在線技術支持 - 文檔下載 - 如何付款 - 聯系方式 - 幫助中心  
資訊中心
當前位置:首頁 - 資訊中心 - 公司產品資訊 - 正文
VPS使用必讀
文章來源:本站原創   文章類型:    點擊數:47674    更新時間:17-12-13

尊敬的用戶:

您好!

    首先感謝您使用59互聯提供的優質虛擬化服務,59互聯致力于推動企業快速發展,提供可靠的虛擬化服務

和全面的管理解決方案,為了更好的使用和維護您的VPS,請您務必閱讀并注意以下幾點:

為了安全地使用Windows云主機,建議應用如下幾個簡單的安全加固措施。雖然簡單,但是已足夠防御大部分較常見的安全風險。
一、設置強密碼
  Windows服務器創建后會給管理員(Administrator)帳號自動生成的隨機密碼,在首次登入Windows服務器后,建議立即更改密碼。密碼盡量隨機,要包含數字,大小寫字母和特殊符號,長度至少12位。可以采用一些工具,例如:https://identitysafe.norton.com/password-generator,生成較強的隨機密碼。并且以后至少每隔3個月修改一次密碼。
  修改密碼的方法為:在管理員成功登入主機后,按"Ctrl-Alt-Delete",選擇"修改密碼" (提示:可以通過美團云Web終端登入,點擊右上角的"Ctrl-Al-Delete"按鈕輸入該按鍵組合)
二、開啟自動系統更新
  Windows服務器如已獲得原廠正版授權,可以開啟Windows更新服務,自動更新修補系統漏洞,以避免被惡意攻擊者利用侵入服務器。請用下面流程檢查是否啟用自動更新,如果沒有啟用,則建議啟用。
  Windows Server 2008
  點擊任務欄的"服務器管理器"圖標 在右側的面板中,點擊"配置更新" 在彈出的對話框中,選擇"自動安裝更新"
  Windows Server 2012
  點擊任務欄的"服務器管理器"圖標 打開服務器管理器儀表盤,點擊"配置此本地服務器" 點擊"Windows更新"后的鏈接 在彈出的窗口,如果未啟用自動更新,則顯示如圖所示警示,點擊"啟用自動更新"。
三、開啟防火墻
  服務器已經提供了防火墻服務,如果您正在使用云主機,可以對防火墻服務進行防火墻設置。配置相對簡單宜用。如果其功能滿足需求,建議關閉Windows系統內置的防火墻。否則可以參考以下內容設置Windows內置的防火墻。
  如果Windows服務器購買了公網帶寬,則會有一個帶公網IP地址的網卡與公網對接。用戶可以訪問這個IP地址訪問部署在主機上的服務。但是與此同時,惡意攻擊者也可能利用系統漏洞,通過這個公網IP侵入你的服務器。此時,除了要開啟自動更新及時修復系統漏洞外,還建議開啟Windows server的防火墻,減少直接暴露在公網的端口,降低危險端口暴露在公網的風險。并且,對于遠程桌面(TCP 3389)等用于管理目的的服務端口,最好設置允許訪問的IP白名單,以盡量減少被惡意掃描的風險。
開啟Windows防火墻的步驟如下:
  Windows server 2008
  點擊任務欄的"服務器管理器"圖標 在右側的面板中,點擊"轉到Windows防火墻" 在左側的樹狀列表中,鼠標右鍵點擊"高級安全Windows防火墻" 在彈出的對話框中,選擇"公用配置文件"葉簽,確定"防火墻狀態"為"開啟",點擊"確定"關閉對話框
  開啟防火墻后,為了不影響遠程桌面的訪問,需要確保允許遠程桌面的訪問,方法為:
  在左側的樹狀列表中,展開"高級安全Windows防火墻",點擊"入站規則",在中間的規則列表中,查看"遠程桌面(TCP-In)"是否開啟。如果沒有開啟,選中該規則,點擊右側的"啟用規則"開啟
  Windows server 2012
  點擊任務欄的"服務器管理器"圖標 打開服務器管理器儀表盤,點擊"配置此本地服務器" 點擊"Windows防火墻"后的鏈接 在彈出的窗口,點擊左邊攔的"啟用或關閉Windows防火墻" 在彈出的對話框,確保"公用網絡設置"下選中"啟用Windows防火墻",并且不要勾選下面的兩個復選框。點擊"確定"關閉對話框
  同樣,啟用防火墻后也需要確保允許遠程桌面的訪問,方法為:
  在"Windows防火墻"界面,點擊"高級設置",打開的"高級安全Windows防火墻"窗口 在左邊欄選擇"入站規則",在中間規則列表中,找到"遠程桌面-用戶模式(TCP-In)",且"配置文件"為"公用"的規則。如果沒有開啟,選中該規則,點擊右側的"啟用規則"開啟
  如果安裝了IIS服務,則系統會自動安裝并啟用允許80(HTTP)和443(HTTPS)服務的入站規則,不需要特殊配置。但是如果安裝了第三方的Web服務器,例如LAMP,則需要手動安裝允許訪問80和443的入站規則。Windows 2008/2012的配置方法相同,如下:
  在防火墻"入站規則"界面,點擊右側"新建規則..." 在彈出對話框,選擇"端口",點擊"下一步" "此規則應用于TCP還是UDP?",選擇"TCP";"此規則應用于所有本地端口還是特定的端口": 選擇"特定本地端口",在輸入框中輸入"80, 443",點擊"下一步" 選擇"允許連接",點擊"下一步" 選擇所有復選框,點擊"下一步" 名稱中輸入"Web服務", 點擊"完成"
四、開啟IE增強安全配置
  IE的增強安全配置啟用后,服務器IE瀏覽器只能訪問白名單內網站。這樣能夠有效避免管理員在服務器不小心訪問惡意站點導致服務器感染病毒或木馬。該配置默認開啟。如果沒有開啟,建議開啟。開啟方法為:
  Windows server 2008
  點擊任務欄的"服務器管理器"圖標 在彈出窗口的右側面板,點擊"配置IE ESC",在彈出的對話框開啟/關閉該功能
  Windows server 2012
  點擊任務欄的"服務器管理器"圖標 打開服務器管理器儀表盤,點擊"配置此本地服務器" 點擊"IE增強的安全配置"后的鏈接,在彈出的對話框開啟/關閉該功能
五、安裝并啟用防毒軟件
  更進一步地,還可以安裝并啟用實時殺毒軟件來進一步提高服務器的安全性。一旦惡意軟件突破前面四步構筑的防線,進入了云主機,實時殺毒軟件可以防止惡意軟件在云主機運行,保障云主機的安全性。沒有絕對的安全,只有盡量提升安全,人工+軟件搭配,才能最大限度提升安全。
護衛神•入侵防護系統是一套在黑客入侵的每一個環節設置關卡的防御軟件,通過遠程監控、用戶
監控、進程監控、文件防篡改等模塊,將一切不速之客拒之門外。  Windows Security Essentials是微軟為Windows 7/Vista開發的免費殺毒軟件,可以用于保護Windows Server 2008 R2數據中心版。
  Windows Security Essentials安裝比較簡單,只需要在上述鏈接下載并運行安裝文件,逐步完成向導就能順利完成。
  Windows Server 2012數據中心版可用的(免費)殺毒軟件不多。目前可以申請試用System Center 2012 R2 Configuration Manager,并安裝其附帶的殺毒客戶端System Center Endpoint Protection。
  安裝方法為:
  下載軟件包后解壓(目前為SC2012_R2_SCCM_SCEP.exe),進入SMSSETUP/CLIENT目錄
  雙擊執行scepinstall,按照提示逐步安裝System Center Endpoint Protection。
云棲社區小編建議獨立服務器安裝:mcafee 8.8
六、合理的服務部署架構
  最后,合理的服務部署架構能夠減少整個Windows服務器站點暴露在外的風險點,提升安全閾值。需要遵循的原則是:
  單一角色原則:一臺云主機服務器只做一件事情,只提供一種服務。例如數據庫服務在一臺服務器,Web服務器部署在另外一臺。這樣可以較準確地評估這臺服務器是否需要公網地址,是否需要開啟哪些端口,這樣能夠盡量少地暴露公網地址和端口,從而減少風險點。例如,數據庫服務一般不需要公網地址,這樣就不用購買公網帶寬,既節約了費用,同時也更安全。Web服務器則一般只開啟80/443端口,其他端口都可以通過防火墻關閉。
精簡原則:能不開啟的服務和功能則不開啟,能不安裝的軟件盡量不安裝,能不開啟的端口確保不開啟,能不用公網的主機就不要購買公網帶寬。堅持minimalism的原則,既節能環保,也降低安全風險。
七、更改遠程端口
    有很多暴力破解工具專門針對遠程登錄,更改遠程端口能防范掃描。
更改端口后注意到防火墻添加新端口放行規則,推薦使用我司免費軟件更改,會自動添加好規則。
八、軟件降權設置
    常用的Serv-U、SQL Server、MySQL、Apache、Tomcat等都存在安全隱患。
由于設置方法各不相同不再一一說明
九、禁用不需要的服務
    以下服務必須禁用:Server、Workstation、Print Spooler、Remote Registry、Routing and
Remote Access、TCP/IP NetBIOS Helper、Computer Browser
十、系統權限設置
    由于系統權限設置的地方非常多,我們只能公布常用的部分。
部分文件被系統隱藏了,不便于設置,因此我們先將所有文件顯示出來。

更改系統盤所有者為Administrators
所有盤根目錄只保留Administrators和SYSTEM權限。
系統盤加上Users“讀取權限”,僅當前目錄
·C:\WINDOWS、C:\WINDOWS\system32、C:\Windows\SysWOW64 只保留Administrators和SYSTEM,
以及User讀和執行
·C:\Program Files 、C:\Program Files (x86) 只保留Administrators和SYSTEM
·C:\Program Files\Common Files 、C:\Program Files (x86)\Common Files 只保留
Administrators和SYSTEM,以及User讀和執行
·C:\ProgramData 只保留Administrators和SYSTEM,以及User讀和執行
·C:\Users 只保留Administrators和SYSTEM
·C:\inetpub 只保留Administrators和SYSTEM
·C:\inetpub\custerr 只保留Administrators和SYSTEM,以及User讀
·C:\inetpub\temp 只保留Administrators和SYSTEM,以及User讀寫刪除和IIS_IUSRS讀寫刪除
·C:\Windows\Temp 只保留Administrators和SYSTEM,以及User讀寫刪除和IIS_IUSRS讀寫刪除
·C:\Windows\tracing 只保留Administrators和SYSTEM,以及User讀和network service讀
·C:\Windows\Vss 只保留Administrators和SYSTEM,以及User讀和network service讀寫刪除
·C:\ProgramData\Microsoft\DeviceSync 只保留Administrators和SYSTEM,以及User讀
·C:\WINDOWS\下的部分exe軟件只保留Administrators和SYSTEM,如regedit.exe、regedt32.exe
、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、
activeds.tlb、shell32.dll、wshom.ocx
注意:如果您安裝了SQL Server軟件,還需要給系統盤上SQL Server相關目錄加上NT
SERVICE\MSSQLSERVER的權限。
如果設置后網站無法訪問,給網站目錄加上Users的讀寫刪除權限試試。

十一、卸載危險組件
regsvr32 /u %SystemRoot%\system32\shell32.dll
regsvr32 /u %SystemRoot%\system32\wshom.ocx

59互聯虛擬化服務中心

2017年12月


 
上一篇文章: shopex安裝更換模板
下一篇文章: 優化Linux系統硬盤
鄭州技術支持:0371 - 88888361   域名直線電話 65651185    備案直線電話 65651189    傳真:0371-88888360-777
運營商:鄭州易方科貿有限公司 世紀創聯  ISP:豫B2-20060062-6 豫ICP證:豫B2-20050016  IDC:b1-20183355
總部地址:河南省鄭州市農業路政七街省匯中心A2004  
聲明:59互聯品牌標志、品牌吉祥物均已注冊商標,版權所有,竊用必究。  法律顧問:國基律師事務所代全喜律師
ICP備案:豫ICP備05000583號 營業執照 注冊號:4101002210318 中國電子商務誠信單位 網警備案單位 互聯網協會成員 ISO9001認證企業 ISP、ICP證書 公司營業執照 浙江20选5预测号码