昨日客户的网站被挂马，我本人也是有一些职责，由于平常懒得对效劳器安全进行设置，有些设置其实几分钟就可以设置完结，可就是懒散，成果若是效劳器被歹意损坏，就需求花费更多的时刻康复数据，因而效劳器安全设置早期打好根底，风险时期就会削减许多无谓的丢失。
　　下面我就联系本人的经历和经验总结一下效劳器www.mkddos.com安全设置的一些窍门和办法。
　　一、操作体系的装置
　　我这里说的操作体系以Windows 2000为例，高版别的Windows也有相似功用。
　　格局化硬盘时分，有必要格局化为NTFS的，肯定不要运用FAT32类型。
　　C盘为操作体系盘，D盘放常用软件，E盘网站，格局化完结后马上设置磁盘权限，C盘默许，D盘的安全设置为Administrator和System彻底操控，其他用户删去，E盘放网站，若是只要一个网站，就设置Administrator和System彻底操控，Everyone读取，若是网站上某段代码有必要完结写操作，这时再独自对那个文件地点的文件夹权限进行更改。
　　体系装置过程中必定本着最小效劳准则，无用的效劳一概不挑选，到达体系的最小装置，在装置IIS的过程中，只装置最基本必要的功用，那些不必要的风险效劳千万不要装置，例如：FrontPage 2000效劳器扩大，Internet效劳办理器(HTML)，FTP效劳，文档，索引效劳等等。

　　二、网络安全装备
　　网络安全最基本的是端口设置，在“本地连接特点”，点“Internet协议(TCP/IP)”，点“高档”，再点“选项”-“TCP/IP挑选”。仅翻开网站效劳所需求运用的端口，装备界面如下图。

　　进行如下设置后，从你的效劳器将不能运用域名解析，因而上彀，可是外部www.zzddos.com的拜访是正常的。这个设置首要为了避免通常规划的DDOS进犯。
　　三、安全模板设置
　　运转MMC，增加独立办理单元“安全装备与剖析”，导入模板basicsv.inf或许securedc.inf，然后点“马上装备计算机”，体系就会主动装备“帐户战略”、“本地战略”、“体系效劳”等信息，一步到位，不过这些装备可能会招致某些软件无法运转或许运转犯错。

　　四、WEB效劳器的设置
　　以IIS为例，肯定不要运用IIS默许装置的WEB目录，而需求在E盘新树立一个目录。然后在IIS办理器中右击主机->特点->WWW效劳修改->主目录装备->应用程序映射，只保存asp和asa，其他悉数删去。
　　五、ASP的安全
　　在IIS体系上，大多数木马都是ASP写的，因而，ASP组件的安全是非常重要的。
　　ASP木马实际上大多数经过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来完成其功用，除了FSO之外，其他的大多可以直接禁用。
　　WScript.Shell组件运用这个指令删去：regsvr32 WSHom.ocx /u
　　WScript.Network组件运用这个指令删去：regsvr32 wshom.ocx /u
　　Shell.Application可以运用制止Guest用户运用shell32.dll来避免调用此组件。运用指令：cacls C：\WINNT\system32\shell32.dll /e /d guests
　　制止guests用户履行cmd.exe的指令是： cacls C：\WINNT\system32\Cmd.exe /e /d guests
　　FSO组件的禁用比拟费事，若是网站自身不需求用这个组件，那么就经过RegSrv32 scrrun.dll /u指令来禁用吧。若是网站自身也需求用到FSO，那么请参看这篇文章。
　　别的，运用微软供给的URLScan Tool这个过滤不合法URL拜访的东西，也可以起到必定防备效果。当然，每天备份也是一个好习惯，万事预防为主,等候亡羊补牢,等羊都死完了,再补也杯水车薪!