網站服務器如何防***

    WEB服務器的安全設置方面，最近有些深刻研究，因此我寫這篇文章共享下。從兩方面設定安全防***。

1、基本的服務器系統安全設置

一、安裝補丁

      安裝好操做系統以後，最好能在託管以前就完成補丁的安裝，配置好網絡後，若是是2000則肯定安裝上了SP4，若是是2003，則最好安裝上SP2，而後點擊開始→Windows Update，安裝全部的關鍵更新。

二、安裝殺毒軟件

      雖然殺毒軟件有時候不能解決問題，可是殺毒軟件避免了不少問題。前段時間搞***免殺對殺毒軟件有必定深刻了解，單獨殺病毒軟件時代已過期了，建議用瑞星殺***很厲害、卡巴斯基也不錯。不要期望殺毒軟件殺掉全部的***，由於ASP***的特徵是能夠經過必定手段來避開殺毒軟件的查殺。

三、刪除默認共享、禁用某些服務

    如：Remote Registry、Task Scheduler、Telnet、Print Spooler等

四、刪除一些沒必要要的用戶,給administrator更名，密碼設定複雜密碼。

五、在組策略設定「賬戶鎖定策略」輸錯5次，賬號鎖定30分鐘。防別人爆力猜解密碼。

六、安裝防火牆，計算機上都有一些服務，不論是服務器系統仍是我的系統。 而每一種服務都對應着一個甚至多個端口。而你開的端口越多，被***的風險越大，關閉13七、13八、139和445端口，因此你要儘可能少開端口。但有的朋友對計算機網絡不是很是熟悉，不知道如何關閉端口，就須要使用防火牆來把咱們的計算機與互聯網上的***相隔離。

七、若是沒有裝防火牆就用netstat –na查系統開放那些端口，能夠用IPSec（IP安全策略來阻力這些端口）。

   參考： http://hukunlin.blog.51cto.com/545402/144788

八、由於是服務器都要開放遠程桌面服務，方便管理，設定遠程桌面鏈接權限，把遠程桌面器權限只容許幾個用戶，把administrators這組權限拿掉。好處***經過Webshell在你的服務器建一個管理員賬號也沒法遠程桌面到你的服務器。最好方法啓用基於IPSEC安全協商增強遠程桌面服務（3389端口），就算你放開3389端口也知道你的用戶及密碼，也法遠程連到你的服務器。最好把3389端口改爲其餘端口，經過修改註冊表實現。如：10001。

九、啓動系統審覈策略，將審覈登陸事件、審覈對象訪問、審覈系統事件和審覈賬戶登陸事件啓用成功方式的審覈，有******能夠查到日誌。

2、網站安全相關設置

一、在C盤安全權限中，取消users的特殊權限，由於這個權限能夠新建目錄，又能夠新建的目錄中建立文件。刪除everyone組權限。

二、若是服務器裏有多個網站，爲了防止旁註給每一個網站新建一個用戶，只加入guests組，每一個網站匿名用戶啓用相對應的用戶。

三、每一個網站主目錄設定權限只容許administrators和system組徹底控制權限，網站用戶只讀和執行權限，對於要上傳文件目錄權限設定只讀和寫入，可是不要執行權限,這樣上傳了***也運行不了。

四、更名或卸載不安全組件

參考： http://hukunlin.blog.51cto.com/545402/327408

五、數據庫管理也要設定複雜密碼,mssql的sa用戶，mysql的root用戶，還有數據庫裏面的更深刻權限設定。

六、不少WEB服務器都會安裝FTP服務器，方便上傳更新網站，防止Serv-U權限提高。

     用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改爲等長度的其它字符就能夠了，ServUAdmin.exe也同樣處理。

另外注意設置Serv-U所在的文件夾的權限，不要讓IIS匿名用戶有讀取的權限，不然人家下走你修改過的文件，照樣能夠分析出你的管理員名和密碼。

七、網站管理後臺及上傳頁入口不要取常見的文件名。

八、用一些***工具檢測你的網站有沒有漏洞和注入點，發現及時修復。 經常使用的工具如啊D注入、明小子等。

九、按期作好備份，備份重要性就很少說了，全國人們都知道這個重要，哈哈。

      以上都是服務器防黑的措施，經過以上安全設定，我想你的服務器很安全了，通常的***只會用一些工具作壞事，防這個檔次的「***」應改沒有什麼問題了。哈哈，固然也有更牛的***，網絡安全是沒有絕對安全的。