Windows Server 2008服務(wù)器或VPS安全配置基礎(chǔ)教程
這段時間剛好在使用Windows Server 2008服務(wù)器,而這個系統(tǒng)的服務(wù)器安全設(shè)置教程不是很多,因此按自己的思路總結(jié)出一個完整的教程,希望對同樣使用windows service 2008服務(wù)器或VPS的站長有所幫助。當(dāng)然,這里的安全設(shè)置教程對Windows Server 2003同樣有效,只是部分步驟有所不同,僅供參考。
其實(shí),不管是windows服務(wù)器系統(tǒng),還是linux服務(wù)器系統(tǒng),只要設(shè)置好安全策略,都能最大程度上地保證服務(wù)器安全,說不上用linux一定比windows安全,關(guān)鍵是看你怎么用,怎么設(shè)置安全策略,怎么避免漏洞被利用;windows服務(wù)器系統(tǒng)要保證安全,關(guān)鍵是要避免這個系統(tǒng)的漏洞被利用。下面是具體的安全配置基礎(chǔ)教程,僅供參考,按個人喜歡而設(shè)置:
修改管理員賬號及密碼
windows 2008服務(wù)器系統(tǒng)通過遠(yuǎn)程登陸來管理的,默認(rèn)管理員賬號是administactor;如果對方知道你的賬號,可能通過暴力解密獲取你的密碼;所以,要及時修改管理員賬號。
修改流程是:選擇“單擊“開始→運(yùn)行”,在彈出的運(yùn)行對話框中輸入“gpedit.msc”打開組策略編輯器,依次展開“設(shè)置→→本地策略→安全選項(xiàng)”,并將右邊列表框下拉到最底下,雙擊“重命名系統(tǒng)管理員賬戶”即可更名;修改賬號名稱以后,還要記得修改密碼,建議不低于18位的密碼,必用英文大小寫數(shù)字的組合。
修改遠(yuǎn)程登陸的端口號
windows系統(tǒng)默認(rèn)的遠(yuǎn)程登陸端口號是3389,這個端口號很容易被掃描到,建議修改成較大的端口號,好比23429,注意別和已知的端口號沖突,如果已開啟防火墻,要關(guān)閉3389端口,同時打開23429端口號。
修改端口號的流程是:打開“開始→運(yùn)行”,輸入“regedit”,打開注冊表,進(jìn)入以下路徑:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],看見PortNamber值,其默認(rèn)值是3389,修改成所希望的端口即可,例如23429;再打開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp],將PortNumber的值(默認(rèn)是3389)修改成端口23429,以后登陸的時候輸入計(jì)算機(jī)名IP:23429。
設(shè)置防火墻關(guān)閉無用端口
windows 2008服務(wù)器系統(tǒng)是自帶防火墻的,防火墻可以設(shè)置端口號開閉,上面修改過遠(yuǎn)程登陸端口號,要記得關(guān)閉3389端口,同時增加新設(shè)置的端口號;同時建議用端口掃描工具掃描一下,一般服務(wù)器只用開啟三個端口,一個是80端口,一個是你的遠(yuǎn)程登陸端口,一個是FTP端口。
開啟防火墻以后,默認(rèn)是禁止PING的,如果希望服務(wù)器支持PING,那么在防火墻設(shè)置中刪除相應(yīng)的禁止規(guī)則。另外,防火墻不是默認(rèn)禁止所有非網(wǎng)絡(luò)服務(wù)端口的,因此建議大家手動禁止必須要用以外的端口。
去掉FTP及數(shù)據(jù)庫在線管理
因?yàn)閣indows 2008服務(wù)器有圖形化界面,因此可用網(wǎng)盤實(shí)現(xiàn)網(wǎng)站的備份,遠(yuǎn)程登陸后備份網(wǎng)站,上傳到網(wǎng)盤,再從本地電腦從網(wǎng)盤下載網(wǎng)站內(nèi)容,這樣便可以不啟用FTP;多開啟一個端口便意味著多一分風(fēng)險,既然windows 2008服務(wù)器系統(tǒng)有圖形化界面,那么便應(yīng)該好好利用這一點(diǎn)。
至于數(shù)據(jù)庫在線管理,新手都習(xí)慣用phpmyadmin來管理,Linux系統(tǒng)的主機(jī)通過IP/some space/的方式管理數(shù)據(jù)庫,這樣實(shí)際上是不安全的,相當(dāng)于多一個安全隱患;對于windows 2008系統(tǒng)的用戶而言,實(shí)際上可以遠(yuǎn)程登陸后管理數(shù)據(jù)庫,好比我的網(wǎng)站www.121h.com,原創(chuàng)登陸以后,用IE瀏覽器訪問127.0.0.7即是我的數(shù)據(jù)庫管理地址,別的用戶無法直接訪問到數(shù)據(jù)庫管理后臺。
設(shè)置好文件權(quán)限及補(bǔ)丁更新
如果是用windows系統(tǒng)的服務(wù)器建站,那么一定要設(shè)置好文件權(quán)限,好比禁止腳本運(yùn)行什么的,設(shè)置好以后,那么網(wǎng)站程序本身的安全性會提高不少;另外,要記得及時更新程序及系統(tǒng)補(bǔ)丁,同時增加錯誤登陸設(shè)置,用戶通過遠(yuǎn)程來登陸系統(tǒng),輸錯密碼三次,可以禁止30分鐘或者一天什么的。
前段時間,mysql/php接連爆出相應(yīng)的漏洞,大家同樣要記得升級這些程序的版本,好比現(xiàn)在虛擬主機(jī)Php版本是5.2.17,這是比較老的穩(wěn)定版本,存在hash沖突漏洞,可以升級到5.3.*或者5.4.*;至于mysql,同樣可以升級到5.5.*版本,直接去官網(wǎng)下載相應(yīng)的程序升級即可,升級前請確認(rèn)網(wǎng)站程序支持新版本的軟件。
修改在IDC官網(wǎng)的賬號信息
不管你是購買的什么系統(tǒng)的服務(wù)器,都應(yīng)該保證自己在IDC官網(wǎng)的賬號信息安全,這里的賬號、密碼都應(yīng)該與平時注冊的賬號密碼不同,避免自己一個賬號失竊,被別人利用到這里。另外,部分IDC還有自己的論壇,雖然去論壇交流可以獲得外鏈,不過注意要保證自己的信息安全,不要透露自己的賬號習(xí)慣。
以上是個人維護(hù)Windows Server 2008服務(wù)器的經(jīng)驗(yàn),算是基礎(chǔ)的安全配置教程,能夠防范大部分的漏洞攻擊;當(dāng)然,如果內(nèi)存允許,還可以安裝服務(wù)器殺毒軟件,同時增加別的防范設(shè)置,不過,對于VPS或者云主機(jī)用戶而言,殺毒軟件不是必須的,上層設(shè)置中有這些,再安裝殺毒軟件可能會沖突。
關(guān)鍵詞:Windows,服務(wù)器,VPS
閱讀本文后您有什么感想? 已有 人給出評價!
- 0
- 0
- 0
- 0
- 0
- 0