关于维护服务器安全的7个技巧？

1、从基本做起，及时安装系统补丁

不论是Windows还是Linux，任何操作系统都有漏洞，及时的打上补丁避免漏洞被蓄意攻击利用，是服务器安全最重要的保证之一。

2、设置账号和密码保护

账号和密码保护可以说是服务器系统的第一道防线，目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统，那么前面的防卫措施几乎就失去了作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

3、安装和设置防火墙

现在有许多基于硬件或软件的防火墙，很多安全厂商也都推出了相关的产品。对服务器安全而言，安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用，但是安装了防火墙并不等于服务器安全了。在安装防火墙之后，你需要根据自身的网络环境，对防火墙进行适当的配置以达到最好的防护效果。

4、定期对服务器进行备份

为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同服务器上，以便出现系统崩溃时(通常是硬盘出错)，可以及时地将系统恢复到正常状态。

5、安装网络杀毒软件

现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播，同时，在网络杀毒软件的使用中，必须要定期或及时升级杀毒软件，并且每天自动更新病毒库。

6、监测系统日志

通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

7、关闭不需要的服务和端口

服务器操作系统在安装时，会启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器，可以完全关闭;对于期间要使用的服务器，也应该关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

　一、Domino Web服务器配置

　　Domino Web服务器的工作方式是：Domino Web服务器检查外来请求中的URL，确定该请求是针对Domino数据库中的条目还是文件系统中的HTML文件。如果是HTML文件，Domino服务器将同其他Web服务器一样，为Web客户机提供文件服务。如果请求的是Domino数据库中的内容，Domino将与数据库交互作用，为Web客户机处理消息，或者将信息从Web客户机存入数据库。

　　Domino支持URL扩展，该扩展使得Web客户机能够使用Domino功能。例如：Http//www．kingstone．com/hello．nsf﹖OpenDatabase可以用于打开Kingstone．com站点上的数据库等。

　　配置Domino Web服务器步骤如下：

　　1．首先启动Domino Administrator，在Domino Administrator中，单击“配置”附签，选择“服务器”，然后打开“服务器”文档。

　　2．选择“端口→Internet端口→Web附签”，然后填入TCP/IP端口号，如果你的NT装有IIS，建议选择端口号不要和IIS相同，如8081等。

　　3．选择“Internet协议→HTTP附签”，然后在DNS查询项中选择“禁用”，这样可以改善Domino服务器性能。接着启用“联编到主机名”，在“主机名”中输入别名，这样可允许用户使用不同于Domino服务器名的别名来访问Web服务器。最后在“允许HTTP客户浏览数据库”一栏中选择“是”，允许Web用户使用“﹖OpenServer”命令显示服务器上的数据库列表。

　　4．选择“Internet协议→Domino Web引擎”，然后选择“启用”，使搜索站点者可以访问本站点。

　　5．最后在NT控制台中输入命令“tell

　　http restart”，重新启动http服务，使得修改得以生效。

　　6．其它Domino Web服务器控制操作：

　　(1)手动启动Web服务器，在控制台中输入“load http”。

　　(2)启动Domino时自动启动Web服务器，只需在NOTES．INI中编辑ServerTasks，使其包括http命令。

　　(3)关闭Web服务器可以在控制台中输入“tell http quit”。

　　二、Domino Web服务器应用

　　Domino Web服务器较之IIS系统的优点在于：Domino Web服务器包含了数据库、页面、应用程序，同时提供了众多的模板，使得用户可以迅速完成一个含数据库功能复杂站点的建设。以下结合一个Web方式BBS系统的创建要点介绍Domino Web服务器的应用构建要点。

　　1．建立BBS组件

　　(1)数据库：向HTTP服务器显示一个Notes数据库来组织、保存数据和设计元素以供Web用户查看。

　　(2)表单：为用户提供向数据库中输入新信息和查看现有信息的框架。

　　(3)文档：保存数据库数据的单个W-eb页面。

　　(4)域：文档中的域包含了一部分信息，例如人名、注释、号码、日期或计算结果。

　　(5)导航器：作为图像映像出现在W-eb页面上，导航器提供了图形化的方式来让用户查找文档或在打开的数据库中执行操作而不用打开视图。

　　(6)主页面：可使用AboutDatabase文档或表单、导航器制作，也可直接用HTML文件。

　　(7)链接：Domino支持数据库链接、文档链接、视图链接以及URL链接。

　　(8)公式与Lotus Script：大部分公式、@函数和Script都可在Web上应用。

　　(9)代理和动作：代理通常由动作触发或在表单提交时被触发，动作用于链接Notes对象和触发代理建立。

　　2．规划BBS站点

　　Web站点是组织起来的信息集合，这些信息保存在Domino服务器上的一个或多个数据库中。规划Web 站点时，要考虑到构建站点的数据库、视图、表单和导航器的类型和存取级别(使用读者、作者、编辑者、管理者四种权限等级)。

　　3．实现BBS站点

　　Domino自动地将所有的设计元素和文档转换成Web页面。因此，创建了带有视图、导航器、表单和文档的数据库，就相当于创建了Web页面。

　　(1)主页数据库：站点主页文档，包括站点介绍以及其他有关数据库视图、文档或导航器的链接。

　　(2)注册区数据库：注册表单，更改个人信息表单。

　　(3)讨论区数据库：主文档表单，答复文档表单，答复的答复文档表单，以及按作者、按日期、按主题的视图各一张，按作者、按日期、按主题的导航器各一个。

　　(4)精华区数据库：主文档表单，按作者、按日期、按主题的视图各一张，按作者、按日期、按主题的导航器各一个。

如何配置网络服务器安全

1、安装补丁程序任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”打上。大部分中小企业服务器使用的是微软的 Windows2000/2003操作系统，因为使用的人特别多，所以发现的Bug也比较多，同时，蓄意攻击它们的人也很多。微软公司为了弥补操作系统的 安全漏洞，在其网站上提供了许多补丁，可以到网上下载并安装相关升级包。对于Windows2003，至少要升级到SP1，对于Windows2000， 至少要升级至ServicePack2。

2、安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的 产品。对于企业内部网来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是并不是安装了防火墙之后就万事大吉了，而是需要进行适当 的设置才能起作用。如果对防火墙的设置不了解，需要请技术支持人员协助设置。

3、安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件。同时，在网络版的杀毒软件使用中，必须要定期或及时升级杀毒软件。

4、账号和密码保护账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

5、监测系统日志通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

6、关闭不需要的服务和端口　　服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。

形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

6、关闭不需要的服务和端口　　服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。

　阿江的Windows 2000服务器安全设置教程

　 前言

　其实，在服务器的安全设置方面，我虽然有一些经验，但是还谈不上有研究，所以我写这篇文章的时候心里很不踏实，总害怕说错了会误了别人的事。

　本文更侧重于防止ASP漏洞攻击，所以服务器防黑等方面的讲解可能略嫌少了点。

　 基本的服务器安全设置

　 安装补丁

　安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。

　 安装杀毒软件

　虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。我一直在用诺顿2004，据说2005可以杀木马，不过我没试过。还有人用瑞星，瑞星是确定可以杀木马的。更多的人说卡巴司机好，不过我没用过。

　不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

　 设置端口保护和防火墙、删除默认共享

　都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以擞出来看看，晚些时候我或者会复制一些到我的网站上。

　 权限设置

　阿江感觉这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。

　 权限设置的原理

　WINDOWS用户，在WINNT系统中大多数时候把权限按用户（组）来划分。在开始→程序→管理工具→计算机管理→本地用户和组管理系统用户和用户组。

　NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。文件（夹）上右键→属性→安全在这里管理NTFS文件（夹）权限。

　IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户），当用户访问你的网站的ASP文件的时候，这个ASP文件所具有的权限，就是这个“IIS匿名用户所具有的权限。

　 权限设置的思路

　要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

　在IIS的站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑填写刚刚创建的那个用户名。

　设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

　这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。

　 我的设置方法

　我是先创建一个用户组，以后所有的站点的用户都建在这个组里，然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。

　因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和组，不知道怎么设置文件夹权限，不知道IIS站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来，具体的方法其实自己也能摸索出来的，我就是这样。当然，如果我有空，我会写我的具体设置方法，很傲能还会配上。

　 改名或卸载不安全组件

　 不安全组件不惊人

　我的在阿江探针19里加入了不安全组件检测功能（其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的），这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。

　其实，只要做好了上面的权限设置，那么FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。

　最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

　 卸载最不安全的组件

　最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个BAT文件，

　regsvr32/u C:WINNTSystem32wshomocx

　del C:WINNTSystem32wshomocx

　regsvr32/u C:WINNTsystem32shell32dll

　del C:WINNTsystem32shell32dll

　然后运行一下，WScriptShell, Shellapplication, WScriptNetwork就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全了。

　 改名不安全组件

　需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shellapplication为例来介绍方法。

　打开注册表编辑器开始→运行→regedit回车，然后编辑→查找→填写Shellapplication→查找下一个，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}和“Shellapplication。为了确保万无一失，把这两个注册表项导出来，保存为 reg 文件。

　 比如我们想做这样的更改

　13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

　Shellapplication 改名为 Shellapplication_ajiang

　那么，就把刚才导出的reg文件里的内容按上面的对应关系替换掉，然后把修改好的reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的`那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

　下面是我修改后的代码（两个文件我合到一起了）：

　Windows Registry Editor Version 500

　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

　@="Shell Automation Service"

　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

　@="C:WINNTsystem32shell32dll"

　"ThreadingModel"="Apartment"

　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

　@="ShellApplication_ajiang1"

　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

　@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

　@="11"

　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

　@="ShellApplication_ajiang"

　[HKEY_CLASSES_ROOTShellApplication_ajiang]

　@="Shell Automation Service"

　[HKEY_CLASSES_ROOTShellApplication_ajiangCLSID]

　@="{13709620-C279-11CE-A49E-444553540001}"

　[HKEY_CLASSES_ROOTShellApplication_ajiangCurVer]

　@="ShellApplication_ajiang1"

　你可以把这个保存为一个reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

　 防止列出用户组和系统进程

　我在阿江ASP探针19中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：

　开始→程序→管理工具→服务，找到Workstation，停止它，禁用它。

　 防止Serv-U权限提升

　其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

　用Ultraedit打开ServUDaemonexe查找Ascii：LocalAdministrator，和#l@$ak#lk;0@P，修改成等长度的其它字符就可以了，ServUAdminexe也一样处理。

　另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

　 利用ASP漏洞攻击的常见方法及防范

　一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

　如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。

　作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

vps服务器的安全设置：

一、禁止默认共享。

方法一：

建立一个记事本，填上以下代码。保存为bat并加到启动项目中

net share c$ /del

net share d$ /del

net share e$ /del

net share f$ /del

net share ipc$ /del

net share admin$ /del

方法二：修改注册表，（注意修改注册表前一定要先备份一下注册表，备份方法。在 运行>regedit，选择 文件》导出 ，取个文件名，导出即可，如果修改注册表失败，可以找到导出的注册表文件双击运行即可。）

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters，新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

二、远程桌面连接配置。

开始 > 程序 > 管理工具 > 终端服务配置 > 连接

选择右侧”RDP-tcp”连接右击 属性 > 权限 删除(除system外)所有用户组 添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员也无法使用终端服务。

三、serv_u安全设置（注意一定要设置管理密码，否则会被提权）

打开serv_u,点击“本地服务“，在右边点击”设置/更改密码“，如果没有设置密码，”旧密码为空，填好新密码点击”确定“。

四、关闭139、445端口

①控制面板-网络-本地链接-属性(这里勾选取消"网络文件和打印机共享")-tcp/ip协议属性-高级-WINS-Netbios设置-禁用Netbios，即可关闭139端口

②关闭445端口（注意修改注册表前一定要先备份一下注册表，备份方法。在 运行>regedit，选择 文件》导出 ，取个文件名，导出即可，如果修改注册表失败，可以找到导出的注册表文件双击运行即可。）

HKEY_LOCAL_MACHINESystemCurrentControlSetServices etBTParameters

新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”

五、删除不安全组件

WScriptShell 、Shellapplication 这两个组件一般一些ASP木马或一些恶意程序都会使用到。方法：在“运行”里面分别输入以下命令

①regsvr32 /u wshomocx 卸载WScriptShell 组件

②regsvr32 /u shell32dll 卸载Shellapplication 组件。

③regsvr32 /u %windir%system32Wshextdll

六、设置iis权限。

针对每个网站单独建立一个用户。

①首先，右击“我的电脑”》管理》本地计算机和组》用户，在右边。右击“新用户”，建立新用户，并设置好密码。②设置站点文件夹的权限

然后，打开internet信息服务管理器。找到相应站点。右击，选择“权限”

选择权限后只保留一个超级管理员administrator(可以自己定义)，而不是管理员组administrators。和系统用户(system)，还有添加访问网站的用户。可以点击“添加”将刚才在系统创建的用户(如test)添加里面。然后勾选该用户（test）读取和运行、列出文件夹目录、读取、写入的权限。超级管员(administrator)”完全控制”，系统用户（system） “完全控制”权限。并且选择用户(test)“高级”点击“应用”后，等待文件夹权限传递完毕。

然后点“确定”。

注意：

③设置访问用户。

右击 站点 属性==》目录安全性==》编辑， 将刚才添加的用户(如test)添加到匿名访问用户。密码和添加用户时密码一致。

④设置站点访问权限。

右击要设置的站点。属性==》主目录 本地路径下面只选中 读取 记录访问 索引资源其它都不要选择。执行权限 选择 “纯脚本”不要选择“脚本和可执行文件”。其它设置和就是iis站点的一般设置，

注意：对于 ASPNET 程序，则需要设置 IIS_WPG 组的帐号权限、上传目录的权限设置。这时需要注意，一定要将上传目录的执行权限设为“无”，将文件夹的写入权限选上,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里触发执行,对于纯静态网站(全部是html)将(纯脚本)改成(无)。对于某些程序可能要求everyone有完全控制的权限，可以将网站访问用户(如test用户)对文件夹设置完全控制的权限就行了，并不需要添加everyone来设置完全控制。

七、数据库安全设置

一定要设置数据库密码。另外。对于sql数据库建议卸载扩展存储过程xp_cmdshell

xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句：

use master

sp_dropextendedproc xp_cmdshell

如果你需要这个存储过程，请用这个语句也可以恢复过来。

sp_addextendedproc xp_cmdshell, xpsql70dll

八、防止access数据库被下载

在IIS属性 ——主目录——配置——映射——应用程序扩展那里添加。mdb文件的应用解析。注意这里的选择的D LL不要选择aspdll,找一个映射里面不使用的dll文件。

九、利用防火墙限制端口。

对外只打开自己需要的端口，对于vps用户，需要打开网站服务端口80，远程登录端口3389，景安公司提供的密码修改服务端口6088,如果使用的有serv_u等ftp服务软件，需要打开21端口。

具体打开端口请参考下面：

1、 右击网上邻居选择“属性”,===>本地连接==属性==高级设置，选中”启用”按钮2、 点击“例外”==》添加端口。根据自己需要添加对外的端口。注意在添加的端口前面勾选上3、 添加完端口,点击”确定”确定

十、防止列出用户组和系统进程

如果上传asp木马用户列表可能会被黑客利用，我们应当隐藏起来，方法是：

开始→程序→管理工具→服务，找到Workstation，停止它，禁用它。

十一、安装杀毒软件

虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题，可以查杀部分木马程序。建议安装占用内存资源比较小的杀毒软件，另外，要经常升级软件才有效。

不好意思。这些是我在网上找的。