K9 通用版 博客版 论坛版 地方门户版 企业版 |   企业(ASP) 分类 使用 分享 疑问 模板 建议 评论 错误 水坊
+新建主题 [Ajax]
填写帐号密码即可完成注册

WinNT服务器安全运行网站的迈克菲(McAfee)配置思路

KingCMS官方网站 | Gougliang | 工具/云推荐 | 阅读(12084) | 2010-12-29
WinNT包括Windows 2000/2003/2008,McAfee俗称麦咖啡,官方中文名叫做迈克菲,有个人版本和企业版,都是商业软件,企业版能自定义规则,合理运用迈克菲配置WinNT的服务器系统,能在一定程度上保护网站数据。下面以McAfee 8.7i Path4为例子分享配置思路。

1、按访问扫描程序配置思路





因为是服务器,不是个人使用的电脑,所以“按访问扫描程序”的网络检查灵敏度建议调到“非常高”,哪怕误杀都好过放过一个可疑文件。当然,你已知的非常可信的文件或文件夹就需要设置排除,如下:



为了节省资源,在“按访问扫描程序”建议设置为写入时才扫描,读取的时候就不扫描,另外也制定一下扫描的内容,一般选择默认+其他文件类型足矣。



2、消息弹出提示配置思路

服务器的软件越少互动越好,所以建议去掉所有相关的弹出信息提示,比如按访问扫描实时发现病毒时,检测到缓冲区溢出时都不必弹出对话框,而是按照预置的动作(隔离或删除)操作即可。

3、计划任务配置思路

计划任务是服务器最经常用到的功能,毕竟更新病毒库,扫描病毒等都不必人工定时去操作的。



建议设置到每天凌晨之后才执行更新,避免访问高峰期的资源紧张,同样,定期扫描敏感文件夹比如C盘,比如网站文件夹也建议安排到月底的深夜,扫描就只需一个月扫一次够了。

4、访问保护配置思路

访问保护也就是McAfee企业版的规则包,比较灵活的地方就在这里。



McAfee自带的规则根据自身情况设置,在安装好常用的软件之后,就算把它自带的规则都打开,也不会阻扰操作系统的正常运作。如果有不明白的,就报告也打勾,操作给阻挡的话报告就会显示操作日志的,根据日志排除对应进程即可。

下面就用户定义的规则展开配置思路:

a、备份文件的配置思路

假如服务器上面有一个文件夹是放置备份的数据库,网站文件的,可能这些是手工打包的,也可能是使用计划任务压缩的。如果服务器给拿下了,这些文件被拷走是很轻松的,还不必逐个网站导出。所以,我们首先对备份文件进行访问保护。



添加一个对文件或文件夹访问保护的规则,把以下都打勾:
  • 对文件进行读访问;
  • 对文件进行写访问;
  • 正在创建的新文件;
  • 正在删除的文件。
配置好对应的文件夹,如果是定时压缩备份的话,就排除压缩程序的进程允许压缩程序访问。如果不放心,再对压缩程序的进程文件进行同样的设置,增加多一条规则,这样压缩程序无法伪造,备份的文件夹也无法复制,剪切等,就算服务器给拿下了,入侵者也是看着不能动。

如果自己要操作,就临时禁止一下访问保护即可。此法对备份文件,和一些你认为不愿意随便给然拷贝走的文件都能如此设置。

b、端口入站出站思路配置

虽然WinNT的安全策略很强大,其中IPSec也能控制每条入站出站,或许使用习惯上的问题。结合安全策略,有不少人也希望通过McAfee来控制端口的访问。



用McAfee来配置入站和出站端口建议使用分段端口的方法,而且入站和出站是分开规则的。

图示的是从1-79端口为入站第一条规则,依次为80,81-1000,1001-2000端口,直到65535端口为止。分段端口是方便控制每个端口段的程序,又避免统一使用入站和出站的不严密性。

通过3389或者其他端口远程登陆的服务器就要注意,要添加一条入站的排除,不然设置规则之后连远程都进不去了。



因为3389在3001-4000端口之间的,增加一个svchost.exe的排除进程就能避免远程登陆都进不去的尴尬了。估计设置规则的时候不会强制让你退出的,所以设置端口规则包的时候一定要打开报告,根据日志排除要这个端口的程序进程,才不会阻扰服务器的正常运作,等到配置和运行都没有问题了,也可以关闭报告的。

根据实际情况,为每个端口段都排除相应的程序,比如ftp服务器端的话,就需要随机的入站端口,就在每个端口段都排除ftp服务器端程序进程。

通俗点来说,出站端口就是服务器上的程序要上网用到的端口,入站端口就是作为服务的程序要给外面的用户程序进来用到的端口。入站相对需要多点排除,出站几乎都能禁止,如果要用IE临时下载一些文件的话,就排除IE的进程。

c、系统安全配置思路

系统的安全完全依靠WinNT本身的漏洞和基本配置阻挡,McAfee只是从周边的一些技巧性的方面阻挡恶意操作。比如比较实用的禁止写入dll:



添加一个对文件或文件夹访问保护的规则,把以下都打勾:
  • 对文件进行写访问;
  • 正在创建的新文件。
照样新建exe,vxd后缀名的规则,这样一定程度上防止未知的病毒,和完全禁止了通过web拿到权限提升的新建exe木马的动作。

远程的操作,我们也可以使用以下的规则进行禁止



这个不会影响正常的远程登陆操作。

除了以上的设置,如果要打造精心的安全策略,还可以对注册表,组策略文件的运行进行禁止操作,相当于拿到远程帐号,也动不了服务器系统的配置,甚至新建用户都不给。

d、网站安全配置思路

对于一些特殊的网站,比如比较少更新的,只需要维护他的本身安全,我们可以仿照上面配置禁止创建exe的规则,对以下后缀名进行禁止:js/vbs/htm/html,当然也可以只对某个文件夹进行禁止创建,毕竟大部分网站还是需要生成html等操作的。

对js禁止创建的就依照上面的配置图更改后缀名即可,以下的则是禁止在fckeditor编辑器文件夹当中上传js的:



多使用通配符,就能配置对应网站的文件夹的操作。

之所以叫做配置思路,就不详细进行每步操作截图了,运用想象力,结合文件/文件夹,端口,注册表的规则,能对一个网站进行很严密的保护,比如只能允许iis进程访问和ftp程序访问,其余都拒绝,同时对iis和ftp程序进程保护起来,避免伪造进程读取。这样一来,网站文件就无法通过任何途径拷贝走了,除非把McAfee给禁止掉,但是这将会非常困难,除非重装系统。

还有一个非常重要的就是,配置好这些规则之后,给McAfee的界面加个密码锁定,不然的话,万一需要这些规则保护时候,给有心人点一下停止访问保护,你再高明的设置都暂时失效了,相当于摆设,所以最后一步一定是给McAfee界面加个操作锁,步骤是:工具-锁定用户界面。锁定之后,临时停止的时候要多操作一步解锁用户界面,但是非常值得。花了近90分钟写完,希望对访问KingCMS时看到此文的站长有帮助。

查看评论[查看全部评论]

bleach (07-19 23:29)
还真没配置过
Ikc (07-19 22:36)
顶~~ 很好的思路!
ammoy001 (03-17 13:08)
不错的思路,哈哈。
333666a (02-14 22:08)
不错,呵呵
何苦 (02-14 14:26)
一定要加上一个..阻止iis写入.asp   .php   .exe等文件.

参考

http://www.heku.org/Unrelated-SEO/mcafee-iis.html
-
---


为啥我编辑完了...就不显示签名咯?

博文分类

KingCMS公告栏 K9更新日志 需求调用及运营 开发及问题解答 产品介绍栏 工具/云推荐 媒体报道 杂谈其他

根据月份归类

2016-12 2016-11 2016-10 2016-09
KingCMS 内容管理系统

关于我们 联系我们 广告报价 付款方式 站点导航

Copyright © 2004-2015 Focuznet All rights reserved.

粤ICP备08008106号