网站服务器提高安全性方案

网站服务器提高安全性方案从系统安全和网站程序安全防入侵:一、基本的服务器系统安全设置1、安装系统补丁2、安装杀毒软件3、删除默认共享、禁用某些服务如：RemoteRegistry、TaskScheduler、Telnet、PrintSpooler、Server、TCP/IPNetBIOSHelper等4、删除一些不必要的用户,给administrator改名，密码设定复杂密码。5、在组策略设定“帐户锁定策略”输错5次，帐号锁定30分钟。防别人爆力猜解密码。6、安装防火墙。7、如果没有装防火墙就用netstat–na查系统开放那些端口，可以用IPSec（IP安全策略来阻力这些端口）。8、因为是服务器都要开放远程桌面服务，方便管理，设定远程桌面连接权限，把远程桌面器权限只允许几个用户，把administrators这组权限拿掉。即使黑客通过Webshell在服务器建一个管理员帐号也无法远程桌面到服务器。启用基于IPSEC安全协商加强远程桌面服务（3389端口），就算你放开3389端口也知道你的用户及密码，也法远程连到你的服务器。3389端口改成其他端口，通过修改注册表实现。如：10001。9、启动系统审核策略，将审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件启用成功方式的审核，有黑客入侵可以查到日志。10、禁用Guests组用户调用cmd.exe命令,命令：caclsC:\WINNT\system32\Cmd.exe/e/dguests11、每天检查网站主目录有没有产生木马文件，如php和asp结尾不熟悉的文件，如发现木马文件服务器被入侵了，及时处理查找从那里入侵的。12、定期检查有没有后门的隐藏帐号和克隆帐号。二、网站安全相关设置1、系统盘及目录权限设定：administrators组全部权限，system全部权限，将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限，然后做如下修改：C:\ProgramFiles\CommonFiles开放Everyone默认的读取及运行列出文件目录读取三个权限，C:\WINDOWS\开放Everyone默认的读取及运行列出文件目录读取三个权限，C:\WINDOWS\Temp开放Everyone修改,读取及运行,列出文件目录,读取,写入权限，这样设置完这后我们的服务器就很安全了.这样asp木马无法在系统目录下运行了。系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限。2、如果服务器里有多个网站，为了防止旁注给每个网站新建一个用户，只加入guests组，每个网站匿名用户启用相对应的用户。3、每个网站主目录设定权限只允许administrators和system组完全控制权限，网站用户只读和执行权限，对于要上传文件目录权限设定只读和写入，但是不要执行权限,这样上传了木马也运行不了。4、改名或卸载不安全组件在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是非常重要的。ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能，除了FSO之外，其他的大多可以直接禁用。WScript.Shell组件使用这个命令删除：regsvr32WSHom.ocx/uWScript.Network组件使用这个命令删除：regsvr32wshom.ocx/uShell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令：caclsC：\windows\system32\shell32.dll/e/dguests5、SQLServer2005数据库管理也要设定复杂密码,mssql的sa用户，删除不必要的存储过程，因为有些存储过程能很容易地被人利用起来提升权限或进行破坏。如:不需要扩展存储过程xp_cmdshell请把它去掉。xp_cmdshell根本就是一个大后门等,使用IPSec策略阻止所有地址访问本机的TCP1433与UDP1434端口,SQL里面用户权限细化。6、很多WEB服务器都会安装FTP服务器，方便上传更新网站，防止Serv-U权限提升，FTP用户是明文验证的，被别人嗅探到有写的权限FTP帐号就可以提权，最好用IPSec安全策略加强安全，不用FTP时关闭FTP服务。7、网站管理后台及上传页入口不要取常见的文件名。8、用一些黑客工具检测你的网站有没有漏洞和注入点，发现及时修复。9、只保留要用的应用程序映射绝对不要使用IIS默认安装的WEB目录，而需要在E盘新建立一个目录。然后在IIS管理器中右击主机-属性-服务编辑-主目录配置-应用程序映射，只保留asp和asa，其余全部删除。10、定期做好备份。三、被入侵后紧急补救方法1、建立被入侵系统后被修改部分的截图，以便事后分析和留作证据。2、立即停止网站服务及相应的服务。3、在Windows系统下，通过网络监控软件或“netstat-an”命令来查看系统目前的网络连接情况，如果发现不正常的网络连接，应当立即断开与它的连接。4、入侵后一般留有木马文件，找到几个木马文件，什么时间创建的，再通过分析系统日志文件，这些木马文件由那个用户生成的，找到被入侵漏洞。5、通过备份恢复被修改的网页。6、修复系统或应用程序漏洞后，应该有相应的方法来防止此类事件的再次发生。7、升级杀毒软件特征库，再对全盘杀毒。8、最后，使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测，在检测之前要确保其检测特征库是最新的。