进一步提高平台的安全性

windows2003操作系统带有无可修复的安全漏洞，我们要求所有的客户都用2016操作系统，特别是主控，数据库用sql2014。 

1.可以将adm目录改成一个只有你才知道的目录名，如dfsdfsfdsfsdfdsf之类的 

2.在用户权限中，新建立一个超级管理员，将默认的freehost超级管理员的所有权限取消（但不允许删除） 

-------------------注意--------------- 

我们建议所有用户的adm区,就是管理员区,都应该加上IP限制,如果是动态的ADSL ,也可以加上adsl的IP段限制,这样,可以确保没有安全问题,有用户反映管理员密码(他的密码和QQ密码一样)被人知道后在后台加了7000元,用了几个虚拟主机放骗子站. 

另外,我们接到报告有用户的后台被人登陆后改了支付宝收款号,经分析很可能是,主控服务器所在的网段的另一台服务器被入侵,安装了cain,监听了密码,为了防止这样的情况,我们建议您作以下处理. 
1.限制后台adm目录只能特定的ADSL IP段登陆,您可以在IIS中,找到主控的adm目录,在它的属性,安全性中设置允许的IP段.(对一个地区来说，ADSL的IP段只有几个，你只需要全加上你所属的IP段，别的段拒绝就行了) 
示例，如你的IP是114.134.136.221那么，你在IIS中找到后台的目录，在目录安全性中，可以限制为所有IP不能访问，只允许一组计算机访问 
114.134.0.0掩码是255.255.0.0 
重复这样的设置，只需要添加多次就行了。 
(不要因为自己是动态IP就不限制，这样很有可能会入侵！！！！) 

2.让机房为主控服务器设置单独的VLAN,和同一网段的服务器完全隔离,这是最根本的解决办法. 

如果无法做独立VLAN,参考: 

A.可以对主控网站启用https的登陆方式,就是你访问后台时,用https://域名/adm的文件访问,关于https的配置办法可以参考 
http://www.google.com.hk/search?hl=zh-CN&newwindow=1&safe=strict&tbo=d&q=iis+%E9%85%8D%E7%BD%AEhttps&btnG=Google+%E6%90%9C%E7%B4%A2


B.对3389登陆采用加密方式 
方法一,用证书,这是最安全3389登陆的办法: 
http://www.lengmo.net/post/760/ 

方法二,用Ipsec 
http://www.zgdnjj.com/html/51/n-4551.html 


3.有条件主控服务器应该用独立的服务器,上面不要开用户的站,另外,不要自己做asp文件或PHP文件放在主控站上. 

4.主控服务器所在的主控网站目录(D:\freehostmain),不能改动目录的权限,不然会造成安全问题,正常这个目录只有adms,system及freehostwebrunat读的权限,任何别的权限增加了,都造成安全问题,也不能在主控目录中放探针,或PHP文件,或别的操作ACCESS的代码. 

5.如果主控服务器上也要开虚拟主机给用户用,你必须要用最新版本的受控,并启用拦截可能入侵功能. 

6.不能在主控上安装CMS或新闻管理系统，如果需要，请另找一个受控开个虚拟主机安装。 

7.远程桌面连接配置。 
开始 > 程序 > 管理工具 > 终端服务配置 > 连接 
选择右侧”RDP-tcp”连接右击 属性 > 权限 删除(除system外)所有用户组 添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。