亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

Windows Internet網絡服務器安全配置(實踐篇)
2006-09-28   

編者按:
Windows Internet網絡服務器安全配置(原理篇)
Windows Internet網絡服務器安全配置(實踐篇)
下面我們詳述第二部分內容:



實踐篇

  下面我用的例子.將是一臺標準的虛擬主機.

  系統:windows2003

  服務:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]

  描述:為了演示,綁定了最多的服務.大家可以根據實際情況做篩減
  
1.WINDOWS本地安全策略 端口限制

  A.對于我們的例子來說.需要開通以下端口

  外->本地 80
  外->本地 20
  外->本地 21
  外->本地 PASV所用到的一些端口
  外->本地 25
  外->本地 110
  外->本地 3389

  然后按照具體情況.打開SQL SERVER和MYSQL的端口

  外->本地 1433
  外->本地 3306

  B.接著是開放從內部往外需要開放的端口

  按照實際情況,如果無需郵件服務,則不要打開以下兩條規則

  本地->外 53 TCP,UDP
  本地->外 25

  按照具體情況.如果無需在服務器上訪問網頁.盡量不要開以下端口

  本地->外 80


  C.除了明確允許的一律阻止.這個是安全規則的關鍵.

  外->本地 所有協議 阻止

  
2.用戶帳號

  a.將administrator改名,例子中改為root

  b.取消所有除管理員root外所有用戶屬性中的
  遠程控制->啟用遠程控制 以及
  終端服務配置文件->允許登陸到終端服務器

  c.將guest改名為administrator并且修改密碼

  d.除了管理員root,IUSER以及IWAM以及ASPNET用戶外.禁用其他一切用戶.包括SQL DEBUG以及TERMINAL USER等等

3.目錄權限

  將所有盤符的權限,全部改為只有

  administrators組 全部權限

  system 全部權限


  將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權限的兩個權限

  然后做如下修改:

  C:\Program Files\Common Files 開放Everyone 默認的讀取及運行 列出文件目錄 讀取三個權限

  C:\WINDOWS\ 開放Everyone 默認的讀取及運行 列出文件目錄 讀取三個權限

  C:\WINDOWS\Temp 開放Everyone 修改,讀取及運行,列出文件目錄,讀取,寫入權限

  現在WebShell就無法在系統目錄內寫入文件了.

  當然也可以使用更嚴格的權限.

  在WINDOWS下分別目錄設置權限.

  可是比較復雜.效果也并不明顯.
  
4.IIS

  在IIS 6下.應用程序擴展內的文件類型對應ISAPI的類型已經去掉了IDQ,PRINT等等危險的腳本類型,

  在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除.

  安裝URLSCAN

  在[DenyExtensions]中一般加入以下內容

  .cer
  .cdx
  .mdb
  .bat
  .cmd
  .com
  .htw
  .ida
  .idq
  .htr
  .idc
  .shtm
  .shtml
  .stm
  .printer


  這樣入侵者就無法下載.mdb數據庫.這種方法比外面一些在文件頭加入特殊字符的方法更加徹底.

  因為即便文件頭加入特殊字符.還是可以通過編碼構造出來的
  
5.WEB目錄權限

  作為虛擬主機.會有許多獨立客戶

  比較保險的做法就是為每個客戶,建立一個windows用戶

  然后在IIS的響應的站點項內把IIS執行的匿名用戶.綁定成這個用戶

  并且把他指向的目錄權限變更為:

  administrators 全部權限
  system 全部權限

  單獨建立的用戶(或者IUSER) 選擇高級->打開除 完全控制,遍歷文件夾/運行程序,取得所有權 3個外的其他權限.

  如果服務器上站點不多.并且有論壇.我們可以把每個論壇的上傳目錄去掉此用戶的執行權限.只有讀寫權限.這樣入侵者即便繞過論壇文件類型檢測上傳了webshell也是無法運行的.

6.MS SQL SERVER2000

  使用系統帳戶登陸查詢分析器

  運行以下腳本

  use master
  exec sp_dropextendedproc 'xp_cmdshell'
  exec sp_dropextendedproc 'xp_dirtree'
  exec sp_dropextendedproc 'xp_enumgroups'
  exec sp_dropextendedproc 'xp_fixeddrives'
  exec sp_dropextendedproc 'xp_loginconfig'
  exec sp_dropextendedproc 'xp_enumerrorlogs'
  exec sp_dropextendedproc 'xp_getfiledetails'
  exec sp_dropextendedproc 'Sp_OACreate'
  exec sp_dropextendedproc 'Sp_OADestroy'
  exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
  exec sp_dropextendedproc 'Sp_OAGetProperty'
  exec sp_dropextendedproc 'Sp_OAMethod'
  exec sp_dropextendedproc 'Sp_OASetProperty'
  exec sp_dropextendedproc 'Sp_OAStop'
  exec sp_dropextendedproc 'Xp_regaddmultistring'
  exec sp_dropextendedproc 'Xp_regdeletekey'
  exec sp_dropextendedproc 'Xp_regdeletevalue'
  exec sp_dropextendedproc 'Xp_regenumvalues'
  exec sp_dropextendedproc 'Xp_regread'
  exec sp_dropextendedproc 'Xp_regremovemultistring'
  exec sp_dropextendedproc 'Xp_regwrite'
  drop procedure sp_makewebtask
  go


  刪除所有危險的擴展.

7.修改CMD.EXE以及NET.EXE權限

  將兩個文件的權限.修改到特定管理員才能訪問,比如本例中.我們如下修改

  cmd.exe root用戶 所有權限
  net.exe root用戶 所有權現

  這樣就能防止非法訪問.還可以使用例子中提供的comlog程序

  將com.exe改名_com.exe,然后替換com文件.這樣可以記錄所有執行的命令行指令

8.備份

  使用ntbackup軟件.備份系統狀態.

  使用reg.exe 備份系統關鍵數據

  如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y

  來備份系統的ODBC

9.殺毒

  這里介紹MCAFEE 8i 中文企業版.因為這個版本對于國內的許多惡意代碼和木馬都能夠及時的更新.比如已經能夠檢測到海陽頂端2006.而且能夠殺除IMAIL等SMTP軟件使用的隊列中MIME編碼的病毒文件.而很多人喜歡安裝諾頓企業版.而諾頓企業版,對于WEBSHELL.基本都是沒有反應的.而且無法對于MIME編碼的文件進行殺毒.

  在MCAFEE中.我們還能夠加入規則.阻止在windows目錄建立和修改EXE.DLL文件等.我們在軟件中加入對WEB目錄的殺毒計劃.每天執行一次.并且打開實時監控.
 
10.關閉無用的服務

  我們一般關閉如下服務:

  Computer Browser
  Help and Support
  Messenger
  Print Spooler
  Remote Registry
  TCP/IP NetBIOS Helper

  如果服務器不用作域控,我們也可以禁用

  Workstation


11.取消危險組件

  如果服務器不需要FSO

  regsvr32 /u c:\windows\system32\scrrun.dll

  注銷組件

  使用regedit

  將/HKEY_CLASSES_ROOT下的

  WScript.Network
  WScript.Network.1
  WScript.Shell
  WScript.Shell.1
  Shell.Application
  Shell.Application.1

  鍵值改名或刪除

  將這些鍵值下CLSID中包含的字串

  如{72C24DD5-D70A-438B-8A42-98424B88AFB8}

  到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值

  全部刪除

12.審計

  本地安全策略->本地策略->審核策略

  打開以下內容

  審核策略更改 成功,失敗
  審核系統事件 成功,失敗
  審核帳戶登陸事件 成功,失敗
  審核帳戶管理 成功,失敗

  

【完】

熱詞搜索:

上一篇:2006年100款最佳安全工具譜
下一篇:我們為什么需要防火墻,我們需要什么樣的防火墻?

分享到: 收藏