其實,不管是windows服務器系統,還(hái)是linux服務器系統,隻要設置好安全策略,都能最大(dà)程度上地保證服務器安全,說不上用(yòng)linux一定比windows安全,關鍵是看你怎麽用(yòng),怎麽設置安全策略,怎麽避免漏洞被利用(yòng);windows服務器系統要保證安全,關鍵是要避免這(zhè)個(gè)系統的(de)漏洞被利用(yòng)。下(xià)面是具體的(de)安全配置基礎教程,僅供參考,按個(gè)人(rén)喜歡而設置:
修改管理(lǐ)員(yuán)賬号及密碼
windows 2008服務器系統通(tōng)過遠(yuǎn)程登陸來(lái)管理(lǐ)的(de),默認管理(lǐ)員(yuán)賬号是administactor;如果對(duì)方知道你的(de)賬号,可(kě)能通(tōng)過暴力解密獲取你的(de)密碼;所以,要及時(shí)修改管理(lǐ)員(yuán)賬号。
修改流程是:選擇“單擊“開始→運行”,在彈出的(de)運行對(duì)話(huà)框中輸入“gpedit.msc”打開組策略編輯器,依次展開“設置→→本地策略→安全選項”,并将右邊列表框下(xià)拉到最底下(xià),雙擊“重命名系統管理(lǐ)員(yuán)賬戶”即可(kě)更名;修改賬号名稱以後,還(hái)要記得(de)修改密碼,建議(yì)不低于18位的(de)密碼,必用(yòng)英文大(dà)小寫數字的(de)組合。
修改遠(yuǎn)程登陸的(de)端口号
windows系統默認的(de)遠(yuǎn)程登陸端口号是3389,這(zhè)個(gè)端口号很容易被掃描到,建議(yì)修改成較大(dà)的(de)端口号,好比23429,注意别和(hé)已知的(de)端口号沖突,如果已開啓防火牆,要關閉3389端口,同時(shí)打開23429端口号。
修改端口号的(de)流程是:打開“開始→運行”,輸入“regedit”,打開注冊表,進入以下(xià)路徑:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp],看見PortNamber值,其默認值是3389,修改成所希望的(de)端口即可(kě),例如23429;再打開[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDPTcp],将PortNumber的(de)值(默認是3389)修改成端口23429,以後登陸的(de)時(shí)候輸入計算(suàn)機名IP:23429。
設置防火牆關閉無用(yòng)端口
windows 2008服務器系統是自帶防火牆的(de),防火牆可(kě)以設置端口号開閉,上面修改過遠(yuǎn)程登陸端口号,要記得(de)關閉3389端口,同時(shí)增加新設置的(de)端口号;同時(shí)建議(yì)用(yòng)端口掃描工具掃描一下(xià),一般服務器隻用(yòng)開啓三個(gè)端口,一個(gè)是80端口,一個(gè)是你的(de)遠(yuǎn)程登陸端口,一個(gè)是FTP端口。
開啓防火牆以後,默認是禁止PING的(de),如果希望服務器支持PING,那麽在防火牆設置中删除相應的(de)禁止規則。另外,防火牆不是默認禁止所有非網絡服務端口的(de),因此建議(yì)大(dà)家手動禁止必須要用(yòng)以外的(de)端口。
去掉FTP及數據庫在線管理(lǐ)
因爲windows 2008服務器有圖形化(huà)界面,因此可(kě)用(yòng)網盤實現網站的(de)備份,遠(yuǎn)程登陸後備份網站,上傳到網盤,再從本地電腦(nǎo)從網盤下(xià)載網站内容,這(zhè)樣便可(kě)以不啓用(yòng)FTP;多(duō)開啓一個(gè)端口便意味著(zhe)多(duō)一分(fēn)風險,既然windows 2008服務器系統有圖形化(huà)界面,那麽便應該好好利用(yòng)這(zhè)一點。
至于數據庫在線管理(lǐ),新手都習(xí)慣用(yòng)phpmyadmin來(lái)管理(lǐ),Linux系統的(de)主機通(tōng)過IP/some space/的(de)方式管理(lǐ)數據庫,這(zhè)樣實際上是不安全的(de),相當于多(duō)一個(gè)安全隐患;對(duì)于windows 2008系統的(de)用(yòng)戶而言,實際上可(kě)以遠(yuǎn)程登陸後管理(lǐ)數據庫,好比我的(de)網站www.2cto.com,原創登陸以後,用(yòng)IE浏覽器訪問127.0.0.7即是我的(de)數據庫管理(lǐ)地址,别的(de)用(yòng)戶無法直接訪問到數據庫管理(lǐ)後台。
設置好文件權限及補丁更新
如果是用(yòng)windows系統的(de)服務器建站,那麽一定要設置好文件權限,好比禁止腳本運行什(shén)麽的(de),設置好以後,那麽網站程序本身的(de)安全性會提高(gāo)不少;另外,要記得(de)及時(shí)更新程序及系統補丁,同時(shí)增加錯誤登陸設置,用(yòng)戶通(tōng)過遠(yuǎn)程來(lái)登陸系統,輸錯密碼三次,可(kě)以禁止30分(fēn)鐘(zhōng)或者一天什(shén)麽的(de)。
前段時(shí)間,mysql/php接連爆出相應的(de)漏洞,大(dà)家同樣要記得(de)升級這(zhè)些程序的(de)版本,好比現在虛拟主機Php版本是5.2.17,這(zhè)是比較老的(de)穩定版本,存在hash沖突漏洞,可(kě)以升級到5.3.*或者5.4.*;至于mysql,同樣可(kě)以升級到5.5.*版本,直接去官網下(xià)載相應的(de)程序升級即可(kě),升級前請确認網站程序支持新版本的(de)軟件。
修改在IDC官網的(de)賬号信息
不管你是購(gòu)買的(de)什(shén)麽系統的(de)服務器,都應該保證自己在IDC官網的(de)賬号信息安全,這(zhè)裏的(de)賬号、密碼都應該與平時(shí)注冊的(de)賬号密碼不同,避免自己一個(gè)賬号失竊,被别人(rén)利用(yòng)到這(zhè)裏。另外,部分(fēn)IDC還(hái)有自己的(de)論壇,雖然去論壇交流可(kě)以獲得(de)外鏈,不過注意要保證自己的(de)信息安全,不要透露自己的(de)賬号習(xí)慣。
以上是個(gè)人(rén)維護Windows Server 2008服務器的(de)經驗,算(suàn)是基礎的(de)安全配置教程,能夠防範大(dà)部分(fēn)的(de)漏洞攻擊;當然,如果内存允許,還(hái)可(kě)以安裝服務器殺毒軟件,同時(shí)增加别的(de)防範設置,不過,對(duì)于VPS或者雲主機用(yòng)戶而言,殺毒軟件不是必須的(de),上層設置中有這(zhè)些,再安裝殺毒軟件可(kě)能會沖突。