|
|
|
联系客服020-83701501

利用Mcafee打造安全服务器

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
操纵Mcafee打造安然办事器

安然题目永恒是个解不开的结,道高1尺魔高1丈,Linux比Windows更安然、Windows裂痕百出等等说法切实不彻底精确,任何体系都能够打造出1个相对安然的情况,克日就给自己繁冗分享1下迩来给几个友好做的办事器安然经管。

本套经管基于Windows200八R2,同时借助了Mcafee企业版杀毒软件,次若是给自己讲解1个思绪,盼愿能给需求的友好1定的开导。

起首要说的第1点,就是关于Mcafee,Mcafee能够达到的遵命,切实体系都能够做到,只是,对1个小白用户来说,各类复杂的体系设置切实过于头疼,而Mcafee操纵起来则相对繁冗良多了,经过繁冗的理解,1般小白都也许正常操纵,不会因为过度的安然设置而给正常哄骗带来很大的轻易。

接着来说说我团体的经管吧。起首呢,1些繁冗需求的设置是必不可少的,罕用的搜罗如下几点:
1、将ASP等用不到的遵命项关掉,这个每个人的办事器需求都可能不同,自己灵敏牵制便能够了。
2、接着呢,我们给每1个网站零丁分派1个账户,这个账户对缓存目次、需求的dll地点目次、网站目次存在可读取权限,对其余中央彻底不需求任何权限了
三、处理1些需求写入权限的目次。这里以DiscuzX1.5为例,需求写入权限的目次搜罗/data、/uc-server/data、/uc_client/data/cache,设置好写入权限之后,在IIS7里面找到这些目次,将这些目次的脚本实行权限关掉。 参考>>>>
四、将短途桌面的端口改为非默认的三3八九,同时将体系暗码改得略微复杂点。在实践过程中我们发现,有些友好的办事器被黑,切实彻底是被社工了罢了。
5、操纵Mcafee设置1下端口会晤规定,1般办事器不会用来上彀,只是对外供应WEB类办事,以是,直接操纵Mcafee对局部端口直接终止封堵,禁止入站,此中对MYSQL、Memcache、短途桌面等终止繁冗例外放行。
6、操纵Mcafee对罕用挫伤文件终止封堵,这里很繁冗,因为办事器不是个别操纵的,不需求常常终止软件安放,不会常常调动设置,以是,我们直接全局禁止exedllvbscombattxt等挫伤花色的写入(奸淫.exe如许是代表全局exe),具体哪些花色,你能够具体在网上搜集1下。当前要安放法度或许做出其余批改的时候,且自遏制1下Mcafee便能够了
7、操纵Mcafee对DiscuzX1.5的目次终止详细限制,诚今后面用NTFS权限对目次终止了限制,可是逃不过体系泛起裂痕什么的,以是,我们还需求操纵Mcafee对相干目次终止限制,具体是除了/data、/uc-server/data、/uc_client/data/cache以外的其余目次部门彻底禁止写入,再细化1下的话,就是终止1些常见打击体例的防护,比喻说写入多后缀名文件,我们彻底能够操纵Mcafee禁止DiscuzX1.5目次下禁止写入discuzX1.5data奸淫.*.*,诚然,你还能够自己想到1些其余的细化设置,比喻说禁止dataattachment目次写入任何非同意附件花色的文件。
八、禁止cmd.exe被读取,这1点很垂危,良多人颠末体系组件调用cmd来提权。
九、禁止net.exe被读取,黑客新建账号的时候操纵的就是它
十、剩下的,我们还需求对常见的附件目次、数据库终止定期备份

颠末上面几个繁冗的设置,相信我们能够堵住绝大部门的入侵了,那些所谓的小hacker应该是很难拿下你的办事器了。诚然,上面的设置并无对数据库终止防护、没有对恶意删除附件终止防护,这两个方面,下1次将与自己分享繁冗的防护挨次。对上面各条有不理解打听的,能够跟帖,我尽量回答自己。上面的各项但凡繁冗说了1下思绪罢了,并无做详细谨慎的叙述,特此说明,请部门站长友好不要鸡蛋里面挑骨头,感谢感动.

本文摘自青云博客由Internet安然攻防研究室(www.九1ri.org) 音讯安然小组搜集整顿.

数安新闻+更多

证书相关+更多