您现在的位置是:首页 > 程序 > 服务器server网站首页服务器server

星外管理平台进一步提高平台的安全性

windows2003操作系统带有无可修复的安全漏洞,我们要求所有的客户都用2016操作系统,特别是主控,数据库用sql2014。 1.可以将adm目录改成一个只有你才知道的目录名,如dfsdfsfdsfsdfdsf之类的


windows2003操作系统带有无可修复的安全漏洞,我们要求所有的客户都用2016操作系统,特别是主控,数据库用sql2014。

1.可以将adm目录改成一个只有你才知道的目录名,如dfsdfsfdsfsdfdsf之类的

2.在用户权限中,新建立一个超级管理员,将默认的freehost超级管理员的所有权限取消(但不允许删除)

-------------------注意---------------

我们建议所有用户的adm区,就是管理员区,都应该加上IP限制,如果是动态的ADSL ,也可以加上adsl的IP段限制,这样,可以确保没有安全问题,有用户反映管理员密码(他的密码和QQ密码一样)被人知道后在后台加了7000元,用了几个虚拟主机放骗子站.

另外,我们接到报告有用户的后台被人登陆后改了支付宝收款号,经分析很可能是,主控服务器所在的网段的另一台服务器被入侵,安装了cain,监听了密码,为了防止这样的情况,我们建议您作以下处理.
1.限制后台adm目录只能特定的ADSL IP段登陆,您可以在IIS中,找到主控的adm目录,在它的属性,安全性中设置允许的IP段.(对一个地区来说,ADSL的IP段只有几个,你只需要全加上你所属的IP段,别的段拒绝就行了)
示例,如你的IP是114.134.136.221那么,你在IIS中找到后台的目录,在目录安全性中,可以限制为所有IP不能访问,只允许一组计算机访问
114.134.0.0掩码是255.255.0.0
重复这样的设置,只需要添加多次就行了。
(不要因为自己是动态IP就不限制,这样很有可能会入侵!!!!)

2.让机房为主控服务器设置单独的VLAN,和同一网段的服务器完全隔离,这是最根本的解决办法.

如果无法做独立VLAN,参考:

A.可以对主控网站启用https的登陆方式,就是你访问后台时,用https://域名/adm的文件访问,关于https的配置办法可以参考
http://www.google.com.hk/search?hl=zh-CN&newwindow=1&safe=strict&tbo=d&q=iis+%E9%85%8D%E7%BD%AEhttps&btnG=Google+%E6%90%9C%E7%B4%A2


B.对3389登陆采用加密方式
方法一,用证书,这是最安全3389登陆的办法:
http://www.lengmo.net/post/760/

方法二,用Ipsec
http://www.zgdnjj.com/html/51/n-4551.html


3.有条件主控服务器应该用独立的服务器,上面不要开用户的站,另外,不要自己做asp文件或PHP文件放在主控站上.

4.主控服务器所在的主控网站目录(D:\freehostmain),不能改动目录的权限,不然会造成安全问题,正常这个目录只有adms,system及freehostwebrunat读的权限,任何别的权限增加了,都造成安全问题,也不能在主控目录中放探针,或PHP文件,或别的操作ACCESS的代码.

5.如果主控服务器上也要开虚拟主机给用户用,你必须要用最新版本的受控,并启用拦截可能入侵功能.

6.不能在主控上安装CMS或新闻管理系统,如果需要,请另找一个受控开个虚拟主机安装。

7.远程桌面连接配置。
开始 > 程序 > 管理工具 > 终端服务配置 > 连接
选择右侧”RDP-tcp”连接右击 属性 > 权限 删除(除system外)所有用户组 添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。


TAG: 无标签

上一篇:关于名片

下一篇:已经是最后一篇

文章评论 (0)

    • 这篇文章还没有收到评论,赶紧来抢沙发吧~


Top