在线技术支持 - 文档下载 - 如何付款 - 联系方式 - 帮助中心  
资讯中心
当前位置:首页 - 资讯中心 - 公司产品资讯 - 正文
VPS使用必读
文章来源:本站原创   文章类型:    点击数:46299    更新时间:17-12-13

尊敬的用户:

您好!

    首先感谢您使用59互联提供的优质虚拟化服务,59互联致力于推动企业快速发展,提供可靠的虚拟化服务

和全面的管理解决方案,为了更好的使用和维护您的VPS,请您务必阅读并注意以下几点:

为了安全地使用Windows云主机,建议应用如下几个简单的安全加固措施。虽然简单,但是已足够防御大部分较常见的安全风险。
一、设置强密码
  Windows服务器创建后会给管理员(Administrator)帐号自动生成的随机密码,在首次登入Windows服务器后,建议立即更改密码。密码尽量随机,要包含数字,大小写字母和特殊符号,长度至少12位。可以采用一些工具,例如:https://identitysafe.norton.com/password-generator,生成较强的随机密码。并且以后至少每隔3个月修改一次密码。
  修改密码的方法为:在管理员成功登入主机后,按"Ctrl-Alt-Delete",选择"修改密码" (提示:可以通过美团云Web终端登入,点击右上角的"Ctrl-Al-Delete"按钮输入该按键组合)
二、开启自动系统更新
  Windows服务器如已获得原厂正版授权,可以开启Windows更新服务,自动更新修补系统漏洞,以避免被恶意攻击者利用侵入服务器。请用下面流程检查是否启用自动更新,如果没有启用,则建议启用。
  Windows Server 2008
  点击任务栏的"服务器管理器"图标 在右侧的面板中,点击"配置更新" 在弹出的对话框中,选择"自动安装更新"
  Windows Server 2012
  点击任务栏的"服务器管理器"图标 打开服务器管理器仪表盘,点击"配置此本地服务器" 点击"Windows更新"后的链接 在弹出的窗口,如果未启用自动更新,则显示如图所示警示,点击"启用自动更新"。
三、开启防火墙
  服务器已经提供了防火墙服务,如果您正在使用云主机,可以对防火墙服务进行防火墙设置。配置相对简单宜用。如果其功能满足需求,建议关闭Windows系统内置的防火墙。否则可以参考以下内容设置Windows内置的防火墙。
  如果Windows服务器购买了公网带宽,则会有一个带公网IP地址的网卡与公网对接。用户可以访问这个IP地址访问部署在主机上的服务。但是与此同时,恶意攻击者也可能利用系统漏洞,通过这个公网IP侵入你的服务器。此时,除了要开启自动更新及时修复系统漏洞外,还建议开启Windows server的防火墙,减少直接暴露在公网的端口,降低危险端口暴露在公网的风险。并且,对于远程桌面(TCP 3389)等用于管理目的的服务端口,最好设置允许访问的IP白名单,以尽量减少被恶意扫描的风险。
开启Windows防火墙的步骤如下:
  Windows server 2008
  点击任务栏的"服务器管理器"图标 在右侧的面板中,点击"转到Windows防火墙" 在左侧的树状列表中,鼠标右键点击"高级安全Windows防火墙" 在弹出的对话框中,选择"公用配置文件"叶签,确定"防火墙状态"为"开启",点击"确定"关闭对话框
  开启防火墙后,为了不影响远程桌面的访问,需要确保允许远程桌面的访问,方法为:
  在左侧的树状列表中,展开"高级安全Windows防火墙",点击"入站规则",在中间的规则列表中,查看"远程桌面(TCP-In)"是否开启。如果没有开启,选中该规则,点击右侧的"启用规则"开启
  Windows server 2012
  点击任务栏的"服务器管理器"图标 打开服务器管理器仪表盘,点击"配置此本地服务器" 点击"Windows防火墙"后的链接 在弹出的窗口,点击左边拦的"启用或关闭Windows防火墙" 在弹出的对话框,确保"公用网络设置"下选中"启用Windows防火墙",并且不要勾选下面的两个复选框。点击"确定"关闭对话框
  同样,启用防火墙后也需要确保允许远程桌面的访问,方法为:
  在"Windows防火墙"界面,点击"高级设置",打开的"高级安全Windows防火墙"窗口 在左边栏选择"入站规则",在中间规则列表中,找到"远程桌面-用户模式(TCP-In)",且"配置文件"为"公用"的规则。如果没有开启,选中该规则,点击右侧的"启用规则"开启
  如果安装了IIS服务,则系统会自动安装并启用允许80(HTTP)和443(HTTPS)服务的入站规则,不需要特殊配置。但是如果安装了第三方的Web服务器,例如LAMP,则需要手动安装允许访问80和443的入站规则。Windows 2008/2012的配置方法相同,如下:
  在防火墙"入站规则"界面,点击右侧"新建规则..." 在弹出对话框,选择"端口",点击"下一步" "此规则应用于TCP还是UDP?",选择"TCP";"此规则应用于所有本地端口还是特定的端口": 选择"特定本地端口",在输入框中输入"80, 443",点击"下一步" 选择"允许连接",点击"下一步" 选择所有复选框,点击"下一步" 名称中输入"Web服务", 点击"完成"
四、开启IE增强安全配置
  IE的增强安全配置启用后,服务器IE浏览器只能访问白名单内网站。这样能够有效避免管理员在服务器不小心访问恶意站点导致服务器感染病毒或木马。该配置默认开启。如果没有开启,建议开启。开启方法为:
  Windows server 2008
  点击任务栏的"服务器管理器"图标 在弹出窗口的右侧面板,点击"配置IE ESC",在弹出的对话框开启/关闭该功能
  Windows server 2012
  点击任务栏的"服务器管理器"图标 打开服务器管理器仪表盘,点击"配置此本地服务器" 点击"IE增强的安全配置"后的链接,在弹出的对话框开启/关闭该功能
五、安装并启用防毒软件
  更进一步地,还可以安装并启用实时杀毒软件来进一步提高服务器的安全性。一旦恶意软件突破前面四步构筑的防线,进入了云主机,实时杀毒软件可以防止恶意软件在云主机运行,保障云主机的安全性。没有绝对的安全,只有尽量提升安全,人工+软件搭配,才能最大限度提升安全。
护卫神•入侵防护系统是一套在黑客入侵的每一个环节设置关卡的防御软件,通过远程监控、用户
监控、进程监控、文件防篡改等模块,将一切不速之客拒之门外。  Windows Security Essentials是微软为Windows 7/Vista开发的免费杀毒软件,可以用于保护Windows Server 2008 R2数据中心版。
  Windows Security Essentials安装比较简单,只需要在上述链接下载并运行安装文件,逐步完成向导就能顺利完成。
  Windows Server 2012数据中心版可用的(免费)杀毒软件不多。目前可以申请试用System Center 2012 R2 Configuration Manager,并安装其附带的杀毒客户端System Center Endpoint Protection。
  安装方法为:
  下载软件包后解压(目前为SC2012_R2_SCCM_SCEP.exe),进入SMSSETUP/CLIENT目录
  双击执行scepinstall,按照提示逐步安装System Center Endpoint Protection。
云栖社区小编建议独立服务器安装:mcafee 8.8
六、合理的服务部署架构
  最后,合理的服务部署架构能够减少整个Windows服务器站点暴露在外的风险点,提升安全阈值。需要遵循的原则是:
  单一角色原则:一台云主机服务器只做一件事情,只提供一种服务。例如数据库服务在一台服务器,Web服务器部署在另外一台。这样可以较准确地评估这台服务器是否需要公网地址,是否需要开启哪些端口,这样能够尽量少地暴露公网地址和端口,从而减少风险点。例如,数据库服务一般不需要公网地址,这样就不用购买公网带宽,既节约了费用,同时也更安全。Web服务器则一般只开启80/443端口,其他端口都可以通过防火墙关闭。
精简原则:能不开启的服务和功能则不开启,能不安装的软件尽量不安装,能不开启的端口确保不开启,能不用公网的主机就不要购买公网带宽。坚持minimalism的原则,既节能环保,也降低安全风险。
七、更改远程端口
    有很多暴力破解工具专门针对远程登录,更改远程端口能防范扫描。
更改端口后注意到防火墙添加新端口放行规则,推荐使用我司免费软件更改,会自动添加好规则。
八、软件降权设置
    常用的Serv-U、SQL Server、MySQL、Apache、Tomcat等都存在安全隐患。
由于设置方法各不相同不再一一说明
九、禁用不需要的服务
    以下服务必须禁用:Server、Workstation、Print Spooler、Remote Registry、Routing and
Remote Access、TCP/IP NetBIOS Helper、Computer Browser
十、系统权限设置
    由于系统权限设置的地方非常多,我们只能公布常用的部分。
部分文件被系统隐藏了,不便于设置,因此我们先将所有文件显示出来。

更改系统盘所有者为Administrators
所有盘根目录只保留Administrators和SYSTEM权限。
系统盘加上Users“读取权限”,仅当前目录
·C:\WINDOWS、C:\WINDOWS\system32、C:\Windows\SysWOW64 只保留Administrators和SYSTEM,
以及User读和执行
·C:\Program Files 、C:\Program Files (x86) 只保留Administrators和SYSTEM
·C:\Program Files\Common Files 、C:\Program Files (x86)\Common Files 只保留
Administrators和SYSTEM,以及User读和执行
·C:\ProgramData 只保留Administrators和SYSTEM,以及User读和执行
·C:\Users 只保留Administrators和SYSTEM
·C:\inetpub 只保留Administrators和SYSTEM
·C:\inetpub\custerr 只保留Administrators和SYSTEM,以及User读
·C:\inetpub\temp 只保留Administrators和SYSTEM,以及User读写删除和IIS_IUSRS读写删除
·C:\Windows\Temp 只保留Administrators和SYSTEM,以及User读写删除和IIS_IUSRS读写删除
·C:\Windows\tracing 只保留Administrators和SYSTEM,以及User读和network service读
·C:\Windows\Vss 只保留Administrators和SYSTEM,以及User读和network service读写删除
·C:\ProgramData\Microsoft\DeviceSync 只保留Administrators和SYSTEM,以及User读
·C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM,如regedit.exe、regedt32.exe
、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、
activeds.tlb、shell32.dll、wshom.ocx
注意:如果您安装了SQL Server软件,还需要给系统盘上SQL Server相关目录加上NT
SERVICE\MSSQLSERVER的权限。
如果设置后网站无法访问,给网站目录加上Users的读写删除权限试试。

十一、卸载危险组件
regsvr32 /u %SystemRoot%\system32\shell32.dll
regsvr32 /u %SystemRoot%\system32\wshom.ocx

59互联虚拟化服务中心

2017年12月


 
上一篇文章: shopex安装更换模板
下一篇文章: 优化Linux系统硬盘
郑州技术支持:0371 - 88888361   域名直线电话 65651185    备案直线电话 65651189    传真:0371-88888360-777
运营商:郑州易方科贸有限公司 世纪创联  ISP:豫B2-20060062-6 豫ICP证:豫B2-20050016  
总部地址:河南省郑州市农业路政七街省汇中心A2004  
声明:59互联品牌标志、品牌吉祥物均已注册商标,版权所有,窃用必究。  法律顾问:国基律师事务所代全喜律师
ICP备案:豫ICP备05000583号 营业执照 注册号:4101002210318 中国电子商务诚信单位 网警备案单位 互联网协会成员 ISO9001认证企业 ISP、ICP证书 公司营业执照