高手支招之網絡服務器安全配置的技巧
系統更新換代速度很快,但是對於win2003系統還是有很多用戶鐘愛的。所以這裡就與大家分享下在win2003系統中網絡服務器安全配置的技巧,滿足win2003用戶的需求。
系統:Windows2003
服務:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [php] [MySQL]
1. WINDOWS本地安全策略 端口限制
A. 對於我們的例子來說,需要開通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然後按照具體情況,打開SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B. 接著是開放從內部往外需要開放的端口
按照實際情況,如果無需郵件服務,則不要打開以下兩條規則
本地->外 53 TCP,UDP
本地->外 25
按照具體情況,如果無需在服務器上訪問網頁,盡量不要開以下端口
本地->外 80
C. 除了明確允許的一律阻止,這個是安全規則的關鍵
外->本地 所有協議 阻止
2. 用戶帳號
A. 將administrator改名,例子中改為root
B. 取消所有除管理員root外所有用戶屬性中的
遠程控制->啟用遠程控制 以及
終端服務配置文件->允許登陸到終端服務器
C. 將guest改名為administrator並且修改密碼
D. 除了管理員root、IUSER以及IWAM以及aspNET用戶外,禁用其他一切用戶,包括SQL DEBUG以及TERMINAL USER等等
3. 目錄權限
將所有盤符的權限,全部改為只有
administrators組 全部權限
ystem 全部權限
將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權限的兩個權限
然後做如下修改
C:\PRogram Files\Common Files 開放Everyone默認的讀取及運行 列出文件目錄 讀取三個權限
C:\WINDOWS\ 開放Everyone默認的讀取及運行 列出文件目錄 讀取三個權限
C:\WINDOWS\Temp 開放Everyone 修改、讀取及運行、列出文件目錄、讀取、寫入權限
現在WebShell就無法在系統目錄內寫入文件了。當然也可以使用更嚴格的權限,在WINDOWS下分別目錄設置權限。可是比較復雜,效果也並不明顯。
4. IIS
在IIS 6下,應用程序擴展內的文件類型對應ISAPI的類型已經去掉了IDQ、PRINT等等危險的腳本類型,
在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除。
安裝URLSCAN
在[DenyExtensions]中一般加入以下內容 . cer
. cdx
. mdb
.bat
. cmd
. com
. htw
. ida
. idq
. htr
. idc
. shtm
. shtml
. stm
. printer
這樣入侵者就無法下載.mdb數據庫,這種方法比外面一些在文件頭加入特殊字符的方法更加徹底。
因為即便文件頭加入特殊字符,還是可以通過編碼構造出來的
5. WEB目錄權限
比較保險的做法就是為每個客戶建立一個Windows用戶,然後在IIS的響應的站點項內把IIS執行的匿名用戶,綁定成這個用戶並且把他指向的目錄,權限變更為administrators 全部權限
system 全部權限
單獨建立的用戶(或者IUSER) 選擇高級->打開除 完全控制、遍歷文件夾/運行程序、取得所有權 3個外的其他權限
如果服務器上站點不多,並且有論壇,我們可以把每個論壇的上傳目錄去掉此用戶的執行權限,只有讀寫權限這樣入侵者即便繞過論壇文件類型檢測上傳了webshell也是無法運行的。
6. MS SQL SERVER2000
使用系統帳戶登陸查詢分析器運行以下腳本 use master
e xec sp_dropextendedproc 'xp_cmdshell'
e xec sp_dropextendedproc 'xp_dirtree'
e xec sp_dropextendedproc 'xp_enumgroups'
e xec sp_dropextendedproc 'xp_fixeddrives'
e xec sp_dropextendedproc 'xp_loginconfig'
e xec sp_dropextendedproc 'xp_enumerrorlogs'
e xec sp_dropextendedproc 'xp_getfiledetails'
e xec sp_dropextendedproc 'Sp_OACreate'
e xec sp_dropextendedproc 'Sp_OADestroy'
e xec sp_dropextendedproc 'Sp_OAGetErrorInfo'
e xec sp_dropextendedproc 'Sp_OAGetProperty'
e xec sp_dropextendedproc 'Sp_OAMethod'
e xec sp_dropextendedproc 'Sp_OASetProperty'
e xec sp_dropextendedproc 'Sp_OAStop'
e xec sp_dropextendedproc 'Xp_regaddmultistring'
e xec sp_dropextendedproc 'Xp_regdeletekey'
e xec sp_dropextendedproc 'Xp_regdeletevalue'
e xec sp_dropextendedproc 'Xp_regenumvalues'
e xec sp_dropextendedproc 'Xp_regread'
e xec sp_dropextendedproc 'Xp_regremovemultistring'
e xec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go 刪除所有危險的擴展
7. 修改CMD.EXE以及NET.EXE權限
將兩個文件的權限修改到特定管理員才能訪問,比如本例中,我們如下修改
cmd.e xe root用戶 所有權限
et.e xe root用戶 所有權現
這樣就能防止非法訪問
還可以使用例子中提供的comlog程序將com.exe改名_com.e xe,然後替換com文件,這樣可以記錄所有執行的命令行指令
8. 備份
使用ntbackup軟件備份系統狀態,使用reg.e xe 備份系統關鍵數據,如reg export
LM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
來備份系統的ODBC
9. 殺毒
在MCAFEE中,我們還能夠加入規則阻止在windows目錄建立和修改E XE. DLL文件等,我們在軟件中加入對WEB目錄的殺毒計劃,每天執行一次,並且打開實時監控。
10. 關閉無用的服務
我們一般關閉如下服務
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/ip NetBIOS Helper
如果服務器不用作域控,我們也可以禁用Workstation
11. 取消危險組件
如果服務器不需要fso,regsvr32 /u c:windows\system32\scrrun.dll注銷組件,使用regedit將/HKEY_CLASSES_ROOT下的 WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.application
Shell.Application.1
鍵值改名或刪除
將這些鍵值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值
全部刪除
12. 審計
本地安全策略->本地策略->審核策略
打開以下內容
審核策略更改 成功,失敗
審核系統事件 成功,失敗
審核帳戶登陸事件 成功,失敗
審核帳戶管理 成功,失敗
網絡服務器對系統來說是一個重要的組成部分,對網絡服務器進行安全配置,能夠保障上網的需求。雖然步驟很繁瑣,但是這些操作都是很有必要的,不可忽略。
