Windows服務器高安全配置
隨著Linux的普及。不論是安全性與PHP執行速度方面都高于Windows。
習慣了Windows的我用不來Linux,難道就不能做安全了嗎?答案是否定的,首先我想說:
我認為目前Linux的家庭用戶比較少,在用戶量方面Linux是敵不過Windows的,因為大部分游戲,應用軟件等都是基于win平臺VB,VC,C#等開發的,而且目前電腦初學者學習的教材方面大部分都是關于Windows的,至少這幾年,十幾年內微軟應該還是win霸主。在Linux挖掘出一個漏洞,能通過利用此漏洞廣為傳播病毒的計算機感染數量很少,所以Linux的漏洞價值不是很高。而且玩Linux的高手我認為大部分是技術型的,不屑于去追求那些蠅頭小利以及炫耀什么,樂于開源以及分享自己最新的研究成果,這個原因也造就了如今Linux的安全性。
Windows只要安全細節做得好,入侵成功的幾率是很低的。好了,廢話不多說了,下面進入正文,談談我對web服務器安全防護的經驗和方案。
這個安全防護方案正是我博客網站www.9170.org采用的防護方案,還有更高的防護方案以后再說(我提供一種思路,比如:一個外網IP開放VPN和NAT端口轉發,然后路由器里面的一臺計算機連接VPN,把80端口轉發到內網,內網又有一個MySQL內網服務器)
方案如下:
系統平臺:
Win2003sp2企業版,打上所有微軟發布的安全更新。
主要硬件:Intel雙核CPU,512M內存
優化設置:
關閉默認共享$admin,$c等,代碼如下:
net share c$ /delete Bbs.Svn8.Com
net share admin$ /delete Svn8.Com
echo .. delshare.reg .......
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo .. delshare.reg .....
regedit /s c:\delshare.reg
echo .. delshare.reg ....
del c:\delshare.reg
新建文本文檔另存為.bat文件運行.
盡量不安裝任何應用軟件(如:迅雷,QQ等)安裝好殺毒軟件以及防火墻。 參考資料:www.svn8.com
安裝winrar,關閉多余系統服務項(如自帶的防火墻,計劃任務,打印機等。注意:請根據服務器實際情況來關閉,如果不懂系統后臺服務不建議去修改。可以參考http://baike.baidu.com/view/685551.htm)
開機自啟的注冊表鍵值除輸入法外一般都可以刪除。
系統安全設置
磁盤都使用NTFS格式,如果是FAT32,請轉換。命令格式如:convert c:/fs:ntfs(命令默認是C盤,如果是別的分區,請修改盤符)對根目錄的權限值保留administrator、system完全權限,
Web根目錄只保留administrator、system、以及用來啟動該web的IIS用戶完全訪問權限。
CMD.EXE,NET.EXE,NET1.EXE,以及回收站目錄只保留administrator和system的完全權限,
刪除安裝IIS后生成的intepub目錄。目錄安全權限設置完畢
PHP安全設置
由于此文說的是安全,跳過PHP安裝步驟。編輯PHP配置文件,用文本編輯器打開php.ini。做如下修改:
safe_mode = On Svn8.Com
disable_functions = passthru, exec, shell_exec, system, fopen, mkdir, rmdir, chmod, unlink, dir, fopen, fread, fclose, fwrite, file_exists, closedir, is_dir, readdir, opendir, fileperms, copy, unlink, delfile, popen, COM Bbs.Svn8.Com
PHP使用network service這個用戶組啟動的,所以在PHP的安裝目錄我們需要給他權限, Svn中文網
至此PHP的安全設置已經完畢。
MySQL安全設置
安裝好MySQL和phpmyadmin后使用root賬戶登錄,修改root為強密碼,最好是數字+大寫+小寫,如果記得住特殊符號也行。然后點權限,添加新用戶新建一個用戶,創建與用戶同名的數據庫并授予所有權限,不給予特殊權限。網站連接MySQL的用戶就使用這個新建的,千萬不要用root!
IIS安全設置
對每個掛在IIS里面的網站設置一下權限,如MDB數據庫路徑在IIS里設置不能讀取,寫入等,無執<
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解