簡介
我們從裸機說起——
首先,拔掉網線,按需求分區之後將所有盤格式化為NTFS,在D糟安裝系統。系統裝完之後立刻做一個裸系統的ghost備份,以防後面配置的過程中出意外。
先把驅動都裝上是必要的。之後先裝防火牆,選擇一款好的防火牆是很重要的。能買硬體防火牆最好,推薦的選擇:Cisco PIX系列、天融信 NGFW系列、冰之眼(入侵檢測系統)。沒有硬體防火牆的情況下,使用軟體防火牆,推薦:Blackice(我個人的最愛)、Checkpoint(以色列國家級防火牆)、ZoneAlarm(不太熟悉,但口碑不錯),雖然比較喜歡天網防火牆,但是不推薦伺服器用天網。
裝完防火牆裝防毒軟體,推薦:KV江民防毒軟體(好東西)、諾頓(雖然好,但比較霸道)、卡巴斯基(聽說比較耗記憶體,但對病毒療效狂好)。
操作介紹
開始安裝各種需要的軟體,如果是2003系統,別忘了裝IIS。以上所有軟體都裝在一個非系統盤的指定盤裡。
下面開始給系統打補丁,首先用手頭有的光碟給2k打上SP4或給2003打上SP1。在本地操作的情況下將能打系統和軟體的補丁都打上。之後,在確認防火牆和防毒軟體都設定好的情況下插上網線,開始window update,並升級防毒軟體至最新病毒庫。打完所有的系統和軟體的補丁之後,將網線拔掉,把所有臨時檔案和系統補丁留下的卸載檔案全部刪除,如果覺得占用空間太多還可以把%systemroot%\System32\dllcache\下的所有檔案刪除(系統備份檔案),這將使最後的ghost備份檔案體積比較小。然後再次用ghost備份系統。
之後刪除不安全的組件,需要將WScript.Shell, WScript.Network, Shell.application刪除掉。在cmd下分別輸入(以2k為例,2003路經為D:\windows):
regsvr32/u D:\WINNT\System32\wshom.ocx
del D:\WINNT\System32\wshom.ocx
重新啟動,就OK了。另外入侵者可以利用getobject("WINNT")獲得用戶和進程的列表,可以將Workstation服務禁用作為防範措施。
設定許可權是必要的。首先,確定IIS里要建立幾個站點,之後為每個站點建立一個用戶。在IIS站點的目錄安全性里選擇讓這個用戶作為匿名訪問的帳戶。再設定所有分區都禁止這個用戶訪問,而在站點對應的資料夾設定允許此用戶訪問。這樣即使站點被入侵,入侵者也拿不到伺服器的shell。
一切做好之後用ghost再次備份,並將做好的備份檔案放在與伺服器不在同一區域網路的機器上或相對安全的地方。插上網線,伺服器就可以安全的正常工作了。之後可以在每次伺服器重起時還原一次系統,這都是後話了。