Windows服务器高安全配置[操作系统]

随着Linux的遍及.不管是安全性与PHP履行速度方面都高于Windows.

　　习惯了Windows的我用不来Linux,莫非就不能做安全了吗?答案能否定的,首先我想说:

　　我认为目前Linux的家庭用户对比少,在用户量方面Linux是敌不过Windows的,因为大部份游戏,利用软件等都是基于win平台VB,VC,C#等开辟的,并且目前电脑初学者学习的教材方面大部份都是关于Windows的,至少这几年,十几年内微软应当还是win霸主.在Linux发掘出一个漏洞,能通过操纵此漏洞广为传达病毒的计算机传染数目很少,所以Linux的漏洞代价不是很高.并且玩Linux的高手我认为大部份是技术型的,不屑于去追求那些蝇头小利以及夸耀什么,乐于开源以及分享自己最新的研究成果,这个缘由也造就了目前Linux的安全性.

　　Windows只要安全细节做得好,入侵成功的概率是很低的.好了,废话不多说了,下面进入正文,谈谈我对web服务器安全防护的经验和筹划.

　　这个安全防护筹划恰是我博客网站www.9170.org采取的防护筹划,还有更高的防护筹划今后再说（我供应一种思绪,比方:一个外网IP开放VPN和NAT端口转发,然后路由器里面的一台计算机衔接VPN,把80端口转发到内网,内网又有一个MySQL内网服务器）

　　筹划以下:

　　系统平台:

　　Win2003sp2企业版,打上全部微软公布的安全更新.

　　主要硬件:Intel双核CPU,512M内存

　　优化设置:

　　关闭默许同享$admin,$c等,代码以下:

　　net share c$ /delete

　　net share admin$ /delete

　　echo  .. delshare.reg .......

　　echo Windows Registry Editor Version 5.00> c:\delshare.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg

　　echo "AutoShareWks"=dword:00000000>> c:\delshare.reg

　　echo "AutoShareServer"=dword:00000000>> c:\delshare.reg

　　echo  .. delshare.reg .....

　　regedit /s c:\delshare.reg

　　echo  .. delshare.reg ....

　　del c:\delshare.reg

　　新建文本文档另存为.bat文件运行.

　　尽大概不安装任何利用软件（如:迅雷,qq等）安装好杀毒软件以及防火墙.

　　安装winrar,关闭多余系统服务项（如自带的防火墙,筹划任务,打印机等.注意:请按照服务器实际情形来关闭,假如不懂系统后台服务不倡议去改正.可以参考http://baike.百度.com/view/685551.htm）

　　开机自启的注册表键值除输入法外普通都可以删除.

　　系统安全设置

　　磁盘都利用NTFS格局,假如是FAT32,请转换.号令格局如:convert c:/fs:ntfs（号令默许是C盘,假如是别的分区,请改正盘符）对根目录的权限值保存administrator、system完好权限,

　　Web根目录只保存administrator、system、以及用来启动该web的IIS用户完好拜候权限.

　　CMD.EXE,NET.EXE,NET1.EXE,以及回收站目录只保存administrator和system的完好权限,

　　删除安装IIS后生成的intepub目录.目录安全权限设置完毕

　　PHP安全设置

　　由于此文说的是安全,跳过PHP安装步骤.编辑PHP配置文件,用文本编辑器翻开php.ini.做以下改正:

　　safe_mode = On

　　disable_functions = passthru, exec, shell_exec, system, fopen, mkdir, rmdir, chmod, unlink, dir, fopen, fread, fclose, fwrite, file_exists, closedir, is_dir, readdir, opendir, fileperms, copy, unlink, delfile, popen, COM

　　PHP利用network service这个用户组启动的,所以在PHP的安装目录我们需求给他权限,

　　至此PHP的安全设置已经完毕.

　　MySQL安全设置

　　安装好MySQL和phpmyadmin后利用root账户登录,改正root为强密码,最好是数字+大写+小写,假如记得住特别标记也行.然后点权限,增添新用户新建一个用户,成立与用户同名的数据库并授与全部权限,不赐与特别权限.网站衔接MySQL的用户就利用这个新建的,千万不要用root!

　　IIS安全设置

　　对每个挂在IIS里面的网站设置一下权限,如MDB数据库途径在IIS里设置不能读取,写入等,无履行权限

　　上传目录无履行可读取.

　　关闭未知的扩大等,最好在每个网站都用一个独立用户启动,可以命名为IIS_***,对应每一个网站根目录的权限,IIS答应匿名拜候,这样可以避免别的网站跨目录拜候

　　防护CC和Ddos攻击

　　攻击的原理就不说了,搜索引擎搜索一下就知道了,普通的CC攻击都是WEB动态页面发动的,并且会在短时间新建很多TCP端口衔接,按照这个特点,我们可以安装一个Ddos防火墙,设置法则,我利用的是冰盾,是我设置的防护CC攻击法则

　　在端口过滤里面可以设置流量

　　这样设置完今后就可以避免Ddos以及CC攻击.

　　并且能避免扫描软件扫描WEB页面和暴力破解后台登陆（因为做了衔接数过量屏蔽,普通的扫描和破解都是多线程开放很多端口同时举行,工具扫描的衔接数过量就自动屏蔽了,增大安全性能）