windows 2003 Vps的安全設置問題教程

總結VPS的安全設置問題，總共11條，要仔細看，防范於未然！
一、禁止默認共享。
方法一：
建立一個記事本，填上以下代碼。保存為*.bat並加到啟動項目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
方法二：修改注冊表，（注意修改注冊表前一定要先備份一下注冊表，備份方法。在 運行>regedit，選擇 文件》導出 ，取個文件名，導出即可，如果修改注冊表失敗，可以找到導出的注冊表文件雙擊運行即可。）
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名為 “AutoShareServer” 數據值為“0”
二、遠程桌面連接配置。
開始 > 程序 > 管理工具 > 終端服務配置 > 連接
選擇右側”RDP-tcp”連接右擊 屬性==> 權限 刪除其它用戶，只保留system,添加administrator(不是administrators),設置這兩個用戶(system和administrator)是”完全控制”權限,這樣即使服務器被創建了其它的管理員.也無法使用終端服務。
三、serv_u安全設置（注意一定要設置管理密碼，否則會被提權）
打開serv_u,點擊“本地服務“，在右邊點擊”設置/更改密碼“，如果沒有設置密碼，”舊密碼為空，填好新密碼點擊”確定“。
四、關閉139、445端口
   
①控制面板網絡本地鏈接屬性(這裡勾選取消”網絡文件和打印機共享”)tcp/ip協議屬性高級WINSNetbios設置==>禁用Netbios，即可關閉139端口.
②關閉445端口（注意修改注冊表前一定要先備份一下注冊表，備份方法。在 運行>regedit，選擇 文件》導出 ，取個文件名，導出即可，如果修改注冊表失敗，可以找到導出的注冊表文件雙擊運行即可。）
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 “DWORD值”值名為 “SMBDeviceEnabled” 數據為默認值“0”
五、刪除不安全組件
WScript.Shell 、Shell.application 這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。
方法：在“運行”裡面分別輸入以下命令
①regsvr32 /u wshom.ocx 卸載WScript.Shell 組件
②regsvr32 /u shell32.dll 卸載Shell.application 組件。
③regsvr32 /u %windir%\system32\Wshext.dll
六、設置iis權限。
針對每個網站單獨建立一個用戶。（下面僅是其中一個站點的權限設置,如果vps上有多個站點，其它站點依據本站點分別設置不同的internet來賓用戶。）
①首先，右擊“我的電腦”》管理》本地計算機和組》用戶，在右邊。右擊“新用戶”，建立新用戶，並設置好密碼。如圖：

例如：本測試添加test為某一網站訪問用戶。
②設置站點文件夾的權限
然後，打開internet信息服務管理器。找到相應站點。右擊，選擇“權限”如圖：

選擇權限後，如下圖：

刪除其它用戶，只保留一個超級管理員administrator(可以自己定義，注意不是管理員組administrators）。和系統用戶 (system)，還有添加訪問網站的inernet來賓用戶。可以點擊“添加”將剛才在系統創建的用戶(如test)添加裡面。然後勾選該用戶（test）讀取和運行、列出文件夾目錄、讀取、寫入的權限。超級管員(administrator)”完全控制”，系統用戶（system） “完全控制”權限。並且選擇用戶(test)“高級”出現如下圖

選中“用在些顯示的可以應用到子對象的項目替代所有子對象的權限項目”點擊“應用”後，等待文件夾權限傳遞完畢。
然後點“確定”。
③設置訪問用戶。
右擊 站點 屬性==》目錄安全性==》編輯， 將剛才添加的用戶(如test)添加到匿名訪問用戶。密碼和添加用戶時密碼一致。

④設置站點訪問權限。

右擊要設置的站點。屬性==》主目錄 本地路徑下面只選中 讀取 記錄訪問 索引資源
其它都不要選擇。執行權限 選擇 “純腳本”。不要選擇“腳本和可執行文件”。如圖所示：

其它設置和就是iis站點的一般設置，不再多說。
注意：對於 ASP.NET 程序，則需要設置 IIS_WPG 組的帳號權限、上傳目錄的權限設置。這時需要注意，一定要將上傳目錄的執行權限設為“無”，將文件夾的寫入權限選上,這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序，也不會在用戶浏覽器裡觸發執行,
對於純靜態網站(全部是html)將(純腳本)改成(無)。
對於某些程序可能要求everyone有完全控制的權限，可以將網站訪問用戶(如test用戶)對文件夾設置完全控制的權限就行了，並不需要添加everyone來設置完全控制。
七、數據庫安全設置
一定要設置數據庫密碼。
另外。對於sql數據庫建議卸載擴展存儲過程xp_cmdshell
xp_cmdshell是進入操作系統的最佳捷徑，是數據庫留給操作系統的一個大後門。請把它去掉。使用這個SQL語句：
use master
exec sp_dropextendedproc ‘xp_cmdshell’
如果你需要這個存儲過程，請用這個語句也可以恢復過來。
第一步執行:
EXEC sp_addextendedproc xp_cmdshell,@dllname =’xplog70.dll’declare @o int
第二步執行:
sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’
 
八、防止access數據庫被下載
在IIS屬性 ——主目錄——配置——映射——應用程序擴展那裡添加。mdb文件的應用解析。注意這裡的選擇的D LL不要選擇asp.dll,找一個映射裡面不使用的dll文件。
 
九、利用防火牆限制端口。
對外只打開自己需要的端口，對於vps用戶，需要打開網站服務端口80，遠程登錄端口3389，如果使用的有serv_u等ftp服務軟件，需要打開21端口。
具體打開端口請參考下面：
1、 右擊網上鄰居選擇“屬性”,===>本地連接==屬性==高級設置

選中”啟用”按鈕.
2、 點擊“例外”==》添加端口。根據自己需要添加對外的端口。注意在添加的端口前面勾選上
3、 添加完端口,點擊”確定”確定
十、防止列出用戶組和系統進程
如果上傳asp木馬用戶列表可能會被黑客利用，我們應當隱藏起來，方法是：
【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。
十一、安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題，但是殺毒軟件避免了很多問題，可以查殺部分木馬程序。建議安裝占用內存資源比較小的殺毒軟件，另外，要經常升級軟件才有效。