一个安全的ce服务器怎么配置

⑴ 阿里云ecs服务器怎么设置更安全

云服务器的安全安全设置主要有一下几个比较重要的几个方面：

1、首先是服务器的用户管理，很多的攻击和破解，首先是针对于系统的远程登录，毕竟拿到登录用户之后就能进入系统进行操作，所以首先要做的就是禁止root超级用户的远程登录。

2、把ssh的默认端口改为其他不常用的端口。你可能不知道我们的服务器其实每天都在被很多的扫描工具在扫描着，尤其是对于Linux服务器的ssh默认22端口，扫描工具扫描出22端口之后就可能会尝试破解和登录。把ssh的默认端口修改后可以减少被扫描和暴力登录的概率。此外你还可以使用fail2ban等程序防止ssh被暴力破解，其原理是尝试多少次登录失败之后就把那个IP给禁止登录了。

3、SSH 改成使用密钥登录，这样子就不必担心暴力破解了，因为对方不可能有你的密钥，比密码登录安全多了。

4、一定要定期检查和升级你的网站程序以及相关组件，及时修复那些重大的已知漏洞。网上也有很多的爬虫机器人每天在扫描着各式各样的网站，尝试找系统漏洞。即使你前面把服务器用户权限管理、登录防护都做得很好了，然而还是有可能在网站程序上被破解入侵。

5、另外如果云服务器上运行多个网站系统(博客+企业官网)。我推荐使用docker容器的方式隔离运行环境，将每个程序运行在一个单独的容器里，这样即使服务器上其中的一个网站程序被破解入侵了，也会被限制在被入侵的容器内，不会影响到其他的容器，也不会影响到系统本身。

⑵ 公司要购买云服务器，那么应该如何选择配置和安全设置

网络时代回答您：
购买服务器需要考虑的因素：
一、云服务器的环境
如果购买的云服务器在主干节点上，它将比平均节点访问速度快。
二、云服务器的硬件配置
一般来说，购买云服务器的配置将直接影响服务器的响应速度。云服务器的CPU数量，硬盘越大，内存越大，处理器越好，云服务器运行的速度就越快。
三、云服务器的带宽大小
云服务器的带宽将直接影响到网站访问的速度。服务器带宽越大，访问速度越快。此外，当带宽小，访客数量过多时，会出现纸箱现象。

⑶ Windows 服务器安全设置的方法教程

阿江的Windows 2000服务器安全设置教程

前言

其实，在服务器的安全设置方面，我虽然有一些经验，但是还谈不上有研究，所以我写这篇文章的时候心里很不踏实，总害怕说错了会误了别人的事。

本文更侧重于防止ASP漏洞攻击，所以服务器防黑等方面的讲解可能略嫌少了点。

基本的服务器安全设置

安装补丁

安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。

安装杀毒软件

虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。我一直在用诺顿2004，据说2005可以杀木马，不过我没试过。还有人用瑞星，瑞星是确定可以杀木马的。更多的人说卡巴司机好，不过我没用过。

不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

设置端口保护和防火墙、删除默认共享

都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以擞出来看看，晚些时候我或者会复制一些到我的网站上。

权限设置

阿江感觉这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。

权限设置的原理

WINDOWS用户，在WINNT系统中大多数时候把权限按用户（组）来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。

IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户所具有的权限。

权限设置的思路

要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。

我的设置方法

我是先创建一个用户组，以后所有的站点的用户都建在这个组里，然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。

因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和组，不知道怎么设置文件夹权限，不知道IIS站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来，具体的方法其实自己也能摸索出来的，我就是这样。当然，如果我有空，我会写我的具体设置方法，很傲能还会配上图片。

改名或卸载不安全组件

不安全组件不惊人

我的在阿江探针1.9里加入了不安全组件检测功能（其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的），这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。

其实，只要做好了上面的权限设置，那么FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。

最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全了。

改名不安全组件

需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_ajiang

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的`那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码（两个文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

防止列出用户组和系统进程

我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：

【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

防止Serv-U权限提升

其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防范

一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。

作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

⑷ 服务器如何配置 需要怎么做

1、首先应该配置服务器的外部接口。你应该已经知道如何做到这一点，并且可能已经完成了。如果你不这样做，那么现在就这样做。

2、现在我们调出内部接口。根据我们选择的数字，服务器的内部接口是192.168.40.254。所以我们必须配置该接口。

3、设置路线。 我们现在可以与当地网络上的机器通信，但我们无法访问其他内部网络。这需要更多的代码行。

4、任何发往192.168.0.0网络的流量都应该输出eth1，并且它应该交给思科。我们的本地网络的流量仍然可以达到应有的位置，因为路由表按网络掩码的大小排序。如果我们在我们的网络中有其他内部网络，我们将为每个网络提供如上所述的线路。

5、现在我们可以访问我们可能需要的每台机器，我们需要编写允许或拒绝通过VPN服务器访问的防火墙过滤规则。

6、对于家庭用户来说，一切都可以在这里工作。但是对于远程办公室，我们需要做一些路由。首先，我们需要告诉主路由器或思科，远程办公室是VPN服务器的后面。因此，请指定Cisco上的路由，告知它将发往远程办公室的流量发送到VPN服务器。现在，我们必须告诉VPN服务器如何处理发往远程办公室的流量。

7、为此，我们在服务器上运行 route命令。唯一的问题是为了路线命令工作，链接必须是up，如果它关闭，路由将丢失。解决方案是在客户端连接时添加路由，或者更简单地，经常运行路由命令，因为运行它不是必要的问题。

⑸ 如何配置网络服务器安全

服务器的安全设置很重要，所以相对也会很繁琐，需要进行的操作有很多：
系统漏洞扫描与修复；管理员账号、来宾账号、普通账号、影子账号的优化保护系
统不被黑客恶意添加或修改；
对IIS下的ASP、ASPX网站相关的EXE和DLL文件进行保护操作防止网站被恶意上传和特殊权限的运行；
对系统文件夹下
的关键二进制文件进行保护操作，确保存储的DLL文件和以及其他用于支持、配置或操作的文件的安全；对系统文件夹下的文件进行保护操作，防止系统文件被修
改，以确保系统的正常运行；
对用户配置信息的文件夹进行保护操作，以防止用户当前桌面环境、应用程序设置和个人数据信息的泄露；
对数据库进行权限优化以及
安全加固；
停止了类似Remote Registry（远程修改注册表服务） Remote Desktop Help Session
Manager（远程协助服务）
这种不必要的服务，以防被黑客利用，降低安全隐患；
关闭135和445这类用于远程过程调用，局域网中轻松访问各种共享文件夹或共享打印机的端口；
禁止掉
ICP空连接功能，以防止连接者与目标主机建立无需用户名与密码的空连接造成的风险出现；
配置backlog，提高网络并发性及网络的处理能力；
优化设置
SYN-ACK等待时间，检查无效网关用以提高网络性能；
检查TCPIP协议栈IGMP堆栈溢出本地拒绝服务、检查ICMP重定向报文，并进行优化操作，
防止被用于攻击；
禁止路由发现功能，用以防止ICMP路由通告报文带来的增加路由表纪录的攻击；
限制处于TIME_WAIT状态的最长时间，使运行的应用
程序可以更快速地释放和创建连接；
卸载掉wshom.ocx组件和shell32.dll组件，防止默认允许asp运行、exe可执行文件带来的安全隐
患；
禁止掉系统自动启动服务器共享的功能，用以防止服务器上的资源被共享功能泄露出去。
在手动配置的同时也可以安装服务器安全狗进行相应的设置，能够更加的完善服务器的安全设置，并且服务器安全狗也能给服务器提供实时防护，一举两得，新手和老手同样适合使用，免费又安全。建议可以去试试
我的服务器用的是小鸟云的，性能稳定，访问很流畅。

⑹ 买了一台服务器，想请教下高人要怎么配置服务器的软件环境和组件！

1、比如web服务器、邮件服务器、数据库服务器、ftp服务器、虚拟主机管理系统，能够全部安装在一台服务器上吗？还是要多台服务器？
/主要看负载量，如果客户端不多，负载低，都做到一台服务器上是没有问题的。如果负载高，建议分别架设，做成服务器集群。
2、需要安装哪些服务器软件环境和组件？必须用正版吗？
你需要做什么应用，就安装相应的应用软件的服务器端。不一定用正版
3、如果有买了硬件防火墙，软件防火墙还需要吗？
当然有需要。建议还要安装杀毒软件，防病毒。
4、想把服务器拿来分割成虚拟主机出售，需要怎么做，要注意什么？
在web运行容器上设置
5、有5个公网ip，千兆出口带宽，够不够用呢？
够用了
6、asp和php能安装在一台服务器上吗？
可以，用windows
server2003,iis6.0，装上php的插件就可以了
天互数据
为您解答，
希望能帮到你

⑺ 装一个windows2000服务版做服务器/安全方面需要怎么设置，。还有怎么关一些没用的 端口

原理篇
我们将从入侵者入侵的各个环节来作出对应措施
一步步的加固windows系统.
加固windows系统.一共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计

我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.

1.扫描
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽

2.下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段
来阻止特定结尾的文件的执行

3.上传文件
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的.
通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.
如果需要使用.
那就为每个站点建立一个user用户
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件.实时杀除上传上来的恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.

4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下的CLSID键的内容
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除

5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.

6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL

7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的.
所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问.
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马.
所以在端口限制中.由本地访问外部网络的端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口.
阻断所有的反弹木马.

8.擦除脚印
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性.
evtsys工具(https://engineering.pure.e/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.

我们要达到的目的就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录的文件
即使操作了其他目录的文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.

额外措施:
我们可以通过增加一些设备和措施来进一步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出的包进行内容过滤.
设置对HTTP REQUEST内的request string或者form内容进行过滤
将SELECT.DROP.DELETE.INSERT等都过滤掉.
因为这些关键词在客户提交的表单或者内容中是不可能出现的.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.

本文提到的部分软件在提供下载的RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项.

实践篇

下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限
将所有盘符的权限,全部改为只有
administrators组 全部权限
system 全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.

4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的

5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators 全部权限
system 全部权限
单独建立的用户(或者IUSER) 选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.

如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.

6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procere sp_makewebtask
go
删除所有危险的扩展.

7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe root用户 所有权限
net.exe root用户 所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令

8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC

9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.

10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation

11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除

12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改 成功,失败
审核系统事件 成功,失败
审核帐户登陆事件 成功,失败
审核帐户管理 成功,失败

其实，在服务器的安全设置方面，我虽然有一些经验，但是还谈不上有研究，所以我写这篇文章的时候心里很不踏实，总害怕说错了会误了别人的事。

本文更侧重于防止ASP漏洞攻击，所以服务器防黑等方面的讲解可能略嫌少了点。

基本的服务器安全设置

安装补丁

安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows update，安装所有的关键更新。

安装杀毒软件

虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。

不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

设置端口保护和防火墙、删除默认共享

都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以找出来看看，晚些时候我或者会复制一些到我的网站上。

权限设置

阿江感觉这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。

权限设置的原理

WINDOWS用户，在WINNT系统中大多数时候把权限按用户（组）来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。

IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫"IIS匿名用户"），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个"IIS匿名用户"所具有的权限。

权限设置的思路

要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。

我的设置方法

我是先创建一个用户组，以后所有的站点的用户都建在这个组里，然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。

因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和组，不知道怎么设置文件夹权限，不知道IIS站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来，具体的方法其实自己也能摸索出来的，我就是这样。当然，如果我有空，我会写我的具体设置方法，很可能还会配上图片。

改名或卸载不安全组件

不安全组件不惊人

我在阿江探针1.9里加入了不安全组件检测功能（其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的），这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。

其实，只要做好了上面的权限设置，那么FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。

最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，( 以下均以 WIN2000 为例，如果使用2003，则系统文件夹应该是 C:\WINDOWS\ )

Quoted from Unkown:

regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll

然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示"×安全"了。

改名不安全组件

需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项："{13709620-C279-11CE-A49E-444553540000}"和"Shell.application"。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_ajiang

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码（两个文件我合到一起了）：

Quoted from Unkown:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@="Shell.Application_ajiang.1"

你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

防止列出用户组和系统进程

我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：

【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

防止Serv-U权限提升

其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防范

一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。

作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

后记

也许有安全高手或者破坏高手看了我的文章会嘲笑或者窃喜，但我想我的经验里毕竟还是存在很多正确的地方，有千千万万的比我知道的更少的人像我刚开始完全不懂的时候那样在渴求着这样一篇文章，所以我必须写，我不管别人怎么说我，我也不怕后世会有千千万万的人对我唾骂，我一个人承担下来，我也没有娘子需要交代的……

因为这其实只是抛砖引玉的做法，从别人的笑声中，我和我的读者们都可以学到更多有用的东西。

⑻ 自己如何搭建服务器。

1、打开控制面板，选择并进入“程序”，双击“打开或关闭Windows服务”，在弹出的窗口中选择“Internet信息服务”下面所有地选项，点击确定后，开始更新服务。

(8)一个安全的ce服务器怎么配置扩展阅读：

入门级服务器所连的终端比较有限（通常为20台左右），况且在稳定性、可扩展性以及容错冗余性能较差，仅适用于没有大型数据库数据交换、日常工作网络流量不大，无需长期不间断开机的小型企业。

不过要说明的一点就是目前有的比较大型的服务器开发、生产厂商在后面我们要讲的企业级服务器中也划分出几个档次，其中最低档的一个企业级服务器档次就是称之为"入门级企业级服务器"，这里所讲的入门级并不是与我们上面所讲的"入门级"具有相同的含义，不过这种划分的还是比较少。

还有一点就是，这种服务器一般采用Intel的专用服务器CPU芯片，是基于Intel架构（俗称"IA结构"）的，当然这并不是一种硬性的标准规定，而是由于服务器的应用层次需要和价位的限制。

⑼ 服务器的硬件配置构成有哪些

服务器配置组件和PC基本相同 服务器是7*24小时工作对电源硬盘及散热要求较高 所以配服务器 电源要好 机箱要好 硬盘要好就是了，其他根据应用要求进行配置

⑽ 如何在本地安装CE 服务器

在这一步，需要把解压出来的jce文件放