来源:蜘蛛抓取(WebSpider)
时间:2017-11-03 05:31
标签:
程序怎么部署到服务器
其他回答(3)
编程方面双核2.2Ghz左右 2G内存 已经足够了 显卡无所谓!
美工方面显示器比较重要 最好配置色彩清晰度高的,显卡和CPU要求也会更高像3D以及图片渲染CPU工作量很大,所以考虑配置些较高的硬件搭配!
首先考虑预算
程序员的电脑配置:
&&&&&&&& 主机的配置大概2000左右(很好的配置,够用三年,4g内存,cpu是 amd 245)
&&&&&&&& 显示器:800左右
美工的电脑配置:
&&&&&&&& 主机配置大概在
&&&&&&&&& 显示器: 1000 到 1200
升级可先不考虑,这是卖电脑忽悠的
dvd刻录不必了,顶多也就配一个,美工需要独立显卡。
讲究这几点
CPU:能搞4核的就搞4核的,多花1-2百块钱可以为你以后的升级节省不少费用
内存:标配4GB吧
硬盘:转速要高 现在500G SATAII 32M cache2的也没几个钱
上面的达到了来看下面的
如果是做什么3D动画之类的美工,你可能要单独配一个专业显卡,如果是做普通的ps,网站切图啥的,根本不需要,主板自带的显卡就能很好的解决问题了。
显示器都配21' 宽屏液晶的吧,还是那句话,如果美工要求很高,建议买作图显示器,DELL的或者SONY的CRT
我是做装机出身的,刚来园子,别的地方只有看和学的份,组装机倒是可以说一下。
1.如果预算足够,建议用DELL的品牌机,用380MT、780MT、980MT,都是三年上门服务的,质量和稳定性都不错。
美工的就用HP或者DELL的工作站级别的。CPU一般是至强的,Quadro的显卡。AMD的行业软件(adobe,autodesk等)支持一般,就别考虑了。
2.如果要性价比,组装机可以考虑i3和i5级别的,内存4GB是起码的,DDR3现在2GB才1300一条,直接用三星金条吧,稳定性和兼容性不错,主板用技嘉的UD3系列的。最关键的是插排用贝尔金的守护者系列,防电涌是关键!!!想不到吧?其实电脑坏90%是因为电涌和静电(一般都是主板坏掉,当然你用杂牌配件我什么都不说了)。程序员的配置如果有钱就上DELL U2311双显示器,如果预算不够就先上一台,显卡用i3的集显就足够了;美工的区别就是显示器一定要用广色域的,DELL-U2410这种级别的,有钱的话上DELL-U3011或者苹果机+苹果液晶,显卡用丽台的Quadro FX系列就好了,专业显卡搭配专业显示器很顺畅的,要注意安装厂商的专用驱动和行业软件商的加速驱动;装好了都是自动识别自动配置色彩模式。预算不够就先用CRT显示器凑合吧。
其实最关键还是整体架构的设计要符合你们的具体情况,做到按需配置。比如搞一台塔式的服务器,内存12GB以上的做虚拟机服务器,在虚拟机上装2008R2,大家远程登录做开发调试更方便。客户端用win7+xp mode做开发和测试。我以前给软件公司做过一个虚拟机服务器,他们装了很多XP和win7客户机系统,写了测试脚本专门跑IE和其他浏览器的兼容性和做其他软件测试。美工就是单独有一台苹果机用来做3D渲染和动画制作(windows机器做动画渲染非常考验耐心的)。还有一台美工高配机器也是2008R2系统,开远程桌面,普通工作在普通美工电脑完成,复杂和工作量大的可以交给苹果和高配机器跑。瘦客户端结合虚拟化技术和VDI能够充分利用高配机器的性能,还给公司省了不少钱。毕竟要求高配置的工作比例不是很高的。
&&&您需要以后才能回答,未注册用户请先。IIS7 配置大全(ASP.NET 2.0, WCF, ASP.NET MVC,php)
字体:[ ] 类型:转载 时间:
IIS7.0版本出来之后,确实功能上比以前的版本功能要强大一些,兼容性也比较好,但是配置起来却有一点麻烦,本文就是为大家介绍一下如何在iis7.0中配置ASP、PHP环境和win2008的共享配置
一、IIS7.0 配置 ASP.NET2.0
&&& 1、ASP.NET 2.0 部署
1)首先打开win7 的特性,路径我已标注
下面选中的是ASP.NET2.0, 如果要支持ASP.NET1.1,你的选中IIS6兼容
2.)设置安全选项
3)添加.Net经典应用程序池
4)将站点转换为Application
5)为站点添加 yourmachinename\IIS_IUSRS权限
6.)右键站点—Manage Application-Advanced Setting 设置当前站点为Classic .Net AppPool
&& 2. 部署WCF
&&& 打开“开始|所有程序|附件|命令提示符”,输入“cd C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation”,回车。再输入“ServiceModelReg.exe -i”,回车。
&& 3. 部署ASP.NET MVC
在IIS7下,部署ASP.NET MVC是最方便的,只需做如下的配置,添加一个集成模式的.NET Application Pool,将它指定给你的ASP.NET MVC Application。
注:vista和Win7 正版用的都是IIS7,所以配置是一样的。
二、windows server 2008 iis7.0的共享配置
& 配置windows server 2008 iis7.0的共享主要是为了方便如果您有2台IIS服务器,我第一台的IIS有个网站,名称为winos吧,第2台IIS没有网站(把默认的删除了),配置好共享配置以后,然后刷新第2台IIS服务器就出来第一台我建的名称为winos网站了,并且我随意在哪台更改什么配置,会自动同步到另一台的IIS那边,原因很简单因为他们使用的是一个配置文件。
&& 1、新建2个共享文件夹,winos存我的网页文件,共享存我的配置文件
&& 2、在第一台的iis上新建一个网站,名称为winos,路径为我共享的的winos文件夹的路径。
1)设置一下连接的凭据
2)看看是否能够在本机浏览
&& 3、配置共享配置,双击共享的配置
1)点击右边导出配置,我们先把配置文件导出
2)在物理路径哪里填写我前面共享的文件,并填写加密的密钥
3)点击连接为设置连接的凭据,点击确定
4)配置位置,启用共享的配置,并填写相关信息
5)输入加密密钥的密码
OK我们第一台的IIS配置完毕
&& 4、:配置第2台IIS服务器(如下图,第2台IIS服务器一个网站也没有)
1)点击共享的配置,填写相关信息
2)输入加密的密钥
3)点击刷新
4)我们在第一台iis服务器建的名称为winos的网站出来了
5)输入网址浏览一下
三、Win7下配置IIS 7.0 php操作环境
注:我们采用的是IIS v7.0+php+mysql+zend在Win7下构建操作环境。
&& 1.、安装IIS v7.0
1)控制面板-程序和功能-打开或关闭Windows 功能
2)测试是否成功安装IIS v7.0,在浏览器输入:
http://localhost/
http://127.0.0.1/%3C/A%3E%3C/P
出现如上界面说明成功安装IIS v7.0
3)新建站点:(默认的站点用作asp/asp.net/,启动8080端口,即访问使用http://localhost:8080/)
&& 2.、配置PHP环境
&& PHP下载地址:/soft/263.html。
1)下载php之后解压到G:\php
2)添加ISAPI筛选器:
3)添加脚本映射:
4)添加应用程序池:
5)更改站点应用程序池,并添加默认文档index.php。
6)修改G:/PHP/php.ini-list 文件名为php.ini,复制到F:/windows/(双系统,Windows 7所在盘符),修改php.ini:使之支持GD,mysql等。
7)修改extension_dir目录:
8)复制libmcrypt.dll,libmysql.dll,php5ts.dll三个文件到F:/windows/System32(双系统,Windows 7所在盘符)下,在默认目录新建一个index.php
9)输入&A href='http://127.0.0.1:8080/'&http://127.0.0.1:8080/&/A& 校验是否成功安装php :
&& 3.、添加Mysql数据库:
&&& Mysql下载地址:。
1)安装Mysql:
2)设置Mysql(这里我们就不详细讲解了,配置教程详见。)
3)校验mysql是否正确安装:
&&&&&&&& a、检测服务管理器中:mysql是否启动:
&&&&&&&& b、使用phpmyadmin能否接入mysql:
&& OK mysql已经正确安装,可以使用了。
& 因为Zend Optimizer的安装不需要任何配置,所以此处省略。安装成功Zend Optimizer之后我们win7下的PHP环境就配置成功了。
& IIS7.0的功能真的是非常实用,功能齐全,比如它的最大化的桌面图形化操作系统,可维护性优秀,且基于IIS v6.0/v7.0(2008),可以支持的脚本相当完整,不仅支持Linux无法支持的asp/asp.net,还可以安装php、mysql、zend实现php环境。同时,利用Serv-U可以实现ftp管理。操作简单,无需键入任何命令就可实现全能型主机。真的是值得下载一用啊!!
IIS7.0下载地址:。本文部分资料参考网络。
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具原文: 年前一直在赶项目,到最后几日才拿到新服务器新添加的硬盘,重做阵列配置生产环境,还要编写部署文档做好安全策略,交给测试部门与相关部门做上线前最后测试,然后将部署文档交给相关部门同事,让他根据部署文档再做一次系统,以保证以后其他同事能自己正常部署服务器,最后终于赶在放假前最后一天匆忙搞定测试后,简单的指导同事按部署文档将服务器重新部署了一次就先跑路回家了,剩下的就留给加班的同事负责将服务器托管到机房了。年后回来上班后按工作计划开始做文档(主要对之前编写的部署文档进行修正和将相关未添加的安全策略添加进文档中,并在测试环境进行安全测试)。等搞定后要对服务器做最后一次安全检查时,运营部门已将网站推广出去了,真是晕死,都不给人活了......只能是加班加点对已挂到公网的服务器日志和相关设置项做一次体检。当然一检查发现挂出去的服务器有着各种各样的攻击记录,不过还好都防住了,没有什么问题,然后就是继续添加一些防火墙策略和系统安全设置。
接下来还是不停的忙,要写《服务器安全检查指引&&日常维护说明》。公司新项目要开发,得对新项目分析需求,编写开发文档,然后搭建前后端开发框架,旧系统要增加新功能,又得写V3、V4不同版本的功能升级开发文档......今天终于忙得七七八八了,回头一看,2月份就这样一眨眼就过去了,看来程序员老得快还是有道理的,时间都不是自己的了。
前面啰哩啰嗦的讲了一大堆费话,现在开始转入正题。
对于服务器的安全,相信很多开发人员都会碰到,但绝大多数人对安全都没有什么概念。记得10年前我刚接手服务器时,仅兴奋,又彷徨,而真正面对时,却无从下手,上百度和谷歌上找,也没有完整的说明介绍,对安全都是一头雾水。刚开始配置的服务器漏洞百出,那时几乎吃睡在机房,也避免不了服务器给黑的事情发生,而且大多被黑后还一无所知,想想都是郁闷~~~当然经验也是在被黑的过程中慢慢升级的,哈哈......
下面就将写好的《服务器安全部署文档》分享出来,希望能对大家有所帮助。当然本人不是黑客,也不知道所有的攻击手段,所以其中可能存在遗漏的地方,也请大家提出建议。按本文档的安全设置思想配置服务器(不同平台、操作系统不同版本的配置都有一定的不同之处,但安全设置思路是共通的),管理的众多服务器(其中包括各种Web服务器、数据库服务器、流媒体服务器、游戏服务器(Linux系统))从2005年到现在,还没发现给入侵成功的例子,当然也有可能没有非常利害的黑客来进行攻击有关,但从中也可以看到安全方面还是有一些保障的(呵呵...自夸的得多了,都不好意思了)。如果手上没有服务器的朋友,也可以在自己电脑用虚拟机安装配置试试(在我公司技术部,将文档发给大家后,不少同事都尝试按文档指引操作过,对提升服务器安全部署还是相当有帮助的)。当然虚拟机在配置时,有一些地方与实际服务器上操作还是有些细微的差别的。
目录1.&&&& 前言.. 32.&&&& 部署环境.. 32.1&&&&&&&& 服务器环境信息.. 33.&&&& 磁盘阵列配置.. 44.&&&& 安装操作系统.. 45.&&&& 安装软件.. 45.1&&&&&&&& 安装磁盘碎片整理程序.. 45.2&&&&&&&& 安装虚拟光盘.. 65.3&&&&&&&& 安装IIS. 65.4&&&&&&&& 安装.NET Framework4. 95.5&&&&&&&& 安装SQL2008. 95.6&&&&&&&& 安装JMail 175.7&&&&&&&& 安装杀毒软件与防火墙.. 176.&&&& 服务器网站与安全配置.. 226.1.&&&&&& 修改系统默认帐户名.. 226.2.&&&&&& 配置帐户锁定策略.. 276.3.&&&&&& 服务器硬盘安全访问安全配置.. 286.4.&&&&&& 配置网站.. 296.5.&&&&&& 配置跨服务器同步更新图片网站.. 686.6.&&&&&& 屏蔽xplog70.dll漏洞.. 756.7.&&&&&& 设置网络访问策略.. 766.8.&&&&&& 设置用户权限分配策略.. 776.9.&&&&&& 关闭默认共享.. 796.10.&&&&&&&& 禁用不需要的和危险的服务.. 796.11.&&&&&&&& 修改审核策略.. 816.12.&&&&&&&& 系统防火墙安全设置.. 826.13.&&&&&&&& 开启远程桌面功能.. 836.14.&&&&&&&& 配置McAfee访问保护.. 906.15.&&&&&&&& 配置McAfee防火墙.. 977.&&&& 部署注意事项.. 103
1.&&&& 前言
其实要配置一台安全的服务器,简单来说就几句话:
能不开放的端口和可以不运行的服务全部关闭或禁用;
使用可进行端口通讯访问策略配置的防火墙;
严格控制系统中各种程序对各个目录创建、修改与删除可执行脚本、动态链接库与程序的权限;
对于网站目录,能写入的目录或文件不能有执行权限,有执行权限的目录不可以赋给写入权限。(这条最为关键)
2.&& &部署环境2.1&& &服务器环境信息服务器硬件配置:
服务器软件环境:
Windwos2008 R2 Enterprise 64Bit
(其实本人最熟悉的还是win2003服务器,由于公司购买的Dell R820服务器不再支持低端系统,没办法只能将自己升级起来,当前如果你的服务器还是使用win2003的话,查看本文还是有一定帮助的,两者只是在配置某些地方有不一样,但整体的安全思想是一致的)
.NET Framework
杀毒软件与防火墙
McaFee 64位vse880;
HostIPS Client700;
邮件发送软件
192.168.1.10
3.&&&& 磁盘阵列配置
具体配置请查看《RAID配置中文手册》,链接地址:http://support1./cn/zh/forum/thread.asp?fid=20&tid=61244配置前,请提前备份好硬盘里的数据,重新做过阵列后,硬盘中的数据将全部丢失。(笔者使用的是Dell R820服务器,Dell服务器的售后服务确实不错,服务器有什么问题,直接打几个售后电话就可以解决,非常方便)
4.&& &安装操作系统具体安装操作步骤,请查看《R820服务器安装指南》1)&& &通过Lifecycle 安装 windows 2008:http://zh./support_forums/poweredge/f/279/t/2812.aspx这个方法是开机直接按F10,进行安装操作系统,可以快速的安装。 其它官方支持的系统安装,只是在选择操作系统的时候,选择对应的就可以进行快速的安装。2)&& &手动安装2012 :http://zh./support_forums/poweredge/f/279/t/9621.aspx这个方法是直接通过2012的安装光盘,从光驱启动进行安装的操作方法。在选择安装磁盘时,可将本文档所在文件夹中的RAID驱动解压到U盘中,将U盘插入服务器后手动选择载入驱动进行安装。其他安装过程的操作方法同平时安装操作系统一样,这里就不做详细描述了。
5.安装软件5.1&&&&&&&& 安装磁盘碎片整理程序
由于服务器的相关文件、图片和各种日志文件会不停的创建与删除,服务器运行时间长了以后,磁盘上会存在很多文件碎片,这样就会降低服务器的性能,缩短硬盘寿命。Diskeeper2011_ProPremier是一个实时碎片整理程序,它不干扰系统资源,自动化运行,可以自动防止关键系统文件产生碎片,实时监控磁盘,一旦产生碎片就进行整理,最大程度地保证系统稳定性和速度,而它的智能文件访问加速顺序技术I-FAAST2.0最高可将最常用文件的访问速度提高80%(平均10%~20%)。(具体介绍请查看官方相关文档)运行安装:
5.2&&&&&&&& 安装虚拟光盘
略5.3&&&&&&&& 安装IIS
打开服务器管理器,选择角色=》点击&添加角色&
选择Web服务器(IIS)
点下一步后,按下图所选内容进行勾选
5.4&&&&&&&& 安装.NET Framework4
运行dotNetFx40_Full_x86_x64.exe安装.net4框架(这个必须在IIS安装完成后才进行安装,这样才会在IIS的相关属性中自动绑定.net4框架)
5.5&&&&&&&& 安装SQL2008
安装SQL2008前,首先要安装.net3.5框架,打开服务器管理器,点击功能=》添加功能=》勾选.NET Framework3.5.1运行安装
继续安装SQL2008,请先操作第6.1修改系统默认帐户名步骤后的管理员用户再进行下面步骤
按6.1操作后,将SQL2008_CHS.iso载入虚拟光盘,运行安装选择&安装&=》 &全新SQL Server 独立安装或向现有安装添加功能&
这里选择的帐户名是SYSTEM,密码为空
操作到这一步时请注意:1)身份验证模式选择混合模式2)设置的SA密码必须为长于32位的中英文(大小写)+数字,谁也记不住的乱码,设置好后都不再使用该账号与密码。3)指定的SQL Server管理员为当前用户(必须是操作第6.1修改系统默认帐户名步骤后的管理员用户,如果不是的话有可能导致登陆不了SQL)
有时候运行到最后一步时会显示安装出错,这时重启后进入控制面板,点击卸载程序,将刚安装的SQL2008删掉后再次重启电脑,进行安装就可以了,当然我试过一次通过,也试过这样操作三四次后才成功,为什么会这样就不知道了。
5.6&&&&&&&& 安装JMail
略5.7&&&&&&&& 安装杀毒软件与防火墙
杀毒软件与防火墙的安装,最好将 &6.14.配置McAfee防火墙& 之前的所有步骤全部完成后才进行,不然可能会造成一些配置或操作无法成功的情况,因为防火墙安装成功后,会阻止系统软件的运行与操作。如果已经安装好了的话,则先打开杀毒软件控制台,将&访问保护&先禁用,而防火墙则先不开启。
具体也不进行细说,直接上图安装杀毒软件:
安装防火墙
直接运行McAfeeHIP_ClientSetup.exe (注:正版的安装方法与下面是不一样的,有一些区别)
运行后不会有任何安装界面出来,等待一会后再运行补丁,如下图
双击鼠标左键就可以了,然后进入下图路径,找到已经安装好的防火墙程序
运行McAfeeFire.exe,就可以打开防火墙软件了
6.&&&& 服务器网站与安全配置6.1.&&&&&& 修改系统默认帐户名
修改系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组),同样改名禁用掉Guest用户。
先对原Administrator用户进行重命名
修改为你自己喜欢的名称
然后新建一个Administrator欺骗帐户,设置混合超长密码
对它进行编辑
删除隶属的组
因这个是欺骗帐户,所以充许网络策略控制访问
将Guest也进行重命名操作
设置完成后必须重启电脑,不然安装SQL时可能会导致安装失败,需要重新安装的问题
6.2.&&&&&& 配置帐户锁定策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为&三次登陆无效&,&锁定时间30分钟&,&复位锁定计数设为30分钟&。
6.3.&&&&&& 服务器硬盘安全访问安全配置
所有磁盘除CREATOR OWNER、administrators和system的用户权限全部删除(C盘必须保留Users用户组,理论上来说是要删除Users用户组的,但很多朋友如果这里直接删除,操作不当的话,网站有可能就访问不了,必须对系统目录下的不少目录重新配置权限非常麻烦,所以本文建议保留,只要按下面的一些设置做到位,这里也不会有多大的安全隐患的)
6.4.&&&&&& 配置网站
将网站代码与图片复制到指定文件夹里
(由于本站的前后端分开,图片站也是独立的,另外做了一个图片异步跨服务器更新程序,所以有下面四个文件夹)
打开服务器管理器,进入本地用户和组管理,为上面几个网站添加对应的绑定用户,并分别设置超长混合密码,并记录下来,后面备用
注:后来经同事提醒,原来win2008服务器的IIS访问可以使用应用程序池名称做为帐号来设置(大家可以参考:),而不用再创建多个独立的账号,不过文档都已经写了,就懒得改了,还是使用Win2003的设置模式来添加帐户
然后将创建好的几个帐户所隶属的默认组删除,添加Guests组
将远程控制去掉
将拨入设置为拒绝
打开IIS,将默认站点删除
对网站点右键,添加网站
创建好对应的站点
点击连接为按钮,设置访问帐户,设置路径凭据为:特定用户,然后输入用户名为刚才创建好的用户名,与相应的密码
设置身份验证
点击应用程序池,将刚创建好的网站对应程序池.NET Framework版本和托管管道模式
.NET Framework版本设置为.NET Framework v4.0.30319托管管道模式设置为经典模式
设置网站的默认文档为Index.aspx
设置ISAPI和CGI限制
将Active Server Pages设置为不允许,将ASP.NET v4.0.30319设置为充许
进入C:\Windows\Microsoft.NET\Framework64\v4.0.30319目录,设置Temporary ASP.NET Files文件夹的访问权限
点右键=》属性
添加红框框住的用户,并设置为可修改
进入C:\Windows\Microsoft.NET\Framework64\v2.0.50727目录,对Temporary ASP.NET Files文件夹做同样的操作
然后为当前创建的网站设置相应的文件夹访问权限
添加刚才创建的,并在IIS里绑定的帐户、Authenticated Users和NETWORK SERVICE三个帐号
设置权限为默认权限(读取和执行、列出文件夹内容、读取)
启用父路径
双击ASP打开属性编辑,将启用父路径修改为True
附加数据库操作打开SQL2008
附加数据库
找到数据库存放位置
删除数据库中原绑定用户
新建登陆名
将数据库链接的用户名与密码填写在SQL新建登陆名对应文本框中,并按下图进行设置
然后点击用户映射,勾选数据,并设置数据库拥有db_owner角色权限(注:点击确定后最好重新检查新建用户的属性,用户映射项,查看db_owner角色权限是否赋值成功,这里经常会出现创建后没有赋值成功的情况,需要手动重新设置过后才可以)
打开网站目录,找到Web.config文件,记事本打开,填上新创建的数据库用户名与密码
运行ASP.NET State Service服务,并将它设置为自动运行
&其他几个网站也按上面的步骤与配置进行设置后,打开浏览器就可以正常该问了为可写入目录设置写入权限
将红框框住的两个帐户设置可修改权限
禁用可写入目录的执行权限(也可以将所有不用运行ASPX脚本的目录都禁用执行权限,比如css、js等)
6.5.&&&&&& 配置跨服务器同步更新图片网站
6.6.&&&&&& 屏蔽xplog70.dll漏洞
进入安装好的SQL目录搜索 xplog70.dll& 然后将找到的文件删除(这样操作会使SQL代理服务停止运行,所以如果使用代理功能的朋友请不要删除)
6.7.&&&&&& 设置网络访问策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-本地策略-安全选项,将 网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; &网络访问:可远程访问的注册表路径; 网络访问:可远程访问的注册表路径和子路径; 以上四项清空
6.8.&&&&&& 设置用户权限分配策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-本地策略-用户权限分配将&从网络访问此计算机&策略中的&Everyone&删除
在&拒绝通过远程桌面服务登陆&策略中,添加下面用户组和用户
另外,在添加新站点时,也必须将创建的新用户添加到这里
6.9.&&&&&& 关闭默认共享
打开注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]新建DOWRD值,名称为&AutoShareServer&、&AutoShareWKs&,设置值为&0&
6.10.&&&&&&&& 禁用不需要的和危险的服务
打开服务器管理器,进入&服务&管理,将下列服务禁用(用黄色标识的服务在2008系统中可能不存在)
6.11.&&&&&&&& 修改审核策略
6.12.&&&&&&&& 系统防火墙安全设置
开启系统防火墙(控制面板=》系统和安全=》Windwos防火墙=》打开或关闭Windows防火墙),如果远程操作的话就要小心,不要将自己的连接也给禁用了
关闭&文件和打印共享&功能
注:如果为了更安全的话,最好是将远程桌面关闭,使用更安全的第三方远程登陆程序。或者修改远程连接端口,一般来说做了前面的设置后,就算留了&肉鸡&在,问题也不是很大。添加新的防火墙规则,请参考6.13的相关操作
6.13.&&&&&&&& 开启远程桌面功能
对我的电脑点击左键=》属性,打开系统属性窗口
修改远程桌面链接端口点击开始菜单,输入regedit打开注册表将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp项的PortNumber值由3389修改为比如:12345这些高端端口
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp项的PortNumber值由3389修改为12345
修改了远程桌面端口后,原防火墙的远程桌面规则就会失效了,需要重新创建规则打开Windows防火墙,点击&高级设置&
设置后重新电脑就马上生效了注:如果是远程修改端口的话,需要同时修改McAfee防火墙,添加新的端口规则,这样才不会出现无法远程登陆的情况
6.14.&&&&&&&& 配置McAfee访问保护
打开VirusScan控制台
启用访问保护
打开访问保护属性
添加用户定义的规则
要排除的进程:
csc.exe, DTSWizard.exe, Explorer.EXE, FrameworkService.exe, HIPSvc.exe, McScript_InUse.exe, SqlWb.exe, Ssms.exe, vbc.exe, w3wp.exe
要排除的进程:
FrameworkService.exe, mmc.exe, svchost.exe
开启防火墙的各项阻止规则
按下面要求,在对应的规则里添加排除的进程
通用最大保护:禁止将程序注册为服务
svchost.exe, mmc.exe, Explorer.EXE
防病毒标准保护:禁止群发邮件蠕虫发送邮件
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件
w3wp.exe, csc.exe, vbc.exe
这些规则的添加,需要经常查看&访问保护日志&,看那些程序是我们请允许执行的,但却给防火墙阻止了,将它们到对应的排除进程当中(具体操作如果不懂的可以查查百度,或者查看我下一篇文章《服务器安全检查指引&&日常维护说明》,它属性服务器的日常维护内容)
6.15.&&&&&&&& 配置McAfee防火墙
按下面路径进入防火墙文件夹
运行McAfeeFire.exe打开防火墙软件
点击解除锁定,密码默认为abcde12345
解锁后对防火墙的相关选项进行设置
启用防火墙功能&&如果是远程桌面操作的话,这一步操作后远程桌面会马上无法联接,需要在服务器本地设置请允许才能再联接上
启用后用远程桌面联接一下,并给予授权
点击充许后,再用远程桌面联接就可以登陆了,其他端口、软件或网站的授权访问也是一样的操作,在给予授权操作时,请仔细留意一下是否是我们请允许的程序访问的,不是的话或不明白的一律给予拒绝,拒绝后发现网站某项功能无法访问或出问题时,再来这里进行排查和修改规则,以保证服务器的安全。
7.&&&& 部署注意事项
1、更新前一定要经过自测和测试部门人员测试通过;2、修改网站任何配置都必须提前做好备份,方便回档;3、修改了服务器端的任何设置都必须提交做好拷屏与记录,方便网站出现任何问题时快速的找出问题;4、对服务器端的相关端口进行变动时,必须提前在Windows防火墙和McAfee防火墙提前开通对应的端口,修改好端口重启服务器或软件后,记得关闭原端口,并且做好测试工作,防止发生无法访问的情况,特别对于远程访问端口的修改必须小心,不然可能会造成无法远程登陆的情况;5、当发生某功能无法运行或出错的时候,请先检查Windows防火墙、McAfee访问保护和防火墙,看看是否是给访问保护规则阻止了。6、必须定期检查用户管理查看是否有多余的用户和用户隶属组是否改变;检查应用程序日志、安全日志、系统日志、IIS访问日志、网站后台管理记录的日志、网站目录中记录的操作日志与充值日志、McAfee访问保日志等,并做好备份工作;查看Windows防火墙、McAfee访问保护和防火墙是否运行中,有没有不小心关闭后忘记开启了;检查SQL的相关日志与记录增长量,检查SQL备份情况,备份空间是否足够等;(具体可查看我下一篇文章《服务器安全检查指引&&日常维护说明》)7、除了做好服务器安全相关配置外,代码的安全也是非常重要的,所有提交的数据必须做好过滤操作,防SQL注入和XSS攻击,客户端定期杀毒查木马,定期修改登陆密码,以保证系统安全。
8.&&&& 结束语
服务器的安全无小事,事事须小心,一出问题就是大问题,所以真正操作时需要非常细心+小心。
作为一个服务器维护人员,除了日常的维护工作外,有时间的话还须学习掌握各种常用的黑客工具,熟悉各种攻击手段,多点上上乌云网等这种类型的网站,去看看别人是怎么入侵的,以做到更好的防护。
由于公司网站的一些特殊性,所以发布的内容是经过删减过的,有一些特殊配置和设置没有发布出来,呵呵......不过基本的安全防护描述的差不多了。里面是否还存在有安全问题就不太清楚了,希望有经验的朋友多多指教。
如果你觉本篇文章有帮到你,也请帮忙点推荐。
&版权声明: 本文由AllEmpty发布于博客园,本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接,如有问题,可以通过 联系我,非常感谢。
发表本编内容,只要主为了和大家共同学习共同进步,有兴趣的朋友可以加加Q群: 或Email给我(),大家一起探讨,由于本人工作很繁忙,如果疑问请先留言,回复不及时也请谅解。
更多内容,敬请观注博客:
Views(...) Comments()
