1、按访问扫描程序配置思路
因为是服务器,不是个人使用的电脑,所以“按访问扫描程序”的网络检查灵敏度建议调到“非常高”,哪怕误杀都好过放过一个可疑文件。当然,你已知的非常可信的文件或文件夹就需要设置排除,如下:
为了节省资源,在“按访问扫描程序”建议设置为写入时才扫描,读取的时候就不扫描,另外也制定一下扫描的内容,一般选择默认+其他文件类型足矣。
2、消息弹出提示配置思路
服务器的软件越少互动越好,所以建议去掉所有相关的弹出信息提示,比如按访问扫描实时发现病毒时,检测到缓冲区溢出时都不必弹出对话框,而是按照预置的动作(隔离或删除)操作即可。
3、计划任务配置思路
计划任务是服务器最经常用到的功能,毕竟更新病毒库,扫描病毒等都不必人工定时去操作的。
建议设置到每天凌晨之后才执行更新,避免访问高峰期的资源紧张,同样,定期扫描敏感文件夹比如C盘,比如网站文件夹也建议安排到月底的深夜,扫描就只需一个月扫一次够了。
4、访问保护配置思路
访问保护也就是McAfee企业版的规则包,比较灵活的地方就在这里。
McAfee自带的规则根据自身情况设置,在安装好常用的软件之后,就算把它自带的规则都打开,也不会阻扰操作系统的正常运作。如果有不明白的,就报告也打勾,操作给阻挡的话报告就会显示操作日志的,根据日志排除对应进程即可。
下面就用户定义的规则展开配置思路:
a、备份文件的配置思路
假如服务器上面有一个文件夹是放置备份的数据库,网站文件的,可能这些是手工打包的,也可能是使用计划任务压缩的。如果服务器给拿下了,这些文件被拷走是很轻松的,还不必逐个网站导出。所以,我们首先对备份文件进行访问保护。
添加一个对文件或文件夹访问保护的规则,把以下都打勾:
- 对文件进行读访问;
- 对文件进行写访问;
- 正在创建的新文件;
- 正在删除的文件。
如果自己要操作,就临时禁止一下访问保护即可。此法对备份文件,和一些你认为不愿意随便给然拷贝走的文件都能如此设置。
b、端口入站出站思路配置
虽然WinNT的安全策略很强大,其中IPSec也能控制每条入站出站,或许使用习惯上的问题。结合安全策略,有不少人也希望通过McAfee来控制端口的访问。
用McAfee来配置入站和出站端口建议使用分段端口的方法,而且入站和出站是分开规则的。
图示的是从1-79端口为入站第一条规则,依次为80,81-1000,1001-2000端口,直到65535端口为止。分段端口是方便控制每个端口段的程序,又避免统一使用入站和出站的不严密性。
通过3389或者其他端口远程登陆的服务器就要注意,要添加一条入站的排除,不然设置规则之后连远程都进不去了。
因为3389在3001-4000端口之间的,增加一个svchost.exe的排除进程就能避免远程登陆都进不去的尴尬了。估计设置规则的时候不会强制让你退出的,所以设置端口规则包的时候一定要打开报告,根据日志排除要这个端口的程序进程,才不会阻扰服务器的正常运作,等到配置和运行都没有问题了,也可以关闭报告的。
根据实际情况,为每个端口段都排除相应的程序,比如ftp服务器端的话,就需要随机的入站端口,就在每个端口段都排除ftp服务器端程序进程。
通俗点来说,出站端口就是服务器上的程序要上网用到的端口,入站端口就是作为服务的程序要给外面的用户程序进来用到的端口。入站相对需要多点排除,出站几乎都能禁止,如果要用IE临时下载一些文件的话,就排除IE的进程。
c、系统安全配置思路
系统的安全完全依靠WinNT本身的漏洞和基本配置阻挡,McAfee只是从周边的一些技巧性的方面阻挡恶意操作。比如比较实用的禁止写入dll:
添加一个对文件或文件夹访问保护的规则,把以下都打勾:
- 对文件进行写访问;
- 正在创建的新文件。
照样新建exe,vxd后缀名的规则,这样一定程度上防止未知的病毒,和完全禁止了通过web拿到权限提升的新建exe木马的动作。
远程的操作,我们也可以使用以下的规则进行禁止
这个不会影响正常的远程登陆操作。
除了以上的设置,如果要打造精心的安全策略,还可以对注册表,组策略文件的运行进行禁止操作,相当于拿到远程帐号,也动不了服务器系统的配置,甚至新建用户都不给。
d、网站安全配置思路
对于一些特殊的网站,比如比较少更新的,只需要维护他的本身安全,我们可以仿照上面配置禁止创建exe的规则,对以下后缀名进行禁止:js/vbs/htm/html,当然也可以只对某个文件夹进行禁止创建,毕竟大部分网站还是需要生成html等操作的。
对js禁止创建的就依照上面的配置图更改后缀名即可,以下的则是禁止在fckeditor编辑器文件夹当中上传js的:
多使用通配符,就能配置对应网站的文件夹的操作。
之所以叫做配置思路,就不详细进行每步操作截图了,运用想象力,结合文件/文件夹,端口,注册表的规则,能对一个网站进行很严密的保护,比如只能允许iis进程访问和ftp程序访问,其余都拒绝,同时对iis和ftp程序进程保护起来,避免伪造进程读取。这样一来,网站文件就无法通过任何途径拷贝走了,除非把McAfee给禁止掉,但是这将会非常困难,除非重装系统。
还有一个非常重要的就是,配置好这些规则之后,给McAfee的界面加个密码锁定,不然的话,万一需要这些规则保护时候,给有心人点一下停止访问保护,你再高明的设置都暂时失效了,相当于摆设,所以最后一步一定是给McAfee界面加个操作锁,步骤是:工具-锁定用户界面。锁定之后,临时停止的时候要多操作一步解锁用户界面,但是非常值得。花了近90分钟写完,希望对访问KingCMS时看到此文的站长有帮助。
远程的操作,我们也可以使用以下的规则进行禁止
这个不会影响正常的远程登陆操作。
除了以上的设置,如果要打造精心的安全策略,还可以对注册表,组策略文件的运行进行禁止操作,相当于拿到远程帐号,也动不了服务器系统的配置,甚至新建用户都不给。
d、网站安全配置思路
对于一些特殊的网站,比如比较少更新的,只需要维护他的本身安全,我们可以仿照上面配置禁止创建exe的规则,对以下后缀名进行禁止:js/vbs/htm/html,当然也可以只对某个文件夹进行禁止创建,毕竟大部分网站还是需要生成html等操作的。
对js禁止创建的就依照上面的配置图更改后缀名即可,以下的则是禁止在fckeditor编辑器文件夹当中上传js的:
多使用通配符,就能配置对应网站的文件夹的操作。
之所以叫做配置思路,就不详细进行每步操作截图了,运用想象力,结合文件/文件夹,端口,注册表的规则,能对一个网站进行很严密的保护,比如只能允许iis进程访问和ftp程序访问,其余都拒绝,同时对iis和ftp程序进程保护起来,避免伪造进程读取。这样一来,网站文件就无法通过任何途径拷贝走了,除非把McAfee给禁止掉,但是这将会非常困难,除非重装系统。
还有一个非常重要的就是,配置好这些规则之后,给McAfee的界面加个密码锁定,不然的话,万一需要这些规则保护时候,给有心人点一下停止访问保护,你再高明的设置都暂时失效了,相当于摆设,所以最后一步一定是给McAfee界面加个操作锁,步骤是:工具-锁定用户界面。锁定之后,临时停止的时候要多操作一步解锁用户界面,但是非常值得。花了近90分钟写完,希望对访问KingCMS时看到此文的站长有帮助。
