萬盛學電腦網

 萬盛學電腦網 >> windows 2003教程 >> 高手支招之網絡服務器安全配置的技巧

高手支招之網絡服務器安全配置的技巧

  高手支招之網絡服務器安全配置的技巧

  系統更新換代速度很快,但是對於win2003系統還是有很多用戶鐘愛的。所以這裡就與大家分享下在win2003系統中網絡服務器安全配置的技巧,滿足win2003用戶的需求。

  系統:Windows2003

  服務:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [php] [MySQL]

  1. WINDOWS本地安全策略 端口限制

  A. 對於我們的例子來說,需要開通以下端口

  外->本地 80

  外->本地 20

  外->本地 21

  外->本地 PASV所用到的一些端口

  外->本地 25

  外->本地 110

  外->本地 3389

  然後按照具體情況,打開SQL SERVER和MYSQL的端口

  外->本地 1433

  外->本地 3306

  B. 接著是開放從內部往外需要開放的端口

  按照實際情況,如果無需郵件服務,則不要打開以下兩條規則

  本地->外 53 TCP,UDP

  本地->外 25

  按照具體情況,如果無需在服務器上訪問網頁,盡量不要開以下端口

  本地->外 80

  C. 除了明確允許的一律阻止,這個是安全規則的關鍵

  外->本地 所有協議 阻止

  2. 用戶帳號

  A. 將administrator改名,例子中改為root

  B. 取消所有除管理員root外所有用戶屬性中的

  遠程控制->啟用遠程控制 以及

  終端服務配置文件->允許登陸到終端服務器

  C. 將guest改名為administrator並且修改密碼

  D. 除了管理員root、IUSER以及IWAM以及aspNET用戶外,禁用其他一切用戶,包括SQL DEBUG以及TERMINAL USER等等

  3. 目錄權限

  將所有盤符的權限,全部改為只有

  administrators組 全部權限

  ystem 全部權限

  將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權限的兩個權限

  然後做如下修改

  C:\PRogram Files\Common Files 開放Everyone默認的讀取及運行 列出文件目錄 讀取三個權限

  C:\WINDOWS\ 開放Everyone默認的讀取及運行 列出文件目錄 讀取三個權限

  C:\WINDOWS\Temp 開放Everyone 修改、讀取及運行、列出文件目錄、讀取、寫入權限

  現在WebShell就無法在系統目錄內寫入文件了。當然也可以使用更嚴格的權限,在WINDOWS下分別目錄設置權限。可是比較復雜,效果也並不明顯。

  4. IIS

  在IIS 6下,應用程序擴展內的文件類型對應ISAPI的類型已經去掉了IDQ、PRINT等等危險的腳本類型,

  在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除。

  安裝URLSCAN

  在[DenyExtensions]中一般加入以下內容 . cer

  . cdx

  . mdb

   .bat

  . cmd

  . com

  . htw

  . ida

  . idq

  . htr

  . idc

  . shtm

  . shtml

  . stm

  . printer

  這樣入侵者就無法下載.mdb數據庫,這種方法比外面一些在文件頭加入特殊字符的方法更加徹底。

  因為即便文件頭加入特殊字符,還是可以通過編碼構造出來的

  5. WEB目錄權限

  比較保險的做法就是為每個客戶建立一個Windows用戶,然後在IIS的響應的站點項內把IIS執行的匿名用戶,綁定成這個用戶並且把他指向的目錄,權限變更為administrators 全部權限

  system 全部權限

  單獨建立的用戶(或者IUSER) 選擇高級->打開除 完全控制、遍歷文件夾/運行程序、取得所有權 3個外的其他權限

  如果服務器上站點不多,並且有論壇,我們可以把每個論壇的上傳目錄去掉此用戶的執行權限,只有讀寫權限這樣入侵者即便繞過論壇文件類型檢測上傳了webshell也是無法運行的。

  6. MS SQL SERVER2000

  使用系統帳戶登陸查詢分析器運行以下腳本 use master

  e xec sp_dropextendedproc 'xp_cmdshell'

  e xec sp_dropextendedproc 'xp_dirtree'

  e xec sp_dropextendedproc 'xp_enumgroups'

  e xec sp_dropextendedproc 'xp_fixeddrives'

  e xec sp_dropextendedproc 'xp_loginconfig'

  e xec sp_dropextendedproc 'xp_enumerrorlogs'

  e xec sp_dropextendedproc 'xp_getfiledetails'

  e xec sp_dropextendedproc 'Sp_OACreate'

  e xec sp_dropextendedproc 'Sp_OADestroy'

  e xec sp_dropextendedproc 'Sp_OAGetErrorInfo'

  e xec sp_dropextendedproc 'Sp_OAGetProperty'

  e xec sp_dropextendedproc 'Sp_OAMethod'

  e xec sp_dropextendedproc 'Sp_OASetProperty'

  e xec sp_dropextendedproc 'Sp_OAStop'

  e xec sp_dropextendedproc 'Xp_regaddmultistring'

  e xec sp_dropextendedproc 'Xp_regdeletekey'

  e xec sp_dropextendedproc 'Xp_regdeletevalue'

  e xec sp_dropextendedproc 'Xp_regenumvalues'

  e xec sp_dropextendedproc 'Xp_regread'

  e xec sp_dropextendedproc 'Xp_regremovemultistring'

  e xec sp_dropextendedproc 'Xp_regwrite'

  drop procedure sp_makewebtask

  go 刪除所有危險的擴展

  7. 修改CMD.EXE以及NET.EXE權限

  將兩個文件的權限修改到特定管理員才能訪問,比如本例中,我們如下修改

  cmd.e xe root用戶 所有權限

  et.e xe root用戶 所有權現

  這樣就能防止非法訪問

  還可以使用例子中提供的comlog程序將com.exe改名_com.e xe,然後替換com文件,這樣可以記錄所有執行的命令行指令

  8. 備份

  使用ntbackup軟件備份系統狀態,使用reg.e xe 備份系統關鍵數據,如reg export

  LM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y

  來備份系統的ODBC

  9. 殺毒

  在MCAFEE中,我們還能夠加入規則阻止在windows目錄建立和修改E XE. DLL文件等,我們在軟件中加入對WEB目錄的殺毒計劃,每天執行一次,並且打開實時監控。

  10. 關閉無用的服務

  我們一般關閉如下服務

  Computer Browser

  Help and Support

  Messenger

  Print Spooler

  Remote Registry

  TCP/ip NetBIOS Helper

  如果服務器不用作域控,我們也可以禁用Workstation

  11. 取消危險組件

  如果服務器不需要fso,regsvr32 /u c:windows\system32\scrrun.dll注銷組件,使用regedit將/HKEY_CLASSES_ROOT下的  WScript.Network

  WScript.Network.1

  WScript.Shell

  WScript.Shell.1

  Shell.application

  Shell.Application.1

  鍵值改名或刪除

  將這些鍵值下CLSID中包含的字串

  如{72C24DD5-D70A-438B-8A42-98424B88AFB8}

  到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值

  全部刪除

  12. 審計

  本地安全策略->本地策略->審核策略

  打開以下內容

  審核策略更改 成功,失敗

  審核系統事件 成功,失敗

  審核帳戶登陸事件 成功,失敗

  審核帳戶管理 成功,失敗

  網絡服務器對系統來說是一個重要的組成部分,對網絡服務器進行安全配置,能夠保障上網的需求。雖然步驟很繁瑣,但是這些操作都是很有必要的,不可忽略。

copyright © 萬盛學電腦網 all rights reserved