WEB专用服务器的安全设置技巧电脑知识

2024-06-17

WEB专用服务器的安全设置技巧电脑知识（精选5篇）

WEB专用服务器的安全设置技巧电脑知识第1篇

IIS的相关设置：

删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步，更多的只能在方法用户从脚本提升权限：

ASP的安全设置：

设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

即可将WScript.Shell, Shell.application, WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。

另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用!

PHP的安全设置：

默认安装的php需要有以下几个注意的问题：

C:winntphp.ini只给予users读权限即可。在php.ini里需要做如下设置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默认是on，但需检查一遍]

1.常用的电脑知识

2.电脑知识常识大全

3.菜鸟必备电脑知识

4.维修电脑知识的一些技巧

5.电脑各种设置技巧

6.简单的电脑知识

7.基础的电脑知识

8.电脑知识大全菜鸟必备

9.非常有用的电脑知识20条

10.最新电脑设置锁屏技巧

WEB专用服务器的安全设置技巧电脑知识第2篇

2、所有盘符根目录只给system和Administrator的权限，其他的删除。

3、将所有磁盘格式转换为NTFS格式。

命令：convert c:/fs:ntfsc:代表C盘，其他盘类推。WIN08 r2 C盘一定是ntfs格式的，不然不能安装系统

4、开启Windows Web Server 2008 R2自带的高级防火墙。

默认已经开启。

5、安装必要的杀毒软件如mcafee，安装一款ARP防火墙，安天ARP好像不错。略。

6、设置屏幕屏保护。

7、关闭光盘和磁盘的自动播放功能。

8、删除系统默认共享。

命令：net share c$ /del这种方式下次启动后还是会出现，不彻底。也可以做成一个批处理文件，然后设置开机自动执动这个批处理。但是还是推荐下面的方法，直修改注册表的方法。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下面新建AutoShareServer,值为0 。。重启一下，测试。已经永久生效了。

9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码，你说这个密码谁能破。。。。也只有自己了。...

重命名管理员用户组Administrators。

10、创建一个陷阱用户Administrator，权限最低。

上面二步重命名最好放在安装IIS和SQL之前做好，那我这里就不演示了。

11、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

12、本地策略——>用户权限分配

关闭系统：只有Administrators 组、其它的全部删除，

管理模板 > 系统显示“关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。

13、本地策略——>安全选项

交互式登陆：不显示最后的用户名启用

网络访问：不允许SAM 帐户和共享的匿名枚举启用

网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

14、禁止dump file 的产生。

系统属性>高级>启动和故障恢复把写入调试信息改成“无”

15、禁用不必要的服务。

TCP/IP NetBIOS Helper

Server

Distributed Link Tracking Client

Print Spooler

Remote Registry

Workstation

16、站点方件夹安全属性设置

删除C: inetpub 目录。删不了，不研究了。把权限最低。。。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为：

System 完全控制

Administrator 完全控制

Users 读

IIS_Iusrs 读、写

在IIS7 中删除不常用的映射建立站点试一下。一定要选到程序所在的目录，这里是www.postcha.com目录，如果只选择到wwwroot目录的话，站点就变成子目录或虚拟目录安装了，比较麻烦。所以一定要选择站点文件所在的目录，填上主机头。因为我们是在虚拟机上测试，所以对hosts文件修改一下，模拟用域名访问。真实环境中，不需要修改hosts文件，直接解释域名到主机就行。目录权限不够，这个下个教程继续说明。至少，我们的页面已经正常了。

17、禁用IPV6。看操作。

Web服务器安全威胁与防范技巧第3篇

一、操作系统

1、病毒、特洛伊木马和蠕虫

计算机病毒是编制者在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一种计算机指令或者程序代码。除了将恶意指令或代码捆绑在表面上无害的可执行文件或数据文档中以外,具有很强的伪装能力的特洛伊木马给服务器带来了更大的威胁。感染特洛伊木马程序的服务器,完全可以被黑客通过网络进行远程控制。这些病毒或木马程序除了可以从一个服务器自我复制到另一个服务器,还有一种病毒可以像蠕虫一样寄生在计算机和网络之中,并且很难被检测到,因为它们是不定期创建在计算机中的文件。通常只有当它们开始消耗系统资源时,才能注意到它们,因为这时系统运行缓慢或者其他执行的程序停止运行。红色代码蠕虫就是最臭名远扬、攻击IIS的蠕虫,它的存在依靠的是某特定ISAPI筛选器中的缓冲区溢出缺陷。

用来防范病毒、特洛伊木马和蠕虫的对策包括:

(1)保持服务器的操作系统安装最新的服务包和软件补丁。

(2)启用防火墙,并关闭服务器的多余端口。

(3)禁用不使用的功能,包括协议和服务。

(4)尽量不要安全第三方软件,避免产生被攻击漏洞。

(5)设置文件和目录的权限。(如:Windows,system32,system)

2、系统账户

如果攻击者想要与服务器建立匿名连接,他会尝试建立验证连接。为此,攻击者必须知道一个有效的用户名和密码组合。如果系统恰好使用了系统的默认帐户名称,就会给攻击者提供了一个顺利的开端。然后,攻击者只需要破解帐户的密码即可。然而,使用空白或者脆弱的密码可以使攻击者的工作更为轻松。

防止破解密码的对策包括:

(1)所有帐户均使用强密码。(如:长度在8位以上,无规则大小写字母和数字的组合等等)

(2)通过修改系统组策略对最终用户帐户进行锁定,限制用户登录重试的次数。

(3)不要使用默认的帐户名称,在系统组策略中重新命名标准帐户,例如管理员帐户和许多Web应用程序使用的匿名Internet用户帐户。

(4)审核失败的登录,获取密码劫持尝试的模式。

3、拒绝服务

攻击者想办法让服务器停止提供服务,这是黑客常用的攻击手段之一。拒绝服务攻击问题也一直得不到合理的解决,因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,让服务器实现两种效果:一是迫使服务器的缓冲区满,不再接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户连接。

防止拒绝服务的对策包括:

(1)配置应用程序、服务和操作系统时要考虑拒绝服务问题。

(2)保持采用最新的补丁和安全更新。

(3)强化TCP/IP堆栈。

(4)确保帐户锁定策略无法被用来锁定公认的服务帐户。

(5)确信应用程序可以处理大流量的信息,并且该阀值适于处理异常高的负荷。

(6)检查应用程序的故障转移功能。

(7)利用IDS检测潜在的拒绝服务攻击。

4、事务日志

事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的Web服务器管理人员会定期查看应用程序、安全性和系统日志,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。因此,每一个WEB服务器的管理人员都必须要重视事务日志的重要性。

其实,只要采取一定的保护措施,攻击WEB服务器就必须需要一个过程,不是说在一个短时间内就可以完成的。一般情况下,这个攻击过程往往会在WEB服务器的事务日志中留下蛛丝马迹。如果非法攻击者试图通过密码字典破解工具,尝试网站管理员的账户和密码的时候,就会在WEB服务器的日志中留下纪录。如果在事务审核中,我们设置了当用户密码最多输入错误次数的话,则当超过这个最大次数的时候,服务器就会在自己的日志中纪录这条信息。此时,如果网站管理人员可以看到这条信息,就可以及时的采取相应的措施,来提高服务器的安全性。

不过话说话来,有些高手攻击Web服务后,不会在事务日志上留下任何痕迹。这并不是说事务日志不管用了。而是因为他们在结束攻击后,会删除这些访问信息,或者更改访问者。让服务器管理人员无从查起。为了让他们无法更改事务日志文件,最好的方法就是更改事务日志文件的路径,并对其进行及时的备份。攻击者由于不知道事务日志的正确存放位置,想攻击想修改日志隐藏自己的踪迹,都是不可能的。

防止攻击者操作事务日志的对策包括:

(1)更改Web服务器的日志的默认路径。

(2)每隔若干小时对事务日志进行异地备份。

二、Web服务

据悉,目前多数单位的服务器都使用的是Windows 2003操作系统,该系统中自带的IIS6,在默认设置状态下存在文件解析漏洞,当Web服务器主目录中的某文件夹名与*.asp格式相似的时候,那么该文件夹中的任何文件都能被IIS服务器看成ASP程序来进行执行。如此一来,攻击者就能够通过向该文件夹中上传*.gif或*.jpg格式的图象木马文件,来间接在服务器系统中运行木马程序,导致IIS服务器系统受到严重威胁。为了避免Web服务器的超级管理权限丢失,或者发生网站被非法黑掉的现象,我们需要想方设法地及时堵住IIS服务器的安全漏洞。

1、任意执行代码

如果攻击者可以在服务器上执行恶意代码,攻击者要么就会损害服务器资源,要么就会更进一步攻击下游系统。如果攻击者的代码所运行的服务器进程被越权执行,任意执行代码所造成的危险将会增加。常见的缺陷包括脆弱的IIS配置以及允许遍历路径和缓冲区溢出攻击的未打补丁的服务器,这两种情况都可以导致任意执行代码。

防止任意执行代码的对策包括:

(1)保持使用最新的补丁和更新,确保安装最新的缓冲区溢出补丁程序。

(2)设置严格的访问控制列表,限定系统命令和实用工具的使用权限。

(3)配置IIS,拒绝带有“/”形式的URL,防止遍历路径的发生。

2、未授权访问

不足的访问控制可能允许未授权的用户访问受限制信息或者执行受限制操作。常见的缺陷包括,脆弱的Web访问控制,这又包括Web权限和脆弱的NTFS权限。

防止未授权访问的对策包括:

(1)配置安全的Web权限。

(2)利用受限制的NTFS权限限制访问文件和文件夹。

(3)使用ASP.NET应用程序中的.NET Framework访问控制机制,包括URL授权和主要权限声明。

三、数据库服务

1、滥用过高权限

当用户(或应用程序)被授予超出了其工作职能所需要的数据库访问权限时,这些权限可能会被恶意滥用。例如,一个大学管理员在工作中只需要能够更改学生的联系信息,不过他可能会利用过高的数据库更新权限来更改分数。

2、滥用合法权

用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义Web应用程序查看单个患者病历的权限。通常情况下,该Web应用程序的结构限制用户只能查看单个患者的病史,即无法同时查看多个患者的病历并且不允许复制电子副本。但是,恶意的医务人员可以通过使用其他客户端(如MS-Excel)连接到数据库,来规避这些限制。通过使用MS-Excel以及合法的登录凭据,该医务人员就可以检索和保存所有患者的病历。

这种私自复制患者病历数据库的副本的做法不可能符合任何医疗组织的患者数据保护策略。要考虑两点风险。第一点是恶意的医务人员会将患者病历用于金钱交易。第二点可能更为常见,即员工由于疏忽将检索到的大量信息存储在自己的客户端计算机上,用于合法工作目的。一旦数据存在于终端计算机上,就可能成为特洛伊木马程序以及笔记本电脑盗窃等的攻击目标。

3、权限提升

攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。漏洞可以在存储过程、内置函数、协议实现甚至是SQL语句中找到。例如,一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。使用管理权限,恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。

4、SQL注入

在SQL注入攻击中,入侵者通常将未经授权的数据库语句插入(或“注入”)到有漏洞的SQL数据信道中。通常情况下,攻击所针对的数据信道包括存储过程和Web应用程序输入参数。然后,这些注入的语句被传递到数据库中并在数据库中执行。使用SQL注入,攻击者可以不受限制地访问整个数据库。

数据库安全防范对策包括:

(1)定期对数据库进行有效的异地备份。

(2)采用安全的文件系统、账号和密码策略。

(3)加强数据库日志的记录。

(4)进行数据加密。

四、网页代码

对于Web服务器的安全威胁来讲,代码是其最大的杀手之一。许多Web服务器被攻破,大部分是由于Web开发者直接或间接设计不当的代码所导致。因此,编写或引用合理Web服务器的代码,是保障Web服务器安全运行的首要任务。

为了提高代码的安全性,Web开发者要养成一些良好的代码编写习惯。

防止运行不良代码的对策包括:

1、不要直接采用网络上的代码

有些开发者为了工作上的便利,会直接拷贝其他网友提供的代码。但是,不幸的是,天下没有白吃的午餐。有些人免费提供这些代码往往带有不可告人的秘密。如现在网络上提供的一些电子商务平台与网站论坛代码,代码提供者很有可能会在代码中预留一个后门。当他觉得有必要的话,则就可以很轻易的采用这个后门对其进行攻击。所以,若企业要在Web服务器上实现一些关键应用,如客户在线下单等等,则最好不要采用网络上现成的代码。只可以借鉴,不可以抄袭。最好还是自己开发。

2、增加的新功能不要直接在Web服务器上测试

企业在发展,Web应用也逐渐在完善。企业市场会提出一些新的需求。当开发者在开发某个功能的时候,最好不要直接在Web服务器上直接进行测试。有条件的企业,最好专门配置一个测试服务器,以方便程序开发人员测试新功能。特别是若把这个程序开发外包给外面的企业的话,不能够为了贪图方便,直接让对方在现用的Web服务器上进行测试。俗话说,知人知面不知心。对方很可能在你不知情的情况下,植入一个木马都说不定。所以,防人之心不可无。企业在新功能的开发测试上还是要小心谨慎。

3、尽量不要采用不安全的控件

企业Web应用跟娱乐网站不同。企业门户网站强调的是快速、稳定、安全;而娱乐网站则强调的是美观、靓丽、特效。为了吸引眼球,提高点击率,娱乐网站往往会采用比较多的特效。为此,他们会在Web服务上采用比较多的控件来达到这个效果。但是,这些控件往往都有安全漏洞,跟Web服务器的安全背道而驰。如Flash控件等等。针对这种控件的攻击,互联网上可能每天都在发生。还说不定哪一天就落到企业的头上了。所以,企业网站只要追求稳定、安全即可,没有必要过多的采用其他控件来实现特技效果。

五、总结

了解了攻击者使用的典型方法和它们的目标,在采用对策时就可以更加有效。这还有助于在考虑和识别威胁时使用基于目标的方法,并有助于使用STRIDE模型来根据攻击者的目标对威胁进行分类,例如,盗用身份、篡改数据、拒绝服务、提高特权等等。这就使您可以将精力更多地集中在用来降低风险的一般方法上,而不是将精力集中在识别每一种可能的攻击上,那可能是一项耗时但很可能无收效的做法。

摘要：WEB服务器主要是面向互联网的,随着人们对互联网服务的需求不断扩大,各种互联网应用服务日益增多,Web服务器便成为众多信息化应用中最容易遭受攻击的对象。文章中主要介绍了几种常见的Web服务器安全威胁,并提出了相应的安全防范技巧。

关键词：Web服务器,安全威胁,防范技巧

参考文献

[1]秦育华.WEB网络应用程序安全威胁及对策的研究与探讨[J].电脑知识与技术,2010,6(21):5716-5719.

[2]陈俊洁.常见Web服务安全威胁的来源与防范[J].产业与科技论坛,2010,9(7):118-121.

[3]刘建仲.浅析网络数据库安全及防范策略[J].中国电子商务,2011,(6):114-116.

WEB专用服务器的安全设置技巧电脑知识第4篇

关键词：站点服务器；IIS安全设置；安全策略

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 (2012) 16-0042-02

一、设置安全服务器

（一）系统盘和站点放置盘（包括所以盘符）必须设置为NTFS格式，方便设置权限，系统盘和站点放置盘除administrators和system的用户权限全部去除。

（二）启用windows自带防火墙，暂只保留有用的端口，如：远程（80）、Ftp（21）、远程桌面（3389）等。

（三）安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除。

（四）更改sa密码为超长密码，在任何情况下都不要用sa这个帐户。

（五）改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户，设置超长密码，并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户。

（六）配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。)

（七）在安全设置里，本地策略-安全选项将“网络访问：可匿名访问的共享”、“网络访问：可匿名访问的命名管道”、“网络访问：可远程访问的注册表路径”、“网络访问：可远程访问的注册表路径和子路径”以上四项清空。

（八）在安全设置里，本地策略-安全选项：用户权利指派通过终端服务拒绝登陆加入ASPNET、Guest、IUSR_*****、IWAM_*****、NETWORKSERVICE、SQLDebugger(****表示机器名，注意不要添加进user组和administrators组，添加进去以后就没有办法远程登陆了。)

（十）更改本地安全策略的审核策略。审核策略更改－成功失败，审核登录事件－成功失败，审核对象访问－失败，审核过程跟踪－无审核，审核目录服务访问－失败，审核特权使用－失败，审核系统事件－成功失败，审核账户登录事件－成功失败，审核账户管理－成功失败。

二、保护IIS的技巧

（一）移除缺省的Web站点。很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。

（二）卸载不需要FTP和SMTP服务。进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的，如果你执行身份认证，你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。

（三）减少、排除Web服务器上的共享。如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。共享是对黑客最大的诱惑。利用\命令寻找Everyone/完全控制权限的共享。

（四）检查*.bat和*.exe文件，在这些破坏性的文件中，也许有一些是*.reg文件。如果你右击并选择编辑，可以发现黑客已经制造并能让他们能进入你系统的注册表文件。登陆你的Web服务器并在命令行下运行netstat-an。观察有多少IP地址正尝试和你的端口建立连接，检查IIS服务器上的服务列表并保持尽量少的服务，明确哪个服务应该存在，哪个服务不应该存在。

（五）管理用户账户。安装IIS后，可能产生了一个TSInternetUser账户。除非真正需要这个账户，否则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题，IUSR用户的权限也应该尽可能的小。如果你经常察看异常数据库，你能在任何时候找到服务器的脆弱点。

四、结论

本文提出了适合于二路胖树的多区域位串编码方法。该方法利于路由信息的计算，并且具有良好的可扩展性，是一种良好的编码方法。

参考文献：

[1]Dhabaleswar K.Panda.“Issues in Designing Efficient and Practical Algorithms for Collective Communication on Wormhole-Routed Systems,”ICPP 1995:8-15.

[2]Rajeev Sivaram,Ram Kesavan,Dhabaleswar K.Panda,Craig B.Stunkel, “Where to Provide Support for Efficient Multicasting in Irregular Networks: Network Interface or Switch?”.ICPP,1998.

[3]X. Lin and L. M. Ni. Deadlock-free Multicast Wormhole Routing in Multicomputer Networks. In Proceedings of the International Symposium on Computer Architecture,1991:116-124

[4]孙圣.“二路胖树对虫孔交换树型组播的支持特性”.第9界计算机工程与工艺年会。