拜求WIN2003规则!!!!!!!!

不和陌生人聊

包含进程选全部，而没有选“**w3wp.exe**”的原因是，上传ASP的情况不是经常发生的，要上传就手动关闭一下。选全部安全性会更高一性，即使你的FTP被人攻破了，也是没有办法上传ASP文件的。

种过一豆

不和陌生人聊 发表于 2011-9-22 10:40
包含进程选全部，而没有选“**w3wp.exe**”的原因是，上传ASP的情况不是经常发生的，要上传就手动关闭一下。 ...

有时间的话来个规则打包、解析，造福一下我们这些用2003系统的

不和陌生人聊

桃源梨花 发表于 2011-9-22 10:34
包含进程只需要“**w3wp.exe**”即可，没有必要所有进程，这样每次更新，或者FTP进行管理会带来很大麻烦 ...

FTP管理是会带来麻烦的。为了安全只有不怕麻烦。我个人认为服务器要做到安全最大化。有用户要上传ASP类的文件时，就上服务器关闭一下，并同时查询一下日志，有没有要排除的。我平时都这么干的。开始有点不习惯，现在不感觉麻烦了

桃源梨花

不和陌生人聊 发表于 2011-9-22 10:51
FTP管理是会带来麻烦的。为了安全只有不怕麻烦。我个人认为服务器要做到安全最大化。有用户要上传ASP类的 ...

1、这样也可，针对服务器上改动不大的。主要是我管理的几十台服务器上每天都有至少3-5个客户要用FTP进行管理更新自己的网站。FTP，端口，权限限制死了也不是那么容易破解的。况且有硬件防火墙的和入侵检测系统的支持。
2、每次更新都要完全关闭Mcafee规则，这样就给攻击者提供了可乘之机，一旦写入马儿成功，再开启mcafee，咖啡对网马是无视的。。。曾经遇到过一次这种情况，好在后续的动作都被阻止，只不过webshell被那人拿走。。。
3、只拿到websehll对黑客而言没多少用，最终是拿服务器，拿服务器就必须对系统目录有动作，之前的做法是利用系统组策略来防止mcafee规则关闭后不能监控的漏洞。
安全最大化固然很好，但业界对安全的定义是，安全成本大于攻击成本的系统就是安全的。。。

桃源梨花

种过一豆 发表于 2011-9-22 10:43
有时间的话来个规则打包、解析，造福一下我们这些用2003系统的

win2003的规则有两种做法：
1、如果是web服务器，直接开启咖啡默认规则，然后排出你的应用程序，再加几条防网马的策略即可。如果是做域控制器或DHCP、DNS等等，开启默认规则即可，关键还是打好微软的补丁。这类服务器做好后我是严格限制U盘、应用程序安装的，在安装之前都要找测试机测试安装一遍，确保安全。如果是个人使用，论坛里任何XP规则拿过来排出使用即可。
2、另外的做法，除咖啡自带规则外，也可以找论坛大牛的规则，然后逐个排出，要花费很多时间

不和陌生人聊

“每次更新都要完全关闭Mcafee规则，这样就给攻击者提供了可乘之机，一旦写入马儿成功，再开启mcafee，咖啡对网马是无视的。。。”我也想了这个问题，我目前正在着手安装McAfee ePolicy Orchestrator 4.6.0 ，McAfee Host Intrusion Prevention 8.0.0，解决临时关闭规则造成的服务器安全问题。
可供参考的资料太少了。

bbcyg

帮顶一下 这个我也 想要前面 N 个人写的都还不错

fjshihui

非常谢谢各位的帮助，编写规则是技术活，需要过硬的技术，而菜鸟却不行，我就是一个菜鸟，现在在学习当中！我还是希望有能力的朋友能把规则打包上来，完善一下咖啡板块的win2003规则的缺失。谢谢！
谢谢几位的文章，很有启发！

不和陌生人聊 发表于 2011-9-22 11:26
“每次更新都要完全关闭Mcafee规则，这样就给攻击者提供了可乘之机，一旦写入马儿成功，再开启mcafee，咖啡 ...

更新具体是指？？

fjshihui

如：网站内容的更新，采集新文章等操作吧！