN伺服器的後面。因此，請指定Cisco上的路由，告知它將發往遠程辦公室的流量發送到VPN伺服器。現在，我們必須告訴VPN伺服器如何處理發往遠程辦公室的流量。

7、為此，我們在伺服器上運行 route命令。唯一的問題是為了路線命令工作，鏈接必須是up，如果它關閉，路由將丟失。解決方案是在客戶端連接時添加路由，或者更簡單地，經常運行路由命令，因為運行它不是必要的問題。

⑸ 如何配置網路伺服器安全

伺服器的安全設置很重要，所以相對也會很繁瑣，需要進行的操作有很多：
系統漏洞掃描與修復；管理員賬號、來賓賬號、普通賬號、影子賬號的優化保護系
統不被黑客惡意添加或修改；
對IIS下的ASP、ASPX網站相關的EXE和DLL文件進行保護操作防止網站被惡意上傳和特殊許可權的運行；
對系統文件夾下
的關鍵二進制文件進行保護操作，確保存儲的DLL文件和以及其他用於支持、配置或操作的文件的安全；對系統文件夾下的文件進行保護操作，防止系統文件被修
改，以確保系統的正常運行；
對用戶配置信息的文件夾進行保護操作，以防止用戶當前桌面環境、應用程序設置和個人數據信息的泄露；
對資料庫進行許可權優化以及
安全加固；
停止了類似Remote Registry（遠程修改注冊表服務） Remote Desktop Help Session
Manager（遠程協助服務）
這種不必要的服務，以防被黑客利用，降低安全隱患；
關閉135和445這類用於遠程過程調用，區域網中輕松訪問各種共享文件夾或共享列印機的埠；
禁止掉
ICP空連接功能，以防止連接者與目標主機建立無需用戶名與密碼的空連接造成的風險出現；
配置backlog，提高網路並發性及網路的處理能力；
優化設置
SYN-ACK等待時間，檢查無效網關用以提高網路性能；
檢查TCPIP協議棧IGMP堆棧溢出本地拒絕服務、檢查ICMP重定向報文，並進行優化操作，
防止被用於攻擊；
禁止路由發現功能，用以防止ICMP路由通告報文帶來的增加路由表紀錄的攻擊；
限制處於TIME_WAIT狀態的最長時間，使運行的應用
程序可以更快速地釋放和創建連接；
卸載掉wshom.ocx組件和shell32.dll組件，防止默認允許asp運行、exe可執行文件帶來的安全隱
患；
禁止掉系統自動啟動伺服器共享的功能，用以防止伺服器上的資源被共享功能泄露出去。
在手動配置的同時也可以安裝伺服器安全狗進行相應的設置，能夠更加的完善伺服器的安全設置，並且伺服器安全狗也能給伺服器提供實時防護，一舉兩得，新手和老手同樣適合使用，免費又安全。建議可以去試試
我的伺服器用的是小鳥雲的，性能穩定，訪問很流暢。

⑹ 買了一台伺服器，想請教下高人要怎麼配置伺服器的軟體環境和組件！

1、比如web伺服器、郵件伺服器、資料庫伺服器、ftp伺服器、虛擬主機管理系統，能夠全部安裝在一台伺服器上嗎？還是要多台伺服器？
/主要看負載量，如果客戶端不多，負載低，都做到一台伺服器上是沒有問題的。如果負載高，建議分別架設，做成伺服器集群。
2、需要安裝哪些伺服器軟體環境和組件？必須用正版嗎？
你需要做什麼應用，就安裝相應的應用軟體的伺服器端。不一定用正版
3、如果有買了硬體防火牆，軟體防火牆還需要嗎？
當然有需要。建議還要安裝殺毒軟體，防病毒。
4、想把伺服器拿來分割成虛擬主機出售，需要怎麼做，要注意什麼？
在web運行容器上設置
5、有5個公網ip，千兆出口帶寬，夠不夠用呢？
夠用了
6、asp和php能安裝在一台伺服器上嗎？
可以，用windows
server2003,iis6.0，裝上php的插件就可以了
天互數據
為您解答，
希望能幫到你

⑺ 裝一個windows2000服務版做伺服器/安全方面需要怎麼設置，。還有怎麼關一些沒用的 埠

原理篇
我們將從入侵者入侵的各個環節來作出對應措施
一步步的加固windows系統.
加固windows系統.一共歸於幾個方面
1.埠限制
2.設置ACL許可權
3.關閉服務或組件
4.包過濾
5.審計

我們現在開始從入侵者的第一步開始.對應的開始加固已有的windows系統.

1.掃描
這是入侵者在剛開始要做的第一步.比如搜索有漏洞的服務.
對應措施:埠限制
以下所有規則.都需要選擇鏡像,否則會導致無法連接
我們需要作的就是打開服務所需要的埠.而將其他的埠一律屏蔽

2.下載信息
這里主要是通過URL SCAN.來過濾一些非法請求
對應措施:過濾相應包
我們通過安全URL SCAN並且設置urlscan.ini中的DenyExtensions欄位
來阻止特定結尾的文件的執行

3.上傳文件
入侵者通過這步上傳WEBSHELL,提權軟體,運行cmd指令等等.
對應措施:取消相應服務和功能,設置ACL許可權
如果有條件可以不使用FSO的.
通過 regsvr32 /u c:\windows\system32\scrrun.dll來注銷掉相關的DLL.
如果需要使用.
那就為每個站點建立一個user用戶
對每個站點相應的目錄.只給這個用戶讀,寫,執行許可權,給administrators全部許可權
安裝殺毒軟體.實時殺除上傳上來的惡意代碼.
個人推薦MCAFEE或者卡巴斯基
如果使用MCAFEE.對WINDOWS目錄所有添加與修改文件的行為進行阻止.

4.WebShell
入侵者上傳文件後.需要利用WebShell來執行可執行程序.或者利用WebShell進行更加方便的文件操作.
對應措施:取消相應服務和功能
一般WebShell用到以下組件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我們在注冊表中將以上鍵值改名或刪除
同時需要注意按照這些鍵值下的CLSID鍵的內容
從/HKEY_CLASSES_ROOT/CLSID下面對應的鍵值刪除

5.執行SHELL
入侵者獲得shell來執行更多指令
對應措施:設置ACL許可權
windows的命令行控制台位於\WINDOWS\SYSTEM32\CMD.EXE
我們將此文件的ACL修改為
某個特定管理員帳戶(比如administrator)擁有全部許可權.
其他用戶.包括system用戶,administrators組等等.一律無許可權訪問此文件.

6.利用已有用戶或添加用戶
入侵者通過利用修改已有用戶或者添加windows正式用戶.向獲取管理員許可權邁進
對應措施:設置ACL許可權.修改用戶
將除管理員外所有用戶的終端訪問許可權去掉.
限制CMD.EXE的訪問許可權.
限制SQL SERVER內的XP_CMDSHELL

7.登陸圖形終端
入侵者登陸TERMINAL SERVER或者RADMIN等等圖形終端,
獲取許多圖形程序的運行許可權.由於WINDOWS系統下絕大部分應用程序都是GUI的.
所以這步是每個入侵WINDOWS的入侵者都希望獲得的
對應措施:埠限制
入侵者可能利用3389或者其他的木馬之類的獲取對於圖形界面的訪問.
我們在第一步的埠限制中.對所有從內到外的訪問一律屏蔽也就是為了防止反彈木馬.
所以在埠限制中.由本地訪問外部網路的埠越少越好.
如果不是作為MAIL SERVER.可以不用加任何由內向外的埠.
阻斷所有的反彈木馬.

8.擦除腳印
入侵者在獲得了一台機器的完全管理員許可權後
就是擦除腳印來隱藏自身.
對應措施:審計
首先我們要確定在windows日誌中打開足夠的審計項目.
如果審計項目不足.入侵者甚至都無需去刪除windows事件.
其次我們可以用自己的cmd.exe以及net.exe來替換系統自帶的.
將運行的指令保存下來.了解入侵者的行動.
對於windows日誌
我們可以通過將日誌發送到遠程日誌伺服器的方式來保證記錄的完整性.
evtsys工具(https://engineering.pure.e/ECN/Resources/Documents)
提供將windows日誌轉換成syslog格式並且發送到遠程伺服器上的功能.
使用此用具.並且在遠程伺服器上開放syslogd,如果遠程伺服器是windows系統.
推薦使用kiwi syslog deamon.

我們要達到的目的就是
不讓入侵者掃描到主機弱點
即使掃描到了也不能上傳文件
即使上傳文件了不能操作其他目錄的文件
即使操作了其他目錄的文件也不能執行shell
即使執行了shell也不能添加用戶
即使添加用戶了也不能登陸圖形終端
即使登陸了圖形終端.擁有系統控制權.他的所作所為還是會被記錄下來.

額外措施:
我們可以通過增加一些設備和措施來進一步加強系統安全性.
1.代理型防火牆.如ISA2004
代理型防火牆可以對進出的包進行內容過濾.
設置對HTTP REQUEST內的request string或者form內容進行過濾
將SELECT.DROP.DELETE.INSERT等都過濾掉.
因為這些關鍵詞在客戶提交的表單或者內容中是不可能出現的.
過濾了以後可以說從根本杜絕了SQL 注入
2.用SNORT建立IDS
用另一台伺服器建立個SNORT.
對於所有進出伺服器的包都進行分析和記錄
特別是FTP上傳的指令以及HTTP對ASP文件的請求
可以特別關注一下.

本文提到的部分軟體在提供下載的RAR中包含
包括COM命令行執行記錄
URLSCAN 2.5以及配置好的配置文件
IPSEC導出的埠規則
evtsys
一些注冊表加固的注冊表項.

實踐篇

下面我用的例子.將是一台標準的虛擬主機.
系統:windows2003
服務:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:為了演示,綁定了最多的服務.大家可以根據實際情況做篩減

1.WINDOWS本地安全策略 埠限制
A.對於我們的例子來說.需要開通以下埠
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些埠
外->本地 25
外->本地 110
外->本地 3389
然後按照具體情況.打開SQL SERVER和MYSQL的埠
外->本地 1433
外->本地 3306
B.接著是開放從內部往外需要開放的埠
按照實際情況,如果無需郵件服務,則不要打開以下兩條規則
本地->外 53 TCP,UDP
本地->外 25
按照具體情況.如果無需在伺服器上訪問網頁.盡量不要開以下埠
本地->外 80
C.除了明確允許的一律阻止.這個是安全規則的關鍵.
外->本地 所有協議 阻止

2.用戶帳號
a.將administrator改名,例子中改為root
b.取消所有除管理員root外所有用戶屬性中的
遠程式控制制->啟用遠程式控制制 以及
終端服務配置文件->允許登陸到終端伺服器
c.將guest改名為administrator並且修改密碼
d.除了管理員root,IUSER以及IWAM以及ASPNET用戶外.禁用其他一切用戶.包括SQL DEBUG以及TERMINAL USER等等

3.目錄許可權
將所有盤符的許可權,全部改為只有
administrators組 全部許可權
system 全部許可權
將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有許可權的兩個許可權
然後做如下修改
C:\Program Files\Common Files 開放Everyone 默認的讀取及運行 列出文件目錄 讀取三個許可權
C:\WINDOWS\ 開放Everyone 默認的讀取及運行 列出文件目錄 讀取三個許可權
C:\WINDOWS\Temp 開放Everyone 修改,讀取及運行,列出文件目錄,讀取,寫入許可權
現在WebShell就無法在系統目錄內寫入文件了.
當然也可以使用更嚴格的許可權.
在WINDOWS下分別目錄設置許可權.
可是比較復雜.效果也並不明顯.

4.IIS
在IIS 6下.應用程序擴展內的文件類型對應ISAPI的類型已經去掉了IDQ,PRINT等等危險的腳本類型,
在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除.
安裝URLSCAN
在[DenyExtensions]中
一般加入以下內容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
這樣入侵者就無法下載.mdb資料庫.這種方法比外面一些在文件頭加入特殊字元的方法更加徹底.
因為即便文件頭加入特殊字元.還是可以通過編碼構造出來的

5.WEB目錄許可權
作為虛擬主機.會有許多獨立客戶
比較保險的做法就是為每個客戶,建立一個windows用戶
然後在IIS的響應的站點項內
把IIS執行的匿名用戶.綁定成這個用戶
並且把他指向的目錄
許可權變更為
administrators 全部許可權
system 全部許可權
單獨建立的用戶(或者IUSER) 選擇高級->打開除 完全控制,遍歷文件夾/運行程序,取得所有權 3個外的其他許可權.

如果伺服器上站點不多.並且有論壇
我們可以把每個論壇的上傳目錄
去掉此用戶的執行許可權.
只有讀寫許可權
這樣入侵者即便繞過論壇文件類型檢測上傳了webshell
也是無法運行的.

6.MS SQL SERVER2000
使用系統帳戶登陸查詢分析器
運行以下腳本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procere sp_makewebtask
go
刪除所有危險的擴展.

7.修改CMD.EXE以及NET.EXE許可權
將兩個文件的許可權.修改到特定管理員才能訪問,比如本例中.我們如下修改
cmd.exe root用戶 所有許可權
net.exe root用戶 所有權現
這樣就能防止非法訪問.
還可以使用例子中提供的comlog程序
將com.exe改名_com.exe,然後替換com文件.這樣可以記錄所有執行的命令行指令

8.備份
使用ntbackup軟體.備份系統狀態.
使用reg.exe 備份系統關鍵數據
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
來備份系統的ODBC

9.殺毒
這里介紹MCAFEE 8i 中文企業版
因為這個版本對於國內的許多惡意代碼和木馬都能夠及時的更新.
比如已經能夠檢測到海陽頂端2006
而且能夠殺除IMAIL等SMTP軟體使用的隊列中MIME編碼的病毒文件
而很多人喜歡安裝諾頓企業版.而諾頓企業版,對於WEBSHELL.基本都是沒有反應的.
而且無法對於MIME編碼的文件進行殺毒.
在MCAFEE中.
我們還能夠加入規則.阻止在windows目錄建立和修改EXE.DLL文件等
我們在軟體中加入對WEB目錄的殺毒計劃.
每天執行一次
並且打開實時監控.

10.關閉無用的服務
我們一般關閉如下服務
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果伺服器不用作域控,我們也可以禁用
Workstation

11.取消危險組件
如果伺服器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注銷組件
使用regedit
將/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
鍵值改名或刪除
將這些鍵值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值
全部刪除

12.審計
本地安全策略->本地策略->審核策略
打開以下內容
審核策略更改 成功,失敗
審核系統事件 成功,失敗
審核帳戶登陸事件 成功,失敗
審核帳戶管理 成功,失敗

其實，在伺服器的安全設置方面，我雖然有一些經驗，但是還談不上有研究，所以我寫這篇文章的時候心裡很不踏實，總害怕說錯了會誤了別人的事。

本文更側重於防止ASP漏洞攻擊，所以伺服器防黑等方面的講解可能略嫌少了點。

基本的伺服器安全設置

安裝補丁

安裝好操作系統之後，最好能在託管之前就完成補丁的安裝，配置好網路後，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然後點擊開始→Windows update，安裝所有的關鍵更新。

安裝殺毒軟體

雖然殺毒軟體有時候不能解決問題，但是殺毒軟體避免了很多問題。

不要指望殺毒軟體殺掉所有的木馬，因為ASP木馬的特徵是可以通過一定手段來避開殺毒軟體的查殺。

設置埠保護和防火牆、刪除默認共享

都是伺服器防黑的措施，即使你的伺服器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區，大概知道屏蔽埠用本地安全策略，不過這方面的東西網上攻略很多，大家可以找出來看看，晚些時候我或者會復制一些到我的網站上。

許可權設置

阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優秀的許可權設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

許可權設置的原理

WINDOWS用戶，在WINNT系統中大多數時候把許可權按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。

NTFS許可權設置，請記住分區的時候把所有的硬碟都分為NTFS分區，然後我們可以確定每個分區對每個用戶開放的許可權。【文件（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）許可權。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫"IIS匿名用戶"），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的許可權，就是這個"IIS匿名用戶"所具有的許可權。

許可權設置的思路

要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置許可權的身份。

在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。
設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父許可權，並且要加上超管組和SYSTEM組）。

這樣設置了之後，這個站點里的ASP程序就只有當前這個文件夾的許可權了，從探針上看，所有的硬碟都是紅叉叉。

我的設置方法

我是先創建一個用戶組，以後所有的站點的用戶都建在這個組里，然後設置這個組在各個分區沒有許可權或者完全拒絕。然後再設置各個IIS用戶在各在的文件夾里的許可權。

因為比較多，所以我很不想寫，其實知道了上面的原理，大多數人都應該懂了，除非不知道怎麼添加系統用戶和組，不知道怎麼設置文件夾許可權，不知道IIS站點屬性在那裡。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，如果我有空，我會寫我的具體設置方法，很可能還會配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的伺服器支持很多不安全組件。

其實，只要做好了上面的許可權設置，那麼FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的許可權。那個歡樂時光更不用怕，有殺毒軟體在還怕什麼時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬碟里的EXE等程序，比如它可以運行提升程序來提升SERV-U許可權甚至用SERVU來運行更高許可權的系統程序。

卸載最不安全的組件

最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，( 以下均以 WIN2000 為例，如果使用2003，則系統文件夾應該是 C:\WINDOWS\ )

Quoted from Unkown:

regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll

然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下伺服器，你會發現這三個都提示"×安全"了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，並且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】，然後【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項："{13709620-C279-11CE-A49E-444553540000}"和"Shell.application"。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001
Shell.application 改名為 Shell.application_ajiang

那麼，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然後把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名後的注冊表項之後，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改後的代碼（兩個文件我合到一起了）：

Quoted from Unkown:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@="Shell.Application_ajiang.1"

你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

防止列出用戶組和系統進程

我在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統用戶和系統進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

防止Serv-U許可權提升

其實，注銷了Shell組件之後，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字元就可以了，ServUAdmin.exe也一樣處理。

另外注意設置Serv-U所在的文件夾的許可權，不要讓IIS匿名用戶有讀取的許可權，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防範

一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了許可權，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然後用木馬上傳提升工具來獲得更高的許可權，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網論壇並且資料庫忘記了改名，人家就可以直接下載你的資料庫了，然後距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個伺服器，因為如果你的伺服器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些許可權設置和防提升之後，黑客就算是進入了一個站點，也無法破壞這個網站以外的東西。

後記

也許有安全高手或者破壞高手看了我的文章會嘲笑或者竊喜，但我想我的經驗里畢竟還是存在很多正確的地方，有千千萬萬的比我知道的更少的人像我剛開始完全不懂的時候那樣在渴求著這樣一篇文章，所以我必須寫，我不管別人怎麼說我，我也不怕後世會有千千萬萬的人對我唾罵，我一個人承擔下來，我也沒有娘子需要交代的……

因為這其實只是拋磚引玉的做法，從別人的笑聲中，我和我的讀者們都可以學到更多有用的東西。

⑻ 自己如何搭建伺服器。

1、打開控制面板，選擇並進入「程序」，雙擊「打開或關閉Windows服務」，在彈出的窗口中選擇「Internet信息服務」下面所有地選項，點擊確定後，開始更新服務。

(8)一個安全的ce伺服器怎麼配置擴展閱讀：

入門級伺服器所連的終端比較有限（通常為20台左右），況且在穩定性、可擴展性以及容錯冗餘性能較差，僅適用於沒有大型資料庫數據交換、日常工作網路流量不大，無需長期不間斷開機的小型企業。

不過要說明的一點就是目前有的比較大型的伺服器開發、生產廠商在後面我們要講的企業級伺服器中也劃分出幾個檔次，其中最低檔的一個企業級伺服器檔次就是稱之為"入門級企業級伺服器"，這里所講的入門級並不是與我們上面所講的"入門級"具有相同的含義，不過這種劃分的還是比較少。

還有一點就是，這種伺服器一般採用Intel的專用伺服器CPU晶元，是基於Intel架構（俗稱"IA結構"）的，當然這並不是一種硬性的標准規定，而是由於伺服器的應用層次需要和價位的限制。

⑼ 伺服器的硬體配置構成有哪些

伺服器配置組件和PC基本相同 伺服器是7*24小時工作對電源硬碟及散熱要求較高 所以配伺服器 電源要好 機箱要好 硬碟要好就是了，其他根據應用要求進行配置

⑽ 如何在本地安裝CE 伺服器

在這一步，需要把解壓出來的jce文件放