1. <dl id='obysg'></dl>
    <ins id='obysg'></ins>

      <code id='obysg'><strong id='obysg'></strong></code>
      1. <tr id='obysg'><strong id='obysg'></strong><small id='obysg'></small><button id='obysg'></button><li id='obysg'><noscript id='obysg'><big id='obysg'></big><dt id='obysg'></dt></noscript></li></tr><ol id='obysg'><table id='obysg'><blockquote id='obysg'><tbody id='obysg'></tbody></blockquote></table></ol><u id='obysg'></u><kbd id='obysg'><kbd id='obysg'></kbd></kbd>
      2. <i id='obysg'><div id='obysg'><ins id='obysg'></ins></div></i><span id='obysg'></span>

          <i id='obysg'></i>

          <fieldset id='obysg'></fieldset>

        1. <acronym id='obysg'><em id='obysg'></em><td id='obysg'><div id='obysg'></div></td></acronym><address id='obysg'><big id='obysg'><big id='obysg'></big><legend id='obysg'></legend></big></address>

          Windows Internet服务器的安全配置

          • 时间:
          • 浏览:90
          • 来源:124软件资讯网

              原理篇
              
              我们将从入侵者入侵的各个环节来作出对应措施
              一步步的加固windows系统.
              加固windows系统.一共归于几个方面
              1.端口限制
              2.设置ACL权限
              3.关闭服务或组件
              4.包过滤
              5.审计
              
              我们现在最先从入侵者的第一步最先.对应的最先加固已有的windows系统.
              
              1.扫描
              这是入侵者在刚最先要做的第一步.好比搜索有毛病的服务.
              对应措施:端口限制
              以下所有规则.都需要选择镜像,否则会导致无法毗连
              我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏障
              
              2.下载信息
              这里主要是通过URL SCAN.来过滤一些非法请求
              对应措施:过滤响应包
              我们通过宁静URL SCAN而且设置urlscan.ini中的DenyExtensions字段
              来阻止特定末端的文件的执行
              
              3.上传文件
              入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
              对应措施:作废响应服务和功效,设置ACL权限
              若是有条件可以不使用FSO的.
              通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.
              若是需要使用.
              那就为每个站点建设一个user用户
              对每个站点响应的目录.只给这个用户读,写,执行权限,给administrators所有权限
              安装杀毒软件.实时杀除上传上来的恶意代码.
              小我私家推荐MCAFEE或者卡巴斯基
              若是使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为举行阻止.
              
              4.WebShell
              入侵者上传文件后.需要使用WebShell来执行可执行法式.或者使用WebShell举行越发利便的文件操作.
              对应措施:作废响应服务和功效
              一样平常WebShell用到以下组件
              WScript.Network
              WScript.Network.1
              WScript.Shell
              WScript.Shell.1
              Shell.Application
              Shell.Application.1
              我们在注册表中将以上键值更名或删除
              同时需要注重根据这些键值下的CLSID键的内容
              从/HKEY_CLASSES_ROOT/CLSID下面临应的键值删除
              
              5.执行SHELL
              入侵者获得shell来执行更多指令
              对应措施:设置ACL权限
              windows的下令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
              我们将此文件的ACL修改为
              某个特定治理员帐户(好比administrator)拥有所有权限.
              其他用户.包罗system用户,administrators组等等.一律无权限会见此文件.
              
              6.使用已有用户或添加用户
              入侵者通过使用修改已有用户或者添加windows正式用户.向获取治理员权限迈进
              对应措施:设置ACL权限.修改用户
              将除治理员外所有用户的终端会见权限去掉.
              限制CMD.EXE的会见权限.
              限制SQL SERVER内的XP_CMDSHELL
              
              7.上岸图形终端
              入侵者上岸TERMINAL SERVER或者RADMIN等等图形终端,
              获取许多图形法式的运行权限.由于WINDOWS系统下绝大部门应用法式都是GUI的.
              以是这步是每个入侵WINDOWS的入侵者都希望获得的
              对应措施:端口限制
              入侵者可能使用3389或者其他的木马之类的获取对于图形界面的会见.
              我们在第一步的端口限制中.对所有从内到外的会见一律屏障也就是为了防止反弹木马.
              以是在端口限制中.由当地会见外部网络的端口越少越好.
              若是不是作为MAIL SERVER.可以不用加任何由内向外的端口.
              阻断所有的反弹木马.
              
              8.擦除脚印
              入侵者在获得了一台机械的完全治理员权限后
              就是擦除脚印来隐藏自身.
              对应措施:审计
              首先我们要确定在windows日志中打开足够的审计项目.
              若是审计项目不足.入侵者甚至都无需去删除windows事务.
              其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
              将运行的指令生存下来.相识入侵者的行动.
              对于windows日志
              我们可以通过将日志发送到远程日志服务器的方式来保证记载的完整性.
              evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
              提供将windows日志转换成syslog花样而且发送到远程服务器上的功效.
              使用此用具.而且在远程服务器上开放syslogd,若是远程服务器是windows系统.
              推荐使用kiwi syslog deamon.
              
              我们要到达的目的就是
              不让入侵者扫描到主机弱点
              纵然扫描到了也不能上传文件
              纵然上传文件了不能操作其他目录的文件
              纵然操作了其他目录的文件也不能执行shell
              纵然执行了shell也不能添加用户
              纵然添加用户了也不能上岸图形终端
              纵然上岸了图形终端.拥有系统控制权.他的所作所为照旧会被记载下来.
              
              分外措施:
              我们可以通过增添一些装备和措施来进一步增强系统宁静性.
              1.署理型防火墙.如ISA2004
              署理型防火墙可以对收支的包举行内容过滤.
              设置对HTTP REQUEST内的request string或者form内容举行过滤
              将SELECT.DROP.DELETE.INSERT等都过滤掉.
              由于这些要害词在客户提交的表单或者内容中是不行能泛起的.
              过滤了以后可以说从基础杜绝了SQL 注入
              2.用SNORT建设IDS
              用另一台服务器建设个SNORT.
              对于所有收支服务器的包都举行剖析和记载
              特殊是FTP上传的指令以及HTTP对ASP文件的请求
              可以特殊关注一下.
              
              本文提到的部门软件在提供下载的RAR中包罗
              包罗COM下令行执行记载
              URLSCAN 2.5以及设置好的设置文件
              IPSEC导出的端口规则
              evtsys
              一些注册表加固的注册表项.
              
              实践篇
              
              下面我用的例子.将是一台尺度的虚拟主机.
              系统:windows2003
              服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
              形貌:为了演示,绑定了最多的服务.各人可以凭据现实情形做筛减
              
              1.WINDOWS当地宁静计谋 端口限制
              A.对于我们的例子来说.需要开通以下端口
              外->当地 80
              外->当地 20
              外->当地 21
              外->当地 PASV所用到的一些端口
              外->当地 25
              外->当地 110
              外->当地 3389
              然后根据详细情形.打开SQL SERVER和MYSQL的端口
              外->当地 1433
              外->当地 3306
              B.接着是开放从内部往外需要开放的端口
              根据现实情形,若是无需邮件服务,则不要打开以下两条规则
              当地->外 53 TCP,UDP
              当地->外 25
              根据详细情形.若是无需在服务器上会见网页.只管不要开以下端口
              当地->外 80
              C.除了明确允许的一律阻止.这个是宁静规则的要害.
              外->当地 所有协议 阻止
              
              2.用户帐号
              a.将administrator更名,例子中改为root
              b.作废所有除治理员root外所有用户属性中的
              远程控制->启用远程控制 以及
              终端服务设置文件->允许上岸到终端服务器
              c.将guest更名为administrator而且修改密码
              d.除了治理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包罗SQL DEBUG以及TERMINAL USER等等
              
              3.目录权限
              将所有盘符的权限,所有改为只有
              administrators组 所有权限
              system 所有权限
              将C盘的所有子目录和子文件继续C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
              然后做如下修改
              C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
              C:\WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
              C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
              现在WebShell就无法在系统目录内写入文件了.
              固然也可以使用更严酷的权限.
              在WINDOWS下划分目录设置权限.
              可是比力庞大.效果也并不显着.
              
              4.IIS
              在IIS 6下.应用法式扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的剧本类型,
              在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
              安装URLSCAN
              在[DenyExtensions]中
              一样平常加入以下内容
              .cer
              .cdx
              .mdb
              .bat
              .cmd
              .com
              .htw
              .ida
              .idq
              .htr
              .idc
              .shtm
              .shtml
              .stm
              .printer
              这样入侵者就无法下载.mdb数据库.这种要领比外面一些在文件头加入特殊字符的要领越发彻底.
              由于即便文件头加入特殊字符.照旧可以通过编码结构出来的
              
              5.WEB目录权限
              作为虚拟主机.会有许多自力客户
              比力保险的做法就是为每个客户,建设一个windows用户
              然后在IIS的响应的站点项内
              把IIS执行的匿名用户.绑定成这个用户
              而且把他指向的目录
              权限变换为
              administrators 所有权限
              system 所有权限
              单独建设的用户(或者IUSER) 选择高级->打开除 完全控制,遍历文件夹/运行法式,取得所有权 3个外的其他权限.
              
              若是服务器上站点不多.而且有论坛
              我们可以把每个论坛的上传目录
              去掉此用户的执行权限.
              只有读写权限
              这样入侵者即便绕过论坛文件类型检测上传了webshell
              也是无法运行的.
              
              6.MS SQL SERVER2000
              使用系统帐户上岸查询剖析器
              运行以下剧本
              use master
              exec sp_dropextendedproc 'xp_cmdshell'
              exec sp_dropextendedproc 'xp_dirtree'
              exec sp_dropextendedpr