服务器维护的九大必备武器

　　武器四：青云服务器安全设置器

　　现在我们知道了如何修复被注入的站点及查找相应的站点安全漏洞后，继续来了解一下系统的安全加固是需要那些严格的工作需要做的。服务器的加固是非常复杂而且工作量也瞒大的，所以介绍大家一个比较经典的工具之一---《青云服务器安全设置器》

　　软件性质：此工具采用批处理实现，程序功能完全公开源代码，可接自己的需求来修改！由青云负责工具维护免费升级。

　　适用系统：Windows 2000 / XP / 2003

　　软件功能：通过批处理实现对服务器进行安全加固，免去了安全加固时花费的时间，而且全面加固系统  ---[个人感想：现在装个纯净版的系统有多麻烦，如今都流行万能一键GHOST系统，难道正因为这样，系统安全也发展到了万能一键加固的地步？]

　　服务器要求：所有分区必须为NTFS磁盘格式，服务器以前没有设置过权限类的设置，新装好的服务器系统最佳！如以前设置过权限了请先看清楚批处理内容里都设了哪些地方，如果有你已经设置过的地方直接删除不用重复再设就可以了，一般重复设也没有问题的！

　　使用方法：解压后直接运行ThecSafe.bat即可，里面的选项可以按你的需要来设置！

　　首先我先谈谈在一些常见的加固方案，如要将一些危险的文件及文件夹权限修改进行加固系统安全，如boot.ini、autoexec.bat、iexplore.exe、net.exe、cmd.exe、shell.dll、regedit.exe、windows文件夹、system32文件夹等等，如果我们手工操作的话，需要一个一个的找到文件及文件夹，然后在右键--属性-安全，然后在修改权限，这么大的工作量，而且每次重装系统都是这些；重复烦锁的操作，那是多么的无聊的事情，看看我怎么用青云服务器安全设置器来偷懒的吧！偷懒也要学会找技巧哦。

　　说了这么多，我们来看看这工具到底长啥样的（如图4）。免费的东西多好呀！不过也有收费服务哦，可以得到最新版本及技术支持，这样作者才能更加完善工具软件功能呀。如今没几个能做到开放源码的方式来分享自己的成果呀！

    实践经验：以我的使用经验来看并不主张大家使用一键全自动设置服务器功能，倒是希望大家查看一下源代码来看看工具是怎么实现的？做过哪些操作？是怎么实现这些功能的？带着这样的想法去看待事情，你会发现你学会更多的知识。至少用了之后，你知道做过些什么，出了问题应该如何修复或如何解决！当然一般情况下是工作使用，如果你还不太懂安全知识，大可选择和公司申请购买从而得到技术支持服务，这也是解决方法之一。

 那么我们来看看这些源代码是如何写的，都是些什么意思！我们来右键ThecSafe.bat批处理文件，选择编辑来查看，前面部份包括菜单的实现及一键清理系统垃圾文件这些功能我就不多说了,都是基础性的批处理知识！

    如（图5）中的源代码所示

图5

    
    其中命令脚本 Xcacls.vbs 是 Extended Change Access Control List（扩展更改访问控制列表）工具 (Xcacls.exe) 的更新版本，随青云工具附带，通过调用脚本来实现修改文件及文件夹权限。如（图3）中运行如下代码后

　　cscript.exe xcacls.vbs "%SystemDrive%/boot.ini" /G Administrators:F
　　cscript.exe xcacls.vbs "%SystemDrive%/boot.ini" /D Guests:F /E

　　原c:\boot.ini系统默认权限（如图6）所示。

图6

　　当运行后，既然发现（如图7）变化将文件权限改变为administrators组安全控制权限，Gusets组绝对所有权限。
　
　　

图7

    至此我们可以知道此工具是通过脚本程序来修改相关危险程序及目录权限，但大家注意：一定要视自己的环境需求来进行安全加固，可以参考源代码及相关说明进行选择性的安全加固。

    使用方法大家可以查看青云服务器安全设置器附件里的相关说明文档资料！

    那么从（图4）中，我加固时一般只会用
    0. 清理系统垃圾文件
    1. 系统服务优化
    2. 防DDOS和欢乐时光威胁

    选项默认值，而
    1. 给系统危险文件设置权限
    2. 给系统危险文件夹设置权限
    4. 注册表危险组件删除

    是修改批处理源代码来根据自己的环境需求进行加固，如选项4. 注册表危险组件删除中，将会删除注册表及一些组件，但可能会有些程序会用到这些组件时，即需要注释掉，以免被误删。

    而其它几个功能笔者基本上没用上，像6. 导入常来网专用安全策略是关闭一些危险端口，而笔者即通过防火墙或直接用系统自带的端口筛选来只开放需要的端口。