虚拟主机基本安全设置

    系统端口设置（以Windows 2000 为例）
    虚拟主机，网站建设一般同时使用PcanyWhere 和终端服务进行控制，终端服务要更改端口，比如修改成5443端口。根据要开放的服务，去设置TCP/IP 筛选。TCP/IP 筛选设置如下：
    TCP 端口只允许21，80，5631，8735，10001，10002，10003，10004，10005；IP 协议只允许6 个。   TCP/IP端口里面的10001-10005 是设置Serv-U 的PASV 模式使用的端口。
    本地连接属性里面，卸载所有的其他协议，建站研究只留下Internet 协议（TCP/IP），顺便把administrator 帐号改个复杂点的名字，并且在本地安全策略里面设置不显示上次登陆帐号，对帐号锁定做出合适的设置。然后重新启动计算机，这步设置已经完成。
    系统权限设置
    现在开始安装软件，所有的软件都安装在d 盘，e 盘作数据备份使用。先安装Serv-U 到d:\Serv-U。建站方案然后依次安装到d 盘。现在开始设置权限。c，d，e 盘的安全里面把Everyone 删除，添加改名后的administrator和system，网站建设让它们完全控制。高级里面重置所有子对象的权限并允许传播可继承权限。这样系统所有的文件，目录全部是由改名后的administrator 和system 控制了，并且自动继承上级目录的权限，下面开始为每个目录设置对应的权限。
    运行asp，建立数据库连接需要，使用C:\Program Files\Common Files 目录下面的文件。在这里，设置C:\Program Files\Common Files 权限，加入everyone，权限为读取，建站模版列出文件夹目录，读取及运行。
    运行php，需要设置c:\winnt\php.ini 的权限，让everyone 有读取权限即可。如果php 的session 目录设置为c:\winnt\temp 目录，网站设计此目录应该让everyone 有读取写入权限。为提高性能，php 设置为使用isapi 解析，d:\php 目录让everyone 有读取，列出文件夹目录，读取及运行权限。
    运行cgi，设置d:\perl 让everyone 有读取，列出文件夹目录，读取及运行权限。顺便说下，网站建设cgi 设置为使用isapi 方式解析有利于安全和性能。最后，就是设c:\winnt\system32 目录。首先就是cacls.exe，让它不继承父目录权限，并且让它拒绝任何人访问。其它的要设置的程序列表如下：net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe，这几个程序设置成只允许改名后的administrator 访问。