一、基本的服務(wù)器系統(tǒng)安全配置

（1） 安裝補(bǔ)丁

? ? ? ? 安裝操作系統(tǒng)之后飘痛，最好在托管之前完成補(bǔ)丁安裝珊膜。然后點(diǎn)擊開始→Windows更新來安裝所有的密鑰更新。

（2）安裝殺毒軟件

? ? ? ? 雖然殺毒軟件有時(shí)不能解決問題宣脉，但殺毒軟件可以避免很多問題车柠。前段時(shí)間我對木馬病毒軟件有了一定的了解，殺毒軟件單獨(dú)殺毒時(shí)已經(jīng)過時(shí)了，建議用吉星殺毒木馬很厲害竹祷，卡巴斯基也不錯介蛉。不要指望殺毒軟件可以殺光所有的木馬，因?yàn)锳SP木馬的特點(diǎn)是通過一些手段來避免殺毒軟件溶褪。

（3）刪除默認(rèn)共享并禁用一些服務(wù)

如：Remote Registry、Task Scheduler践险、Telnet猿妈、Print Spooler等；

（4）刪除一些不必要的用戶,給administrator改名巍虫，密碼設(shè)定復(fù)雜密碼彭则；

（5）在組策略設(shè)定“帳戶鎖定策略”輸錯5次，帳號鎖定30分鐘占遥。防別人爆力猜解密碼俯抖；

（6）安裝防火墻并在您的計(jì)算機(jī)上提供一些服務(wù)，無論是服務(wù)器系統(tǒng)還是個人系統(tǒng)瓦胎。每個服務(wù)對應(yīng)一個或多個端口芬萍。你打開的端口越多，被攻擊的風(fēng)險(xiǎn)就越大搔啊。關(guān)閉端口137柬祠、138、139和445负芋，因此盡可能少地打開端口漫蛔。但是有些朋友對電腦網(wǎng)絡(luò)不是很熟悉，不知道如何關(guān)閉端口旧蛾，需要使用防火墻把我們的電腦從網(wǎng)絡(luò)黑客中隔離出來莽龟；

（7）如果沒有裝防火墻就用netstat –na查系統(tǒng)開放那些端口，可以用IPSec（IP安全策略來阻力這些端口）锨天。

（8） 由于服務(wù)器需要打開遠(yuǎn)程桌面服務(wù)進(jìn)行管理毯盈，因此需要設(shè)置遠(yuǎn)程桌面連接權(quán)限，并將遠(yuǎn)程桌面權(quán)限限制為少數(shù)用戶绍绘，從而消除了管理員組奶镶。利用Webshell在您的服務(wù)器上設(shè)置管理員帳戶的能力，黑客無法將遠(yuǎn)程桌面服務(wù)器轉(zhuǎn)移到您的服務(wù)器陪拘。啟用基于ip的安全協(xié)商的最佳方法是增強(qiáng)遠(yuǎn)程桌面服務(wù)(端口3389)厂镇，即使打開端口3389它也是需要您的用戶和密碼的，也可以遠(yuǎn)程連接到您的服務(wù)器左刽。最好通過修改注冊表將端口3389更改為另一個端口如：10001捺信。

（9）啟動系統(tǒng)審計(jì)策略，并以成功的方式對登錄事件、審計(jì)對象訪問迄靠、審計(jì)系統(tǒng)事件和審計(jì)帳戶登錄事件進(jìn)行審計(jì)秒咨。黑客可以訪問日志。

二掌挚、網(wǎng)站安全性相關(guān)的設(shè)置

（1）在C盤安全權(quán)限中雨席，取消users的特殊權(quán)限，因?yàn)檫@個權(quán)限可以新建目錄吠式，又可以新建的目錄中創(chuàng)建文件陡厘；刪除everyone組權(quán)限。

（2）如果服務(wù)器里有多個網(wǎng)站特占，為了防止旁注給每個網(wǎng)站新建一個用戶糙置，只加入guests組，每個網(wǎng)站匿名用戶啟用相對應(yīng)的用戶是目。

（3）每個網(wǎng)站主目錄設(shè)定權(quán)限只允許administrators和system組完全控制權(quán)限谤饭，網(wǎng)站用戶只讀和執(zhí)行權(quán)限，對于要上傳文件目錄權(quán)限設(shè)定為只讀和寫入懊纳，但是不要執(zhí)行權(quán)限,這樣上傳了木馬也運(yùn)行不了揉抵。

（4）改名或卸載不安全的組件

（5）數(shù)據(jù)庫管理也要設(shè)定復(fù)雜密碼,mssql的sa用戶，mysql的root用戶嗤疯，還有數(shù)據(jù)庫里面的更深入權(quán)限設(shè)定功舀。

（6）很多WEB服務(wù)器都會安裝FTP服務(wù)器，方便上傳更新網(wǎng)站身弊，防止Serv-U權(quán)限提升辟汰。

? ? ? ? ?用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P阱佛，修改成等長度的其它字符就可以了帖汞，ServUAdmin.exe也一樣處理。

? ? ? ? ? 此外凑术，注意設(shè)置servlet -u所在文件夾的權(quán)限翩蘸。不要讓IIS匿名用戶具有讀取權(quán)限，否則淮逊，別人仍然可以分析您的管理員名和密碼催首。

(7)?不要從網(wǎng)站管理后臺和上傳頁面入口獲取常用文件名。

(8)?使用一些黑客工具檢測你的網(wǎng)站有沒有漏洞和注入點(diǎn)泄鹏，發(fā)現(xiàn)及時(shí)修復(fù)郎任；常用工具如360安全衛(wèi)士，也可以使用蔓捷信息高防提前防御攻擊并7x24小時(shí)監(jiān)測并維護(hù)網(wǎng)站备籽。

(9)?定期做好備份工作舶治。

? ? ? ? 以上是針對服務(wù)器防黑的措施，通過以上安全設(shè)置，我認(rèn)為您的服務(wù)器是非常安全的霉猛，一般黑客只會使用一些工具做一些不好的事情尺锚，防這種級別的“黑客”應(yīng)該沒有任何問題；當(dāng)然也有更高級的黑客的惜浅，網(wǎng)絡(luò)安全不是絕對安全的瘫辩，所以要使用一些高防產(chǎn)品，提前預(yù)防網(wǎng)站遭到高級別的攻擊坛悉。