王健宇's BLOG

windows服务器安全视频教程

2010-11-29 王健宇 视频教程

大家好，我是健宇 ，又见面了。今天给大家做一个windows服务器的安全教程
以windows server 2003平台为例，目录权限,IIS,伪静态,FTP,PHP,MYSQL,防护CC

首先我们可以看我以前写的文章来操作
【原创】Windows服务器高安全配置在线阅读网站
http://www.9170.org/post-264.html

windows下IIS配置固定链接设置（伪静态）方法
http://www.9170.org/post-265.html

首先我们来设置目录权限，我登陆我自己的服务器
由于我都是使用NTFS格式的磁盘这步就跳过了

C,D的根目录权限我已经设置好了。我们来看下IIS的网站以及对应每一个启动账号的权限安全设置，我网站是使用xiaoyu这个账号来启动的，另外黑小子的博客是使用hacksb这个账号来启动，我们添加一个新的网站来设置下，首先在本地用户和组添加一个用户,把隶属于的组全部删除，然后新建这个网站要放置的目录，设置这个目录的访问权限，默认我设置只有管理员和system，我给他添加test用户的权限。然后在IIS添加网站，所谓主机头就是绑定域名。
去掉集成windows身份验证，sorry，忘了修改启动用户，经过这样设置以后就OK了
貌似写错了。。OK了，我不懂这个PHP编程的，献丑了，不好意思。
好了，参照这个文章，要把目录权限全部做好。这里我就不细说了。

IIS还有设置不允许下载MDB数据库以及执行脚本（就是ASP,PHP等）

一般一个网站都有一个上传目录，为了上传目录避免被利用需要把执行权限去掉

默认是纯脚本，设置为无。还有数据库，要设置。我演示一下。
现在这个站备份以及数据库路径我现在知道，我要设置一下不被别人所下载

不让读取，不让执行。

这样设置以后IIS就能很安全了。

PHP安全：
打开php.ini
查找safe_mode把off设置为on,然后查找disable_functions设置禁用的组件.
我只是演示暂时只设置这几个了,设置完成后保存然后重启IIS

重启IIS的命令是net stop iisadmin /y&net start w3svc

现在进网站后台能看到安全模式已经开启了。
disable_functions exec,shell_exec,system exec,shell_exec,system

可以看到已经禁用了。

这里要设置PHP安装目录的权限

我这里就不安装MYSQL和phpmyadmin，我演示一下如何登陆，添加mysql用户。

点击权限-添加新用户-创建与用户同名的数据库并授予所有权限
（千万不要给全局权限！）

好了，我们用新建的用户登陆了，不能用于提权的，现在一般的mysql提权都是使用root以及权限很高的用户。只要这样简单设置一下就能防止一般的安全威胁

然后说下CC的防护。安装一个冰盾DDOS防火墙并安装好NAT（路由和远程访问），安装方式自己百度一下。

我们来设置规则，选择好公用接口，按照我这个选择，然后服务和端口里面开启你需要的端口。不要打开135,445,139等端口。没有使用的也不要去添加。

还可以安装VPN，我这个服务器默认也是安装了的。为什么呢，因为设置了规则不能保证%100不误封IP，有时候把自己的封了怎么办呢，所以开启VPN，分配一段内部IP。
然后添加远程访问策略，新建一个VPN的组，允许这个组来连接VPN就行。记得分配一个静态IP给这个用户，这个静态IP在冰盾防火墙设置白名单信任就不会封这个的IP了

看到没，已经绑定好一个内部IP。NAT+VPN设置完毕

最后设置冰盾的规则，最好是所有开放的外部端口，都设置特定的规则，如果不了解含义建议不要设置。

我的FTP端口设置的一个IP只能5个同时连接，否则屏蔽，加上serv-u内置的防攻击规则这样能防止多线程暴力破解FTP。

然后VPN的端口也要限制，不然被暴力破解了。跟FTP一样。

3389要设置严格一点。就2个，超过就不能连接。

最后是80端口，设置好以后就能防护CC攻击（当然也不是万能的，因为这个只是针对一部分的CC攻击，就是打开很多TCP端口连接的，如果一个TCP端口的CC就不行，当然，遇到大流量CC攻击的话可以选择禁止代理访问，限制流量，修改规则）

我现在没有被CC攻击所以默认设置100个IP，以便误封把正常访问也禁止了。
我现在设置一下防止CC。

OK了，这样设置规则就能有效解决CC攻击。

加上NAT的限制端口，能解决135,445端口的溢出，还能防止暴力破解等。

打造高安全的服务器。好了教程到此结束。还有什么不懂的email至[email protected]

谢谢大家的观看。

视频教程下载地址http://u.115.com/file/f5f2c21a7c #
 

标签: windows服务器高安全视频教程

评论：