服务器系统安全维护.ppt

《服务器系统安全维护.ppt》由会员分享，可在线阅读，更多相关《服务器系统安全维护.ppt（51页珍藏版）》请在金锄头文库上搜索。

1、服务器系统安全维护主要内容一、Windows Server2003 IIS服务器二、安装和配置DNS服务器三、Windows Server2003中设置FTP服务器四、Windows2000中设置FTP服务器五、设置SMTP安全选项六、Microsoft SQL Server安全防护一、Windows Server2003 IIS服务器n1. IIS服务器的安全性n2. 一个IIS远程攻击示例n3. 确保Web服务的安全n4. 确保Web站点的安全1. IIS服务器的安全性n由于Web站点的发布很多是依靠Microsoft的IIS服务器，疏于防护和无安全配置的IIS服务器往往是黑客攻击的“肉鸡

2、”，这是因为服务器存在着诸如IDA、IDQ、Unicode、.printer、WebDAV等等漏洞，不少可远程获得管理员权限n为了向组织Intranet中的Web服务器和应用程序提供全面的安全保护，应该保护每个Microsoft Internet信息服务(IIS)服务器以及在这些服务器运行的每个Web站点和应用程序不受可与它们连接的客户端计算机的侵害2. 一个IIS远程攻击示例nWebDAV是HTTP协议的扩展，允许远程编写和管理Web内容n微软IIS5.0的WebDAV在处理某些畸形的请求时存在缺陷，当外部提交一恶意超长的SEARCH请求时，远程的WebDav服务会出现缓冲区溢出可使IIS服

3、务重启n攻击者可以通过这个漏洞以Web服务器的执行权限执行任意代码，以下几页给出针对Windows 2000Server的攻击工程(1) 启用“X-Scan”扫描器(2) 发现目标主机中“Webdav”漏洞 (3) 攻击目标主机(4) 创建管理员用户nnet localgroup administrators ccc /add (5) 远程桌面完全控制3. 确保Web服务的安全n3.1 仅启用必要的Web服务扩展n3.2 仅安装必要的IIS组件 n3.3 使用安全工具n3.4 确保IIS全局的设置安全n3.5 确保默认Web站点和管理Web站点的安全 n3.6 使FrontPage Serve

4、r Extension无效 3.1 仅启用必要的Web服务扩展n启用所有的Web服务扩展可确保与现有应用软件的最大可能的兼容性。n仅启用在IIS服务器环境下运行的站点和应用软件所必需的Web服务扩展，通过最大限度精简服务器的功能，可以减少每个IIS服务器的受攻击面，从而增强了安全性。建议不要安装Index Server、FrontPage Server Extensions、示例WWW站点等功能。 3.2 仅安装必要的IIS组件n除“万维网发布服务”之外，IIS6.0还包括其它的组件和服务，例如FTP和SMTP服务。可以通过双击“控制面板”上的“添加/删除程序”来启动Windows组件向导应用

5、程序服务器，以安装和启用IIS组件和服务。安装IIS之后，必须启用Web站点和应用程序所需的所有必要的IIS组件和服务n应该仅启用Web站点和应用程序所需的必要IIS组件和服务。启用不必要的组件和服务会增加IIS服务器的受攻击面3.3 使用安全工具nMicrosoft免费提供了一个“IISLockdown Wizard”工具来确保IIS Web服务器的安全。它可让管理员通过选用一个模板来选择服务器支持的技术。nMicrosoft免费提供一个叫“URLScan”的工具，它在Microsoft Internet信息服务(IIS)接受HTTP请求时对请求进行屏蔽和分析。正确配置后，“URLScan”

6、可有效减少IIS4.0、IIS5.0和IIS5.1遭受来自Internet攻击的危险。 3.4 确保IIS全局的设置安全n大部分IIS配置设置存储在元库中，但是一些全局设置仍在注册表里。n要确保注册表内这些键值按如下设置：qHKLMSYSTEMCurrentControlSetservicesW3SVCParametersAllowSpecialCharsShell。它是允许或组织特定的命令字符作为CGI脚本或可执行文件的参数，应设置为0。qHKLMSYSTEMCurrentControlSetservicesW3SVCParametersLogSuccessfullRequests。它是使I

7、IS日志记录功能启用或禁用的参数，应设置为1。qHKLMSYSTEMCurrentControlSetservicesW3SVCParametersSSIEnableCmdDirective。它是允许或组织使用服务器端的#execcmd指示参数，应设置为0。 3.4 确保IIS全局的设置安全(续)n要确保注册表内这些键值按如下设置： qHKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesW3SVCParametersAllowGuestAccess。它是设置是否允许Guest访问Web服务器的参数，0表示禁止访问；1允许。qHKEY_LOCAL_M

8、ACHINESYSTEMCurrentControlSetservicesW3SVCParametersEnableSvcLoc。它是允许或组织微软控制台（MMC）管理单元管理IIS服务器的参数，0表示禁止访问；1允许。可根据实际需要设置。qHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNTPrintersDisableWebPrinting。它是禁止网络打印的参数，应设置为0。3.5 确保默认Web站点和管理Web站点的安全n第一次安全IID时会创建两个站点：默认Web站点和管理Web站点，它们有不少安全隐患，应该禁用。 要删除以下默认W

9、eb站点的虚拟目录 nScriptsnIISHelpnIISSamplesnPrintersnIISAdminnIISAdmpwdnMSADCnPBServernPBSDatanRPCnCertSrvnCertControlnCertEnroll从系统文件中删除这些目录 nC:inetpubscriptsnC:winnthelpiishelpiisnC:inetpubiissamplesnC:winntwebprintersnC:winntsystem32inetsrviisadminnC:winntsystem32inetsrviisadmpwd3.6 使FrontPage Server E

10、xtension无效nFPSE提供了方便的远程Web授权特性，但是它却导致了Web服务器遭受攻击面的扩大。n如果要完全删除FPSE，q首先打开“Internet服务管理器”q在每个Web站点上右键点击，选择“All Tasks”，“Remove Server Extensions”。然后删除_vti或_private目录q最后，从主Web站点属性的“ISAPI扩展”标签中删除FPEXED.dll文件。4. 确保Web站点的安全n4.1 Web站点为只读n4.2 设置WWW属性n4.3 帐户策略n4.4 在专用磁盘卷中放置内容 n4.5 设置NTFS权限n4.6 设置IIS Web站点权限n4.

11、7 配置IIS日志n4.8 打开审核策略4.1 Web站点为只读n在“管理Web站点”上单击鼠标右键，选择“新建站点”。n根据提示操作，我们自建的站点说明假设为“Web”，目录为“D:webroot”，只给读取权限。4.2 设置WWW属性n在“Web”的属性“主目录”中设置执行许可为“无”，“应用程序设置”、“配置”中删除不必要的IIS扩展名映射 4.3 帐户策略n清理帐户n保护众所周知帐户的安全n再增加一个属于管理员组的帐号作管理和备份n创建一个帐号陷阱，就是说创建一个Administrator的本地帐号，但权限低密码强n定期修改口令n对于IIS服务器，建议不要使用帐户锁定策略n在“本地策略

12、”的“安全选项”里，把“LanManager身份验证级别”改为“仅发送NTLM响应”，这样即使入侵者借助Sniffer得到口令的hash也很难破解n把“匿名连接的额外限制”设置为“没有显示匿名权限就无法访问”n启用“在关机时清理虚拟内存交换页面”n启用“登录屏幕上不要显示上次登录的用户名”4.4 在专用磁盘卷中放置内容nIIS会将默认Web站点的文件存储到inetpubwwwroot，其中是安装Windows Server2003操作系统的驱动器。 n应该将构成Web站点和应用程序的所有文件和文件夹放置到IIS服务器的专用磁盘卷中。将这些文件和文件夹放置到IIS服务器的一个专用磁盘卷不包含操作

13、系统的磁盘卷有助于防止目录遍历攻击。 4.5 设置NTFS权限nNTFS下所有文件默认情况下对所有人（eneryone）为完全控制权限，如果限制一般用户只有只读权限的话，有可能会导致一些脚本运行不正常，这时需要对这些文件所在的文件夹权限进行更改。这样Windows Server2003将检查NTFS文件系统的权限，以确定用户或进程对特定文件或文件夹所具有的访问权限类型。n建议在做更改前，先在测试机器上做测试，然后慎重更改。NTFS权限表文件类型建议的NTFS权限CGI文件（.exe、.dll、.cmd、.pl）Everyone（执行）、Administrators（完全控制）、System（完

14、全控制）脚本文件(.asp)Everyone（执行）、Administrators（完全控制）、System（完全控制）包含文件（.inc、.shtm、.shtml）Everyone（执行）、Administrators（完全控制）、System（完全控制）静态内容（.txt、.gif、.jpg、.htm、.html）Everyone（只读）、Administrators（完全控制）、System（完全控制）4.6 设置IIS Web站点权限nIIS将检查Web站点权限，以确定在Web站点中可能发生的操作类型，例如允许脚本源访问或允许文件夹浏览。应该为Web站点分配权限。nWeb站点权限可与N

15、TFS权限结合使用。它们可配置给特定的站点、文件夹和文件。与NTFS权限不同，Web站点权限影响试图访问IIS服务器站点的每个人。Web站点权限可以通过使用IIS管理器管理单元生效。Web站点权限表Web站点权限授予的权限读用户可查看目录或文件的内容和属性。在默认情况下，该权限为选中状态。写用户可更改目录或文件的内容和属性。脚本源访问用户可以访问源文件。如果启用“读”权限，则可以读取源文件；如果启用“写”权限，则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限，也不启用“写”权限，则此选项将不可用。要点：启用“脚本源访问”时，用户可以查看敏感信息，例如用户名和密码。他们还

16、可以更改IIS服务器上运行的源代码，从而严重影响服务器的安全性和性能。目录浏览用户可以查看文件列表和集合。日志访问每次访问Web站点都会创建日志条目。索引此资源允许使用索引服务索引资源。这样便可以对资源执行搜索。执行以下选项确定用户运行脚本的级别：“无”不允许在服务器上运行脚本和可执行文件。“仅限于脚本”仅允许在服务器上运行脚本。“脚本和可执行文件”允许在服务器上运行脚本和可执行文件。4.7 配置IIS日志n可以为每个站点或应用程序创建单独的日志。IIS可以记录Windows操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及

17、最后一次访问的时间等信息。IIS日志可被用来了解那些内容最受欢迎，确定信息瓶颈，或者用作协助攻击事件调查的资源。4.8 打开审核策略n打开安全审核是Win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些（如尝试用户名密码、改变帐户策略、未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多管理员在系统被入侵了几个月都不知道系统遭到了破坏。 安全设置审核策略策略设置审核帐户管理成功，失败审核对象访问成功审核特权使用成功，失败审核系统登录事件成功，失败审核登录事件成功，失败审核策略更改成功，失败审核系统事件成功，失败二、安装和配置DNS服务器n1. 准备工作n2. 安装DNS服

18、务n3. 安全配置DNS1. 准备工作n你的域名（经过Internic批准）n要为其提供名称解析的每台服务器的IP地址和主机名n操作系统配置正确n已经分配了所有可用的磁盘空间n所有现有的磁盘卷都使用NTFS文件系统2. 安装DNS服务n打开“Windows组件向导”。为此，请执行下列步骤：q单击“开始”，单击“控制面板”，然后单击“添加或删除程序”。q单击“添加/删除Windows组件”。n在“组件”中，选中“网络服务”复选框，然后单击“详细信息”。n在“网络服务子组件”中，选中“域名系统(DNS)”复选框，单击“确定”，然后单击“下一步”。n在得到提示时，在“文件复制来源”中键入分发文件的完

19、整路径，然后单击“确定”。3. 安全配置DNSn启动“配置你的服务器向导” n在“服务器角色”页上，单击“DNS服务器”，然后单击“下一步” n在“选择摘要”页上，查看并确认你所选择的选项。然后单击“下一步” n在“配置你的服务器”向导中完成对DNS服务器本身的IP地址等参数的配置n在“配置DNS服务器向导” 中完成对DNS区域、转发器等参数的配置，完成DNS的配置过程三、Windows Server2003中设置FTP服务器n1. 安装FTP服务n2. 配置匿名FTP服务 n3. FTP服务安全配置 1. 安装FTP服务n单击“开始”，指向“控制面板”，然后单击“添加或删除程序”。n单击“添

20、加/删除Windows组件”。在“组件”列表中，单击“应用程序服务器”，单击“Internet信息服务(IIS)”（但是不要选中或清除复选框），然后单击“详细信息”。n单击以选中下列复选框（如果它们尚未被选中）：“公用文件文件传输协议(FTP)服务Internet信息服务管理器”n单击以选中你想要安装的任何其他的IIS相关服务或子组件旁边的复选框，然后单击“确定”。n单击“下一步”。出现提示时，请将Windows Server2003 CD-ROM插入计算机的CD-ROM或DVD-ROM驱动器，或提供文件所在位置的路径，然后单击“确定”。n单击“完成”。2. 配置匿名FTP服务n启动“Inte

21、rnet信息服务管理器”或打开IIS管理单元。n展开“服务器名称”，其中服务器名称是该服务器的名称。n展开“FTP站点”，右击“默认FTP站点”，然后单击“属性”。n单击“安全帐户”选项卡。n单击以选中“允许匿名连接”复选框（如果它尚未被选中），然后单击以选中“仅允许匿名连接”复选框。单击“主目录”选项卡。n单击以选中“读取”和“日志访问”复选框（如果它们尚未被选中），然后单击以清除“写入”复选框（如果它尚未被清除）。n单击“确定”。退出“Internet信息服务管理器”或者关闭IIS管理单元。3. FTP服务安全配置 n3.1 限制客户端连接数n3.2 配置匿名用户或域用户访问权限n3.3

22、将访问权限限制到特定计算机 3.1 限制客户端连接数n单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。n在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属性”。n单击“FTP站点”选项卡。n在“FTP站点连接”下，单击“连接限制为”，然后键入允许同时连接到服务器的最大数量。达到限制值时，IIS将向客户端返回一条错误信息，说明服务器忙。n在“连接超时(秒)”框中，键入一个时间长度，指定服务器在用户处于非活动状态多长时间后与该用户断开连接。如果FTP协议不关闭某个连接，此操

23、作可确保在指定的时间段后关闭所有连接。n单击“确定”。退出Internet信息服务(IIS)管理器。3.2 配置匿名用户或域用户访问权限n单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。n在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击你的FTP站点，然后单击“属性”。单击“安全帐户”选项卡，执行以下操作之一：q要允许以匿名方式连接到FTP站点，请单击以选中“允许匿名连接”复选框（如果它尚未被选中）。q要将FTP站点配置为要求提供Windows用户名和密码，请单击清除“允许匿名连接”复选框

24、3.3 将访问权限限制到特定计算机n单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。n在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属性”。n单击“目录安全性”选项卡。执行下列操作之一：q要拒绝访问，请单击“授权访问”，然后单击“添加”。在出现的“拒绝访问”对话框中，指定所需的选项，然后单击“确定”。指定的计算机或者计算机组将被添加到列表中。q要授予访问权限，请单击“拒绝访问”，然后单击“添加”。在出现的“授权访问”对话框中，指定所需的选项，然后单击“确定”。你选择的

25、计算机、计算机组或者域将被添加到列表中 四、Windows2000中设置FTP服务器n4.1 安装Internet信息服务 n4.2 配置匿名FTP服务n4.3 安全配置4.1 安装Internet信息服务n单击“开始”，指向“设置”，然后单击“控制面板”。在“控制面板”中，双击“添加/删除程序”。n选择“添加/删除Windows组件”。在“Windows组件向导”中，选择“Internet信息服务(IIS)”，然后单击“详细信息”。n选择“公用文件、文档、文件传输协议(FTP)服务器”和“Internet信息服务管理单元”，然后单击“确定”。n单击“下一步”。n如果提示你配置终端服务，则单击

26、“下一步”。如果提示你输入FTP根文件夹的路径，则键入适合的文件夹路径。默认路径为C:InetpubFtproot。若要获得更多的安全性，推荐使用NTFS驱动器。单击“确定”以继续。n得到提示时，插入Windows2000 CD或提供这些文件所在位置的路径，然后单击“确定”。单击“完成”。4.2 配置匿名FTP服务n依次单击“开始、程序和管理工具”，然后单击“Internet服务管理器”。（在Windows2000 Professional中，可从“控制面板”访问“管理工具”。）n单击服务器名称旁边的加号(+)。n右击“默认FTP站点”，然后单击“属性”。n单击“安全帐户”选项卡。选择“允许匿

27、名连接”，然后选择“只允许匿名连接”。n单击“主目录”选项卡。选择“读取和日志访问”，然后清除“写入”。n单击“确定”保存这些设置。4.3 安全配置FTP服务n取消匿名FTP连接n禁止FTP目录写入五、设置SMTP安全选项n设置操作员权限n指派/删除操作员权限n要求对传入连接进行身份验证n为出站消息配置身份验证n要求传输层安全(TLS)加密n创建和管理密钥证书n为服务器设置TLS加密级别n设置对服务器的IP访问限制n设置IP地址访问限制n从虚拟服务器删除中继限制六、Microsoft SQL Server安全防护n确保安装安全：q使用安全的密码策略q使用安全的帐号策略q创建并使用一个低权限的服务帐号q清除安装过程中的临时文件n打安全补丁n设置安全的SQL Server服务器q只激活你要在服务器上使用的网络库（netlib） q修改默认的1433端口q屏蔽对1434端口的探测q激活审查事件日志q控制权限q禁用AdHoc查询q设置操作系统访问控制列表ACLq清除危险的扩展存储过程q在任务相关存储过程上设置严格权限 q使用SSL来加密数据通信协议 Sql Server的监控和维护n更新服务器版本和漏洞补丁n执行变化控制n基于事件作实时预警控制 谢谢