虚拟主机安全配置

        五、命令行相关操作处理

　　1、禁止guests用户执行com.exe：

　　我们可以通过以下命令取消guests执行com.exe的权限

　　cacls C:WINNTsystem3Cmd.exe /e /d guests。

　　2、禁用Wscript.Shell组件：

　　Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOTWscript.Shell 及HKEY_CLASSES_ROOTWscript.Shell.1改名为其它的名字。将两项clsid的值也改一下 HKEY_CLASSES_ROOTWscript.ShellCLSID项目的值和HKEY_CLASSES_ROOT Wscript.Shell.1CLSID项目的值，也可以将其删除。

　　3、禁用Shell.Application组件

　　Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOTShell.Application 及HKEY_CLASSES_ROOTShell.Application.1 改名为其它的名字。将HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值更改或删除。同时，禁止Guest用户使用 shell32.dll来防止调用此组件。使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests

　　4、FileSystemObject组件

　　FileSystemObject可以对文件进行常规操作可以通过修改注册表，将此组件改名，来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT scripting.FileSystemObject。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件，为了方便，这里不建议更改或删除。

　　5、禁止telnet登陆

　　在C:WINNTsystem32目录下有个login.cmd文件，将其用记事本打开，在文件末尾另取一行，加入exit保存。这样用户在登陆telnet时，便会立即自动退出。

　　注：以上修改注册表操作均需要重新启动WEB服务后才会生效。

　　六、端口设置

　　端口窗体底端就是门，这个比喻非常形象。如果我们服务器的所有端口都开放的话，那就意味着黑客有好多门可以进行入侵。所以我个人觉得，关闭未使用的端口是一件重要的事情。在控制面板――网络与拨号连接――本地连接――属性――Internet协议(TCP/IP)属性，点击高级，进入高级TCP/IP设置，选择选项，在可选的设置中选择TCP/IP筛选，启用TCP/IP筛选。添加需要的端口，如21、80等，关闭其余的所有未使用的端口。

　　七、关闭文件共享

　　系统默认是启用了文件共享功能的。我们应给予取消。在控制面板――网络和拨号连接――本地连接――属性，在常规选项种，取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板――管理工具――服务中进行设定。

　　八、关闭非必要服务

　　类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂QQ，这种做法是极度错误的。

　　九、关注安全动态及时更新漏洞补丁

　　更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁，可以进一步保证系统的安全。