服务器安全配置（四）

1.删除所有的网络共享资源，在网络连接的设置中删除文件和打印共享，只留下TCP/IP协议
说明：2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载“Microsoft 网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时，将显示该选项。单击“卸载”按钮删除该组件；“Microsoft 网络的文件和打印机共享”复选框将不起作用。）
方法：
1>2000:控制面版――管理工具――计算及管理――共享文件夹―――停止共享
但上述方法太麻烦，服务器每重启一次，管理员就必须停止一次
2>修改注册表：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键
Name: AutoShareServer
Type: REG_DWORD
value: 0
然后重新启动您的服务器，磁盘分区共享去掉，但IPC共享仍存在，需每次重启后手工删除。

2.改NTFS的安全权限；
说明：NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。

3.加强数据备份；
说明：这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，而这往往是们真正关心的东西；遗憾的是，不少网管在这一点上作的并不好，不是备份不完全，就是备份不及时。数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。

4.只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议；
说明：网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些工具利用。

5.不要起用IP转发功能，控制面板->网络->协议->TCP/IP协议->属性，使这个选框为空。（NT）
说明：缺省情况下，NT的IP转发功能是禁止的，但注意不要启用，否则它会具有路由作用，被利用来对其他服务器进行攻击。

6.安装新的MDAC（http://www.micr***/data/download.htm）
说明：MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是攻击的目标，为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装新的版本。注意：在安装新版本前先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，祥见漏洞测试文档。

7.设置IP拒绝访问列表
说明：对于WWW服务，可以拒绝一些对站点有攻击嫌疑的地址；尤其对于FTP服务，如果只是自己公司上传文件，就可以只允许本公司的IP访问改FTP服务，这样，安全性大为提高。

8.禁止对FTP服务的匿名访问
说明：如果允许对FTP服务做匿名访问，该匿名帐户就有可能被利用来获取更多的信息，以致对系统造成危害。

9.建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control）
说明：作为一个重要措施，既可以发现攻击的迹象，采取预防措施，也可以作为受攻击的一个证据。

10.慎重设置WEB站点目录的访问权限，一般情况下，不要给予目录以写入和允许目录浏览权限。只给予.ASP文件目录以脚本的权限，而不要给与执行权限。
说明：目录访问权限必须慎重设置，否则会被利用。

中光电信专业的IDC运营商，提供服务器托管，服务器租用，VPS，网站空间等服务器，机房：高新路十字电信大楼10层，24小时的在线和电话服务，欢迎亲们来实地考察。
qq:713003543   企业Q Q：1006@4000868810
电话：18291489163/400   02985269867转802
网址：www.***