VPS 虚拟专用网服务器安全参考


 

一、禁止默认共享

    新建文件敲入以下代码。保存为*.bat添加到系统启动项中;

    net share c$/del

    net slare d$ /del

    net share e$ /del

    net share f$/del

    net share ipc$ /del

    net share admin$ /del

修改注册表;

(为防止意外可以先备份或者导出一份数据库、CMD在运行敲入regedit,选择文件>导出,如此即可,如果注册表修改失败,也可以找到导出的注册表文件双击运行也可。或者直接按键备份、以后以后可以如此操作恢复备份)

 

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControISet\Sen,ices\Lan-manServer\Parameters

    新建“DWORD值名为“AutoShareServer”数据值为“0”

二、远程桌面连接配置。

    开始――程序――管理工具――终端服务配置――连接

    选择右侧“RDP - tcp”连接右击属性一权限删除(除system外)所有用户组添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员,也无法使用终端服务。

三、serv_u安全设置(注意一定要设置管理密码,否则会被提权)

    打开serv_u,点击本地服务,在右边点击设置/更改密码,如果没有设置密码,旧密码为空,填好新密码点击确定

四、关闭139445端口

    控制面板――网络――本地链接――属性(这里勾选取消网络文件和打印机共享”- tcp/ip协议属性――高级――WINS――Netbios设置――禁用Netbios,即可关闭139端口.

    关闭445端口(注意修改注册表前一定耍先备份一***册表,备份方法。在运行> regcdit,选择文件>导出,取个文件名,导出即可,如果修改注册表失败,可以找到导出的注册表文件双击运行即可。)

   HKEY_LOCAL_MACHINE\Sys-tem\CurrentControlSet\ServicesetBT\Parameters

    新建“DWORD值名为“SMBDeviceEnabled”数据为默认值“0”

无、删除不安全组件

    WScript.ShellShell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。

    方法:在运行里面分别输入以下命令

    regwr32 /u wshom.ocx卸载WScript.Shell组件

    regsvr32 /u shell32.dn卸载Shellapplication纽件。

    regsvr32 /u%windir%system32\WshextDll
六、设置iis权限。

    针对每个网站单独建立一个用户。

    A先右击我的电脑一管理一本地计算机和组一用户,在右边。右击新用户,建立新用户,并设置好密码。

    B没置站点文件夹的权限

    然后,打开internet信息服务管理器。找到相应站点。右击,选择权限,只保留一个超级管理员adminis-trator(可以自己定义),而不是管理员组administrators。和系统用户(systern),还有添加访问网站的用户。可以点击添加将刚才在系统创建的用户(tesr)添加里面。然后勾选该用户(test)读取和运行、列出文件夹目录、读取、写入的权限。超级管员(administrator)”完全控制,系统用户(system完全控制权限。并且选择用户(Cest)“高级,点击应用后,等待文件夹权限传递完毕。然后点确定

    C设置访问用户。

    右击站点属性――目录安全性――编辑,将刚才添加的用户(test)添加到匿名访问用户。密码和添加用户时密码一致。

    D设置站点访问权限。

    右击要设置的站点属性->主日录,本地路径下面只逸中、读取,记录访问、索引资源,其它都不要选择。执行权限选择纯脚本,不要选择脚本和可执行文件

    注意:对于ASP.NET程序,则需要设置IIS_WPG组的帐号权限、上传目录的权限设置。这时需要注意,一定要将上传目录的执行权限设为,将文件夹的写入权限选上,这样即使上传了ASPPHP等脚本程序或者exe程序,也不会在用户浏览器里触发执行,对于纯静态网站(全部是html)将(纯脚本)改成(无)。

    对于某些程序可能要求everyone有完全控制的权限,可以将网站访问用户(如test用户)对文件夹设置完全控制的权限就行了,并不需要添加everyone来设置完全控制。

七、防止access数据库被下载

    IIS属性一>主目录一>配置一>映射一>应用程序扩展那里添加。mdb文件的应用解析。注意这里的选择的DLL不要选择asp.dll.找一个映射里面不使用的dll文件。

八、利用防火墙限制端口

    对外只打开自己需要的端口,对于vps用户,需要打开网站服务端口80.远程登录端口3389.景安公司提供的密码修改服务端口6088.如果使用的有serv_uftp服务软件,需要打开21端口。

    具体打开端口请参考下面:

    (1)右击网上邻居选择属性”――本地连接――属性――高级――设置――选中启用按钮.

    (2)点击例外”->添加端口。根据自己需要添加对外的端口。注意在添加的端口前面勾选上

    (3)添加完端口,点击确定

九、防止列出用户组和系统进程

    如果上传asp木马用户列表可能会被黑客利用,我们应当隐藏起来,方法是:

    开始――程序――管理工具――服务,找到Workstation.停止它,禁用它。

十一、数据库安全设置

    一定要设置数据库密码。

    另外,对于sql数据库建议卸载扩展存储过程xp_cmdshell

    xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:

    use master

   sp_dropenendedproc“xp_cmdshell”

    如果你需要这个存储过程,请用这个语句也可以恢复过来。

    sp_addextendedproc“xp-cmdshell”,xpsq170.dll

11 安装杀毒软件

    虽然杀毒软件有时侯不能解决问题,但是杀毒软件避免了很多问题,可以查杀部分木马程序。建议安装占用内存资源比较小的杀毒软件,另外,要经常升级软件才有效。

 


你可能感兴趣的:(regedit,服务器安全,修改注册表)