欧美激情XXXX性BBBB_ 虛擬主機安全配置與優(yōu)化

前言：最近剛到網(wǎng)絡(luò )公司擔當系統管理員，下面就依照自己的經(jīng)驗和環(huán)境做一下Win2000服務(wù)器的安全配置和優(yōu)化。

以下是我虛擬主機的操作系統和服務(wù)器軟件：
OS：Win2k Advancd Server
ftp server:Serv-u 6.0.2
www server: IIS
mail server: WebEasyMail 3.5.3.1 企業(yè)版
防火墻：天網(wǎng)防火墻個(gè)人破解版
殺毒軟件：McAfee VirusScan Enterprise 8.0.i版
遠程管理軟件：Terminal Services終端服務(wù)

下面我來(lái)說(shuō)一下從安裝系統、安裝服務(wù)器應用程序、安全設置和優(yōu)化的過(guò)程。

1.硬盤(pán)分區和安裝系統

關(guān)于分區我強烈建議大家選擇NTFS文件格式，不僅NTFS文件系統可以給我們帶來(lái)很高的安全性，而且對于

做WEB服務(wù)的虛擬主機來(lái)說(shuō)磁盤(pán)配額很最要.還有文件和文件夾的壓縮都給我們這些系統管理員提供了很高

便利性。
在分區之前和大家說(shuō)一下，一定要合理的設置分區。合理的分區不僅可以給我們帶來(lái)工作的方便，還可以

提高系統的安全和穩定性。我的硬盤(pán)一共分了5個(gè)區(120G)。
C盤(pán)用來(lái)裝操作系統的文件。D盤(pán)用來(lái)存儲各個(gè)WEB站點(diǎn)的文件。E盤(pán)用來(lái)保存IIS日志文件、Internet臨時(shí)文

件夾和頁(yè)面文件。F盤(pán)用來(lái)裝應用程序。就是說(shuō)所有的應用程序都安裝在F盤(pán)里。G盤(pán)用來(lái)保存備份文件和一

些常用的工具。大家可以根據自己的情況合理的設置分區，而不必一一對應。下面就是安裝系統了，在安

裝系統的時(shí)候組件的選擇一定要僅僅安裝自己需要的組件，而一些用不到的組件我們不要安裝。那些用不

到的組件會(huì )給我們帶來(lái)一些意想不到的“驚喜”。在安裝IIS的時(shí)候把FrontPage2000服務(wù)器擴展、Inetern

et服務(wù)管理器(HTML)、NNTP Server、SMTP Server、文件傳輸協(xié)議(FTP)服務(wù)器的復選框去掉。以保證這些

用不到的服務(wù)不會(huì )給我們帶來(lái)安全隱患。
把Internet臨時(shí)文件夾移動(dòng)到非系統分區中,如我的設置是E盤(pán): Internet Explorer-右擊-

屬性-Ineternet臨時(shí)文件-設置-移動(dòng)文件夾，選擇相應的分區。
把虛擬內存頁(yè)面文件移動(dòng)到到非系統分區中,,如我的設置是E盤(pán):我的電腦-右擊-屬性-高級選項卡-性能選

項-更改,設置初始大小和最大值，重啟計算機。注意：以上兩項操作都必需重啟后生效。

2.為用戶(hù)提供正常的服務(wù)。

在D盤(pán)里面為各個(gè)WEB站點(diǎn)建立相應的文件夾,以保證各個(gè)站點(diǎn)的文件存儲在相應的文件夾中。在IIS里面建

立相應的WEB站點(diǎn)、設置和相應的主機頭、主目錄、端口、IP地址。對應的在Serv-u里面建立相應的用戶(hù)，

以指向各自的WEB文件夾中，以便日后維護上傳、下載的需要。在WebEasyMail里面設置相應的各個(gè)域的郵

件用戶(hù)、和容量等。關(guān)于服務(wù)器軟件的安裝問(wèn)題，請您自己參考相應的文章。

3.服務(wù)的配置

在Windows里面有很多服務(wù)，這些服務(wù)都是為了不同的需求而提供的。在這里我們要根據自己的環(huán)境來(lái)配置

服務(wù)，禁用那些不要的服務(wù).老生常談的一句話(huà)："最少的服務(wù)+最小權限=最大的安全".
禁用那些用不到的服務(wù)：Alerter、ClipBook、Computer Browser、 Distributed File System、Indexing

Service、Internet Connection Sharing、Messenger、NetMeeting Remote Desktop Sharing、Print

Spooler、Remote Registry Service、Smart Card、Task Scheduler、TCP/IP NetBIOS Helper Service、

Telnet、Windows Time、Workstation.關(guān)于為什么禁用Workstation服務(wù)我會(huì )在下面說(shuō)到。

3.端口的配置

下面我來(lái)說(shuō)一下怎樣關(guān)閉常見(jiàn)的危險端口和一些無(wú)用的共享,如：默認共享。
在本地連接-屬性中，把"Microsoft網(wǎng)絡(luò )的文件和打印機共享"卸載掉。
在選定的組件中之留下TCP/IP協(xié)議和Microsoft網(wǎng)絡(luò )客戶(hù)端.大家可能會(huì )說(shuō)為什么要留Microsoft網(wǎng)絡(luò )客戶(hù)端

,根據前幾天的調試，如果不裝它的話(huà)，重新啟動(dòng)IIS的時(shí)候會(huì )提示“服務(wù)不能啟動(dòng)，無(wú)法驗證的服務(wù)”。
選中TCP/IP協(xié)議-屬性-高級-WINS-禁用TCP/IP上的Netbios選項。
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI,Timeout雙字節值改為

0。建議大家設為0.這個(gè)鍵值對玩游戲有用，做虛擬主機我們用不到。
把HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa項下的數值restrictanonymous,由0改為1

。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters項下新建雙字節

值AutoShareServer值為0。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters項下新建雙字節值SMBDev

iceEnabled值為0。
在防火墻中添加IP規則，允許21、25、80、110。禁止135端口。最后啟動(dòng)禁止所有別的端口的通過(guò)。
我們也可以通過(guò)系統自帶的本地安全策略和TCP/IP篩選來(lái)設置相應打開(kāi)和關(guān)閉的端口。

4.IIS和權限設置

為了使IIS運行的更穩定和安全我們需要修改它，如：刪除一些不用的映射、日志的設置等。
下面是我的IIS的設置情況：
Internet信息服務(wù)-計算機名稱(chēng)-屬性-WWW服務(wù)(編輯)-主目錄-配置-應用程序映射，刪除下面的應用程序映

射:.htr、.idc、.printer、.cer、.shtm、.stm 、.cdx 。只保留.asp和.asa映射。對一般的應用比如運

行ASP，已經(jīng)夠用了。多出那些無(wú)用的安全映射會(huì )給系統帶來(lái)不必要的麻煩。
在進(jìn)程選項卡的腳本文件高速緩存中把放入高速緩存的最多ASP文件數設成300，以改善ASP文件的執行效率

。在應用程序調試選項卡中選中"發(fā)送文本錯誤消息給客戶(hù)"以防止通過(guò)錯誤消息來(lái)取得系統、網(wǎng)絡(luò )、數據

庫的信息。
在Internet信息服務(wù)-計算機名稱(chēng)-屬性-WWW服務(wù)(編輯)-服務(wù)選項卡選中HTTP壓縮的壓縮靜態(tài)文件,提高執

行效率。
在一個(gè)非系統分區中建立日志文件夾，來(lái)保存各個(gè)站點(diǎn)的日志。如我設置的分區是E，在分區中建立IISlog

目錄,用它來(lái)保存各個(gè)站點(diǎn)的日志文件，而不用系統默認的路徑。把各個(gè)站點(diǎn)的日志指向IISlog文件夾中。
設置如下：Internet服務(wù)管理器-Web站點(diǎn)-屬性-Web站點(diǎn)選項卡-活動(dòng)日志格式-屬性-日志文件目錄，把日

志指向IISlog文件夾中。以便于以后我們查看日志的方便。
為了保證系統的安全和各個(gè)站點(diǎn)FSO,在本地用戶(hù)和組中為各個(gè)站點(diǎn)用戶(hù)創(chuàng )建相應的用戶(hù)，設置相應的密碼,

并把所屬的默認組User刪去，加入到guests組中。在各個(gè)Web站點(diǎn)的屬性-目錄安全性-匿名訪(fǎng)問(wèn)和驗證控制

-編輯-匿名訪(fǎng)問(wèn)使用賬號的對話(huà)框中選中自己站點(diǎn)相對應的用戶(hù)帳戶(hù).我們在D盤(pán)各個(gè)站點(diǎn)文件夾的屬性-安

全選項卡去掉父系繼承來(lái)的權限，把這個(gè)文件夾的訪(fǎng)問(wèn)權限設成redblood(這個(gè)用戶(hù)是我改名后的管理員，

我會(huì )在后面提到的)完全控制(FC)、SYSTEM(FC)、和Web站點(diǎn)對應用戶(hù)的修改、讀取及運行、列出文件夾目

錄、讀取、寫(xiě)入權限。這樣當其中的一個(gè)WEB站點(diǎn)被上傳ASP木馬，就不會(huì )危害其它的站點(diǎn)，因為他只有這

個(gè)Web站點(diǎn)的權限而沒(méi)有其它站點(diǎn)權限。
把各個(gè)分區的權限設成只有redblood和system完全控制.但是要注意一點(diǎn)，如果你的頁(yè)面文件通過(guò)設置而放

到其它的分區中，比如我放到了E盤(pán)中，你除了給這個(gè)分區redblood、system的完全控制權限外還必須給這

個(gè)分區everyone的讀權限,否則重啟的時(shí)候會(huì )報錯！
在C:\Program Files\Common Files文件夾屬性對話(huà)框安全選項卡中，取消"允許將來(lái)自父系的可繼承權限

傳播給該對象"，訪(fǎng)問(wèn)權限設成redblood、system完全控制，everyone讀取及運行、列出文件夾目錄、讀取

。因為ASP連接數據庫的時(shí)候會(huì )用到這個(gè)目錄。然后把WINNT目錄也按照同樣的方法來(lái)設置成和Common

Files文件夾同樣的權限。
我們還要特殊設置一個(gè)目錄那就是C:\WINNT\Temp，這個(gè)目錄的訪(fǎng)問(wèn)權限是everyone修改、讀取及運行、列

出文件夾目錄、讀取、寫(xiě)入。
把如下文件設置成只有redblood完全控制權限，取消父系繼承來(lái)的權限。這些文件有：C:\winnt\sytem32

文件夾和C:\winnt\sytem32\dllcache文件夾的net.exe、net1.exe、netstat、netsh、cacls、cmd.exe、f

tp.exe、tftp.exe、at.exe、format.com、xcopy.exe.
把裝應用程序的目錄我這里是f:\soft目錄的訪(fǎng)問(wèn)權限設成redblood、system完全控制和everyone讀取、讀

取和運行、列出文件夾目錄的權限。
禁用一些不安全的組件,如：Scripting.FileSystemObject、WScript.Shell、Shell.Application組件。
Scripting.FileSystemObject組件:
我們可以修改對應項在注冊表里面的名稱(chēng)和值：
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
WScript.Shell組件:
HKEY_CLASSES_ROOT\WScript.Shell\
HKEY_CLASSES_ROOT\WScript.Shell.1\
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值
Shell.Application組件：
HKEY_CLASSES_ROOT\Shell.Application\
HKEY_CLASSES_ROOT\Shell.Application.1\
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
HKEY_CLASSES_ROOT\Shell.Application.1\CLSID\項目的值
因為在前里我們已經(jīng)單獨的設置相應的Web站點(diǎn)，所以不必修改Scripting.FileSystemObject(fso)組件。
在這里我直接注銷(xiāo)下面兩個(gè)組件：
regsvr32 /u C:\WINNT\System32\wshom.ocx對應于WScript.Shell組件。
regsvr32/u C:\WINNT\System32\shell32.dll對應于Shell.Application組件。
禁止guests組的用戶(hù)調用它：
cacls C:\WINNT\system32\scrrun.dll /e /d guests
cacls C:\WINNT\system32\shell32.dll /e /d guests
前面在服務(wù)設置的時(shí)候我把Workstation服務(wù)禁用了，因為ASP木馬運行候可以通過(guò)它來(lái)列出系統的用戶(hù)和

進(jìn)程。所以為了安全考慮我們禁用它。

5.修改注冊表提高系統安全和性能

下面我使用注冊表和組策略一起來(lái)設置系統。
開(kāi)始-運行-gpeidt.msc打開(kāi)組策略，計算機配置-Windows配置-安全設置-帳戶(hù)策略-密碼策略.
下面是我的策略設置:

密碼策略
密碼必須符合復雜性要求：?jiǎn)⒂?br>密碼長(cháng)度最小值:8個(gè)字符
密碼最長(cháng)存留期:30天
密碼最短存留期:3天
強制密碼歷史:5個(gè)記住的密碼

帳戶(hù)鎖定策略設置
復位帳戶(hù)鎖定計數器:20分鐘之后
帳戶(hù)銷(xiāo)定時(shí)間:20分鐘
帳戶(hù)鎖定閥值：5次無(wú)效登錄

計算機配置-Windows配置-安全設置-本地策略，審核策略設置：
審核策略更改：成功、失敗
審核登錄事件：成功、失敗
審核對象訪(fǎng)問(wèn)：失敗
審核過(guò)程追蹤：無(wú)審核
審核目錄服務(wù)訪(fǎng)問(wèn)：無(wú)審核
審核特權使用：失敗
審核系統事件：失敗
審核帳戶(hù)登錄事件：成功、失敗
審核帳戶(hù)管理：成功、失敗

計算機配置-Windows配置-安全設置-本地策略-用戶(hù)權限指派
更改系統時(shí)間：administrators
關(guān)閉系統:administrators
管理審核和安全日志：administrators

計算機配置-Windows配置-安全設置-本地策略-安全選項
登錄屏幕上不要顯示上次登錄的用戶(hù)名：已啟用
對匿名連接的額個(gè)限制:不允許枚舉 SAM 賬號和共享
故障恢復控制臺：允許對所以驅動(dòng)器和文件夾進(jìn)行軟盤(pán)復制和訪(fǎng)問(wèn):已啟用
在關(guān)機時(shí)清理虛擬內存頁(yè)面交換文件：已啟用
重命名來(lái)賓帳戶(hù)：我命名成administrator。
重命名系統管理員帳戶(hù)：redblood
在本地用戶(hù)和組中把來(lái)賓用戶(hù)和系統管理員的描述互換一下，這樣可以起一個(gè)迷惑的作用。算是一個(gè)很無(wú)

聊的小把戲吧。我們再添加一個(gè)系統管理員帳戶(hù)，這樣可以防止如果忘記了口令可以及時(shí)的恢復系統，如

果駭客進(jìn)入系統改了密碼,我們可以很快的取得系統的控制權。大家一定要給系統管理員設置一個(gè)強壯的密

碼，最少也得8位以上，由大小字母＋數字組成。

通過(guò)修改系統注冊表的自啟動(dòng)項目把一些無(wú)用的啟動(dòng)項刪除掉，以下是常見(jiàn)的各啟動(dòng)項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
以上這幾個(gè)啟動(dòng)項是木馬出現很頻繁的地方，大家以后維護的時(shí)候多注意一些。

6.FTP服務(wù)器配置

FTP服務(wù)器除了對所在的文件夾設置權限之外，還可以修改一下Banner，這種方法可以迷惑一些駭客，讓他

在表面上認為我們的FTP的服務(wù)器不是Serv-u,下面我說(shuō)一下設置的方法:
右鍵單擊托盤(pán)區的Serv-u圖標,啟動(dòng)管理員-本地服務(wù)器-域-設置-常規-消息選項卡的服務(wù)器響應消息下,將

服務(wù)器ID文本設為："Welcome Wu-Ftpd V2.6.2 for SCO Unix." 在HELP命令回復下設置成："Direct

comments or bugs to admin@xxx.com. 我們在給FTP服務(wù)器啟動(dòng)的時(shí)候設上密碼。這樣啟動(dòng)Serv-u的時(shí)候

就會(huì )讓我們輸入密碼。

7.遠程控制配置

這里我選用Win系統自帶的遠程控制軟件終端服務(wù)，選擇遠程管理模式。為遠程登錄啟動(dòng)日志記錄：
開(kāi)始-程序-管理工具-終端服務(wù)配置-連接-rdp/tcp-右鍵-屬性-權限-添加administrators組-高級-審核-添

加everyone組，選擇審核的項目為登錄和注銷(xiāo)。

8.防火墻、殺毒軟件和補丁

天網(wǎng)防火墻和McAfee都有設置啟動(dòng)密碼的功能，我們都設成相應的密碼。這個(gè)可以保證別人不會(huì )更改我們

的密碼。最后就是打補丁，我們一定要及時(shí)的升級自己的系統，以防那些惡意的駭客利用系統的漏洞攻擊我們。接著(zhù)我們把防火墻和殺毒軟件都升級到最新的版本，以減少那些惡意的網(wǎng)絡(luò )攻擊和病毒攻擊。

總結：網(wǎng)絡(luò )服務(wù)器的維護工作看著(zhù)簡(jiǎn)單,但是每一個(gè)步驟都關(guān)系著(zhù)整個(gè)系統的安危，整個(gè)服務(wù)器的安

裝、配置和維護都是一個(gè)系統工程，我們必須用心去對待它，及時(shí)的查看日志，常給系統打補丁，升級

防火墻和殺毒軟件的病毒庫，每個(gè)動(dòng)作都是一些基本的工作，但是我們必須重視它，因為他直接關(guān)系到我們系統的安全和穩定性。我們要做一個(gè)勤快的管理員，做一個(gè)用心的管理員。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久