K9 通用版 博客版 主題版 地方門戶版 企業版 |   企業(ASP) 分類 使用 分享 疑問 模板 建議 幫助 錯誤 其他
+新建主題 [Ajax]
填寫帳號密碼即可完成注冊

WinNT服務器安全運行網站的邁克菲(McAfee)配置思路

KingCMS官方網站 | Gougliang | 工具/云推薦 | 閱讀(16948) | 2010-12-29
WinNT包括Windows 2000/2003/2008,McAfee俗稱麥咖啡,官方中文名叫做邁克菲,有個人版本和企業版,都是商業軟件,企業版能自定義規則,合理運用邁克菲配置WinNT的服務器系統,能在一定程度上保護網站數據。下面以McAfee 8.7i Path4為例子分享配置思路。

1、按訪問掃描程序配置思路





因為是服務器,不是個人使用的電腦,所以“按訪問掃描程序”的網絡檢查靈敏度建議調到“非常高”,哪怕誤殺都好過放過一個可疑文件。當然,你已知的非常可信的文件或文件夾就需要設置排除,如下:



為了節省資源,在“按訪問掃描程序”建議設置為寫入時才掃描,讀取的時候就不掃描,另外也制定一下掃描的內容,一般選擇默認+其他文件類型足矣。



2、消息彈出提示配置思路

服務器的軟件越少互動越好,所以建議去掉所有相關的彈出信息提示,比如按訪問掃描實時發現病毒時,檢測到緩沖區溢出時都不必彈出對話框,而是按照預置的動作(隔離或刪除)操作即可。

3、計劃任務配置思路

計劃任務是服務器最經常用到的功能,畢竟更新病毒庫,掃描病毒等都不必人工定時去操作的。



建議設置到每天凌晨之后才執行更新,避免訪問高峰期的資源緊張,同樣,定期掃描敏感文件夾比如C盤,比如網站文件夾也建議安排到月底的深夜,掃描就只需一個月掃一次夠了。

4、訪問保護配置思路

訪問保護也就是McAfee企業版的規則包,比較靈活的地方就在這里。



McAfee自帶的規則根據自身情況設置,在安裝好常用的軟件之后,就算把它自帶的規則都打開,也不會阻擾操作系統的正常運作。如果有不明白的,就報告也打勾,操作給阻擋的話報告就會顯示操作日志的,根據日志排除對應進程即可。

下面就用戶定義的規則展開配置思路:

a、備份文件的配置思路

假如服務器上面有一個文件夾是放置備份的數據庫,網站文件的,可能這些是手工打包的,也可能是使用計劃任務壓縮的。如果服務器給拿下了,這些文件被拷走是很輕松的,還不必逐個網站導出。所以,我們首先對備份文件進行訪問保護。



添加一個對文件或文件夾訪問保護的規則,把以下都打勾:
  • 對文件進行讀訪問;
  • 對文件進行寫訪問;
  • 正在創建的新文件;
  • 正在刪除的文件。
配置好對應的文件夾,如果是定時壓縮備份的話,就排除壓縮程序的進程允許壓縮程序訪問。如果不放心,再對壓縮程序的進程文件進行同樣的設置,增加多一條規則,這樣壓縮程序無法偽造,備份的文件夾也無法復制,剪切等,就算服務器給拿下了,入侵者也是看著不能動。

如果自己要操作,就臨時禁止一下訪問保護即可。此法對備份文件,和一些你認為不愿意隨便給然拷貝走的文件都能如此設置。

b、端口入站出站思路配置

雖然WinNT的安全策略很強大,其中IPSec也能控制每條入站出站,或許使用習慣上的問題。結合安全策略,有不少人也希望通過McAfee來控制端口的訪問。



用McAfee來配置入站和出站端口建議使用分段端口的方法,而且入站和出站是分開規則的。

圖示的是從1-79端口為入站第一條規則,依次為80,81-1000,1001-2000端口,直到65535端口為止。分段端口是方便控制每個端口段的程序,又避免統一使用入站和出站的不嚴密性。

通過3389或者其他端口遠程登陸的服務器就要注意,要添加一條入站的排除,不然設置規則之后連遠程都進不去了。



因為3389在3001-4000端口之間的,增加一個svchost.exe的排除進程就能避免遠程登陸都進不去的尷尬了。估計設置規則的時候不會強制讓你退出的,所以設置端口規則包的時候一定要打開報告,根據日志排除要這個端口的程序進程,才不會阻擾服務器的正常運作,等到配置和運行都沒有問題了,也可以關閉報告的。

根據實際情況,為每個端口段都排除相應的程序,比如ftp服務器端的話,就需要隨機的入站端口,就在每個端口段都排除ftp服務器端程序進程。

通俗點來說,出站端口就是服務器上的程序要上網用到的端口,入站端口就是作為服務的程序要給外面的用戶程序進來用到的端口。入站相對需要多點排除,出站幾乎都能禁止,如果要用IE臨時下載一些文件的話,就排除IE的進程。

c、系統安全配置思路

系統的安全完全依靠WinNT本身的漏洞和基本配置阻擋,McAfee只是從周邊的一些技巧性的方面阻擋惡意操作。比如比較實用的禁止寫入dll:



添加一個對文件或文件夾訪問保護的規則,把以下都打勾:
  • 對文件進行寫訪問;
  • 正在創建的新文件。
照樣新建exe,vxd后綴名的規則,這樣一定程度上防止未知的病毒,和完全禁止了通過web拿到權限提升的新建exe木馬的動作。

遠程的操作,我們也可以使用以下的規則進行禁止



這個不會影響正常的遠程登陸操作。

除了以上的設置,如果要打造精心的安全策略,還可以對注冊表,組策略文件的運行進行禁止操作,相當于拿到遠程帳號,也動不了服務器系統的配置,甚至新建用戶都不給。

d、網站安全配置思路

對于一些特殊的網站,比如比較少更新的,只需要維護他的本身安全,我們可以仿照上面配置禁止創建exe的規則,對以下后綴名進行禁止:js/vbs/htm/html,當然也可以只對某個文件夾進行禁止創建,畢竟大部分網站還是需要生成html等操作的。

對js禁止創建的就依照上面的配置圖更改后綴名即可,以下的則是禁止在fckeditor編輯器文件夾當中上傳js的:



多使用通配符,就能配置對應網站的文件夾的操作。

之所以叫做配置思路,就不詳細進行每步操作截圖了,運用想象力,結合文件/文件夾,端口,注冊表的規則,能對一個網站進行很嚴密的保護,比如只能允許iis進程訪問和ftp程序訪問,其余都拒絕,同時對iis和ftp程序進程保護起來,避免偽造進程讀取。這樣一來,網站文件就無法通過任何途徑拷貝走了,除非把McAfee給禁止掉,但是這將會非常困難,除非重裝系統。

還有一個非常重要的就是,配置好這些規則之后,給McAfee的界面加個密碼鎖定,不然的話,萬一需要這些規則保護時候,給有心人點一下停止訪問保護,你再高明的設置都暫時失效了,相當于擺設,所以最后一步一定是給McAfee界面加個操作鎖,步驟是:工具-鎖定用戶界面。鎖定之后,臨時停止的時候要多操作一步解鎖用戶界面,但是非常值得。花了近90分鐘寫完,希望對訪問KingCMS時看到此文的站長有幫助。

查看評論[查看全部評論]

bleach (07-19 23:29)
還真沒配置過
Ikc (07-19 22:36)
頂~~ 很好的思路!
ammoy001 (03-17 13:08)
不錯的思路,哈哈。
333666a (02-14 22:08)
不錯,呵呵
何苦 (02-14 14:26)
一定要加上一個..阻止iis寫入.asp   .php   .exe等文件.

參考

http://www.heku.org/Unrelated-SEO/mcafee-iis.html
-
---


為啥我編輯完了...就不顯示簽名咯?

博文分類

KingCMS公告欄 K9更新日志 需求調用及運營 開發及問題解答 產品介紹欄 工具/云推薦 媒體報道 雜談其他

根據月份歸類

2016-12 2016-11 2016-10 2016-09
KingCMS 內容管理系統

關于我們 聯系我們 廣告報價 付款方式 站點導航

Copyright © 2004-2015 Focuznet All rights reserved.

廣州唯眾網絡科技有限公司 粵ICP備08008106號

中獎了! 查询河北省11选五的开奖结果