當然,這里的安全設置教程對Windows Server 2003同樣有效,只是部分步驟有所不同,僅供參考。
其實,不管是windows服務器系統,還是linux服務器系統,只要設置好安全策略,都能最大程度上地保證服務器安全,說不上用linux一定比windows安全,關鍵是看你怎么用,怎么設置安全策略,怎么避免漏洞被利用;windows服務器系統要保證安全,關鍵是要避免這個系統的漏洞被利用。下面是具體的安全配置基礎教程,僅供參考,按個人喜歡而設置:
修改管理員賬號及密碼
windows 2008服務器系統通過遠程登陸來管理的,默認管理員賬號是administactor;如果對方知道你的賬號,可能通過暴力解密獲取你的密碼;所以,要及時修改管理員賬號。
修改流程是:選擇“單擊“開始→運行”,在彈出的運行對話框中輸入“gpedit.msc”打開組策略編輯器,依次展開“設置→→本地策略→安全選項”,并將右邊列表框下拉到最底下,雙擊“重命名系統管理員賬戶”即可更名;修改賬號名稱以后,還要記得修改密碼,建議不低于18位的密碼,必用英文大小寫數字的組合。
修改遠程登陸的端口號
windows系統默認的遠程登陸端口號是3389,這個端口號很容易被掃描到,建議修改成較大的端口號,好比23429,注意別和已知的端口號沖突,如果已開啟防火墻,要關閉3389端口,同時打開23429端口號。
修改端口號的流程是:打開“開始→運行”,輸入“regedit”,打開注冊表,進入以下路徑:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp],看見PortNamber值,其默認值是3389,修改成所希望的端口即可,例如23429;再打開[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDPTcp],將PortNumber的值(默認是3389)修改成端口23429,以后登陸的時候輸入計算機名IP:23429。
設置防火墻關閉無用端口
windows 2008服務器系統是自帶防火墻的,防火墻可以設置端口號開閉,上面修改過遠程登陸端口號,要記得關閉3389端口,同時增加新設置的端口號;同時建議用端口掃描工具掃描一下,一般服務器只用開啟三個端口,一個是80端口,一個是你的遠程登陸端口,一個是FTP端口。
開啟防火墻以后,默認是禁止PING的,如果希望服務器支持PING,那么在防火墻設置中刪除相應的禁止規則。另外,防火墻不是默認禁止所有非網絡服務端口的,因此建議大家手動禁止必須要用以外的端口。
去掉FTP及數據庫在線管理
因為windows 2008服務器有圖形化界面,因此可用網盤實現網站的備份,遠程登陸后備份網站,上傳到網盤,再從本地電腦從網盤下載網站內容,這樣便可以不啟用FTP;多開啟一個端口便意味著多一分風險,既然windows 2008服務器系統有圖形化界面,那么便應該好好利用這一點。
至于數據庫在線管理,新手都習慣用phpmyadmin來管理,Linux系統的主機通過IP/some space/的方式管理數據庫,這樣實際上是不安全的,相當于多一個安全隱患;對于windows 2008系統的用戶而言,實際上可以遠程登陸后管理數據庫,好比我的網站www.121h.com,原創登陸以后,用IE瀏覽器訪問127.0.0.7即是我的數據庫管理地址,別的用戶無法直接訪問到數據庫管理后臺。
設置好文件權限及補丁更新
如果是用windows系統的服務器建站,那么一定要設置好文件權限,好比禁止腳本運行什么的,設置好以后,那么網站程序本身的安全性會提高不少;另外,要記得及時更新程序及系統補丁,同時增加錯誤登陸設置,用戶通過遠程來登陸系統,輸錯密碼三次,可以禁止30分鐘或者一天什么的。
前段時間,mysql/php接連爆出相應的漏洞,大家同樣要記得升級這些程序的版本,好比現在虛擬主機Php版本是5.2.17,這是比較老的穩定版本,存在hash沖突漏洞,可以升級到5.3.*或者5.4.*;至于mysql,同樣可以升級到5.5.*版本,直接去官網下載相應的程序升級即可,升級前請確認網站程序支持新版本的軟件。
修改在IDC官網的賬號信息
不管你是購買的什么系統的服務器,都應該保證自己在IDC官網的賬號信息安全,這里的賬號、密碼都應該與平時注冊的賬號密碼不同,避免自己一個賬號失竊,被別人利用到這里。另外,部分IDC還有自己的論壇,雖然去論壇交流可以獲得外鏈,不過注意要保證自己的信息安全,不要透露自己的賬號習慣。
以上是個人維護Windows Server 2008服務器的經驗,算是基礎的安全配置教程,能夠防范大部分的漏洞攻擊;當然,如果內存允許,還可以安裝服務器殺毒軟件,同時增加別的防范設置,不過,對于VPS或者云主機用戶而言,殺毒軟件不是必須的,上層設置中有這些,再安裝殺毒軟件可能會沖突。