windows服务器安全视频教程

2010-11-29 王健宇 视频教程

大家好,我是健宇 ,又见面了。今天给大家做一个windows服务器的安全教程
以windows server 2003平台为例,目录权限,IIS,伪静态,FTP,PHP,MYSQL,防护CC

首先我们可以看我以前写的文章来操作
【原创】Windows服务器高安全配置在线阅读网站
http://www.9170.org/post-264.html

windows下IIS配置固定链接设置(伪静态)方法
http://www.9170.org/post-265.html

首先我们来设置目录权限,我登陆我自己的服务器
由于我都是使用NTFS格式的磁盘这步就跳过了

C,D的根目录权限我已经设置好了。我们来看下IIS的网站以及对应每一个启动账号的权限安全设置,我网站是使用xiaoyu这个账号来启动的,另外黑小子的博客是使用hacksb这个账号来启动,我们添加一个新的网站来设置下,首先在本地用户和组添加一个用户,把隶属于的组全部删除,然后新建这个网站要放置的目录,设置这个目录的访问权限,默认我设置只有管理员和system,我给他添加test用户的权限。然后在IIS添加网站,所谓主机头就是绑定域名。
去掉集成windows身份验证,sorry,忘了修改启动用户,经过这样设置以后就OK了
貌似写错了。。OK了,我不懂这个PHP编程的,献丑了,不好意思。
好了,参照这个文章,要把目录权限全部做好。这里我就不细说了。

IIS还有设置不允许下载MDB数据库以及执行脚本(就是ASP,PHP等)

一般一个网站都有一个上传目录,为了上传目录避免被利用需要把执行权限去掉

默认是纯脚本,设置为无。还有数据库,要设置。我演示一下。
现在这个站备份以及数据库路径我现在知道,我要设置一下不被别人所下载

不让读取,不让执行。

这样设置以后IIS就能很安全了。

PHP安全:
打开php.ini
查找safe_mode把off设置为on,然后查找disable_functions设置禁用的组件.
我只是演示暂时只设置这几个了,设置完成后保存然后重启IIS

重启IIS的命令是net stop iisadmin /y&net start w3svc

现在进网站后台能看到安全模式已经开启了。
disable_functions exec,shell_exec,system exec,shell_exec,system

可以看到已经禁用了。

这里要设置PHP安装目录的权限

我这里就不安装MYSQL和phpmyadmin,我演示一下如何登陆,添加mysql用户。

点击权限-添加新用户-创建与用户同名的数据库并授予所有权限
(千万不要给全局权限!)

好了,我们用新建的用户登陆了,不能用于提权的,现在一般的mysql提权都是使用root以及权限很高的用户。只要这样简单设置一下就能防止一般的安全威胁

然后说下CC的防护。安装一个冰盾DDOS防火墙并安装好NAT(路由和远程访问),安装方式自己百度一下。

我们来设置规则,选择好公用接口,按照我这个选择,然后服务和端口里面开启你需要的端口。不要打开135,445,139等端口。没有使用的也不要去添加。

还可以安装VPN,我这个服务器默认也是安装了的。为什么呢,因为设置了规则不能保证%100不误封IP,有时候把自己的封了怎么办呢,所以开启VPN,分配一段内部IP。
然后添加远程访问策略,新建一个VPN的组,允许这个组来连接VPN就行。记得分配一个静态IP给这个用户,这个静态IP在冰盾防火墙设置白名单信任就不会封这个的IP了

看到没,已经绑定好一个内部IP。NAT+VPN设置完毕

最后设置冰盾的规则,最好是所有开放的外部端口,都设置特定的规则,如果不了解含义建议不要设置。

我的FTP端口设置的一个IP只能5个同时连接,否则屏蔽,加上serv-u内置的防攻击规则这样能防止多线程暴力破解FTP。

然后VPN的端口也要限制,不然被暴力破解了。跟FTP一样。

3389要设置严格一点。就2个,超过就不能连接。

最后是80端口,设置好以后就能防护CC攻击(当然也不是万能的,因为这个只是针对一部分的CC攻击,就是打开很多TCP端口连接的,如果一个TCP端口的CC就不行,当然,遇到大流量CC攻击的话可以选择禁止代理访问,限制流量,修改规则)

我现在没有被CC攻击所以默认设置100个IP,以便误封把正常访问也禁止了。
我现在设置一下防止CC。

OK了,这样设置规则就能有效解决CC攻击。

加上NAT的限制端口,能解决135,445端口的溢出,还能防止暴力破解等。

打造高安全的服务器。好了教程到此结束。还有什么不懂的email至admin@9170.org

谢谢大家的观看。

视频教程下载地址http://u.115.com/file/f5f2c21a7c #
 

标签: windows服务器高安全视频教程

评论:

您好
2012-08-07 00:47
未绑定手机禁止大众分享功能,请直接联系资源发布者获取资源!

115网盘最近好蛋疼啊!求分享:s_h_a#qq.com
王健宇
2012-08-07 01:28
@您好:我找下资源。等下发你
joe
2011-11-09 13:52
115的文件共享过期了额  麻烦能发份到我邮箱吗?  xzsw315@163.com
王健宇
2011-11-09 18:38
@joe:http://115.com/file/at7tohof
已经续期,谢谢支持!
我的久优
2011-05-09 22:17
感谢你的安全配置
王健宇
2011-05-09 22:18
@我的久优:嘿嘿,如果对你有帮助那就不用谢!
红叶
2010-12-01 11:20
估计用不到,不实际操作一下,不容易了解。
王健宇
2010-12-01 12:22
@红叶:是的,这个要靠实践,实践多了才能有经验。
李诚
2010-11-30 21:14
谢谢分享
王健宇
2010-11-30 22:16
@李诚:不客气
gooder8
2010-11-30 17:58
我还有你的链接,而你没有我的了
王健宇
2010-11-30 18:59
@gooder8:额。麻烦你把我的删了吧
博客之家
2010-11-30 12:34
谢谢分享啊,以前不懂呢
王健宇
2010-11-30 13:36
@博客之家:呵呵
ugg boots sale
2010-11-30 10:49
谢谢分享,支持下。我也去下载个学习下
王健宇
2010-11-30 11:50
@ugg  boots sale:恩

发表评论:

Powered by emlog sitemap