如何在windows下面通过ssh建立安全的ftp服务器

Windows提供了一些远程管理功能，像使用Windows PowerShell，ServerManagerexe，或一个telnet服务器，但它并没有提供原生的SSH(安全外壳)或Secure FTP访问。

　　不过，好消息是它是相当容易成立SSH和安全FTP(SFTP)服务器，让您可以安全地访问命令提示符和文件的电脑或远程服务器示例使用的情况下，包括故障排除，维修，或转移/共享文件，当你走出办公室。你甚至可以决定设置它做SSH隧道，以确保你的Wi-Fi流量使用热点时。

虽然有很多SSH和SFTP服务器可供选择，在这里我们将讨论freeSSHd以下。freeSSH中是一个SSH和Telnet服务器，支持普通的shell或命令行SSH访问，基于SSH的SFTP访问(使用命令行或GUI客户端)，基于SSH隧道(***一样的功能)。

　　freeSSH中很容易通过一个典型的Windows安装程序安装。做虽然确保创建上面的安装结束时，因为它们所需的加密的私钥。

　　配置服务器

　　一旦你打开freeSSHd以下，你会发现一个系统托盘图标，你可以单击“打开服务器设置。如果你没有在安装过程中创建的私钥SSH选项卡并单击“新建”的关键()。否则，你应该做的，为了获得服务器运行的是创建一些用户通过点击“用户”选项卡。

　为了使你的SSH服务器更加安全，考虑强迫用户进行身份验证，通过自己的密码加上一个私钥，他们必须在他们的PC连接时，在他们的客户端程序配置。

　　如果你知道将远程连接到服务器 - 如果它总是会从另一间办公室，有一个静态IP，例如 - 你也可以考虑远程IP地址白名单，以提高服务器的安全性。要做到这一点，只需点击“主机限制”选项卡，并输入IP地址。

　　如果您打算使用SFTP连接来传输文件，单击SFTP选项卡，为用户指定一个默认路径。

　　测试服务器

　　在打开你的防火墙上的SSH端口，可以测试服务器从客户端程序连接同一台PC上使用本地主机的主机地址或IP地址的PC。您可以使用标准的SSH和SFTP客户端，如腻子，WinSCP赋予或FileZilla的。

　　打开防火墙

　　为了从其他电脑SSH端口22必须打开Windows防火墙或任何其他你可能已经安装了个人防火墙访问SSH服务器。您可能已提醒有关允许或禁止访问，当你第一次运行freeSSH中。如果没有，你就无法通过SSH连接其他电脑，仔细检查防火墙的设置。

　　如果你打算通过互联网连接到SSH服务器，路由器和网络PC连接必须被配置为允许访问。在路由器中，您可以使用虚拟服务器或端口转发设置打开SSH端口22和前瞻性的PC主机的SSH服务器的IP地址的流量。

1)、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。

2)、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。

3)、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrator权限的用户只在需要的时候使用。

4)、把系统Administrator账号改名Windows XP的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

5)、创建一个陷阱用户创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

6)、把共享文件的权限从Everyone组改成授权用户 不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的。

7)、不让系统显示上次登录的用户名 打开注册表编辑器并找到注册表项HKLMSoftwaremicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把键值改成1。

8)、系统账号/共享列表 Windows XP的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空连接，还可以在Windows XP的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制）

一、日志记录详细日志二、处理/解决方案

　　1使用防火墙限制指定IP不能访问

　　2在日志》网络信息》源网络地址: 582117237 查到尝试登录IP

　　3使用防火墙限制此IP

　三、具体步骤

　　1 打开服务管理器》高级安全Windows防火墙》如站规则

2 右键，新建入站规则

　 3自定义规则

　对网络服务器的恶意网络行为包括两个方面：一是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露，入侵者更是可以为所欲为，肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。

　 (一) 构建好你的硬件安全防御系统

　选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件：防火墙、入侵检测系统、路由系统等。

　防火墙在安全系统中扮演一个保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色，监视你的服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。

　 (二) 选用英文的操作系统

　要知道，windows毕竟美国微软的东西，而微软的东西一向都是以Bug 和 Patch多而著称，中文版的Bug远远要比英文版多，而中文版的补丁向来是比英文版出的晚，也就是说，如果你的服务器上装的是中文版的windows系统，微软漏洞公布之后你还需要等上一段时间才能打好补丁，也许黑客、病毒就利用这段时间入侵了你的系统。

　如何防止黑客入侵

　首先，世界上没有绝对安全的'系统。我们只可以尽量避免被入侵，最大的程度上减少伤亡。

(一) 采用NTFS文件系统格式

　大家都知道，我们通常采用的文件系统是FAT或者FAT32，NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限，还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。

　(二)做好系统备份

　常言道，“有备无患”，虽然谁都不希望系统突然遭到破坏，但是不怕一万，就怕万一，作好服务器系统备份，万一遭破坏的时候也可以及时恢复。 

　(三)关闭不必要的服务，只开该开的端口

　关闭那些不必要开的服务，做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的，甚至可以说是危险的，比如：默认的共享远程注册表访问(Remote Registry Service)，系统很多敏感的信息都是写在注册表里的，如pcanywhere的加密密码等。

　关闭那些不必要的端口。一些看似不必要的端口，确可以向黑客透露许多操作系统的敏感信息，如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统，因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问，还可以返回该服务器上软件及其版本的一些信息，这些对黑客的入侵都提供了很大的帮助。此外，开启的端口更有可能成为黑客进入服务器的门户。总之，做好TCP/IP端口过滤不但有助于防止黑客入侵，而且对防止病毒也有一定的帮助。

（ 四)软件防火墙、杀毒软件

　虽然我们已经有了一套硬件的防御系统，但是“保镖”多几个也不是坏事。

　 (五)开启你的事件日志

　虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用，但是通过他记录黑客的行踪，我们可以分析入侵者在我们的系统上到底做过什么手脚，给我们的系统到底造成了哪些破坏及隐患，黑客到底在我们的系统上留了什么样的后门，我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话，你还可以设置密罐，等待黑客来入侵，在他入侵的时候把他逮个正着。

国外媒体曾报道，Windows服务器在营收比例方面，依然是市场上遥遥的领先者。鉴于此，我们为广大读者收集整理了一些在Windows服务器管理方面的经验技巧，希望在实践工作中能给您带来一丝灵感。

拒绝服务器重新启动

一般情况下，在Windows 2003 Server系统中安装完补丁程序后，系统总会提示要重新启动一下服务器。可是许多朋友往往无法容忍Windows 2003 Server服务器“慢吞吞”的启动操作，于是希望打完安全补丁之后服务器不再重新启动。其实，Windows 2003 Server服务器是否会重新启动，跟当前的系统补丁特性有一定的关系。对于那些强制需要系统启动的安全补丁，一般是无法让服务器拒绝的;但对于那些没有强制要求系统启动特性的补丁来说，可以采取如下办法：

1在Windows 2003 Server服务器系统桌面中，依次单击“开始”/“运行”命令，在随后打开的系统运行对话框中，输入字符串命令“cmd”，单击“确定”按钮之后，将系统工作模式切换到MS-DOS状态下;

2在DOS命令行中，通过“cd”命令将当前目录切换到补丁程序所在的目录，然后执行“aaa /”字符串命令(其中aaa就是当前需要安装的系统补丁名称)，在其后出现的提示界面中，检查一下当前补丁是否带有“-z”参数，要是带有该参数的话，就表明当前补丁在安装完毕后可以不强制要求系统进行重新启动;

3接着在DOS命令行中，再输入字符串命令“aaa -z”，单击回车键后，该补丁程序就会自动安装到系统中，并且不会要求服务器系统进行重新启动。

取消对服务器的限制访问

为了提高员工的工作效率，单位最近打算把Windows 2003终端服务器的访问权限向每一个员工进行开放，但考虑到安全性，网络管理人员仅为所有员工提供了相同的一个帐号来登录Windows 2003终端服务器。可是员工们在用该帐号登录终端服务器时，发现同一时间内服务器只能允许一个人登录进服务器，而且后来的员工一登录进服务器后，前一个员工就会“被迫”退出终端服务器的登录。出现这种现象到底是怎么回事呢，那有没有办法让所有员工在同一时间内，使用同一帐号都能顺利登录进行服务器呢

其实上述这种现象，主要是由于Windows 2003终端服务器在默认状态下，启用了“限制每一个用户只能使用一个会话”功能造成的，取消其就能解决问题。

1“开始”菜单，依次执行其中的“设置”/“控制面板”命令，然后双击其中的“管理工具”图标，进入到终端服务配置窗口;

2在该配置窗口中，用鼠标双击一下“服务器设置”处的“限制每一个用户只能使用一个会话”选项，在其后出现的选项设置对话框中，将其的复选框取消选中，“确定”。并重新启动一下服务器系统，这样员工们日后使用相同的帐号，就能同时登录进Windows 2003终端服务器系统中了。

远程查看服务器日志文件

网管完全可以利用服务器的日志文件，来实现保护服务器安全的目的。不过，服务器的日志文件通常只能在服务器本地查看到，可是万一网络管理人员出远门，该如何保证远程察看Windows 2003服务器提供了远程维护功能，不过默认状态下并没有开通，需要手工启动。

　Windows 2000 Server、Freebsd是两种常见的服务器。第一种是微软的产品，方便好用，但是，你必须要不断的patch它。Freebsd是一种优雅的操作系统，它简洁的内核和优异的性能让人感动。关于这几种操作系统的安全，每种都可以写一本书。我不会在这里对它们进行详细描述，只讲一些系统初始化安全配置。

　 Windows2000 Server的初始安全配置

　Windows的服务器在运行时，都会打开一些端口，如135、139、445等。这些端口用于Windows本身的功能需要，冒失的关闭它们会影响到Windows的功能。然而，正是因为这些端口的存在，给Windows服务器带来诸多的安全风险。远程攻击者可以利用这些开放端口来广泛的收集目标主机信息，包括操作系统版本、域SID、域用户名、主机SID、主机用户名、帐号信息、网络共享信息、网络时间信息、Netbios名字、网络接口信息等，并可用来枚举帐号和口令。今年8月份和9月份，微软先后发布了两个基于135端口的RPCDCOM漏洞的安全公告，分别是MS03-026和 MS03-039，该漏洞风险级别高，攻击者可以利用它来获取系统权限。而类似于这样的漏洞在微软的操作系统中经常存在。

　解决这类问题的通用方法是打补丁，微软有保持用户补丁更新的良好习惯，并且它的Windows2000SP4安装后可通过WindowsUpdate来自动升级系统补丁。另外，在防火墙上明确屏蔽来自因特网的对135-139和445、593端口的访问也是明智之举。

　Microsoft的SQLServer数据库服务也容易被攻击，今年3月份盛行的SQL蠕虫即使得多家公司损失惨重，因此，如果安装了微软的'SQLServer，有必要做这些事：1）更新数据库补丁；2）更改数据库的默认服务端口（1433）；3）在防火墙上屏蔽数据库服务端口；4）保证 sa口令非空。

　另外，在Windows服务器上安装杀毒软件是绝对必须的，并且要经常更新病毒库，定期运行杀毒软件查杀病毒。

　不要运行不必要的服务，尤其是IIS，如果不需要它，就根本不要安装。IIS历来存在众多问题，有几点在配置时值得注意：1）操作系统补丁版本不得低于SP3;2）不要在默认路径运行WEB（默认是c:inetpubwwwroot）；3）以下ISAPI应用程序扩展可被删掉：。 idaidqidc shtm shtml printer。

　 Freebsd的初始安全配置

　Freebsd在设计之初就考虑了安全问题，在初次安装完成后，它基本只打开了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也应该把它关闭（因为历史上Sendmail存在诸多安全问题）。方式是编辑/etc/rcconf文件，改动和增加如下四句：

　sendmail_enable="NO"

　sendmail_submit_enable="NO"

　sendmail_outbound_enable="NO"

　sendmail_msp_queue_enable="NO"

　这样就禁止了Sendmail的功能，除非你的服务器处于一个安全的内网（例如在防火墙之后并且网段中无其他公司主机），否则不要打开Sendmail。

　禁止网络日志：在/etc/rcconf中保证有如下行：

　syslogd_flags="-ss"

　这样做禁止了来自远程主机的日志记录并关闭514端口，但仍允许记录本机日志。

　禁止NFS服务：在/etc/rcconf中有如下几行：

　nfs_server_enable="NO"

　nfs_client_enable="NO"

　portmap_enable="NO"

　有些情况下很需要NFS服务，例如用户上传的目录通常需要共享出来供几台WEB服务器使用，就要用到NFS。同理，要打开NFS，必须保证你的服务器处于安全的内网，如果NFS服务器可以被其他人访问到，那么系统存在较大风险。保证/etc/inetdconf文件中所有服务都被注销，跟其他系统不同，不要由inetd运行任何服务。将如下语句加进/etc/rcconf：

　 inetd_enable="NO"

　所有对/etc/rcconf文件的修改执行完后都应重启系统。

　如果要运行Apache，请编辑httpdconf文件，修改如下选项以增进安全或性能：

　1） Timeout 300>Timeout 120

　2） MaxKeepAliveRequests 256

　3） ServerSignature on>ServerSignature off

　4） Options IndexesFollowSymLinks行把indexes删掉（目录的Options不要带index选项）

　5） 将Apache运行的用户和组改为nobody

　6） MaxClients 150——>MaxClients 1500

　（如果要使用Apache，内核一定要重新编译，否则通不过Apache的压力测试，关于如何配置和管理WEB服务器请见我的另一篇文章）

　如果要运行FTP服务，请安装proftpd，它比较安全。在任何服务器上，都不要打开匿名FTP。

　Windows 2000 Server和Freebsd两种服务器的安全配置就向大家介绍完了，希望大家已经掌握。

系统安全：

1设置较为复杂的主机密码，建议8位数以上，大小写混合带数字、特殊字符，不要使用123456、password等弱口令。

2开启系统自动更新功能，定期给系统打补丁。

3windows主机安装安全狗、360主机卫士等防入侵的产品。

4做好网站的注入漏洞检查，做好网站目录访问权限控制。(建议将网站设置为只读状态，对需要上传附件等目录单独开通写权限功能，对上传文件目录设置为禁止脚本执行权限)

5如果用于网站服务，建议安装我们预装“网站管理助手”的操作系统模板，该系统我们做过安全加固，比纯净版要更安全。新建网站强烈建议用网站管理助手创建，本系统创建的网站会相互隔离，避免一个网站被入侵就导致其他网站也受影响。

6关闭不需要的服务，如server,worksation等服务一般用不上，建议禁用。

7启用TCP/IP筛选功能,关闭危险端口,防止远程扫描、蠕虫和溢出攻击。 比如mssql数据库的1433端口，一般用不上远程连接的话，建议封掉，只允许本机连接。

8如果自己安装数据库，建议修改为普通用户运行，默认是system权限运行的，非常不安全。查看帮助

9如果是自主安装纯净版的系统，建议修改掉3389、22等默认端口，用其他非标准端口可以减少被黑的几率。

九个步骤确保Windows Server企业安全

虽然无法彻底防止企业遭受攻击，但这里的九个步骤可以大大降低Windows Server企业安全风险。部署这些技巧后，进一步观察你的管理环境，根据你的安全形势适当引入第三方工具或技巧。

PKI改进有助于Windows服务器的安全

公钥基础设施促进安全行业各个部门致力于维护和改善与PKI技术相关的方方面面。从根证书颁发机构到X509认证，都证明了其在保护服务器基础设施及数据方面的成功。每发布一个新的Windows Server版本，人们都希望看到服务器公钥基础设施的变化和改进。

Windows Server 2012中的安全变化

安全一直是IT部门关注的重点，微软也通过不断聆听客户的声音将一些好的创新应用到Windows Server的最新版本中，而且使它们部署起来更加方便。所有这些现象背后是微软对一些关键技术的改进，如NTFS的改进以及对旧版本BIOS的替换以提供新的安全功能。

增强你的信息安全知识

作为一名技术人员，每天都围绕着信息安全是件痛苦的事情，更不用说突然出现的各种更新和挑战。信息安全项目是Windows Server安装的重要安全组成部分，所以管理员应该学习和调整自身的信息安全技能。

组建一个功能性的企业IT安全委员会

成立一个安全委员会，包括IT以外的人，由此帮助每个人对安全相同的认识。从人力资源、行政管理或法律等多方面或得提高安全性的信息。