服务器安全风险防范方法 服务器安全措施

计算机服务器的安全策略

网站要依靠计算机服务器来运行整个体系，计算机服务器的安全程度直接关系着网站的稳定程度，加强计算机服务器的安全等级，避免网站信息遭恶意泄露。

创新新互联，凭借十多年的成都网站制作、成都网站设计经验，本着真心·诚心服务的企业理念服务于成都中小企业设计网站有成百上千案例。做网站建设，选创新互联建站。

一、基于帐户的安全策略

1、帐户改名

Administrator和guest是Windows系统默认的系统帐户，正因如此它们是最可能被利用，攻击者通过破解密码而登录计算机服务器。可以通过为其改名进行防范。

2、密码策略

密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，密码最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的`加密来存储密码。

对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。

3、帐户锁定

当计算机服务器帐户密码不够安全时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的安全风险。那如何来防止黑客猜解或者爆破计算机服务器密码呢?

其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。

二、安全登录系统

1、远程桌面

远程桌面是比较常用的远程登录方式，但是开启“远程桌面”就好像系统打开了一扇门，合法用户可以进来，恶意用户也可以进来，所以要做好安全措施。

(1).用户限制

点击“远程桌面”下方的“选择用户”按钮，然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户，或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险，管理员一定要严格控制可登录的帐户。

(2).更改端口

远程桌面默认的连接端口是3389，攻击者就可以通过该端口进行连接尝试。因此，安全期间要修改该端口，原则是端口号一般是1024以后的端口，而且不容易被猜到。

2、telnet连接

telnet是命令行下的远程登录工具，因为是系统集成并且操作简单，所以在计算机服务器管理占有一席之地。因为它在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。，并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。

3、第三方软件

可用来远程控制的第三方工具软件非常多，这些软件一般都包括客户端和计算机服务器端两部分，需要分别在两边都部署好，才能实现远控控制。一般情况下，这些软件被安全软件定义为木马或者后门，从而进行查杀。安全期间建议大家不要使用此类软件，因为使用此类工具需要对安全软件进行设置(排除、端口允许等)，另外，这类软件也有可能被人植入木马或者留有后门，大家在使用时一定要慎重。

云服务器被攻击，有哪些防护方法呢？

云技术的出现确实带给了现代企业非常大的便利。但是与好处伴随而来的，当然也有不愿触及的信息安全隐患。既然企业想要利用云技术带来的好处，那么自然也要想办法解决云中安全隐患，降低企业面临的风险。

秘诀一：从基本做起，及时安装系统补丁。不论是Windows还是Linux，任何操作系统都有漏洞，及时打上补丁避免漏洞被蓄意攻击利用，是服务器安全重要的保证之一。

秘诀二：安装和设置防火墙。对服务器安全而言，安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用，但是安装了防火墙并不等于服务器安全了。在安装防火墙之后，还需要根据自身的网络环境，对防火墙进行适当的配置以达到最好的防护效果。

秘诀三：安装杀毒软件。现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播。同时，在网络杀毒软件的使用中，要定期或及时升级杀毒软件，并且每天自动更新病毒库。

秘诀四：关闭不需要的服务和端口。服务器操作系统在安装时，会启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器，可以完全关闭；对于其间要使用的服务器，也应该关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

秘诀五：定期对服务器进行备份。为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同服务器上，以便出现系统崩溃时（通常是硬盘出错），可以及时地将系统恢复到正常状态

秘诀六：账号和密码保护。账号和密码保护可以说是服务器系统的第一道防线，目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施几乎就失去了作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

秘诀七：监测系统日志。通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，就可以知道是否有异常现象。

从以上7个秘诀中，我们可以了解到服务器安全防护的技巧，同时我们也了解了构成云服务器的安全问题。都说云可能引发一场数据安全防护的变革，只要确保云本身的安全，其大数据和处理效率高的特性让传统的IT安全防护等级提升了好几倍，安全系数自然也会提高不少。

如何防范服务器被攻击？

一，首先服务器一定要把administrator禁用，设置一个陷阱账号:"Administrator"把它权限降至最低,然后给一套非常复杂的密码，重新建立

一个新账号，设置上新密码，权限为administraor

然后删除最不安全的组件：

建立一个BAT文件,写入

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32\u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

二，IIS的安全：

1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。

3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

八、其它

1、 系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;

2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装!

3、隐藏重要文件/目录

可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi

-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

5、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery 值为0

NoNameReleaseOnDemand 值为1

EnableDeadGWDetect 值为0

KeepAliveTime 值为300,000

PerformRouterDiscovery 值为0

EnableICMPRedirects 值为0

6. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

7. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

8. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

9、禁用DCOM:

运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

清除“在这台计算机上启用分布式 COM”复选框。

10.禁用服务里的

Workstation 这服务开启的话可以利用这个服务，可以获取服务器所有帐号.

11阻止IUSR用户提升权限

三，这一步是比较关键的（禁用CMD运行）

运行-gpedit.msc-管理模板-系统

-阻止访问命令提示符

-设置

-已启用(E)

-也停用命令提示符脚本处理吗?

(是)

四，防止SQL注入

打开SQL Server，在master库用查询分析器执行以下语句:

exec sp_dropextendedproc 'xp_cmdshell

使用了以上几个方法后，能有效保障你的服务器不会随便被人黑或清玩家数据，当然我技术有限，有的高手还有更多方法入侵你的服务器，这

需要大家加倍努力去学习防黑技术，也希望高手们对我的评论给予指点，修正出更好的解决方案，对玩家的数据做出更有力的保障~~~