WinNT包括Windows 2000/2003/2008，McAfee俗稱麥咖啡，官方中文名叫做邁克菲，有個(gè)人版本和企業(yè)版，都是商業(yè)軟件，企業(yè)版能自定義規(guī)則，合理運(yùn)用邁克菲配置WinNT的服務(wù)器系統(tǒng)，能在一定程度上保護(hù)網(wǎng)站數(shù)據(jù)。下面以McAfee 8.7i Path4為例子分享配置思路。

1、按訪問掃描程序配置思路





因?yàn)槭欠?wù)器，不是個(gè)人使用的電腦，所以“按訪問掃描程序”的網(wǎng)絡(luò)檢查靈敏度建議調(diào)到“非常高”，哪怕誤殺都好過放過一個(gè)可疑文件。當(dāng)然，你已知的非?？尚诺奈募蛭募A就需要設(shè)置排除，如下：



為了節(jié)省資源，在“按訪問掃描程序”建議設(shè)置為寫入時(shí)才掃描，讀取的時(shí)候就不掃描，另外也制定一下掃描的內(nèi)容，一般選擇默認(rèn)+其他文件類型足矣。



2、消息彈出提示配置思路

服務(wù)器的軟件越少互動(dòng)越好，所以建議去掉所有相關(guān)的彈出信息提示，比如按訪問掃描實(shí)時(shí)發(fā)現(xiàn)病毒時(shí)，檢測(cè)到緩沖區(qū)溢出時(shí)都不必彈出對(duì)話框，而是按照預(yù)置的動(dòng)作（隔離或刪除）操作即可。

3、計(jì)劃任務(wù)配置思路

計(jì)劃任務(wù)是服務(wù)器最經(jīng)常用到的功能，畢竟更新病毒庫，掃描病毒等都不必人工定時(shí)去操作的。



建議設(shè)置到每天凌晨之后才執(zhí)行更新，避免訪問高峰期的資源緊張，同樣，定期掃描敏感文件夾比如C盤，比如網(wǎng)站文件夾也建議安排到月底的深夜，掃描就只需一個(gè)月掃一次夠了。

4、訪問保護(hù)配置思路

訪問保護(hù)也就是McAfee企業(yè)版的規(guī)則包，比較靈活的地方就在這里。



McAfee自帶的規(guī)則根據(jù)自身情況設(shè)置，在安裝好常用的軟件之后，就算把它自帶的規(guī)則都打開，也不會(huì)阻擾操作系統(tǒng)的正常運(yùn)作。如果有不明白的，就報(bào)告也打勾，操作給阻擋的話報(bào)告就會(huì)顯示操作日志的，根據(jù)日志排除對(duì)應(yīng)進(jìn)程即可。

下面就用戶定義的規(guī)則展開配置思路：

a、備份文件的配置思路

假如服務(wù)器上面有一個(gè)文件夾是放置備份的數(shù)據(jù)庫，網(wǎng)站文件的，可能這些是手工打包的，也可能是使用計(jì)劃任務(wù)壓縮的。如果服務(wù)器給拿下了，這些文件被拷走是很輕松的，還不必逐個(gè)網(wǎng)站導(dǎo)出。所以，我們首先對(duì)備份文件進(jìn)行訪問保護(hù)。



添加一個(gè)對(duì)文件或文件夾訪問保護(hù)的規(guī)則，把以下都打勾：

• 對(duì)文件進(jìn)行讀訪問；
• 對(duì)文件進(jìn)行寫訪問；
• 正在創(chuàng)建的新文件；
• 正在刪除的文件。

配置好對(duì)應(yīng)的文件夾，如果是定時(shí)壓縮備份的話，就排除壓縮程序的進(jìn)程允許壓縮程序訪問。如果不放心，再對(duì)壓縮程序的進(jìn)程文件進(jìn)行同樣的設(shè)置，增加多一條規(guī)則，這樣壓縮程序無法偽造，備份的文件夾也無法復(fù)制，剪切等，就算服務(wù)器給拿下了，入侵者也是看著不能動(dòng)。

如果自己要操作，就臨時(shí)禁止一下訪問保護(hù)即可。此法對(duì)備份文件，和一些你認(rèn)為不愿意隨便給然拷貝走的文件都能如此設(shè)置。

b、端口入站出站思路配置

雖然WinNT的安全策略很強(qiáng)大，其中IPSec也能控制每條入站出站，或許使用習(xí)慣上的問題。結(jié)合安全策略，有不少人也希望通過McAfee來控制端口的訪問。



用McAfee來配置入站和出站端口建議使用分段端口的方法，而且入站和出站是分開規(guī)則的。

圖示的是從1-79端口為入站第一條規(guī)則，依次為80，81-1000，1001-2000端口，直到65535端口為止。分段端口是方便控制每個(gè)端口段的程序，又避免統(tǒng)一使用入站和出站的不嚴(yán)密性。

通過3389或者其他端口遠(yuǎn)程登陸的服務(wù)器就要注意，要添加一條入站的排除，不然設(shè)置規(guī)則之后連遠(yuǎn)程都進(jìn)不去了。



因?yàn)?389在3001-4000端口之間的，增加一個(gè)svchost.exe的排除進(jìn)程就能避免遠(yuǎn)程登陸都進(jìn)不去的尷尬了。估計(jì)設(shè)置規(guī)則的時(shí)候不會(huì)強(qiáng)制讓你退出的，所以設(shè)置端口規(guī)則包的時(shí)候一定要打開報(bào)告，根據(jù)日志排除要這個(gè)端口的程序進(jìn)程，才不會(huì)阻擾服務(wù)器的正常運(yùn)作，等到配置和運(yùn)行都沒有問題了，也可以關(guān)閉報(bào)告的。

根據(jù)實(shí)際情況，為每個(gè)端口段都排除相應(yīng)的程序，比如ftp服務(wù)器端的話，就需要隨機(jī)的入站端口，就在每個(gè)端口段都排除ftp服務(wù)器端程序進(jìn)程。

通俗點(diǎn)來說，出站端口就是服務(wù)器上的程序要上網(wǎng)用到的端口，入站端口就是作為服務(wù)的程序要給外面的用戶程序進(jìn)來用到的端口。入站相對(duì)需要多點(diǎn)排除，出站幾乎都能禁止，如果要用IE臨時(shí)下載一些文件的話，就排除IE的進(jìn)程。

c、系統(tǒng)安全配置思路

系統(tǒng)的安全完全依靠WinNT本身的漏洞和基本配置阻擋，McAfee只是從周邊的一些技巧性的方面阻擋惡意操作。比如比較實(shí)用的禁止寫入dll：



添加一個(gè)對(duì)文件或文件夾訪問保護(hù)的規(guī)則，把以下都打勾：

• 對(duì)文件進(jìn)行寫訪問；
• 正在創(chuàng)建的新文件。