动易（ＳＦ）网站服务器的安全设置

　　安全隐患猛于虎！！

　　经过几次网站服务器被别人拿权挂马，还居然把系统文件删改了，让我不得不分离网站程序，重装服务器的耻辱经历后，我逐渐开始意识到网站的安全问题的重要性了。

　　我的网站是动易sitefactory的，虽然按照动易安装说明里面设置后网站访问和使用是没有问题了，可是安全性究竟如何呢？我试着放了个webshell程序到网站，一运行下来，我的网站服务器就彻底裸露于小黑们的眼皮下了，利用这个webshell小黑完全可以可以为所欲为了。不行！不能让小黑给彻底鄙视了！接着，我对服务器进行了如下几个方面的安全设置，希望能起到作用。

　　第一、系统本身安全性设置（到网上去查查ｗｅｂ服务器安全设置http://tech.powereasy.net/Safe/saft/1372.html）：

　　1、修改管理员账户名，设置复杂的密码；

　　2、系统盘的权限只给adminnistrator和system组，其他盘能只给这两个组的也一样，放网站的那个盘可能不允许，所以暂时不变，因为之后还有对这个盘的详细设置；

　　3、卸载不安全的组件（WScript.Shell和Shell.application），比较详细的操作参考了阿江写的那篇《阿江的WINDOWS服务器安全设置》（http://tech.powereasy.net/Safe/saft/1370.html）；

　　4、停止、禁用了不安全和不需要的服务，例如Print Spooler 、Remote Registry、TCP/IP NetBIOS Helper等等，具体是哪些也是根据网上的文章来的，但也要根据个人服务器的需要；

　　5、通过注册表修改了远程桌面的端口号3389为其他；

　　6、打开审核策略、账户策略；

　　第二、网站文件夹本身的设置：

　　1、上传文件夹设置为读，不可执行；只要没有asp或者aspx的文件夹都设置成不可执行；

　　2、动易的安装说明上虽然要求对整个网站文件夹给予network service用户所有权限，但我发现这太不安全了，索性删除了这个用户，但发现网站能正常访问，但后台有些功能无法用了，例如上传图片、修改模板、风格、标签。所以需要对相应的这几个文件夹给予network serviece用户的修改权限，这样后台基本上能用了，（其他的功能是否能用还没试过~）

　　第三、安装杀毒软件；

　　1、360安全卫士是挺好用的，不占内存，又免费，360杀毒虽然比付费的杀软略差些，但也基本上能杀很多毒了，就我们学校而言，其实web服务器上主要是木马，有病毒也只可能是被小黑传上来的，一般也不会用服务器浏览网页了~~有个一般的杀软就可以了；

　　2、macfee，虽说杀毒能力不怎么样，但他是目前市面上流行的杀软中唯一带有IPS功能的，企业版也可以长期使用和升级，其实我主要也是看中他的访问保护策略那一块的功能，通过策略设置来防止小黑写入asp或者aspx代码~~~基本上没准备用他来全盘扫描杀毒。

 

　　以上就是我对我的ｗｅｂ服务器安全设置的全部，经过这一系列的设置后，再运行之前那个webshell程序，居然还是能正常运行，有些让我失望，但再进行操作，几个不相关的盘打不开了，能看到的就是网站的文件夹里面的内容，但是做删除，显示没有权限；修改，也没有权限；添加文件，也失败了。这样一来我是比较放心了，虽然有点纳闷明明卸载了shell组件，按理说都不能正常运行了才对。

　　看来我要学习的还有很多，现在只是刚刚开始，革命尚未结束，同志仍需努力啊！！