V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
SoraneKazehana
V2EX  ›  程序员

来说说一下老生常谈的服务器安全问题吧——WindowsServer 安全

  •  
  •   SoraneKazehana · 2016-12-31 17:25:07 +08:00 · 4659 次点击
    这是一个创建于 2884 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Linux 有 iptable,windows 有防火墙

    不过一些网站渗透的我感觉这两个还是有点不大靠谱

    没有 WAF 的要么就自己写规则,要么就下个安全狗,悬镜,云锁

    我用测试服务器试了下,云锁和安全狗都把阿里云的压测给 BAN 了,说明还是有点用的?

    但是占用资源的话, 1G 内存还是被吃的有点紧

    如果带 WAF 我觉得 WAF 和安全狗之类的是一样的,所以我是 WAF+小红伞服务器版

    占用资源还算少吧,但是用了小红伞一年,感觉也没啥大作为的样子(日志感觉和杀毒软件差不多)

    我感觉对 WINDOWS 来说还是把权限做好吧(提权当我没说)

    因为一年前的权限设置忘了,话说 V2EX 有小伙伴给支援一下 WINDOWS 的权限设置吗

    我参考了下一些服务市场和傻瓜包设置的权限

    有点搞不懂那个主机神的权限,创建了一个账号,给了三个不同的权限

    文件夹删除拒绝,遍历读取属性读取权限,还有一个读取写入删除权限,我有点搞不懂为毛要设置三个权限=。=

    话说 Creative Owner 需要保留给网站文件夹吗?有人说要保留有人说不要保留,如果保留的话,匿名用户上传的文件将会有全部权限,有点不懂这个

    7 条回复    2017-01-01 18:59:45 +08:00
    daolin998
        1
    daolin998  
       2016-12-31 17:40:11 +08:00 via iPhone
    服务器自从装了安全狗就不能卸载,一旦卸载服务器就卡死,装回去啥事没有,在第一次装安全狗以前是不会卡的。
    毕竟是独立服务器 8 核 16g 内存
    SoraneKazehana
        2
    SoraneKazehana  
    OP
       2016-12-31 17:44:06 +08:00
    @daolin998 建议重装系统,备份好重要资料
    应该是哪个和安全狗相关的服务停不了吧
    Technetiumer
        3
    Technetiumer  
       2016-12-31 23:39:20 +08:00
    服务器应该防的是从漏洞或者网站程序那里嘿进来吧?
    安全狗是 WAF ,防从网站程序那里嘿进来,以及扫描网站程序的后门,但是似乎这玩意没有用?
    小红伞是防病毒的吧?有病毒是已经被嘿进来了,并且获得了执行程序的权限。
    SoraneKazehana
        4
    SoraneKazehana  
    OP
       2016-12-31 23:49:22 +08:00
    @Technetiumer 一般是上传文件或者黑入权限修改文件,小红伞也自带防火墙的(电脑版有 server 版应该也有的吧,大概),杀毒软件能检测的出这些,腾讯云也推荐上了 WAF 最好再安装一个服务器用的杀毒软件
    SP00F
        5
    SP00F  
       2017-01-01 04:02:45 +08:00
    3389 的密码设随机,或用证书登录。
    Web 环境相对应设置新建的用户,默认给 Guest 的用户组即可。文件权限一般无必要时只给只读的权限,不给写入。需要写入的权限禁止执行。
    如果闲得蛋疼,可以试一下对 Windows 等相应的系统目录设置权限~ 注册表以及组策略做好设置。
    防火墙限制出入口网络连接,该给的权限给,不该给的权限一概不给。

    一般情况下非 GETSHELL 或者远程执行基本无视 0.0

    对大型服务器群等等基本就累死人了,硬件设备以及定期的黑白盒测试是最好的建议。

    (目前自己的服务器密码一个都不记得。只记得自己电脑里面的证书和密钥密码……服务器间互相白名单限制出入口
    q397064399
        6
    q397064399  
       2017-01-01 06:02:50 +08:00
    安全没有你想的那么难,也没这么多所谓的操作

    绝大部分所谓的黑客,写 expolit poc 的很少,大多都是做黑产的兄弟,其实这群家伙 给你服务器打补丁 杀毒,
    比网管还勤快,现在破坏个资料 盗取个什么的,真要涉及到比较大的经济利益,网警分分钟教你做人,大多都是挂个马
    拿你服务器做个肉鸡 ddos 业务之类的,

    真要碰到 0Day 老老实实加班打补丁,对服务器的口令进行保护,防止暴力破解,公网上尽可能暴露少的端口,服务器躲在 NAT 后面,比什么都安全
    j2001588
        7
    j2001588  
       2017-01-01 18:59:44 +08:00
    最好的办法是用硬件防火墙和 IPS ,总之就是多品牌互补,别用同一家的产品,万一哪家爆了 0DAY 还有另一家可以防护
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1844 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 16:24 · PVG 00:24 · LAX 08:24 · JFK 11:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.