第一篇:SOHO族安全建议:保证上传服务器的安全(推荐)
在网络科技时代,SOHO(SmallOfficeHomeOffice)或远程办公(Tele-office)作为一种新的工作和生活方式,已经慢慢地被一些公司和个人所接受。借助无所不在的网络,很多人呆在自己的空间里工作,这是一种更加自由也更环保的生活,SOHO一方面可以让员工避免上下班拥挤的交通,另一方面也减少了公司昂贵的办公室房租支出,同时也给员工更多的自由空间以激发他们的创意,所以许多大型的企业机构也开始允许和和鼓励职员成为SOHO族。SOHO族们通过网络在公司FTP服务器上传或下载文件,通过QQ和Email与同事或领导、业务上的合作伙伴进行工作交流,通过IE浏览器在互联网上查找各种资料等过程中,应该注意哪些安全问题呢?作为与员工进行交流的桥梁的公司FTP服务器,管理员又该如何保障其安全呢?今天在这里我们主要讲如何保证上传FTP的安全,下期的内容我们将讲如何保障本机的安全。作为员工上传和下载文件的公司FTP服务器必须与Internet相连,而且必须有一个公共的IP地址,才能方便员工正常访问。正是这固定的IP地址,方便了成天游荡于网络上不甘寂寞的黑客们,他们时时刻刻在寻找攻击的目标,哪怕这种攻击与破坏对他们没有丝毫的好处,但这些人仍乐此不彼,把攻击的机器多少作为炫耀他们黑客本事高低的标准。那么对于FTP
服务器来说,可能面临哪些种类的攻击呢?
一、FTP服务器可能受到的攻击虽然Windows操作系统类服务器,操作简单,配置方便,但是微软操作系统的漏洞层出不穷,如果服务器以Windows作为操作系统,管理员永远没有空闲的时候,要时刻关注微软是否又发布了什么新补丁,公布了什么新漏洞,然后在最快的时间内打上补丁,睹上漏洞,而且网上针对Windows的黑客工具也很多,稍微懂点计算机知识的人都可以操作,所以对于稍微重要的服务器,为了保证服务器的安全,管理员都不再愿意使用Windows系统了,而是采用Unix服务器。Unix操作系统的操作要比Windows操作系统要复杂得多,至少可以挡住那些只会使用Windows系统的一类人,而且它的安全性也要高得多。对unix服务器的攻击相对来说也就难些,但是这并不代表就没有攻击,对于这类服务器,可能受到下面两大类型的攻击。1.拒绝服务攻击DoS(DenialofService,拒绝服务),是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。由于典型的DoS攻击就是资源耗尽和资源过载,因此当一个对资源的合理请求大大超过资源的支付能力时,合法的访问者将无法享用合理的服务。遭到DoS攻击时,会有大量服务请求发向同一台服务器的服务守护进程,这时就会产生服务过载。这些请求通过各种方式发出,而且许多都是故意的。在分时机制中,计算机需要处理这些潮水般涌来的请求,十分忙碌,以至无法处理常规任务,就会丢弃许多新请求。如果攻击的对象是一个基于TCP协议的服务,这些请求还会被重发,进一步加重网络的负担。大致说来,有以下几种类型的攻击:(1)消息流消息流经常发生在用户向网络中的目标主机大量发送数据包之时,消息流会造成目标主机的处理速度缓慢,难以正常处理任务。这些请求以请求文件服务、要求登录或者要求响应的形式,不断涌向目标主机,加重了目标主机的处理器负载,使目标主机消耗大量资源来响应这些请求。在极端的情况下,消息流可以使目标主机因没有内存空间做缓冲或发生其他错误而死机。更多请访问智能小游戏 http://
第二篇:如何当好外贸SOHO族
如何当好外贸SOHO族?
如何当好外贸SOHO族?
随着中国加入世贸组织,互联网信息化高速发展带来的机遇,加之传统外贸企业的固疾逐步推生出一个全新的行业??外贸SOHO族。他们厌倦了那种朝九晚
五、板如座种的生活方式,在SOHU中寻找到自我实现的途径。然而,若自我定位不当、业务素养及开拓能力不足就仓促上阵,都可能面临进退维谷的窘境。那么要成为一个成功的外贸SOHO族,需要什么条件?笔者就多年的实践,谈谈我的看法!
一;心理素养 这也许是一场轮盘赌,你当然可能赢得你想得到的自由、惬意,还有大把的美元。不过,你也有可能输得很惨,你会为自己当初冒失的选择而后悔莫及!不要怪我没提醒你噢!有句话你得记住:在这个世界,你有付出却不是百分之百可以得到回报的!首先,你应该得到家人和朋友的理解支持。如果一年下来,你还没“开糊”,如果你碰上一个不守信誉的客户,如果你遇到一个粗制滥造的工厂,如果......。任何时候你要记住的是:家人和朋友永远都是你心灵得以慰籍和停靠的港湾。其次,你必须克服自身的惰性;一旦SOHO的新鲜感一去不返,寂寞和孤独会一齐找上门来。如果你是球迷,你一定会通宵达旦地大球小球连着看,因为闲得累;如果你喜欢社交,你也会对各种聚会乐此不疲,因为闷得慌!然而此时,你必须时时对自己说我是老板,我得更加努力去做我的事。实在无事,你也要不断充实自己,因为你深处一个充满竞争的社会。什么?还是无事可做,那你到最酷外贸论坛www.5tradenet来找我聊聊好了。反正不是有句话“今天不努力工作,明天就得努力找工作”吗!
二;业务素养 要成为一个成功的外贸SOHU族,业务素养的高低是你成功的基石。
1;语言能力 你应该能通晓一门外语。试想一个不能和客户充分勾通的人,很难想象会做好这一行。另外E文的重要性,无须多说!
2;专业知识 你应该熟知外贸专业知识以及一般出口操作流程。这方面并不一定要求很高,但基本常识必须了解。主要包括:常用贸易术语的灵活运用、各类结算方式的利弊以及报关、商检、海运等基本知识。并非广告,记得经常来我的网站看看,肯定对你有帮助哦。另外就是对你所做的产品要有比较专业的了解。一个老练的客户都有很灵敏的嗅觉,他们往往会从与你的交流中,作出是否继续合作下去的判断。对于产品性能、规格、参数等专业知识的熟知度,关系到能否让客户对你形成好的第一印象,这就象谈恋爱时的一见钟情,这一点非常关键。
三;客户资源 固定的客户群,对你事业的起步是必须的;请注意我说的是“群”,而不是单单一两个客户。至少你也得有四五个,有80%以上把握能以后做起来的客人。这里要提醒你的就是,并非以前一直与你合作的客户都愿意和SOHU族的你继续合作。这一点你得有充分的思想准备。要说其原因,你应该能明了!笔者当初离开公司,开始SOHU之旅的时候,曾经打着自己的小九九,掐指一算,满有把握的客户有五六个(有的都合作七八年,自以为关系相当铁,甚至还有几个作了支持的承诺!).事实上,到现在为此,这些老关系也只有一个客户一直在合作,其它的客户都是以后发展起来的。
四;财力资源
1;基础办公设备支出 电脑的重要性不必多说,最好是笔记本,便于随时查阅资料及方便携带。与
电脑匹配的宽带接入以及打印机是任何职业在家办公族的必备武器,扫描仪、数码相机及传真机眼下也缺不了。
2;支付订金所需 要知道,当你开始对工厂下单的时候,你只是一个没有单位、没有公章、没有担保的“三无”个体户。即便交情再好,不支付订金恐怕也不符合现今的商务逻辑。至少开始的一两次订单,你必须有订金才行。如果你能轻易搞定,那最好不过。
3;保险必须要买天有不测风云,人有旦夕祸福。SOHO一族, 养老保险、医疗保险必须要有,以备不测。有些地方个人不好办理的,可以找单位挂靠。据我所知一般在发达国家,人们月收入的30%以上用于购买各种保险。
4;其它开支 杂七杂八比如招待费、差旅费、邮寄费、手机费等等。还有你得准备好一些生活费哦,一般来说第一年入不敷出是正常不过!
话暂至此,想做外贸SOHO族,您都准备好了吗? 什么?你都没问题?!OK,那我们来谈谈实战外贸SOHO的体会,全当抛砖引玉吧!
实战篇
第一步,先得找个可靠的外贸公司挂靠。注意一定得可靠,一般要找实力雄厚的大公司,这样你的资金以及结算上才有安全保障。千万不要因为贪图几个代理费的小钱去找小公司,那样的风险不值得冒!一般地说,1美金大概需要0.06元代理费,外加一年的退税利息。当然你也可以找一个有自营进出口权的工厂代理出口,那样出口退税就可以直接抵扣工厂的?值税,可以不用支付退税利息。不过工厂因受经营范围的局限,难以展开手脚。找好代理之后,让我们开始全新的SOHO之旅吧!
首先;你得为自己建立一个E文网站 战斗开始之前,得先垒好堡垒吧!一个简洁明快、图文并茂的E文网站,是你起步的开始!建议你申请一个一个国际域名,冗长的二级、三级免费域名,谁记得住喔?条件许可也可以弄一个付费空间,这样在速度以及稳定性等方面有了保证!反正肉都买了,也不在乎这点酱钱。实在资金紧张或不想投入太大,我带你去这里:
http://都有不错的免费域名、空间。老外的,不用白不用!最要命的是这两个网站都有很高的国际买家点击量,产品进入他们的数据库,你就等着收订单吧!把你想做的产品都押上来吧,关于产品的资料一定要清晰明了。另外要说的是,尽量要以工厂的名义出现,因为现在许多老外不愿意和外贸公司打交道,这一点要注意!
其次;集中火力进行产品宣传 网站搞好了,还得宣传啊.你可以每隔一个星期在一些著名的商贸站点,发布你的信息,等订单上勾喔。比如:ALIBABA,MADE IN CHINA,ECPLAZA效果都不错哦。不过挨个站点的登陆发布trade leads,的确累人!你可以花些费用买套供求信息发布系统。比如,环球商务信息发布系统、商务快车等效果还算可以,数分钟就让你的产品登上几百个国际供求公告版,感觉只有一个字“爽”!
第三;正确判断有效的询盘 对于客户询盘,我得多说几句。一般来说,如果该客户对你所经营的产品技术参数、规格型号甚至货柜装箱数很了解,这种询盘千万要小心回复。弄不好就会溜掉
一条大鱼哦。另外就是一般产品的销售都有区域性,那些来自你的产品销售区的询盘,也要引起重视。那些对你的产品一知半解,不知所云的询盘,一般不要理睬,理了也白理。
第四;搞定几个稳定的供货商 有了客户,没有稳定可靠的生产工厂也白搭。为方便工作,可以和所代理的外贸公司商量,印一个该公司业务XX部的名片。纯粹是为工作方便而已,如果你拿去招摇撞骗,可与我无关噢。一般地说初次交道,工厂肯定要求打订金,那没办法只好打啦。如果双方都能诚信合作,以后就不用再麻烦了。也许你能巧舌如簧到什么订金都不必,那我一定恭喜你;如果工厂坚持带款提货,那么我只好为你难过,只能怨你自己了。别看人家SOHO那么风光,好运气可不是每个人都有的哦。
第五;广泛发展,多条腿走路 成了SOHO一族,往往意味着更多的自由安排时间。你可以最大限度地和其他行业外贸人士多交流,接触更多的它类产品制造商,千万不要在一棵树上吊死。还是那句老话,多插柳,万一真的成了荫呢!告诉你,不要忘记常来最酷外贸论坛来看看,你一定会有收获的喔。又做广告了?真对不起!
技巧篇
一;如何对付客户要看工厂? 这里有一大法,虚实结合之移花接木。首先和工厂约法三章,不得擅自和客户联系。如果有利可图,一般地说工厂都会同意的。要是感觉不对,换一个工厂呗,同时要求他们为你准备一盒工厂业务部的名片应付客户,联系方式可一定要是你的哦!(是不是感觉有点太那个了,没办法无奸不商嘛!)。
二;注册个人的产品商标 你可以去工商部门注册一个自己专用的商标,所有的产品都用这个商标。这样可以避免以后工厂撇开你,直接和客户打交道的可能,同时也是自身实力的体现。
三;起步阶段没有必要注册公司!如果您已有可靠的客户和供货商,如果现在就注册公司,一来需一大笔注册资金,二来程序较为麻烦,三来运营成本会上升。如果贸然注册,则有可能以后骑虎难下。建议先虚拟一公司,与国外联络,寻找买家。
四;注册离岸公司 如果有了足够的客户和供应商,那么接下来你就得考虑结算款项的快捷安全可掌控。这时你可以注册一个香港离岸公司(手续:需注册者的护照,注册费用大概USD1500,然后每年的维护费用是USD1000)。可以在国内的外资银行开立外币帐户,并在国内自由操作结算业务。香港离岸公司其最大的好处是可以避税。通常的办法是您可以与国内的供货商签订一份代理出口合同,即可回避退税问题.或您公司与工厂直接签订一份代理出口合同,这样,也可以不用在香港成立一家公司,向工厂提供未退税证明,由工厂退税.开立离岸账户的最大好处就是免税和与第三国贸易.
第三篇:服务器安全总结
一、系统的安装
1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。2、IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
[医学教育网整理发布]
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)[医学教育网整理发布]
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。(具体见本文附件1)
3、系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。
4、备份系统
用GHOST备份系统 资料来源 :医 学 教 育网。
5、安装常用的软件
例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6、先关闭不需要的端口 开启防火墙 导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用“Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
修改3389远程连接端口 修改注册表.开始--运行--regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000)
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000)注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口 修改完毕.重新启动服务器.设置生效.二、用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。(该项为可选)
7、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置 1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。删除c:inetpub目录
2、本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改
成功 失败
审核登录事件
成功 失败
审核对象访问
失败
审核过程跟踪
无审核
审核目录服务访问
失败
审核特权使用
失败
审核系统事件
成功 失败
审核账户登录事件 成功 失败
审核账户管理
成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名
启用
网络访问:不允许SAM帐户和共享的匿名枚举
启用
网络访问:不允许为网络身份验证储存凭证
启用
网络访问:可匿名访问的共享
全部删除
网络访问:可匿名访问的命
全部删除
网络访问:可远程访问的注册表路径
全部删除
网络访问:可远程访问的注册表路径和子路径
全部删除
帐户:重命名来宾帐户
重命名一个帐户
帐户:重命名系统管理员帐户
重命名一个帐户
3、禁用不必要的服务 开始-运行-services.msc TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享
文件、打印和登录到网络
Server支持此计算机通过网络的文件、打印、和命名管道共享
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要可禁用
Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。4、修改注册表
修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为SynAttackProtect,值为2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 0
3.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0
4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0
5.不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为IGMPLevel 值为0
6、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
7、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);TTL=108(win2000);TTL=127或128(win9x);TTL=240或241(linux);TTL=252(solaris);TTL=240(Irix);
实际上你可以自己改的:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
8.删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters:AutoShareServer类型是REG_DWORD把值改为0即可
9.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
10、建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中 net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del
5、IIS站点设置:
1、将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。
2、启用父级路径
3、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
5、Web站点权限设定(建议)读 允许 写 不允许 脚本源访问 不允许 目录浏览 建议关闭 日志访问 建议关闭 索引资源 建议关闭
执行 推荐选择 “仅限于脚本”
6、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
7、程序安全: 1)涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;2)需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。3)防止ASP主页.inc文件泄露问题;4)防止UE等编辑器生成some.asp.bak文件泄露问题。
6、IIS权限设置的思路 ?要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
?在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
?设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
7、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,(以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:WINDOWS)regsvr32/u C:WINDOWSSystem32wshom.ocx del C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll del C:WINNTWINDOWSshell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。
8:防止硬盘的非法访问
电脑瘫痪的原因,无非就是操作系统中的一些文件或文件夹被移走或被删除,如果把系统所在的硬盘分区禁用,让电脑盲们无法进入操作系统所在的分区,他就删不了操作系统所在分区的文件或文件夹了,系统也就没事了。
防止别人通过“我的电脑”访问C盘
点击“开始→运行”输入gpedit.msc命令,在打开的组策略编辑器窗口中依次打开“用户配置→管理模板→Windows组件→Windows资源管理器”分支,然后在右边双击“防止从„我的电脑‟访问驱动器”策略项,并在属性设置窗口中选择“已启用”选项,选择要禁止访问的硬盘盘符C盘即可(如图)。
防止别人从“命令提示符”访问C盘
当禁用了通过“我的电脑”访问硬盘后,他人还可以通过“命令提示符”方式进入C盘,所以还应同时禁止通过“命令提示符”访问C盘。方法是在打开的组策略编辑器窗口中依次打开“用户配置→管理模板→系统”分支,然后在右边窗口中将“阻止访问命令提示符”策略项启用即可。
禁止运行“cmd.exe”命令
设置完以上两个策略后,还不能完全防止他人对C盘的访问,原因是登录者仍然可以利用“运行”来执行“cmd.exe”命令,进入“命令提示符”状态,然后再访问C盘。所以,这个命令也应该禁用。方法是在打开的组策略编辑器窗口中依次打开“用户配置→管理模板→系统”分支,然后在右边的窗口中双击“不要运行指定的Windows应用程序”策略项,在该策略项的“属性”窗口中选择“已启用”选项,再单击“显示”按钮,在弹出的“显示内容”对话框中添加“cmd.exe”,这样该应用程序就被禁用了,到此,其他人员就无法访问本地计算机的C盘了。
通过以上的设置以后,我们就可以有效的保护操作系统所在的硬盘分区里的所有文件和文件夹了。我们的操作系统也就安全了。
以上你全做好拉我一般一年内你的服务器终端都是安全的。
第四篇:服务器安全设置
服务器安全设置及项目部署
1.防火墙设置
1)常规中选中启用(推荐)选项
2)例外中添加端口号eg:17999
3)高级中 点击第一个设置,服务选项卡选中“FTP 服务器”和“远程桌面”,ICMP
选项卡选中“允许传入响应请求”
4)我的电脑属性远程远程桌面 勾选允许用户远程连接此计算机
注:打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp],看见PortNamber值了吗?其默认值是:0xd3d,这个是16进制,点击右边的十进制,显示的就是3389了,修改成所希望的端口即可,例如6111。
再打开
[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal
ServerWinStationsRDP-Tcp],将PortNumber的值(也是3389)修改成端口6111。
更改后注意开放防火墙6111端口,否则重起后连不上
2.防火墙软件安装(eg:360安全卫士)
1)打上补丁,修补漏洞
2)关闭自动更新
3.更改虚拟内存
1)电脑高级第一个设置高级更改2000M到5000M
4.本地安全策略
1)管理工具本地安全策略新建
5.数据库安装
1)确保Tcp/Ip启用
SQL server configuration manager SQL server 2005 网络配置 MSSQLSERVER的协议 TCP/IP启动
3)新项目数据库 代理必须启动
6.JDK 安装
环境变量配置:
Eg: java_home:D:Program FilesJavajdk1.6.0_10 classpath:.;%java_home%lib;%java_home%lib tools.jarpath设置%java_home%bin;%java_home%jre6bin;
7.tomcat 安装
8.apache安装
9.负载均衡
10.项目部署
1)数据库还原,附加或数据库新建sql
2)netfee,feecfg,push
注:域名指向
10.其他软件安装(edit记事本,搜狗拼音,
第五篇:服务器安全不容忽视
丢失300M数据企业损失50万 服务器安全不容忽视
尽管早就有朋友建议王强定期给公司的网站做数据备份,尤其对重要的数据要实施多点备份,但是对拥有5年网络经验的王强来说,他怎么也不会相信,这种服务器遭受攻击、客户数据丢失的事情会发生在自己的身上,而导致3000个具名的个人买家资料被外泄。
当发现数据丢失,王强就立即通知公司业务和客服部门引起重视。但值得庆幸的是,目前还没有接到客户的投诉,这表明这些资料还没有落入犯罪分子手中。
对此次数据丢失事件,财务部门预计将给公司带来15万元的经济损失。这让公司领导开始重新考虑数据安全问题。而王强也坦言,对自己的网络技术过度自信,是给公司造成了损失的主要原因。
两大因素威胁企业数据安全:
某互联网安全防护公司内部人士表示,目前网民和企业对互联网的依赖性极高,这也使一部分懂得网络技术的不法之徒提供了便利条件。如今,网络环境已经病毒过度泛滥、黑客过度猖獗,从外再上威胁着企业关键数据的安全。
该人士认为,不可预知的服务器故障、系统崩溃、硬盘损坏、自然灾害等突发事故,也在威胁着企业数据安全并造成企业关键数据的丢失。数据是不可再生或再生需要投入难以估量时间和金钱的,安全可靠的数据保护是业务持续运营和灾难恢复的关键性因素
“丢失300MB的数据可能对于业务部门就意味着50万元的损失,对IT部门来说损失可能达30万”。中国万网网络安全信息专家表示,中小企业及网络技术人员,应使用安全可靠的服务器管理自己的关键数据,并且要掌握数据备份信息,了解关键业务流程中的数据备份情况。
部署数据自动备份 防患于未然
由于传统独立服务器的数据备份和恢复产品使用非常复杂,并且需要企业重金采购专业存储设备及软件方案,在恢复数据时又消耗大量的时间精力,因此,中小企业虽然有数据风险认识,但不想牵扯太多时间和资金,就不愿意使用这种专业设备,最终造成损失惨重。
针对这种既考虑简单、易用,又要省钱实现独立服务器关键数据备份的中小企业客户,目前只有万网在提供此类独立服务器的免费数据备份服务。
对于企业关键数据,万网安全专家指出,务必要保障至少7天一次增量备份,30天一次完整备份机制,保证信息的及时更新和完整性。企业可以通过万网提供的网页式自助平台,数据备份/恢复状态实时查看功能,可以看到企业哪些数据还没有备份,而哪些正在备份中和完成备份,进而完成数据备份。
每台独立服务器都免费配套提供了5G专业数据备份存储空间。“为此,万网斥资三百万元向国外专业数据备份硬件设备提供商采购专业级的备份服务器”万网安全专家表示,在恶劣的互联网环境下,唯有让企业的数据安全,才能实现万网客户服务年的目标。
作者: 天伟数据恢复中心
原文:
发布日期: 2010-05-27 09:11