扫一扫
关注微信公众号

Windows Internet网络服务器安全配置(实践篇)
2006-09-28   

编者按:
Windows Internet网络服务器安全配置(原理篇)
Windows Internet网络服务器安全配置(实践篇)
下面我们详述第二部分内容:



实践篇

  下面我用的例子.将是一台标准的虚拟主机.

  系统:windows2003

  服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]

  描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减
  
1.WINDOWS本地安全策略 端口限制

  A.对于我们的例子来说.需要开通以下端口

  外->本地 80
  外->本地 20
  外->本地 21
  外->本地 PASV所用到的一些端口
  外->本地 25
  外->本地 110
  外->本地 3389

  然后按照具体情况.打开SQL SERVER和MYSQL的端口

  外->本地 1433
  外->本地 3306

  B.接着是开放从内部往外需要开放的端口

  按照实际情况,如果无需邮件服务,则不要打开以下两条规则

  本地->外 53 TCP,UDP
  本地->外 25

  按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口

  本地->外 80


  C.除了明确允许的一律阻止.这个是安全规则的关键.

  外->本地 所有协议 阻止

  
2.用户帐号

  a.将administrator改名,例子中改为root

  b.取消所有除管理员root外所有用户属性中的
  远程控制->启用远程控制 以及
  终端服务配置文件->允许登陆到终端服务器

  c.将guest改名为administrator并且修改密码

  d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限

  将所有盘符的权限,全部改为只有

  administrators组 全部权限

  system 全部权限


  将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限

  然后做如下修改:

  C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限

  C:\WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限

  C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限

  现在WebShell就无法在系统目录内写入文件了.

  当然也可以使用更严格的权限.

  在WINDOWS下分别目录设置权限.

  可是比较复杂.效果也并不明显.
  
4.IIS

  在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,

  在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.

  安装URLSCAN

  在[DenyExtensions]中一般加入以下内容

  .cer
  .cdx
  .mdb
  .bat
  .cmd
  .com
  .htw
  .ida
  .idq
  .htr
  .idc
  .shtm
  .shtml
  .stm
  .printer


  这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.

  因为即便文件头加入特殊字符.还是可以通过编码构造出来的
  
5.WEB目录权限

  作为虚拟主机.会有许多独立客户

  比较保险的做法就是为每个客户,建立一个windows用户

  然后在IIS的响应的站点项内把IIS执行的匿名用户.绑定成这个用户

  并且把他指向的目录权限变更为:

  administrators 全部权限
  system 全部权限

  单独建立的用户(或者IUSER) 选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.

  如果服务器上站点不多.并且有论坛.我们可以把每个论坛的上传目录去掉此用户的执行权限.只有读写权限.这样入侵者即便绕过论坛文件类型检测上传了webshell也是无法运行的.

6.MS SQL SERVER2000

  使用系统帐户登陆查询分析器

  运行以下脚本

  use master
  exec sp_dropextendedproc 'xp_cmdshell'
  exec sp_dropextendedproc 'xp_dirtree'
  exec sp_dropextendedproc 'xp_enumgroups'
  exec sp_dropextendedproc 'xp_fixeddrives'
  exec sp_dropextendedproc 'xp_loginconfig'
  exec sp_dropextendedproc 'xp_enumerrorlogs'
  exec sp_dropextendedproc 'xp_getfiledetails'
  exec sp_dropextendedproc 'Sp_OACreate'
  exec sp_dropextendedproc 'Sp_OADestroy'
  exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
  exec sp_dropextendedproc 'Sp_OAGetProperty'
  exec sp_dropextendedproc 'Sp_OAMethod'
  exec sp_dropextendedproc 'Sp_OASetProperty'
  exec sp_dropextendedproc 'Sp_OAStop'
  exec sp_dropextendedproc 'Xp_regaddmultistring'
  exec sp_dropextendedproc 'Xp_regdeletekey'
  exec sp_dropextendedproc 'Xp_regdeletevalue'
  exec sp_dropextendedproc 'Xp_regenumvalues'
  exec sp_dropextendedproc 'Xp_regread'
  exec sp_dropextendedproc 'Xp_regremovemultistring'
  exec sp_dropextendedproc 'Xp_regwrite'
  drop procedure sp_makewebtask
  go


  删除所有危险的扩展.

7.修改CMD.EXE以及NET.EXE权限

  将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改

  cmd.exe root用户 所有权限
  net.exe root用户 所有权现

  这样就能防止非法访问.还可以使用例子中提供的comlog程序

  将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令

8.备份

  使用ntbackup软件.备份系统状态.

  使用reg.exe 备份系统关键数据

  如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y

  来备份系统的ODBC

9.杀毒

  这里介绍MCAFEE 8i 中文企业版.因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.比如已经能够检测到海阳顶端2006.而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件.而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.而且无法对于MIME编码的文件进行杀毒.

  在MCAFEE中.我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等.我们在软件中加入对WEB目录的杀毒计划.每天执行一次.并且打开实时监控.
 
10.关闭无用的服务

  我们一般关闭如下服务:

  Computer Browser
  Help and Support
  Messenger
  Print Spooler
  Remote Registry
  TCP/IP NetBIOS Helper

  如果服务器不用作域控,我们也可以禁用

  Workstation


11.取消危险组件

  如果服务器不需要FSO

  regsvr32 /u c:\windows\system32\scrrun.dll

  注销组件

  使用regedit

  将/HKEY_CLASSES_ROOT下的

  WScript.Network
  WScript.Network.1
  WScript.Shell
  WScript.Shell.1
  Shell.Application
  Shell.Application.1

  键值改名或删除

  将这些键值下CLSID中包含的字串

  如{72C24DD5-D70A-438B-8A42-98424B88AFB8}

  到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值

  全部删除

12.审计

  本地安全策略->本地策略->审核策略

  打开以下内容

  审核策略更改 成功,失败
  审核系统事件 成功,失败
  审核帐户登陆事件 成功,失败
  审核帐户管理 成功,失败

  

【完】

热词搜索:

上一篇:2006年100款最佳安全工具谱
下一篇:我们为什么需要防火墙,我们需要什么样的防火墙?

分享到: 收藏