网站服务器提高安全性方案

1、安装系统补丁

2、安装杀毒软件

虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。前段时间搞木马免杀对杀毒软件有一定深入了解，单独杀病毒软件时代已过时了，建议用瑞星杀木马很厉害、卡巴斯基也不错。不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

3、删除默认共享、禁用某些服务

如：Remote Registry、Task Scheduler、Telnet、Print Spooler、Server、TCP/IPNetBIOSHelper 等

4、删除一些不必要的用户,给administrator改名，密码设定复杂密码。

5、在组策略设定“帐户锁定策略”输错5次，帐号锁定30分钟。防别人爆力猜解密码。

6、安装防火墙，计算机上都有一些服务，不管是服务器系统还是个人系统。而每一种服务都对应着一个甚至多个端口。而你开的端口越多，被攻击的风险越大，关闭13

7、13

8、139和445端口，所以你要尽量少开端口。但有的朋友对计算机网络不是非常熟悉，不知道如何关闭端口，就需要使用防火墙来把我们的计算机与互联网上的黑客相隔离。ARP防火墙。

7、如果没有装防火墙就用netstat –na查系统开放那些端口，可以用IPSec（IP安全策略来阻力这些端口）。

8、因为是服务器都要开放远程桌面服务，方便管理，设定远程桌面连接权限，把远程桌面器权限只允许几个用户，把administrators这组权限拿掉。好处黑客通过Webshell在你的服务器建一个管理员帐号也无法远程桌面到你的服务器。最好方法启用基于IPSEC安全协商加强远程桌面服务（3389端口），就算你放开3389端口也知道你的用户及密码，也法远程连到你的服务器。最好把3389端口改成其他端口，通过修改注册表实现。如：10001。

9、启动系统审核策略，将审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件启用成功方式的审核，有黑客入侵可以查到日志。

10、禁用Guests组用户调用cmd.exe命令,命令：cacls C:\WINNT\system32\Cmd.exe /e /d guests

11、每天检查网站主目录有没有产生木马文件，如php和asp结尾不熟悉的文件，如发现木马文件服务器被入侵了，及时处理查找从那里入侵的。

12、定期检查有没有后门的隐藏帐号和克隆帐号。

二、网站安全相关设置

1、系统盘及目录权限设定：administrators组全部权限，system 全部权限，将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限，然后做如下修改：

C:\Program Files\Common Files 开放Everyone 默认的读取及运行列出文件目录读取三个权限，

C:\WINDOWS\ 开放Everyone 默认的读取及运行列出文件目录读取三个权限，C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限，这样设置完这后我们的服务器就很安全了.这样asp木马无法在系统目录下运行了。系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限。

2、如果服务器里有多个网站，为了防止旁注给每个网站新建一个用户，只加入guests组，

每个网站匿名用户启用相对应的用户。

3、每个网站主目录设定权限只允许administrators和system组完全控制权限，网站用户只读和执行权限，对于要上传文件目录权限设定只读和写入，但是不要执行权限,这样上传了木马也运行不了。

4、改名或卸载不安全组件

在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是非常重要的。

ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、work、FSO、Adodb.Stream组件来实现其功能，除了FSO之外，其他的大多可以直接禁用。

WScript.Shell组件使用这个命令删除：regsvr32 WSHom.ocx /u

work组件使用这个命令删除：regsvr32 wshom.ocx /u

Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令：cacls C：\windows\system32\shell32.dll /e /d guests

5、SQL Server2005数据库管理也要设定复杂密码,mssql的sa用户，删除不必要的存储过程，因为有些

存储过程能很容易地被人利用起来提升权限或进行破坏。如:不需要扩展存储过程xp_cmdshell请把它去掉。xp_cmdshell根本就是一个大后门等, 使用IPSec策略阻止所有地址访问本机的TCP1433与UDP1434端口,SQL里面用户权限细化。

6、很多WEB服务器都会安装FTP服务器，方便上传更新网站，防止Serv-U权限提升，FTP用户是明文验证的，被别人嗅探到有写的权限FTP帐号就可以提权，最好用IPSec安全策略加强安全，不用FTP时关闭FTP服务。

7、网站管理后台及上传页入口不要取常见的文件名。

8、用一些黑客工具检测你的网站有没有漏洞和注入点，发现及时修复。常用的工具如啊D

注入、明小子等。

9、只保留要用的应用程序映射

绝对不要使用IIS默认安装的WEB目录，而需要在E盘新建立一个目录。然后在IIS管理器中右击主机->属性->WWW服务编辑->主目录配置->应用程序映射，只保留asp和asa，其余全部删除。

10、定期做好备份。

三、被入侵后紧急补救方法