怎么禁ip 常见的web安全漏洞有哪些

1、怎么禁ip php，常见的web安全漏洞有哪些？

前言：

在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？本文主要侧重于分析几种常见的攻击的类型以及防御的方法。

一、XSS

XSS (Cross-Site Scripting)，跨站脚本攻击，因为缩写和 CSS重叠，所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。

跨站脚本攻击有可能造成以下影响:

利用虚假输入表单骗取用户个人信息。利用脚本窃取用户的Cookie值，被害者在不知情的情况下，帮助攻击者发送恶意请求。显示伪造的文章或图片。

XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

XSS 的攻击方式千变万化，但还是可以大致细分为几种类型。

1.非持久型 XSS（反射型 XSS ）

非持久型 XSS 漏洞，一般是通过给别人发送带有恶意脚本代码参数的 URL，当 URL 地址被打开时，特有的恶意代码参数被 HTML 解析、执行。

举一个例子，比如页面中包含有以下代码：

<select> <script> document.write('' + '<option value=1>' + location.href.substring(location.href.indexOf('default=') + 8) + '</option>' ); document.write('<option value=2>English</option>'); </script> </select>

攻击者可以直接通过 URL (类似：https://xxx.com/xxx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。不过一些浏览器如Chrome其内置了一些XSS过滤器，可以防止大部分反射型XSS攻击。

非持久型 XSS 漏洞攻击有以下几点特征：

即时性，不经过服务器存储，直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击，拿到用户隐私数据。攻击者需要诱骗点击,必须要通过用户点击链接才能发起反馈率低，所以较难发现和响应修复盗取用户敏感保密信息

为了防止出现非持久型 XSS 漏洞，需要确保这么几件事情：

Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。尽量不要从 URL，document.referrer，document.forms 等这种 DOM API 中获取数据直接渲染。尽量不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()，window.setTimeout()，innerHTML，document.createElement() 等可执行字符串的方法。如果做不到以上几点，也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。前端渲染的时候对任何的字段都需要做 escape 转义编码。

2.持久型 XSS（存储型 XSS）

持久型 XSS 漏洞，一般存在于 Form 表单提交等交互功能，如文章留言，提交文本信息等，黑客利用的 XSS 漏洞，将内容经正常功能提交进入数据库持久保存，当前端页面获得后端从数据库中读出的注入代码时，恰好将其渲染执行。

举个例子，对于评论功能来说，就得防范持久型 XSS 攻击，因为我可以在评论中输入以下内容

主要注入页面方式和非持久型 XSS 漏洞类似，只不过持久型的不是来源于 URL，referer，forms 等，而是来源于后端从数据库中读出来的数据 。持久型 XSS 攻击不需要诱骗点击，黑客只需要在提交表单的地方完成注入即可，但是这种 XSS 攻击的成本相对还是很高。

攻击成功需要同时满足以下几个条件：

POST 请求提交表单后端没做转义直接入库。后端从数据库中取出数据没做转义直接输出给前端。前端拿到后端数据没做转义直接渲染成 DOM。

持久型 XSS 有以下几个特点：

持久性，植入在数据库中盗取用户敏感私密信息危害面广

3.如何防御

对于 XSS 攻击来说，通常有两种方式可以用来防御。

1) CSP

CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则，如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。

通常可以通过两种方式来开启 CSP：

设置 HTTP Header 中的 Content-Security-Policy设置 meta 标签的方式

这里以设置 HTTP Header 来举例：

只允许加载本站资源

Content-Security-Policy: default-src 'self'

只允许加载 HTTPS 协议图片

Content-Security-Policy: img-src https://*

允许加载任何来源框架

Content-Security-Policy: child-src 'none'

如需了解更多属性，请查看Content-Security-Policy文档

对于这种方式来说，只要开发者配置了正确的规则，那么即使网站存在漏洞，攻击者也不能执行它的攻击代码，并且 CSP 的兼容性也不错。

2) 转义字符

用户的输入永远不可信任的，最普遍的做法就是转义输入输出的内容，对于引号、尖括号、斜杠进行转义

function escape(str) { str = str.replace(/&/g, '&') str = str.replace(/</g, '<') str = str.replace(/>/g, '>') str = str.replace(/"/g, '&quto;') str = str.replace(/'/g, ''') str = str.replace(/`/g, '`') str = str.replace(/\//g, '/') return str }

但是对于显示富文本来说，显然不能通过上面的办法来转义所有字符，因为这样会把需要的格式也过滤掉。对于这种情况，通常采用白名单过滤的办法，当然也可以通过黑名单过滤，但是考虑到需要过滤的标签和标签属性实在太多，更加推荐使用白名单的方式。

const xss = require('xss') let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>') // -> <h1>XSS Demo</h1><script>alert("xss");</script> console.log(html)

以上示例使用了 js-xss 来实现，可以看到在输出中保留了 h1 标签且过滤了 script 标签。

3) HttpOnly Cookie。

这是预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时，将其属性设为HttpOnly，就可以避免该网页的cookie被客户端恶意JavaScript窃取，保护用户cookie信息。

二、CSRF

CSRF(Cross Site Request Forgery)，即跨站请求伪造，是一种常见的Web攻击，它利用用户已登录的身份，在用户毫不知情的情况下，以用户的名义完成非法操作。

1. CSRF攻击的原理

下面先介绍一下CSRF攻击的原理：

完成 CSRF 攻击必须要有三个条件：

用户已经登录了站点 A，并在本地记录了 cookie在用户没有登出站点 A 的情况下（也就是 cookie 生效的情况下），访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。站点 A 没有做任何 CSRF 防御

我们来看一个例子： 当我们登入转账页面后，突然眼前一亮惊现"XXX隐私照片，不看后悔一辈子"的链接，耐不住内心躁动，立马点击了该危险的网站（页面代码如下图所示），但当这页面一加载，便会执行submitForm这个方法来提交转账请求，从而将10块转给黑客。

2.如何防御

防范 CSRF 攻击可以遵循以下几种规则：

Get 请求不对数据进行修改不让第三方网站访问到用户 Cookie阻止第三方网站请求接口请求时附带验证信息，比如验证码或者 Token

1) SameSite

可以对 Cookie 设置 SameSite 属性。该属性表示 Cookie 不随着跨域请求发送，可以很大程度减少 CSRF 的攻击，但是该属性目前并不是所有浏览器都兼容。

2) Referer Check

HTTP Referer是header的一部分，当浏览器向web服务器发送请求时，一般会带上Referer信息告诉服务器是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律，如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面，来判断是不是CSRF攻击。

但在某些情况下如从https跳转到http，浏览器处于安全考虑，不会发送referer，服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞，那么攻击者可以在其他网站注入恶意脚本，受害者进入了此类同域的网址，也会遭受攻击。出于以上原因，无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。

3) Anti CSRF Token

目前比较完善的解决方案是加入Anti-CSRF-Token。即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值，会进行校验该请求当中的token和cookie当中的token值是否都存在且相等，才认为这是合法的请求。否则认为这次请求是违法的，拒绝该次服务。

这种方法相比Referer检查要安全很多，token可以在用户登陆后产生并放于session或cookie中，然后在每次请求时服务器把token从session或cookie中拿出，与本次请求中的token 进行比对。由于token的存在，攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时，当某个页面消耗掉token后，其他页面的表单保存的还是被消耗掉的那个token，其他页面的表单提交时会出现token错误。

4) 验证码

应用程序和用户进行交互过程中，特别是账户交易这种核心步骤，强制用户输入验证码，才能完成最终请求。在通常情况下，验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验，网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段，在关键业务点设置验证码。

三、点击劫持

点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中，并将 iframe 设置为透明，在页面中透出一个按钮诱导用户点击。

1. 特点

隐蔽性较高，骗取用户操作"UI-覆盖攻击"利用iframe或者其它标签的属性

2. 点击劫持的原理

用户在登陆 A 网站的系统后，被攻击者诱惑打开第三方网站，而第三方网站通过 iframe 引入了 A 网站的页面内容，用户在第三方网站中点击某个按钮（被装饰的按钮），实际上是点击了 A 网站的按钮。接下来我们举个例子：我在优酷发布了很多视频，想让更多的人关注它，就可以通过点击劫持来实现

iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); } button { position: absolute; top: 270px; left: 1150px; z-index: 1; width: 90px; height:40px; } </style> ...... <button>点击脱衣</button> <img src="http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg"> <iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"></iframe>

从上图可知，攻击者通过图片作为页面背景，隐藏了用户操作的真实界面，当你按耐不住好奇点击按钮以后，真正的点击的其实是隐藏的那个页面的订阅按钮，然后就会在你不知情的情况下订阅了。

3. 如何防御

1）X-FRAME-OPTIONS

X-FRAME-OPTIONS是一个 HTTP 响应头，在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击。

该响应头有三个值可选，分别是

DENY，表示页面不允许通过 iframe 的方式展示SAMEORIGIN，表示页面可以在相同域名下通过 iframe 的方式展示ALLOW-FROM，表示页面可以在指定来源的 iframe 中展示

2）JavaScript 防御

对于某些远古浏览器来说，并不能支持上面的这种方式，那我们只有通过 JS 的方式来防御点击劫持了。

<head> <style id="click-jack"> html { display: none !important; } </style> </head> <body> <script> if (self == top) { var style = document.getElementById('click-jack') document.body.removeChild(style) } else { top.location = self.location } </script> </body>

以上代码的作用就是当通过 iframe 的方式加载页面时，攻击者的网页直接不显示所有内容了。

给大家推荐一个好用的BUG监控工具Fundebug，欢迎免费试用！

四、URL跳转漏洞

定义：借助未验证的URL跳转，将应用程序引导到不安全的第三方区域，从而导致的安全问题。

1.URL跳转漏洞原理

黑客利用URL跳转漏洞来诱导安全意识低的用户点击，导致用户信息泄露或者资金的流失。其原理是黑客构建恶意链接(链接需要进行伪装,尽可能迷惑),发在QQ群或者是浏览量多的贴吧/论坛中。安全意识低的用户点击后,经过服务器或者浏览器解析后，跳到恶意的网站中。

恶意链接需要进行伪装,经常的做法是熟悉的链接后面加上一个恶意的网址，这样才迷惑用户。

诸如伪装成像如下的网址，你是否能够识别出来是恶意网址呢？

http://gate.baidu.com/index?act=go&url=http://t.cn/RVTatrd http://qt.qq.com/safecheck.html?flag=1&url=http://t.cn/RVTatrd http://tieba.baidu.com/f/user/passport?jumpUrl=http://t.cn/RVTatrd

2.实现方式：

Header头跳转Javascript跳转META标签跳转

这里我们举个Header头跳转实现方式：

<?php $url=$_GET['jumpto']; header("Location: $url"); ?> http://www.wooyun.org/login.php?jumpto=http://www.evil.com

这里用户会认为www.wooyun.org都是可信的，但是点击上述链接将导致用户最终访问www.evil.com这个恶意网址。

3.如何防御

1)referer的限制

如果确定传递URL参数进入的来源，我们可以通过该方式实现安全限制，保证该URL的有效性，避免恶意用户自己生成跳转链接

2)加入有效性验证Token

我们保证所有生成的链接都是来自于我们可信域的，通过在生成的链接里加入用户不可控的Token对生成的链接进行校验，可以避免用户生成自己的恶意链接从而被利用，但是如果功能本身要求比较开放，可能导致有一定的限制。

五、SQL注入

SQL注入是一种常见的Web安全漏洞，攻击者利用这个漏洞，可以访问或修改数据，或者利用潜在的数据库漏洞进行攻击。

1.SQL注入的原理

我们先举一个万能钥匙的例子来说明其原理：

<form action="/login" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" value="登陆" /></p> </form>

后端的 SQL 语句可能是如下这样的：

let querySQL = ` SELECT * FROM user WHERE username='${username}' AND psw='${password}' `; // 接下来就是执行 sql 语句...

这是我们经常见到的登录页面，但如果有一个恶意攻击者输入的用户名是 admin' --，密码随意输入，就可以直接登入系统了。why! ----这就是SQL注入

我们之前预想的SQL 语句是:

SELECT * FROM user WHERE username='admin' AND psw='password'

但是恶意攻击者用奇怪用户名将你的 SQL 语句变成了如下形式：

SELECT * FROM user WHERE username='admin' --' AND psw='xxxx'

在 SQL 中,' --是闭合和注释的意思，-是注释后面的内容的意思，所以查询语句就变成了：

SELECT * FROM user WHERE username='admin'

所谓的万能密码,本质上就是SQL注入的一种利用方式。

一次SQL注入的过程包括以下几个过程：

获取用户请求参数拼接到代码当中SQL语句按照我们构造参数的语义执行成功

SQL注入的必备条件：

1.可以控制输入的数据2.服务器要执行的代码拼接了控制的数据。

我们会发现SQL注入流程中与正常请求服务器类似，只是黑客控制了数据，构造了SQL查询，而正常的请求不会SQL查询这一步，SQL注入的本质:数据和代码未分离，即数据当做了代码来执行。

2.危害

获取数据库信息管理员后台用户名和密码获取其他数据库敏感信息：用户名、密码、手机号码、身份证、银行卡信息……整个数据库：脱裤获取服务器权限植入Webshell，获取服务器后门读取服务器敏感文件

3.如何防御

严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害后端代码检查输入的数据是否符合预期，严格限制变量的类型，例如使用正则表达式进行一些匹配处理。对进入数据库的特殊字符（'，"，，<，>，&，*，; 等）进行转义处理，或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法，比如 lodash 的 lodash._escapehtmlchar 库。所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中，即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。六、OS命令注入攻击

OS命令注入和SQL注入差不多，只不过SQL注入是针对数据库的，而OS命令注入是针对操作系统的。OS命令注入攻击指通过Web应用，执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏，就可以执行插入的非法命令。

命令注入攻击可以向Shell发送命令，让Windows或Linux操作系统的命令行启动程序。也就是说，通过命令注入攻击可执行操作系统上安装着的各种程序。

1.原理

黑客构造命令提交给web应用程序，web应用程序提取黑客构造的命令，拼接到被执行的命令中，因黑客注入的命令打破了原有命令结构，导致web应用执行了额外的命令，最后web应用程序将执行的结果输出到响应页面中。

我们通过一个例子来说明其原理，假如需要实现一个需求：用户提交一些内容到服务器，然后在服务器执行一些系统命令去返回一个结果给用户

// 以 Node.js 为例，假如在接口中需要从 github 下载用户指定的 repo const exec = require('mz/child_process').exec; let params = {/* 用户输入的参数 */}; exec(`git clone ${params.repo} /some/path`);

如果 params.repo 传入的是 https://github.com/admin/admin.github.io.git 确实能从指定的 git repo 上下载到想要的代码。但是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf /* && 恰好你的服务是用 root 权限起的就糟糕了。

2.如何防御

后端对前端提交内容进行规则限制（比如正则表达式）。在调用系统命令前对所有传入参数进行命令行参数转义过滤。不要直接拼接命令语句，借助一些工具做拼接、转义预处理，例如 Node.js 的 shell-escape npm包

以上就是常见的web安全漏洞及防御方法！

2、怎么快速从小白到精通学会PHP？

免费干货来袭，自学PHP看这里！我将从PHP学习路线图，PHP免费学习教程，和PHP书籍三点来说，请往下看哦！

PHP学习路线图

2019新版PHP+H5全栈学习路线图---每阶段市场价值及可解决的问题及可掌握的能力

自学PHP教程（和学习大纲一起学的更好哦！）

第一阶段：Web前端

htmlt入门【热门教程】

css入门【热门教程】

PHP基础视频_html+css+js

第二阶段：核心编程

零基础新手入门到精通PHP教程

php基础语法

PHP核心编程12天

5天玩转MySQL

Redis视频教程

PHP_Linux视频教程

第三阶段：

PHP_AJax视频教程

PHP_XML视频教程

ThinkPHP视频教程

基于PHP面向对象的自定义MVC框架高

第四阶段：

PHP微信公众平台开发

ThinkPHP开发大型商城 tp5

Yii实战开发大型商城项目视频教程

PHP_CI快速开发电子商城项目实（含资料）

Laravel+在线教育项目

PHP自学书籍推荐本书是面向PHP初学者推出的一本入门教材，站在初学者的角度，以通俗易懂的语言、丰富的图解、实用的案例，详细讲解了PHP语言的基础知识。为了顺应技术的更新，本书基于PHP 7.1版本进行讲解，并介绍了PHP 5.4~7.1之间版本的差别，以确保代码的兼容性。全书共分为16章，其中有12个章节讲解新知识，4个章节为阶段案例。在知识讲解章节，还配备了动手实践，用于将本章所学内容进行练习和巩固，达到即学即练的效果。当学完一个阶段的知识后，通过阶段案例开发功能性强、界面美观、用户体验优秀的项目，如“许愿墙”、“在线相册”、“趣PHP网站”等，将所学知识综合运用到实际开发中，积累项目开发经验。

PS：获取视频或者是学习大纲，可以后台留言，看到会回复的，

3、电脑端有哪些特别好用的小工具？

电脑上好用的小工具软件还是非常多的，不同的人可能会有不同的爱好和选择，在这里，我就分享10个我使用最多的软件吧，真的非常实用且好用。

一：Arctime pro。

Arctime pro是一款非常强大的视频字幕编辑软件，可以轻松制作了与视频音频同步的字幕文件。制作出来的字幕，可以输出为SRT、ASS、Encore等格式，独立工程文件，保存所有信息，支付linux、苹果的mac os、微信的windows系统。

二：Camtasia studio。

Camtasia studio是一款功能强大的视频编辑软件，如果你也是一个自媒体人，喜欢在网上发一些短视频，Camtasia studio真的是你最佳的选择。通过Camtasia studio我们可以给视频添加非常多的特效：视频动态背景、视频过渡特效、文字的行为特效、动画特效、鼠标指针特效、注释特效、语音旁白等等。而且我们还可能通过Camtasia studio来给电脑的屏幕屏录。

三：Sublime text。

如果你是一个程序员，Sublime text你肯定不会陌生，它是一款功能非常强大的编程软件，我们可以用它来编写PHP、.net、html、css、JS、java、C等等几乎所有的语言。Sublime text还可以无限制地扩展自己的功能，如：可以添加插件（Sublime text的插件成千上万）、可以更换主题等等，这样可以让Sublime text更加人性化，更加方便程序员使用。

四：Xshell。

Xshell是一个非常安全的终端模拟软件，我们可以通过Xshell登录远程服务器，来管理自己的远程网站服务器，从而达到有效控制远程终端的目的。而且还可以通过Xshell直接打开Xftp，这样可以对服务器文件进行图形化管理，比ftp软件还要方便。

五：雨燕投屏。

如果想把自己的手机投屏到电脑上，雨燕投屏是一个非常不错的选择。我也使用过其它投屏软件，如：乐播投屏、傲软投屏等等，它们在免费情况下都有诸多限制，乐播投屏免费时，只能录屏10分钟就会自动断开。雨燕投屏就没有这方面的限制哦，想录多长就录多长。

六：Bandicam。

Bandicam是一款非常不错的录屏软件，通过Bandicam录屏软件，我们可以全屏录制、局部选择录制、追随鼠标录制，还可以录制电脑摄像头，这对于那些做视频教程的媒体人来说，非常有用哦。我发布的视频和教程，基本上都是通过Bandicam来录制的。

七：Wampserver。

Wampserver是一个windows系统本地服务器集成开发环境软件，集成了Apache、Mysql/MariaDB、Perl/PHP/Python。这对于一个动态网站开发人员或学习动态语言的人来说，非常有用，可以先在自己的电脑上开发好网站程序，然后再上传到真正的网站上去。

八：格式工厂。

格式工厂是一个非常强大的视频、音频、图片等多媒体格式转换器，支持把市面上几乎所有类型的视频，转换成MP4、3GP、MPG、AVI、WMV、FLV、SWF等视频格式，也支持所有类型的音频转换成MP3、WMA、WAV等主流音频格式，还可以把视频转换成GIF动画图片。

九：VMware workstation。

VMware workstation是一款最受用户喜欢的虚拟机软件，虽然windows系统也自带有虚拟机工具，但是没有VMware workstation好用，而且功能也没有VMware workstation强大。我们在VMware workstation上可以安装所有的电脑操作系统，如：dos、windows、linux、mac os。如果你想在windows电脑上学习苹果mac系统、linux系统，VMware workstation虚拟是你最佳的选择。

十：Xmind。

Xmind是一款风靡全球的头脑风暴和思维导图软件，通过Xmind，我们可以创作出丰富多彩的思维导图。Xmind可以绘制出多种样式的思维导图：鱼骨图、二维图、树形图、逻辑图、组织结构图等等，而且Xmind还提供了非常多的模板，让我们绘制更加简单。

以上就是我的观点，喜欢就【点个赞】吧！

如有不同意见，欢迎发表【评论】。同时，欢迎【关注】我，观看更多精彩内容。

4、如何防止服务器被入侵？

你的问题，有我回答，我是IT屠工！

1、用户安全

(1) 运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字， 并新建同名Administrator 普通用户，设置超长密码去除所有隶属用户组。

(2) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证 服务器账户的密码安全。

(3) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项 交互式登录 :不显示上次的用户名；——启动 交互式登录：回话锁定时显示用户信息；——不显示用户信息

(5) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项

网络访问：可匿名访问的共享；——清空

网络访问：可匿名访问的命名管道；——清空

网络访问：可远程访问的注册表路径；——清空

网络访问：可远程访问的注册表路径和子路径；——清空

(6) 运行

gpedit.msc

——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户

ASPNET

Guest IUSR_***** IWAM_*****

NETWORK SERVICE

SQLDebugger

注：用户添加查找如下图：

(7) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下：

2、共享安全

(1) 运行 Regedit——删除系统默认的共享 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameter

s]增加一个键：名称 : AutoShareServer ; 类型 : REG_DWORD值; : 0

(2) 运行 Regedit——禁止 IPC 空连接 [Local_Machine/System/CurrentControlSet/Control/LSA] 把 RestrictAnonymous 的键值改成 ”1”。

3. 服务端口安全

(1) 运行 Regedit——修改 3389 远程端口

打开 [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal

Server\Wds\rdpwd\Tds\tcp]，将 PortNamber 的键值（默认是3389 ）修改成自定义端 口:14720

打开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp] ，将 PortNumber 的键值（默认是3389）修改成自定义 端口 :14720

(2) 运行 services.msc——禁用不需要的和危险的服务 以下列出建议禁止的服务，具体情况根据需求分析执行：

Alerter 发送管理警报和通知

Automatic Updates Windows 自动更新服务

Computer Browser 维护网络计算机更新（网上邻居列表）

Distributed File System 局域网管理共享文件

Distributed linktracking client 用于局域网更新连接信息

Error reporting service 发送错误报告

Remote Procedure Call (RPC) Locator RpcNs*远程过程调用(RPC)

Remote Registry 远程修改注册表

Removable storage 管理可移动媒体、驱动程序和库

Remote Desktop Help Session Manager 远程协助

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Shell Hardware Detection 为自动播放硬件事件提供通知。

Messenger 消息文件传输服务

Net Logon 域控制器通道管理

NTLMSecuritysupportprovide telnet 服务和 Microsoft Serch 用的

PrintSpooler 打印服务

telnet telnet 服务

Workstation 泄漏系统用户名列表（注：如使用局域网请勿关闭）

(3) 运行 gpedit.msc —— IPSec安全加密端口，内部使用加密访问。

原理：利用组策略中的“ IP 安全策略”功能中，安全服务器（需要安全）功能。

将 所有访问远程如13013 端口的请求筛选到该ip安全策略中来， 使得该请求需要通过 双方的预共享密钥进行身份认证后才能进行连接，其中如果一方没有启用“需要安全”时，则无法进行连接，同时如果客户端的预共享密钥错误则无法与服务器进行 连接。在此条件下，不影响其他服务的正常运行。

操作步骤：

1) 打开

GPEDIT.MSC

，在计算机策略中有“ IP 安全策略” ,选择“安全服务器（需要 安全）”项目属性，然后在IP 安全规则中选择“所有IP 通信”打开编辑，在“编 辑规则属性”中，双击“所有IP通信”，在 IP 筛选器中，添加或编辑一个筛选

2) 退回到 “编辑规则属性” 中，在此再选择“身份验证方法” 。删除“ Kerberos 5”,

点击添加，在“新身份验证方法”中，选择“使用此字符串（预共享密钥） ，然后填写服务器所填的预共享密钥 （服务器的预共享密钥为 ”123abc,.”）。然后确 定。

3) 选择“安全服务器（需要安全）”右键指派即可。 附截图：

以上是我的回答，希望可以帮助到您！

5、有哪些网站可以下免费的电子书？

我要给你分享自用、私藏的电子书下载网站啦！

免费、好用、书源还多！

6个宝藏电子书书库，亲测常用，可以正常打开使用哦~

文末还有一个顶十个的电子书搜索神器+用Kindle看微信读书的操作指南，让你的Kindle不再盖泡面~

01 -

鸠摩搜书

（老牌图书资源寻找神器）

一个强大的搜书神站，资源超多还免费的那种平台。鸠摩本身不存储电子书资源，只提供搜索链接的集合。

这也是我最常用的一个网站，页面简洁到没朋友。

链接：https://www.jiumodiary.com

对于不同的书籍格式，鸠摩网站还做出了详细分类，让你可以选择自己想要的书籍格式下载！支持下载格式：PDF，ePub，Kindle，TXT

02 -

EPUBEE

（最大在线电子书库）

Epubee号称最大的在线电子书书库！也是免费的！虽然看起来非常的简陋，不过收集了非常多的电子书，格式绝大部分都是epub或者mobi的，超级丰富。

中文链接：http://cn.epubee.com/books

网站虽然丑了点，但没有广告，这点很优秀！这个网站的书源真的超级丰富，各种各样都有！

但使用方法有点跟我们正常下载的方式不同。我简单介绍一下：

首先，你可以搜索你自己想要的图书

然后点击搜索结果下方的“保存到Cloud ID”可以将电子书添加到你当前的Cloud ID。显示“成功”则表示添加成功：

添加成功后，在管理器的后台，你就能看到这本书了，有在线阅读和下载的功能都可以使用。

03 -

图书创世纪

（全球最大图书平台）

一个超级良心的公益网站，号称全球最大的在线电子资源下载网站，收集了大概200万本电子书资源。上面不仅有电子书，而且还有很多文献，重要的是网站完全公益，无需注册就能进行查询和下载！

链接：http://gen.lib.rus.ec

这个网站可以根据书籍的题目、作者、出版社、出版年份、ISBN、发行人等等进行搜索，搜索功能也非常强大，并且还支持多种格式的自定义下载。

04 -

辣豆瓣

（电子书搜索网站）

同样也是一个电子书搜索网站，基本上涵盖了大部分市面上的电子书。

这个网站还有不错的书单推荐，除了可以下载书，还可以浏览一下解决一下书荒。针对每一本书还有简单的介绍以及书中目录。

就是下载比较麻烦，需要注册/关注微信公众号之后才能获取百度网盘的提取码。

链接：http://www.ladouban.com

通过搜索某本书名，或者某个关键字，例如搜索：Python，就可以得到网站收集的一些结果。

底下就是搜索出来的电子书，所有的电子书均提供百度网盘链接的下载方式。

05 -

Sobooks

（社科文学电子书搜索网站）

SoBooks是一个主攻社科文学的免费图书下载站，首页针对不同分类有对应推荐书目。每本书的文尾可以获取百度网盘、微盘等下载站链接（这些下载资源目测是官方提供），电子书下载格式较为单一。

链接：https://sobooks.cc/

下载须知：由于是加密链接，需要获取提取码，有时会要求关注公众号。

06 -

免费Kindle电子书

作为一个Kindle的深度使用者，Kindle上阅读电子书体验感非常好，当然阅读的电子书有付费也有免费的。

其实Kindle也有「免费电子书」专区，并且里面的资源非常多，本本都是精品！例如：小说、文学、期刊、外文、小说等等。

链接：http://dwz.win/7P9

使用起来也非常便捷，只需要登录自己的Kindle账号就可以一键同步书籍了，适合Kindle使用者使用。

07 -

电子书搜索

（最全搜索合集站+万能转换）

放大招了！

上面推荐的这 7 个网站如果你真的不想收藏，那么就给你推荐一个收集「电子书资源网站」的集合网站。

忘掉刚才我说的种种，记住这一个就可以，这个网站集合了目前主流的电子书下载网站，你可以轻松在上面找到任何你想要的电子书！

在这里你可以通过「鸠摩搜索」「书格」等等网站批量搜索。一个顶 100 个电子书搜索网站。

链接：https://ebook.chongbuluo.com

涵盖25个网站，从图书搜索，到下载，到转格式全部搞定！

很多小众的网站被收录，要是喜欢看漫画，直接有对应的漫画搜索网站：VOL.moe 点击就能轻松找到你想要的！

辛苦找到资源，下载的格式不能查看，这里也有格式转换功能，帮你搞定！

Last -

用Kindle看微信读书

微信读书官方宣布：Kindle用户可以登陆微信读书网页版了！

微信和Kindle

第一步：打开Kindle右上角点击「┇」，在下拉菜单中选择 “体验版网页浏览器”。

第二步：在浏览器地址栏输入微信读书网页版地址（r.qq.com）

第三步：打开微信扫码登录便可在Kindle上使用微信读书网页版。

微信读书网页版首页打开，就可以看到书籍列表。

与APP版一样，用户只需要点击书籍封面既可开始阅读，而翻页操作则遵循了Kindle的点击左右侧前进/后退规则。

微信读书还表示，在Kindle上使用微信读书网页版时，用户阅读记录和在读时长都会同步。

登陆进入微信读书网页版后，可设置“为本页添加书签”，下次即可不用再次输入网址。

总结一下因为疫情，我们无法行万里路了请珍惜这段时间去读万卷书吧毕竟这是免费的欢迎你来关注简单的大金