互易中国独享主机安全使用手册

1.建议您保存好系统密码并定期修改;设置一个复杂的密码组合[字母+数字+特殊符号+16位以上],并定期或不定期更换密码组合规律。
选择“我的电脑” → 右键“管理”。如图1
 
“本地用户和组” →“用户”找到你的那个管理员账号。如图2

 

右键点击设置密码。那个提示WINDOWS的一个安全警告,并不影响你的使用。如图3

 
直接输入新密码,点击确定后,修改密码成功。如图4

 
2.建议开启系统自动更新功能;根本有效的安全维护之道,简单易行.防止系统本身和附加软件BUG导致的远程溢出攻击和蠕虫攻击。
选择“我的电脑” → 右键“属性” 。如图5

 
“系统属性” → “自动更新”,建议您选择每天凌晨进行更新操作。如图6


 
3.开启杀毒软件,经常更新病毒库,定期扫描病毒。(以系统自带诺顿杀毒软件为例)

①.选择“开始→程序→Symantec Clinent Securiy →Symantec AntiVirus 客服端”,进入管理页面。如图7

 
在 Symantec AntiVirus 的"文件"菜单上,单击"调度更新"。如图8

 
在"调度病毒定义更新"对话框中,选中"启用调度的自动更新"。(注意:这既更新了病毒定义也更新了安全风险定义)如图9

 
在"调度病毒定义更新"对话框中,单击"调度",可以根据情况选择自动更新频率和时间,点击确定即可,建议您选择每天凌晨进行更新操作。如图10

 
②设置完自动更新病毒库后,进行设置诺顿的定时扫描。
在 Symantec AntiVirus 的"编辑"菜单上,单击"新建调度扫描"。 如图11

 
输入“名称”和“说明”,点击下一步。如图12

 
选择扫描的频率和时间,选好后点击下一步。(建议选择每天凌晨进行病毒的查杀,那时登陆到服务器的人肯定很少了,有利扫描的速度,也不影响上传、下载的用户的速度)如图13

 
选择需要扫描病毒的磁盘,建议全部选中,保存后设置完毕。如图14

 
4.请注意做好网站的注入漏洞检查,同时做好网站目录访问权限控制。
①.对每个网站单独设立帐户进行管理,设置访问权限为本帐户所在目录,禁止跨帐户访问其它网站目录。
②.定期维护WEB服务器,仔细检查web目录下的文件,定期比较备份文件和web目录文件,以及时发现web木马文件。
③. 硬盘设置为NTFS格式,但切记不要运行不明程序,防止NTFS流攻击。(服务器默认为NTFS)
④. 了解和防止SQL注入、暴库、上传、远程文件包含等严重的漏洞,关注网站程序的最新漏洞信息,并及时打补丁。
提示:根据网站的实际情况,可以选择禁止服务器fso组件,防止webshell木马的远程操作:

5. 请慎重安装硬件驱动,以免损坏操作系统。

6.不要安装路由和远程访问服务,会导致无法远程连接。
打开“开始”菜单→“设置选项”中的“控制面板”选项,点击“管理工具”进入,打开“路由和远程访问”选项。
如图15

 
默认相关服务是停止状态,建议您不要启用相关服务。如图16

 
7.请慎重安装防火墙
如果需要安装防火墙,建议使用WINDOWS自带的防火墙,注意在启用防火墙前一定要先设定好“例外”,至少要添加好远程连接的端口(如TCP3389、5631等端口)后再开启,以免开启后所有端口全部被禁止连接。
打开“开始”菜单→“设置选项”中的“控制面板”选项,点击“Windows 防火墙”进入。(互易中国建议使用Windows自带的防火墙,建议不要安装其他防火墙软件)如图17

 
在“常规”选项卡中选择“启用”,“不允许例外”选项绝对不要选择。如图18

 
在“例外”选项卡中,首先要选中“pcanywhere”“远程桌面”的所有服务,以便可以正常远程连接服务器。如图19

 
可以通过点击下面的“添加程序”和“添加端口”,手工添加你自定义的服务,比如添加FTP服务的21端口。如图20

 
确定后就可以正常使用选中的服务,而不会受到防火墙的屏蔽。如图21

 
在“高级”选项卡中,网络连接设置最好全部选中,然后点击ICMP的“设置”按钮。如图22


进入ICMP设置,icmp的全称是internet control messenge protocal,internet控制信息协议,一般通过icmp的反馈信息来确定网络的状态,比如连接服务器通不通,是否有拥塞等等。实际例子中,比如ping一个服务器ip地址,就是icmp把ping的结果返回给ping命令的发送着,从而让发送着知道网络和服务器的状态。实际上icmp的作用很多的,可以适当的打开或关闭某些功能。当选定鼠标所指的选项时,下方会出来相应的描述信息,可以安装我们的要求进行配置,建议您至少选中“允许转入回显请求”,以便判断服务器的运行状态。如图23

 
8.关闭不需要的服务,防止远程入侵。
比如:server服务,Remote Registry服务,Task Scheduler服务等,既提高服务器性能,又可以提高安全性质。(注:具体要关闭的服务比较多,请根据实际情况设置)
打开“开始”菜单→“设置选项”中的“控制面板”选项,点击“管理工具”进入,打开“服务”选项。如图24

 
在“服务”对话框中,显示全部服务器的加载服务,请您根据情况进行服务的启动和停止。如图25

 
请注意iis的www(World Wide Web Publishing Service)服务必须要设置为自动启动(默认是手工启动),否则服务器重启后,设置站点将不能正常访问。

设置方法:双击World Wide Web Publishing Service选项。如图26

 
打开World Wide Web Publishing Service属性对话框,启动类型选择:自动,确定保存即可。如图27

 
9.启用TCP/IP筛选功能,关闭危险端口,防止远程扫描、蠕虫和溢出攻击。
独享服务器开放的端口:
443(https) 、80(web服务) 、21(ftp服务) 、5631(Pcanywhere) 、1433(Mssqlserver)
22(Ssh)、110,25(mailserver) 、3306(Mysqlserver)、3389 (远程桌面连接)
防火墙除了开放常用端口(见常用端口配置表),另有40个活动端口供用户使用,为TCP30000-30020和UDP 30000-30020;其他端口都是封闭的,如果需要一些没有开放的端口,那么请映射到上述高端端口。
打开“开始”菜单→“设置选项”中的“控制面板”选项,点击“网络连接”进入,双击“本地连接”,点击“属性”按钮。如图28

 
在“本地连接属”性对话框,选中“Internet协议(TCP/IP)”,双击进入。如图29

 
在“Internet协议(TCP/IP)属性”对话框,点击下面的“高级”按钮。如图30

 
在“高级TCP/IP设置”里选中“选项”菜单的“TCP/IP筛选”,双击进入“TCP/IP筛选”对话框。如图31

 
首先选中“启用TCP/IP筛选”,选择“只允许”,点击TCP端口栏的添加按钮,输入TCP端口:80,点击确定,添加所有端口完毕后,确定所有对话框后,系统会自动提示您要重启服务器,重启服务器后新设置端口就可以生效。如图32

 
10.修改%system32%目录下的默认程序命令名字,防止溢出和远程操作。
必要修改的有net.exe、net1.exe、cmd.exe、msconfig.exe、regedit.exe、ping.exe等,请根据您的实际情况进行设置。

11.安装必要的网络管理或监控软件,实时监控攻击事件。
比如Sniffer和HonneyPot软件,监控Hack攻击,收集证据,及时处理。