用Mcafee将Windows打造一个相对安全的服务器环境

2020-07-28 16:01:22

字体：大中小

来源：转载

供稿：网友

安全问题永远是个解不开的结，道高一尺魔高一丈，Linux比Windows更安全、Windows漏洞百出等等说法并不完全准确，任何系统都可以打造出一个相对安全的环境，今天就给大家简单分享一下最近给几个朋友做的服务器安全方案本套方案基于Windows2008R2，同时借助了Mcafee企业版杀毒软件，主要是给大家讲解一个思路，希望能给需要的朋友一定的启发。

首先要说的第一点，就是关于Mcafee，Mcafee可以达到的功能，其实系统都可以做到，只是，对一个小白用户来说，各种复杂的系统设置实在过于头疼，而Mcafee使用起来则相对简单很多了，经过简单的了解，一般小白都能够正常使用，不会因为过度的安全设置而给正常操作带来很大的不便。

接着来说说我整体的方案吧。首先呢，一些简单必要的设置是必不可少的，常用的包括以下几点：
1、将ASP等用不到的功能项关掉，这个每个人的服务器需求都可能不同，自己灵活控制就可以了。
2、接着呢，我们给每一个站点单独分配一个账户，这个账户对缓存目录、必要的dll所在目录、站点目录具有可读取权限，对其他地方完全不需要任何权限了
3、处理一些需要写入权限的目录。这里以DiscuzX1.5为例，需要写入权限的目录包括/data、/uc-server/data、/uc_client/data/cache，设置好写入权限之后，在IIS7里面找到这些目录，将这些目录的脚本执行权限关掉。参考>>>>
4、将远程桌面的端口改成非默认的3389，同时将系统密码改得稍微复杂点。在实际过程中我们发现，有些朋友的服务器被黑，其实完全是被社工了而已。
5、使用Mcafee设置一下端口访问规则，一般服务器不会用来上网，只是对外提供WEB类服务，所以，直接使用Mcafee对所有端口直接进行封堵，禁止入站，其中对MYSQL、Memcache、远程桌面等进行简单例外放行。
6、使用Mcafee对常用危险文件进行封堵，这里很简单，因为服务器不是日常使用的，不需要经常进行软件安装，不会经常更改设置，所以，我们直接全局阻止exe/dll/vbs/com/bat/txt等危险格式的写入（**/*.exe这样是代表全局exe），具体哪些格式，你可以具体在网上收集一下。以后要安装程序或者做出其他修改的时候，临时停止一下Mcafee就可以了
7、使用Mcafee对DiscuzX1.5的目录进行详细限制，虽然前面用NTFS权限对目录进行了限制，但是逃不过系统出现漏洞什么的，所以，我们还需要使用Mcafee对相关目录进行限制，具体是除了/data、/uc-server/data、/uc_client/data/cache之外的其他目录全部完全禁止写入，再细化一下的话，就是进行一些常见攻击方式的防护，比如说写入多后缀名文件，我们完全可以使用Mcafee禁止DiscuzX1.5目录下禁止写入discuzX1.5/data/**/*.*.*，当然，你还可以自己想到一些其他的细化设置，比如说禁止data/attachment目录写入任何非允许附件格式的文件。
8、阻止cmd.exe被读取，这一点很重要，很多人通过系统组件调用cmd来提权。
9、阻止net.exe被读取，黑客新建账号的时候利用的就是它
10、剩下的，我们还需要对常见的附件目录、数据库进行定期备份

通过上面几个简单的设置，相信我们可以堵住绝大部分的入侵了，那些所谓的小hacker应该是很难拿下你的服务器了。当然，上面的设置并没有对数据库进行防护、没有对恶意删除附件进行防护，这两个方面，下一次将与大家分享简单的防护措施。对上面各条有不清楚的，可以跟帖，我尽量答复大家。上面的各项都是简单说了一下思路而已，并没有做详细严谨的阐述，特此说明，请部分站长朋友不要鸡蛋里面挑骨头，谢谢！

上一篇：防止黑客侵入你正在使用的Windows系统(克隆管理员账户)

下一篇：Windows控制面板命令大全