Win2003服務(wù)器高安全配置(冰盾防火墻設(shè)置方法)

2011-05-22 13:28?來(lái)源未知

　　服務(wù)器高安全配置方法和冰盾防火墻設(shè)置方法。Windows只要安全細(xì)節(jié)做得好，入侵成功的幾率是很低的。好了，廢話不多說(shuō)了，下面進(jìn)入正文，談?wù)勎覍?duì)web服務(wù)器安全防護(hù)的經(jīng)驗(yàn)和方案。

　　這個(gè)安全防護(hù)方案正是我博客網(wǎng)站采用的防護(hù)方案，還有更高的防護(hù)方案以后再說(shuō)（我提供一種思路，比如：一個(gè)外網(wǎng)IP開放VPN和NAT端口轉(zhuǎn)發(fā)，然后路由器里面的一臺(tái)計(jì)算機(jī)連接VPN，把80端口轉(zhuǎn)發(fā)到內(nèi)網(wǎng)，內(nèi)網(wǎng)又有一個(gè)MySQL內(nèi)網(wǎng)服務(wù)器）
　　方案如下：系統(tǒng)平臺(tái)：Win2003sp2企業(yè)版，打上所有微軟發(fā)布的安全更新。主要硬件：Intel雙核CPU,512M內(nèi)存

　　優(yōu)化設(shè)置：

　　關(guān)閉默認(rèn)共享$admin,$c等,代碼如下:

net share c$ /delete
net share admin$ /delete
echo .. delshare.reg .......
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo .. delshare.reg .....
regedit /s c:\delshare.reg
echo .. delshare.reg ....
del c:\delshare.reg

　　新建文本文檔另存為.bat文件運(yùn)行.

　　盡量不安裝任何應(yīng)用軟件（如：迅雷，QQ等）安裝好殺毒軟件以及防火墻。

　　安裝winrar，關(guān)閉多余系統(tǒng)服務(wù)項(xiàng)（如自帶的防火墻，計(jì)劃任務(wù)，打印機(jī)等。注意：請(qǐng)根據(jù)服務(wù)器實(shí)際情況來(lái)關(guān)閉，如果不懂系統(tǒng)后臺(tái)服務(wù)不建議去修改。可以參考http://baike.baidu.com/view/685551.htm）

　　開機(jī)自啟的注冊(cè)表鍵值除輸入法外一般都可以刪除。
　　系統(tǒng)安全設(shè)置

　　磁盤都使用NTFS格式，如果是FAT32，請(qǐng)轉(zhuǎn)換。命令格式如：convert c:/fs:ntfs（命令默認(rèn)是C盤，如果是別的分區(qū)，請(qǐng)修改盤符）對(duì)根目錄的權(quán)限值保留administrator、system完全權(quán)限，如圖所示：

　　Web根目錄只保留administrator、system、以及用來(lái)啟動(dòng)該web的IIS用戶完全訪問(wèn)權(quán)限。如圖所示：

　　CMD.EXE,NET.EXE,NET1.EXE,以及回收站目錄只保留administrator和system的完全權(quán)限，如圖所示：

　　刪除安裝IIS后生成的intepub目錄。目錄安全權(quán)限設(shè)置完畢。

　　PHP安全設(shè)置

　　由于此文說(shuō)的是安全，跳過(guò)PHP安裝步驟。編輯PHP配置文件，用文本編輯器打開php.ini。做如下修改：
safe_mode = On
disable_functions = passthru, exec, shell_exec, system, fopen, mkdir, rmdir, chmod, unlink, dir, fopen, fread, fclose, fwrite, file_exists, closedir, is_dir, readdir, opendir, fileperms, copy, unlink, delfile, popen, COM

　　PHP使用network service這個(gè)用戶組啟動(dòng)的，所以在PHP的安裝目錄我們需要給他權(quán)限，如圖所示：

　　至此PHP的安全設(shè)置已經(jīng)完畢。

　　MySQL安全設(shè)置

　　安裝好MySQL和phpmyadmin后使用root賬戶登錄，修改root為強(qiáng)密碼，最好是數(shù)字+大寫+小寫，如果記得住特殊符號(hào)也行。然后點(diǎn)權(quán)限，添加新用戶新建一個(gè)用戶，創(chuàng)建與用戶同名的數(shù)據(jù)庫(kù)并授予所有權(quán)限，不給予特殊權(quán)限。網(wǎng)站連接MySQL的用戶就使用這個(gè)新建的，千萬(wàn)不要用root！如圖所示：

IIS安全設(shè)置

　　對(duì)每個(gè)掛在IIS里面的網(wǎng)站設(shè)置一下權(quán)限，如MDB數(shù)據(jù)庫(kù)路徑在IIS里設(shè)置不能讀取，寫入等，無(wú)執(zhí)行權(quán)限

　　上傳目錄無(wú)執(zhí)行可讀取。

　　關(guān)閉未知的擴(kuò)展等，最好在每個(gè)網(wǎng)站都用一個(gè)獨(dú)立用戶啟動(dòng)，可以命名為IIS_***，對(duì)應(yīng)每一個(gè)網(wǎng)站根目錄的權(quán)限，IIS允許匿名訪問(wèn)，這樣可以防止別的網(wǎng)站跨目錄訪問(wèn)。

　　防護(hù)CC和DDOS攻擊

　　攻擊的原理就不說(shuō)了，搜索引擎搜索一下就知道了，一般的CC攻擊都是WEB動(dòng)態(tài)頁(yè)面發(fā)起的，而且會(huì)在短時(shí)間新建很多TCP端口連接，根據(jù)這個(gè)特征，我們可以安裝一個(gè)DDOS防火墻，設(shè)置規(guī)則，我使用的是冰盾，如圖所示是我設(shè)置的防護(hù)CC攻擊規(guī)則。