《win2003 服务器安全配置全套详解》由会员分享,可在线阅读,更多相关《win2003 服务器安全配置全套详解(11页珍藏版)》请在金锄头文库上搜索。
1、win2003win2003 服务器安全配置全套详解服务器安全配置全套详解其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,以前在站长网服务器安全讲座上也讲了不少类似的文章,虽然谈不上多牛 B 的技术但是一点小小的经验,大家自行挑选学习。我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。呵呵 下面开始说下。本文更侧重于防止 ASP 漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。基本的服务器安全设置安装补丁安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是 2000 则确定安装上了 SP4,如果是 2003,则最好安装上 SP1,然后点击
2、开始Windows Update,安装所有的关键更新。安装杀毒软件虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿 2004,据说 2005 可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。不要指望杀毒软件杀掉所有的木马,因为 ASP 木马的特征是可以通过一定手段来避开杀毒软件的查杀。设置端口保护和防火墙、删除默认共享都是服务器防黑的措施,即使你的服务器上没有 IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我
3、的网站上。权限设置阿江感觉这是防止 ASP 漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个 IIS 站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。权限设置的原理WINDOWS 用户,在 WINNT 系统中大多数时候把权限按用户(組)来划分。在【开始程序管理工具计算机管理本地用户和组】管理系统用户和用户组。NTFS 权限设置,请记住分区的时候把所有的硬盘都分为 NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。 【文件(夹)上右键属性安全】在这里管理 NTFS 文件(夹)权限。IIS 匿名用户,每个 IIS 站点或者虚拟目录,都可以设
4、置一个匿名访问用户(现在暂且把它叫“IIS 匿名用户”),当用户访问你的网站的.ASP 文件的时候,这个.ASP 文件所具有的权限,就是这个“IIS 匿名用户”所具有的权限。权限设置的思路要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。在 IIS 的【站点属性或者虚拟目录属性目录安全性匿名访问和验证控制编辑匿名访问编辑】填写刚刚创建的那个用户名。设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和 SYSTEM 组)。这样设置了之后,这个站点里
5、的 ASP 程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。我的设置方法我是先创建一个用户组,以后所有的站点的用户都建在这个組里,然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个 IIS 用户在各在的文件夹里的权限。因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和組,不知道怎么设置文件夹权限,不知道 IIS 站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。改名或卸载不安全组件不安全组件不惊人我
6、的在阿江探针 1.9 里加入了不安全组件检测功能(其实这是参考 7i24 的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。其实,只要做好了上面的权限设置,那么 FSO、XML、strem 都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。最危险的组件是 WSH 和 Shell,因为它可以运行你硬盘里的 EXE等程序,比如它可以运行提升程序来提升 SERV-U 权限甚至用 SERVU来运行更高权限的系统程序。谨慎决定是否卸载一个组件组件是为了应
7、用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的 ASP 程序本身上下工夫,防止别人进来,而不是防止别人进来后 SHELL。比如,FSO 和 XML 是非常常用的组件之一,很多程序会用到他们。WSH 组件会被一部分主机管理程序用到,也有的打包程序也会用到。一、操作系统配置1.安装操作系统(NTFS 分区)后,装杀毒软件,我选用的是卡巴。2.安装系统补丁。扫描漏洞全面杀毒3.删除 Windows Server 2003 默认共享首先编写如下内容的批处理文件:复
8、制代码 代码如下:echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share admin$ /del文件名为 delshare.bat,放到启动项中,每次开机时会自动删除共享。4.禁用 IPC 连接打开 CMD 后输入如下命令即可进行连接:net useipipc$ “password“ /user:“usernqme“。我们可以通过修改注册表来禁用IPC 连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContr
9、olLsa 中的 restrictanonymous 子键,将其值改为 1 即可禁用 IPC 连接。5.删除“网络连接“里的协议和服务在“网络连接“里,把不需要的协议和服务都删掉,这里只安装了基本的 Internet 协议(TCP/IP),同时在高级 tcp/ip 设置里-“NetBIOS“设置“禁用 tcp/IP 上的 NetBIOS(S)“。6.启用 windows 连接防火墙,只开放 web 服务(80 端口)。注:在 2003 系统里,不推荐用 TCP/IP 筛选里的端口过滤功能,譬如在使用 FTP 服务器的时候,如果仅仅只开放 21 端口,由于 FTP协议的特殊性,在进行 FTP 传
10、输的时候,由于 FTP 特有的 Port 模式和 Passive 模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用 TCP/IP 过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在 2003 系统上增加的 windows 连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的 TCP/IP 过滤功能。7.磁盘权限系统盘只给 Administrators 和 SYSTEM 权限系统盘Documents and Settings 目录只给 Administrators 和 SYSTEM 权限;系统盘Documents and SettingsAll Users 目录只
11、给 Administrators 和 SYSTEM 权限;系统盘Documents and SettingsAll UsersApplication Data 目录只给 Administrators 和 SYSTEM 权限;系统盘Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;系统盘WindowsSystem32net.exe;net1.exe;cmd.exe;command.exeftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe 文件只给 Administrators 权限(
12、如果觉得没用就删了它,比如我删了cmd.exe,command.exe,嘿嘿。);其它盘,有安装程序运行的(我的 sql server 2000 在 D 盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。8.本地安全策略设置开始菜单管理工具本地安全策略A、本地策略审核策略 (可选用)审核策略更改 成功 失败审核登录事件 成功 失败审核对象访问 失败审核过程跟踪 无审核审核目录服务访问 失败审核特权使用 失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败B、本地策略用户权限分配关闭系统:只有 Administr
13、ators 组、其它全部删除。通过终端服务拒绝登陆:加入 Guests、Users 组通过终端服务允许登陆:只加入 Administrators 组,其他全部删除C、本地策略安全选项交互式登陆:不显示上次的用户名 启用网络访问:可匿名访问的共享 全部删除网络访问:可匿名访问的命名管道 全部删除*网络访问:可远程访问的注册表路径 全部删除*网络访问:可远程访问的注册表路径和子路径 全部删除帐户:重命名来宾帐户 重命名一个帐户(下面一项更改可能导致 sqlserver 不能使用)帐户:重命名系统管理员帐户 重命名一个帐户二、iis 配置(包括网站所在目录)1.新建自己的网站(*注意:在应用程序设置
14、中执行权限设为无,在需要的目录里再更改),目录不在系统盘注:为支持 ,将系统盘Inetpubwwwroot 中的aspnet_client 文件夹复制到 web 根目录下,并给 web 根目录加上users 权限。2.删掉系统盘inetpub 目录3.删除不用的映射在“应用程序配置“里,只给必要的脚本执行权限:ASP、ASPX。4.为网站创建系统用户A.例如:网站为 ,新建用户 权限为guests。然后在 web 站点属性里“目录安全性“-“身份验证和访问控制“里设置匿名访问使用下列 Windows 用户帐户“的用户名和密码都使用 这个用户的信息。(用户名:主机名)B.给网站所在的磁盘目录
15、添加用户 ,只给读取和写入的权限。5.设置应用程及子目录的执行权限A.主应用程序目录中的“属性-应用程序设置-执行权限“设为纯脚本B.在不需要执行 asp、 的子目录中,例如上传文件目录,执行权限设为无6.应用程序池设置我的网站使用的是默认应用程序池。设置“内存回收“:这里的最大虚拟内存为:1000M,最大使用的物理内存为 256M,这样的设置几乎是没限制这个站点的性能的。回收工作进程(分钟):1440在下列时间回收工作进程:06:00三、sql server 2000 配置1.密码设置我编的程序用了 sa 用户,密码设置超复杂(自己记不住,保存在手机里,嘿嘿)。2.删除危险的扩展存储过程和相
16、关.dll。3.Xp_cmdshell(这个肯定首当其冲,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring漏洞一直很多前段时间我自己的服务器就出现了一个 sql 的临时储存过程漏洞漏洞扩展:xp_dirtree 储存过程。事前:最近发现一个漏洞是 sql 服务器造成的前几天正好没有什么事情,就用阿 d 的 sql 注入工具对自己服务器的网站进行注入,偶然发现了使用 mssql 的网站浸染可以利用sql 注入的形式得到整个服务器上所有目录(我的服务器作了安全设置的)依然可以看见,然后在服务器上安装了一个抓包工具对 sql server 进行抓包发现,使用工具连接 sq
