?快云VPS開通時安裝的是純凈的系統，需要客戶自己安裝防護軟件或做好防護措施

在頻頻惡意攻擊用戶、系統漏洞層出不窮的，作為網絡治理員、系統治理員雖然在服務器的安全上都下了不少功夫，諸如及時打上系統安全補丁、進行一些常規的安全配置，但有時仍不安全

因此必須惡意用戶入侵之前，通過一些系列安全設置，來將入侵者們擋在“安全門”之外，下面將最簡單、最有效的防(Overflow)溢出、本地提供權限攻擊類的解決辦法給大家分享

一、如何防止溢出類攻擊1、盡的可能性將系統的漏洞補丁都打完，是比如Microsoft Windows server系列的系統可以將自動更新服務打開，然后讓服務器在您指定的某個時間段內自動連接到Microsoft Update網站進行補丁的更新

假如您的服務器為了安全起見 禁止了對公網外部的連接的話，可以用Microsoft WSUS服務在內網進行升級

2、停掉一切不需要的系統服務以及應用程序，限能的降底服務器的被攻擊系數

比如前陣子的MSDTC溢出，導致很多服務器掛掉了

其實假如 WEB類服務器根本沒有用到MSDTC服務時，您大可以把MSDTC服務停掉，這樣MSDTC溢出對您的服務器不構成任何威脅了

3、啟動TCP/IP端口的過濾，僅打開常用的TCP如21、80、25、110、3389等端口;假如安全要求級別高一點可以將UDP端口關閉，當然假如這樣之后缺陷是如在服務器上連外部不方便連接了，這里建議大家用IPSec來封UDP

在協議篩選中”只答應”TCP協議(協議號為

6)、 UDP協議(協議號為：17)以及RDP協議(協議號為：27)等必需用協議即可;其它無用均不開放

4、啟用IPSec策略

為服務器的連接進行安全認證，給服務器加上雙保險

如③所說，可以在這里封掉一些危險的端品諸如

135 145 139 445 以及UDP對外連接之類、以及對通讀進行加密與只與有信任關系的IP或者網絡進行通訊等等

(注

其實防反彈類木馬用IPSec簡單的禁止UDP或者不常用TCP端口的對外訪問成了,關于IPSec的如何應用這里不再敖續，可以到服安討論Search “IPSec”， 會有N多關于IPSec的應用資料..)5、刪除、移動、更名或者用訪問控制表列Access Control Lists (ACLs)控制要害系統文件、命令及文件夾：（1）.黑客通常在溢出得到shell后，來用諸如net.exe net1.exe ipconfig.exe user.exe query.exe regedit.exe regsvr32.exe 來達到進一步控制服務器的目的如:加賬號了，克隆治理員了等等;這里可以將這些命令程序刪除或者改名

(注重

在刪除與改名時先停掉文件復制服務 (FRS)或者先將 %windir%\system32\dllcache\下的對應文件刪除或改名

)（2）.也或者將這些.exe文件移動到指定的文件夾,這樣也方便以后治理員自己使用

（3）.訪問控制表列ACLS控制

找到%windir%\system32下找到cmd.exe、cmd32.exe net.exe net1.exe ipconfig.exe tftp.exe ftp.exe user.exe reg.exe regedit.exe regedt32.exe regsvr32.exe 這些黑客常用的文件，在“屬性”→“安全”中對他們進行訪問的ACLs用戶進 行定義，諸如只給administrator有權訪問，假如需要防范一些溢出攻擊、以及溢出成功后對這些文件的非法利用，那么只需要將system用戶在 ACLs中進行拒絕訪問即可

（4）.假如覺得在GUI下面太麻煩的話，也可以用系統命令的CACLS.EXE來對這些.exe文件的Acls進行編輯與修改，或者說將他寫成一個.bat批處理 文件來執行以及對這些命令進行修改

(具體用戶自己參見cacls 幫助進行，由于這里的命令太多不一一列舉寫成批處理代碼給各位了!!)（5）.對磁盤如C/D/E/F等進行安全的ACLS設置從整體安全上考慮的話也是很有必要的，另外非凡是win2k，對Winnt、Winnt\System、Document and Setting等文件夾

6、進行注冊表的修改禁用命令解釋器

(假如您覺得用⑤的方法太煩瑣的話，那么您不防試試下面一勞永逸的辦法來禁止CMD的運行，通過修改注冊表，可以禁止用戶使用命令解釋器 (CMD.exe)和運行批處理文件(.bat文件)

具體方法

新建一個雙字節(REG_DWord)執行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD，修改其值為1，命令解釋器和批處理文件都不能被運行

修改其值為2，則只是禁止命令解釋器的運行,反之將值改為0，則是打開CMS命令解釋器

假如您賺手動太麻煩的話,請將下面的代碼保存為*.reg文件，然后導入

Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]“DisableCMD”=dword

000000017、對一些以System權限運行的系統服務進行降級處理

(諸如

將Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System權限運行的服務或者應用程序換成其它administrators成員甚至users權限運行，這樣會安全得多了…但前提是需要對這些基本運行狀態、調用API等相關情況較為了解. )其實，關于防止如Overflow溢出類攻擊的辦法除了用上述的幾點以外，還有N多種辦法:諸如用組策略進行限制，寫防護過濾程序用DLL方式加載windows到相關的SHell以及動態鏈接程序之中這類

當然自己寫代碼來進行驗證加密需要有相關深厚的Win32編程基礎了，以及對Shellcode較有研究;由于此文僅僅是討論簡單的解決辦法，因此其它辦法不在這里詳述了來源

景安