这段时间刚在用Windows Server 2008 server,这个系统关于服务器安全设置的教程不多,所以我按照自己的思路总结了一个完整的教程。
希望对同样使用windows service 2008 server或VPS的站长有所帮助。当然,这里的安全设置教程对于Windows Server 2003也是有效的,只是有些步骤不同,仅供参考。
其实不管是windows服务器系统还是linux服务器系统,只要设置好安全策略,都可以最大程度的保证服务器安全。不能说用linux就一定比windows安全。关键是看你怎么用,怎么设置安全策略。
如何避免漏洞被利用;要保证windows server系统的安全性,关键是要避免该系统的漏洞被利用。以下是具体的安全配置基础课程,仅供参考,根据个人喜好设置:
修改管理员帐户和密码。
Windows 2008 server系统通过远程登录进行管理,默认的管理员帐号为管理角色;如果对方知道你的账号,有可能通过暴力解密获取你的密码;所以要及时修改管理员账号。
修改过程如下:选择“点击开始运行”,在弹出的运行对话框中输入“gpedit.msc”打开组策略编辑器,依次展开“设置本地策略安全选项”,将右侧列表框下拉至最下方。
双击“重命名系统管理员帐户”对其进行重命名;更改帐户名后,记得更改密码。建议密码不少于18位,并且必须是英文大小写字母的组合。
修改远程登录的端口号
windows系统默认远程登录端口号为3389,容易被扫描。建议改成更大的端口号,比如23429。注意不要与已知的端口号冲突。如果防火墙打开,端口3389应该关闭。
还要打开端口号23429。
例如23429;再打开[HKEY _ LOCAL _ MACHINE \ SYSTEM \ current Control set \ Control \ tennal Server \ win stations \ RDP \ Tcp],
设置防火墙关闭无用的端口。
Windows 2008 server系统自带防火墙,可以设置端口号打开和关闭。远程登录端口号已被修改。记得关闭端口3389并添加新设置的端口号。同时建议用端口扫描工具进行扫描。
一般服务器只需要开三个端口,一个是80端口,一个是你的远程登录端口,一个是FTP端口。
打开防火墙后,默认情况下禁止PING。如果您希望服务器支持PING,请在防火墙设置中删除相应的禁止规则。此外,默认情况下,防火墙不会禁用所有非网络服务端口,因此建议您手动禁用那些必须使用的端口以外的端口。
摆脱FTP和在线数据库管理
因为windows 2008服务器有图形界面,所以可以用网盘备份网站,远程登录后备份网站,上传到网盘,然后从本地电脑下载网盘的网站内容,这样就可以不启用FTP了;多开一个口就多一份风险。
既然windows 2008 server系统有图形界面,就要好好利用。
至于网上数据库管理,新手习惯用phpmyadmin来管理数据库,Linux系统的主机通过IP/some space/来管理数据库,其实是不安全的。
相当于多了一个安全隐患;对于windows 2008系统的用户来说,他们实际上可以远程登录后管理数据库,就像我的网站www.121h.com一样。最初登录后,
使用IE浏览器访问127.0.0.7是我的数据库管理地址,其他用户无法直接访问数据库管理后台。
设置文件权限和补丁更新。
如果您使用windows服务器构建网站,则必须设置文件权限,例如禁止脚本运行。设置好之后,网站程序本身的安全性会提高很多。另外,记得及时更新程序和系统补丁,同时添加错误登录设置。
用户可以远程登录系统,输错三次密码,可以封禁30分钟或者一天。
前段时间,mysql/php相继爆出相应的漏洞。大家也要记得升级这些程序的版本。比如现在虚拟主机的Php版本是5.2.17,是一个老的稳定版本,有哈希冲突漏洞。
可以升级到5.3。*或5.4。*;至于mysql,也可以升级到5.5版本。*,去官网下载相应的程序升级就行了。请在升级前确认网站程序支持新版本的软件。
在IDC官网修改账户信息。
无论购买什么系统服务器,都要保证自己在IDC官网的账户信息安全。这里的账号和密码要和平时注册的不一样,防止你的账号被别人盗用。此外,一些IDC有自己的论坛。
虽然去论坛可以获得一个外链,但是要注意保证自己的信息安全,不要泄露自己的账号习惯。
以上是个人维护Windows Server 2008服务器的经验,是一个基本的安全配置教程,可以防止大部分漏洞攻击。当然,如果内存允许,也可以安装服务器杀毒软件,添加其他预防性设置。然而,
对于VPS或者云主机用户来说,杀毒软件不是必须的,上层设置有这些,安装杀毒软件可能会有冲突。
