用Mcafee將Windows打造一個(gè)相對(duì)安全的服務(wù)器環(huán)境
2024-09-10 00:01:25
供稿:網(wǎng)友
安全問(wèn)題永遠(yuǎn)是個(gè)解不開(kāi)的結(jié),道高一尺魔高一丈,Linux比Windows更安全、Windows漏洞百出等等說(shuō)法并不完全準(zhǔn)確,任何系統(tǒng)都可以打造出一個(gè)相對(duì)安全的環(huán)境,今天就給大家簡(jiǎn)單分享一下最近給幾個(gè)朋友做的服務(wù)器安全方案 本套方案基于Windows2008R2,同時(shí)借助了Mcafee企業(yè)版殺毒軟件,主要是給大家講解一個(gè)思路,希望能給需要的朋友一定的啟發(fā)。
首先要說(shuō)的第一點(diǎn),就是關(guān)于Mcafee,Mcafee可以達(dá)到的功能,其實(shí)系統(tǒng)都可以做到,只是,對(duì)一個(gè)小白用戶來(lái)說(shuō),各種復(fù)雜的系統(tǒng)設(shè)置實(shí)在過(guò)于頭疼,而Mcafee使用起來(lái)則相對(duì)簡(jiǎn)單很多了,經(jīng)過(guò)簡(jiǎn)單的了解,一般小白都能夠正常使用,不會(huì)因?yàn)檫^(guò)度的安全設(shè)置而給正常操作帶來(lái)很大的不便。
接著來(lái)說(shuō)說(shuō)我整體的方案吧。首先呢,一些簡(jiǎn)單必要的設(shè)置是必不可少的,常用的包括以下幾點(diǎn):
1、將ASP等用不到的功能項(xiàng)關(guān)掉,這個(gè)每個(gè)人的服務(wù)器需求都可能不同,自己靈活控制就可以了。
2、接著呢,我們給每一個(gè)站點(diǎn)單獨(dú)分配一個(gè)賬戶,這個(gè)賬戶對(duì)緩存目錄、必要的dll所在目錄、站點(diǎn)目錄具有可讀取權(quán)限,對(duì)其他地方完全不需要任何權(quán)限了
3、處理一些需要寫(xiě)入權(quán)限的目錄。這里以DiscuzX1.5為例,需要寫(xiě)入權(quán)限的目錄包括/data、/uc-server/data、/uc_client/data/cache,設(shè)置好寫(xiě)入權(quán)限之后,在IIS7里面找到這些目錄,將這些目錄的腳本執(zhí)行權(quán)限關(guān)掉。 參考>>>>
4、將遠(yuǎn)程桌面的端口改成非默認(rèn)的3389,同時(shí)將系統(tǒng)密碼改得稍微復(fù)雜點(diǎn)。在實(shí)際過(guò)程中我們發(fā)現(xiàn),有些朋友的服務(wù)器被黑,其實(shí)完全是被社工了而已。
5、使用Mcafee設(shè)置一下端口訪問(wèn)規(guī)則,一般服務(wù)器不會(huì)用來(lái)上網(wǎng),只是對(duì)外提供WEB類(lèi)服務(wù),所以,直接使用Mcafee對(duì)所有端口直接進(jìn)行封堵,禁止入站,其中對(duì)MYSQL、Memcache、遠(yuǎn)程桌面等進(jìn)行簡(jiǎn)單例外放行。
6、使用Mcafee對(duì)常用危險(xiǎn)文件進(jìn)行封堵,這里很簡(jiǎn)單,因?yàn)榉?wù)器不是日常使用的,不需要經(jīng)常進(jìn)行軟件安裝,不會(huì)經(jīng)常更改設(shè)置,所以,我們直接全局阻止exe/dll/vbs/com/bat/txt等危險(xiǎn)格式的寫(xiě)入(**/*.exe這樣是代表全局exe),具體哪些格式,你可以具體在網(wǎng)上收集一下。以后要安裝程序或者做出其他修改的時(shí)候,臨時(shí)停止一下Mcafee就可以了
7、使用Mcafee對(duì)DiscuzX1.5的目錄進(jìn)行詳細(xì)限制,雖然前面用NTFS權(quán)限對(duì)目錄進(jìn)行了限制,但是逃不過(guò)系統(tǒng)出現(xiàn)漏洞什么的,所以,我們還需要使用Mcafee對(duì)相關(guān)目錄進(jìn)行限制,具體是除了/data、/uc-server/data、/uc_client/data/cache之外的其他目錄全部完全禁止寫(xiě)入,再細(xì)化一下的話,就是進(jìn)行一些常見(jiàn)攻擊方式的防護(hù),比如說(shuō)寫(xiě)入多后綴名文件,我們完全可以使用Mcafee禁止DiscuzX1.5目錄下禁止寫(xiě)入discuzX1.5/data/**/*.*.*,當(dāng)然,你還可以自己想到一些其他的細(xì)化設(shè)置,比如說(shuō)禁止data/attachment目錄寫(xiě)入任何非允許附件格式的文件。
8、阻止cmd.exe被讀取,這一點(diǎn)很重要,很多人通過(guò)系統(tǒng)組件調(diào)用cmd來(lái)提權(quán)。
9、阻止net.exe被讀取,黑客新建賬號(hào)的時(shí)候利用的就是它
10、剩下的,我們還需要對(duì)常見(jiàn)的附件目錄、數(shù)據(jù)庫(kù)進(jìn)行定期備份
通過(guò)上面幾個(gè)簡(jiǎn)單的設(shè)置,相信我們可以堵住絕大部分的入侵了,那些所謂的小hacker應(yīng)該是很難拿下你的服務(wù)器了。當(dāng)然,上面的設(shè)置并沒(méi)有對(duì)數(shù)據(jù)庫(kù)進(jìn)行防護(hù)、沒(méi)有對(duì)惡意刪除附件進(jìn)行防護(hù),這兩個(gè)方面,下一次將與大家分享簡(jiǎn)單的防護(hù)措施。對(duì)上面各條有不清楚的,可以跟帖,我盡量答復(fù)大家。上面的各項(xiàng)都是簡(jiǎn)單說(shuō)了一下思路而已,并沒(méi)有做詳細(xì)嚴(yán)謹(jǐn)?shù)年U述,特此說(shuō)明,請(qǐng)部分站長(zhǎng)朋友不要雞蛋里面挑骨頭,謝謝!
