|
|
|
联系客服020-83701501

VPS的安全设置

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
VPS的安全设置

网络安全收集了1些对VPS安全设置的要领步调,本站也筹办置办个VPS干事器,收集1下顺便与本人分享。

1、禁止默认共享。
要领步调1:
建立1个记事本,填上如下代码。保存为*.bat并加到发动花式中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
要领步调2:批改注册表,(当心批改注册表前1定要先备份1下注册表,备份要领步调。在 运转>regedit,选择 文件》导出 ,取个文件名,导出便可,假设批改注册表腐臭,梗概找到导出的注册表文件双击运转便可。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

2、长途桌面连贯设置装备摆设。
劈头 > 步伐 > 计划对象 > 终端干事设置装备摆设 > 连贯
选择右侧”RDP-tcp”连贯右击 属性 > 权限 删除(除system外)全部用户组 添加单1的同意操纵的计划员账户,这样纵然干事器被构建了别的的计划员.也无法操纵终端干事。

3、serv_u安全设置(当心1定要设置计划密码,否则会被提权)

打开serv_u,点击“本地干事“,在右侧点击”设置/变动密码“,假设不有设置密码,”旧密码为空,填好新密码点击”必定“。

四、封锁13九、445端口

①控制面板-网络-本地链接-属性(这里勾选勾销”网络文件和打印机共享”)-tcp/ip协议属性-初级-WINS-Netbios设置-禁用Netbios,便可封锁13九端口.
②封锁445端口(当心批改注册表前1定要先备份1下注册表,备份要领步调。在 运转>regedit,选择 文件》导出 ,取个文件名,导出便可,假设批改注册表腐臭,梗概找到导出的注册表文件双击运转便可。)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”

5、删除不安全组件
WScript.Shell 、Shell.application 这两个组件1般1些ASP木马或1些恶意步伐城市操纵到。
要领步调:在“运转”皮相分别输出如下命令
①regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
②regsvr32? /u shell32.dll 卸载Shell.application 组件。
③regsvr32 /u %windir%\system32\Wshext.dll
6、设置iis权限。
针对每个web单独建立1个用户。
①起首,右击“我的电脑”》计划》本地共计机和组》用户,在右侧。右击“新用户”,建立新用户,并设置好密码。如图:

好比:添加test为某1web访问用户。

②设置web文件夹的权限
此后,打开internet动态干事计划器。找到相应web。右击,选择“权限”如图:

选择权限后,如下图:

只保存1个超级计划员administrator(梗概大师界说),而不是计划员组administrators。和细碎用户(system),尚有添加访问web的用户。梗概点击“添加”将刚才在细碎构建的用户(如test)添加皮相。此后勾选该用户(test)读取和运转、列出文件夹目录、读取、写入的权限。超级管员(administrator)”完全控制”,细碎用户(system) “完全控制”权限。并且选择用户(test)?“初级”呈现如下图

点击“应用”后,期待文件夹权限传递竣事。
此后点“必定”。
当心:
③设置访问用户。
右击 web 属性==》目录安全性==》编辑, 将刚才添加的用户(如test)添加到匿名访问用户。密码和添加用户时密码1致。
④设置web访问权限。
右击要设置的web。属性==》主目录? 本地路径下面只选中 读取? 记录访问? 索引本钱
别的都不要选择。实行权限 选择 “纯脚本”.不要选择“脚本和可实行文件”。如图所示:

别的设置和即是iisweb的1般设置,不再多说。

当心:对于 ASP.NET 步伐,则需要设置 IIS_WPG 组的帐号权限、上传目录的权限设置。这时需要当心,1定要将上传目录的实行权限设为“无”,将文件夹的写入权限选上,这样纵然上传了 ASP、PHP 等脚本步伐大约 exe 步伐,也不会在用户浏览器里触发实行,
对于纯消息web(悉数是html)将(纯脚本)改成(无)。
对于某些步伐大约求告everyone有完全控制的权限,梗概将web访问用户(如test用户)对文件夹设置完全控制的权限就好了,并不需要添加everyone来设置完全控制。

七、数据库安全设置

1定要设置数据库密码。
别的。对于sql数据库倡议卸载扩展存储进程xp_cmdshell
xp_cmdshell是进入操纵细碎的最佳捷径,是数据库留给操纵细碎的1个大后门。请把它去掉。操纵这个SQL语句:
use master
sp_dropextendedproc ‘xp_cmdshell&#821七;
假设你需要这个存储进程,请用这个语句也梗概恢复过来。
sp_addextendedproc ‘xp_cmdshell&#821七;, ‘xpsql七0.dll
8、提防灌注贯注access数据库被下载

在IIS属性 ——主目录——设置装备摆设——照耀——应用步伐扩展那处添加。mdb文件的应用分析。当心这里的选择的D LL不要选择asp.dll,找1个照耀皮相不操纵的dll文件。

 

九、把持防火墙限定端口。

对外只打开大师需要的端口,对于vps用户,需要打开web干事端口80,长途登录端口338九,景安公司供给的密码批改干事端口6088,假设操纵的有serv_u等ftp干事软件,需要打开21端口。
详细打起源口请参考下面:
1、 右击网上邻居选择“属性”,===>本地连贯==?属性==?初级?设置

选中”启用”按钮.
2、 点击“例外”==》添加端口。根据大师需要添加对外的端口。当心在添加的端口背面勾选上
3、 添加完端口,点击”必定”?必定

十、提防灌注贯注列出用户组和细碎进程
假设上传asp木马用户列表大约会被黑客把持,咱们理当隐藏起来,要领步调是:
【劈头→步伐→计划对象→干事】,找到Workstation,中断它,禁用它。

十1、布置杀毒软件
当然杀毒软件无意候不克不及打算题目,但是杀毒软件灌输了良多题目,梗概查杀全数木马步伐。倡议布置占用内存本钱对照小的杀毒软件,别的,要经常晋级软件才有效。

本文摘自网络由网络安全(www.九1ri.org) 收集整理.

数安新闻+更多

证书相关+更多