11条Vps的安全设置问题

知识教程-转载于天翼云1年前 (2023)更新大兵云服务器

93 0 0

总结VPS的安全设置，共11条，要仔细观察，防范在萌芽状态！1.禁止默认共享。方法一:建立一个记事本，填写以下代码。保存为*.bat并添加到启动项目中的netsharec$/delnetshare$/delnetsharef$/delnetshareipc$/delnetsharedmin$/del方法二:修改注册表。(注意在修改注册表之前备份注册表和备份方法。运行>regedit时，选择文件导出，取一个文件名，导出。如果修改注册表失败，可以找到导出的注册表文件，双击运行。)HKEY_LOCAL_MACHINESYSTEMCurentconters导出，取一个文件名，导出，如果修改注册表失败，可以找到导出的注册表文件双击运行。2.远程桌面连接配置。开始>程序>管理工具>终端服务配置>选择右侧RDP-tcp连接右击属性==>权限删除其他用户，只保留system，添加administrator(不是administrators)，设置这两个用户(system和administrator)是完全控制权限，这样即使服务器创建了其他管理员。3.serv_u安全设置(注意设置管理密码，否则会被提权)打开serv_u，点击本地服务，右侧点击设置/更改密码。如果没有设置密码，旧密码为空，填写新密码，点击确定。4.关闭139.445端口①控制面板网络本地链接属性(此处查看取消“网络文件与打印机共享”)tcp/ip协议属性高级WINSNetbios设置==>禁用Netbios，即可关闭139端口。②关闭445端口(注意在修改注册表之前备份注册表和备份方法。运行>regedit时，选择文件导出，取文件名并导出。如果注册表修改失败，可以找到导出的注册表文件，双击运行。)HKEY_LOCAL_MACHINESystemCurentcontrolSetServices。新建的DWORD值SMBDeviceenabled数据为默认值05.删除不安全组件WScript.Shell.Shell.application这两个组件通常用于一些ASP木马或一些恶意程序。方法：在操作中输入以下命令：①regsvr32/uwshom.ocx卸载wscript.shell组件②regsvr32/ushell32.dll卸载shell.application组件。③regsvr32/u%windir%system32wshext.dll6.设置iis权限。为每个网站单独设置一个用户。(以下只是一个网站的权限设置。如果vps上有多个网站，其他网站根据该网站设置不同的internet用户。)①首先，右击我的电脑管理本地计算机和组用户，在右边。右击新用户，设置密码，如图所示：此测试添加test为用户。②设置网站文件夹的权限，然后打开internet信息服务管理器。找到相应的网站。右击，选择权限如图所示:选择权限后，如下图所示:删除其他用户，只保留一个超级管理员administrator(可以自己定义，注意不是管理员组administrators)。以及系统用户(system)和添加访问网站的inernet客人用户。您可以点击添加添加刚刚在系统中创建的用户(如test)。然后检查用户(test)的读取和运行。列出文件夹目录。读取和写入的权限。超级管理员(administrator)完全控制，系统用户(system)完全控制权限。并选择用户(test)先进出现在如下图所示的用户可以应用于子对象的项目，点击应用程序，等待文件夹传递完成。③设置访问用户=④设置网站访问权限。右击要设置的网站。属性==主目录本地路径下只选择读取记录访问索引资源，其他不选择。执行权限选择纯脚本。不要选择脚本和可执行文件。如图所示:其他设置和iis站点的一般设置，就不多说了。注:对于ASP.NET程序，需要设置IIS_WPG组的账号权限。设置上传目录的权限。此时需要注意的是，上传目录的执行权限必须设置为无，并选择文件夹的写入权限，这样即使上传ASP.PHP等脚本程序或exe程序，也不会触发用户浏览器中的执行。对于纯静态网站(全部为html)，将(纯脚本)改为(无)。对于某些程序，可能需要everyone有完全控制的权限，可以设置网站访问用户(如test用户)完全控制文件夹的权限，不需要添加everyone来设置完全控制。6.数据库安全设置。一定要设置数据库密码。另外。对于sql数据库，建议卸载扩展存储过程xp_cmdshelxp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的大后门。请删除它。使用这个SQL语句:usemasterexecsp_dropextendproc’xp_cmdshell’如果需要这个存储过程，请使用这个语句恢复。第一步执行:execsp_addextendedprocxp_cmdshell，@dllname=’xplog70。7.防止下载access数据库。添加到IIS属性-主目录-配置-映射-应用程序扩展中。MDB文件的应用分析。请注意，此处选择的DLL不应选择asp.DLL，并在映射中找到不使用的DLL文件。8.使用防火墙限制端口。只打开你需要的端口。对于vps用户，需要打开80个网站服务端口，远程登录3389个端口。如果使用serv_u等ftp服务软件，需要打开21个端口。具体打开端口请参考以下几点:1。右击网上邻居选择属性，===>本地连接==属性==高级设置选中启用按钮。2.点击例外==添加端口。根据自己的需要添加外部端口。注意在添加的端口前检查3。添加端口后，单击确定确定。9.防止列出用户组和系统流程。如果上传asp木马用户列表，可能会被黑客使用。我们应该隐藏它们。方法是:【开始→程序→管理工具→服务】，找到Workstation，停止并禁止。10.虽然杀毒软件的安装有时无法解决问题，但杀毒软件避免了许多问题，可以检查和杀死一些木马程序。建议安装占用内存资源较少的杀毒软件。此外，软件应经常升级。