用Mcafee將Windows打造一個相對安全的服務器環境

2024-09-10 00:05:03

字體：大中小

來源：轉載

供稿：網友

本套方案基于Windows2008R2，同時借助了Mcafee企業版殺毒軟件，主要是給大家講解一個思路，希望能給需要的朋友一定的啟發。

首先要說的第一點，就是關于Mcafee，Mcafee可以達到的功能，其實系統都可以做到，只是，對一個小白用戶來說，各種復雜的系統設置實在過于頭疼，而Mcafee使用起來則相對簡單很多了，經過簡單的了解，一般小白都能夠正常使用，不會因為過度的安全設置而給正常操作帶來很大的不便。

接著來說說我整體的方案吧。首先呢，一些簡單必要的設置是必不可少的，常用的包括以下幾點：
1、將ASP等用不到的功能項關掉，這個每個人的服務器需求都可能不同，自己靈活控制就可以了。
2、接著呢，我們給每一個站點單獨分配一個賬戶，這個賬戶對緩存目錄、必要的dll所在目錄、站點目錄具有可讀取權限，對其他地方完全不需要任何權限了
3、處理一些需要寫入權限的目錄。這里以DiscuzX1.5為例，需要寫入權限的目錄包括/data、/uc-server/data、/uc_client/data/cache，設置好寫入權限之后，在IIS7里面找到這些目錄，將這些目錄的腳本執行權限關掉。參考>>>>
4、將遠程桌面的端口改成非默認的3389，同時將系統密碼改得稍微復雜點。在實際過程中我們發現，有些朋友的服務器被黑，其實完全是被社工了而已。
5、使用Mcafee設置一下端口訪問規則，一般服務器不會用來上網，只是對外提供WEB類服務，所以，直接使用Mcafee對所有端口直接進行封堵，禁止入站，其中對MYSQL、Memcache、遠程桌面等進行簡單例外放行。
6、使用Mcafee對常用危險文件進行封堵，這里很簡單，因為服務器不是日常使用的，不需要經常進行軟件安裝，不會經常更改設置，所以，我們直接全局阻止exe/dll/vbs/com/bat/txt等危險格式的寫入（**/*.exe這樣是代表全局exe），具體哪些格式，你可以具體在網上收集一下。以后要安裝程序或者做出其他修改的時候，臨時停止一下Mcafee就可以了
7、使用Mcafee對DiscuzX1.5的目錄進行詳細限制，雖然前面用NTFS權限對目錄進行了限制，但是逃不過系統出現漏洞什么的，所以，我們還需要使用Mcafee對相關目錄進行限制，具體是除了/data、/uc-server/data、/uc_client/data/cache之外的其他目錄全部完全禁止寫入，再細化一下的話，就是進行一些常見攻擊方式的防護，比如說寫入多后綴名文件，我們完全可以使用Mcafee禁止DiscuzX1.5目錄下禁止寫入discuzX1.5/data/**/*.*.*，當然，你還可以自己想到一些其他的細化設置，比如說禁止data/attachment目錄寫入任何非允許附件格式的文件。
8、阻止cmd.exe被讀取，這一點很重要，很多人通過系統組件調用cmd來提權。
9、阻止net.exe被讀取，黑客新建賬號的時候利用的就是它

上一篇：為應用程序池 'DefaultAppPool' 提供服務的進程意外終止。進程 ID

下一篇：遠程桌面一連就斷的解決方法(經常掉線)