Windows Internet服務(wù)器安全配置大家都了解嗎？其實安全配置向?qū)нM(jìn)入網(wǎng)絡(luò)安全設(shè)置后，為選定的服務(wù)器角色配置Windows防火墻的入站端口，本文是西部數(shù)碼技術(shù)頻道小編為大家整理的介紹，希望對你了解有幫助！

Windows Internet服務(wù)器安全配置

原理篇

我們將從入侵者入侵的各個環(huán)節(jié)來作出對應(yīng)措施
一步步的加固windows系統(tǒng).
加固windows系統(tǒng).一共歸于幾個方面
1.端口限制
2.設(shè)置ACL權(quán)限
3.關(guān)閉服務(wù)或組件
4.包過濾
5.審計

我們現(xiàn)在開始從入侵者的第一步開始.對應(yīng)的開始加固已有的windows系統(tǒng).

1.掃描
這是入侵者在剛開始要做的第一步.比如搜索有漏洞的服務(wù).
對應(yīng)措施:端口限制
以下所有規(guī)則.都需要選擇鏡像,否則會導(dǎo)致無法連接
我們需要作的就是打開服務(wù)所需要的端口.而將其他的端口一律屏蔽

2.下載信息
這里主要是通過URL?SCAN.來過濾一些非法請求
對應(yīng)措施:過濾相應(yīng)包
我們通過安全URL?SCAN并且設(shè)置urlscan.ini中的DenyExtensions字段
來阻止特定結(jié)尾的文件的執(zhí)行


3.上傳文件
入侵者通過這步上傳WEBSHELL,提權(quán)軟件,運(yùn)行cmd指令等等.
對應(yīng)措施:取消相應(yīng)服務(wù)和功能,設(shè)置ACL權(quán)限
如果有條件可以不使用FSO的.
通過?regsvr32?/u?c:\windows\system32\scrrun.dll來注銷掉相關(guān)的DLL.
如果需要使用.
那就為每個站點(diǎn)建立一個user用戶
對每個站點(diǎn)相應(yīng)的目錄.只給這個用戶讀,寫,執(zhí)行權(quán)限,給administrators全部權(quán)限
安裝殺毒軟件.實時殺除上傳上來的惡意代碼.
個人推薦MCAFEE或者卡巴斯基
如果使用MCAFEE.對WINDOWS目錄所有添加與修改文件的行為進(jìn)行阻止.

4.WebShell
入侵者上傳文件后.需要利用WebShell來執(zhí)行可執(zhí)行程序.或者利用WebShell進(jìn)行更加方便的文件操作.
對應(yīng)措施:取消相應(yīng)服務(wù)和功能
一般WebShell用到以下組件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我們在注冊表中將以上鍵值改名或刪除
同時需要注意按照這些鍵值下的CLSID鍵的內(nèi)容
從/HKEY_CLASSES_ROOT/CLSID下面對應(yīng)的鍵值刪除

5.執(zhí)行SHELL
入侵者獲得shell來執(zhí)行更多指令
對應(yīng)措施:設(shè)置ACL權(quán)限
windows的命令行控制臺位于\WINDOWS\SYSTEM32\CMD.EXE
我們將此文件的ACL修改為
某個特定管理員帳戶(比如administrator)擁有全部權(quán)限.
其他用戶.包括system用戶,administrators組等等.一律無權(quán)限訪問此文件.

6.利用已有用戶或添加用戶
入侵者通過利用修改已有用戶或者添加windows正式用戶.向獲取管理員權(quán)限邁進(jìn)
對應(yīng)措施:設(shè)置ACL權(quán)限.修改用戶
將除管理員外所有用戶的終端訪問權(quán)限去掉.
限制CMD.EXE的訪問權(quán)限.
限制SQL?SERVER內(nèi)的XP_CMDSHELL

7.登陸圖形終端
入侵者登陸TERMINAL?SERVER或者RADMIN等等圖形終端,
獲取許多圖形程序的運(yùn)行權(quán)限.由于WINDOWS系統(tǒng)下絕大部分應(yīng)用程序都是GUI的.
所以這步是每個入侵WINDOWS的入侵者都希望獲得的
對應(yīng)措施:端口限制
入侵者可能利用3389或者其他的木馬之類的獲取對于圖形界面的訪問.
我們在第一步的端口限制中.對所有從內(nèi)到外的訪問一律屏蔽也就是為了防止反彈木馬.
所以在端口限制中.由本地訪問外部網(wǎng)絡(luò)的端口越少越好.
如果不是作為MAIL?SERVER.可以不用加任何由內(nèi)向外的端口.
阻斷所有的反彈木馬.

8.擦除腳印
入侵者在獲得了一臺機(jī)器的完全管理員權(quán)限后
就是擦除腳印來隱藏自身.
對應(yīng)措施:審計
首先我們要確定在windows日志中打開足夠的審計項目.
如果審計項目不足.入侵者甚至都無需去刪除windows事件.
其次我們可以用自己的cmd.exe以及net.exe來替換系統(tǒng)自帶的.
將運(yùn)行的指令保存下來.了解入侵者的行動.
對于windows日志
我們可以通過將日志發(fā)送到遠(yuǎn)程日志服務(wù)器的方式來保證記錄的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供將windows日志轉(zhuǎn)換成syslog格式并且發(fā)送到遠(yuǎn)程服務(wù)器上的功能.
使用此用具.并且在遠(yuǎn)程服務(wù)器上開放syslogd,如果遠(yuǎn)程服務(wù)器是windows系統(tǒng).
推薦使用kiwi?syslog?deamon.

我們要達(dá)到的目的就是
不讓入侵者掃描到主機(jī)弱點(diǎn)
即使掃描到了也不能上傳文件
即使上傳文件了不能操作其他目錄的文件
即使操作了其他目錄的文件也不能執(zhí)行shell
即使執(zhí)行了shell也不能添加用戶
即使添加用戶了也不能登陸圖形終端
即使登陸了圖形終端.擁有系統(tǒng)控制權(quán).他的所作所為還是會被記錄下來.

額外措施:
我們可以通過增加一些設(shè)備和措施來進(jìn)一步加強(qiáng)系統(tǒng)安全性.
1.代理型防火墻.如ISA2004
代理型防火墻可以對進(jìn)出的包進(jìn)行內(nèi)容過濾.
設(shè)置對HTTP?REQUEST內(nèi)的request?string或者form內(nèi)容進(jìn)行過濾
將SELECT.DROP.DELETE.INSERT等都過濾掉.
因為這些關(guān)鍵詞在客戶提交的表單或者內(nèi)容中是不可能出現(xiàn)的.
過濾了以后可以說從根本杜絕了SQL?注入
2.用SNORT建立IDS
用另一臺服務(wù)器建立個SNORT.
對于所有進(jìn)出服務(wù)器的包都進(jìn)行分析和記錄
特別是FTP上傳的指令以及HTTP對ASP文件的請求
可以特別關(guān)注一下.

本文提到的部分軟件在提供下載的RAR中包含
包括COM命令行執(zhí)行記錄
URLSCAN?2.5以及配置好的配置文件
IPSEC導(dǎo)出的端口規(guī)則
evtsys
一些注冊表加固的注冊表項.

實踐篇

下面我用的例子.將是一臺標(biāo)準(zhǔn)的虛擬主機(jī).
系統(tǒng):windows2003
服務(wù):[IIS]?[SERV-U]?[IMAIL]?[SQL?SERVER?2000]?[PHP]?[MYSQL]
描述:為了演示,綁定了最多的服務(wù).大家可以根據(jù)實際情況做篩減

1.WINDOWS本地安全策略?端口限制
A.對于我們的例子來說.需要開通以下端口
外->本地?80
外->本地?20
外->本地?21
外->本地?PASV所用到的一些端口
外->本地?25
外->本地?110
外->本地?3389
然后按照具體情況.打開SQL?SERVER和MYSQL的端口
外->本地?1433
外->本地?3306
B.接著是開放從內(nèi)部往外需要開放的端口
按照實際情況,如果無需郵件服務(wù),則不要打開以下兩條規(guī)則
本地->外?53?TCP,UDP
本地->外?25
按照具體情況.如果無需在服務(wù)器上訪問網(wǎng)頁.盡量不要開以下端口
本地->外?80
C.除了明確允許的一律阻止.這個是安全規(guī)則的關(guān)鍵.
外->本地?所有協(xié)議?阻止

2.用戶帳號
a.將administrator改名,例子中改為root
b.取消所有除管理員root外所有用戶屬性中的?
遠(yuǎn)程控制->啟用遠(yuǎn)程控制?以及
終端服務(wù)配置文件->允許登陸到終端服務(wù)器
c.將guest改名為administrator并且修改密碼
d.除了管理員root,IUSER以及IWAM以及ASPNET用戶外.禁用其他一切用戶.包括SQL?DEBUG以及TERMINAL?USER等等

3.目錄權(quán)限
將所有盤符的權(quán)限,全部改為只有
administrators組??全部權(quán)限
system??全部權(quán)限
將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權(quán)限的兩個權(quán)限
然后做如下修改
C:\Program?Files\Common?Files?開放Everyone　默認(rèn)的讀取及運(yùn)行?列出文件目錄?讀取三個權(quán)限
C:\WINDOWS\?開放Everyone　默認(rèn)的讀取及運(yùn)行?列出文件目錄?讀取三個權(quán)限
C:\WINDOWS\Temp?開放Everyone?修改,讀取及運(yùn)行,列出文件目錄,讀取,寫入權(quán)限
現(xiàn)在WebShell就無法在系統(tǒng)目錄內(nèi)寫入文件了.
當(dāng)然也可以使用更嚴(yán)格的權(quán)限.
在WINDOWS下分別目錄設(shè)置權(quán)限.
可是比較復(fù)雜.效果也并不明顯.

4.IIS
在IIS?6下.應(yīng)用程序擴(kuò)展內(nèi)的文件類型對應(yīng)ISAPI的類型已經(jīng)去掉了IDQ,PRINT等等危險的腳本類型,
在IIS?5下我們需要把除了ASP以及ASA以外所有類型刪除.
安裝URLSCAN
在[DenyExtensions]中
一般加入以下內(nèi)容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw???
.ida???
.idq???
.htr???
.idc???
.shtm?
.shtml?
.stm???
.printer?
這樣入侵者就無法下載.mdb數(shù)據(jù)庫.這種方法比外面一些在文件頭加入特殊字符的方法更加徹底.
因為即便文件頭加入特殊字符.還是可以通過編碼構(gòu)造出來的

5.WEB目錄權(quán)限
作為虛擬主機(jī).會有許多獨(dú)立客戶
比較保險的做法就是為每個客戶,建立一個windows用戶
然后在IIS的響應(yīng)的站點(diǎn)項內(nèi)
把IIS執(zhí)行的匿名用戶.綁定成這個用戶
并且把他指向的目錄
權(quán)限變更為
administrators??全部權(quán)限
system??全部權(quán)限
單獨(dú)建立的用戶(或者IUSER)??選擇高級->打開除?完全控制,遍歷文件夾/運(yùn)行程序,取得所有權(quán)?3個外的其他權(quán)限.

如果服務(wù)器上站點(diǎn)不多.并且有論壇
我們可以把每個論壇的上傳目錄
去掉此用戶的執(zhí)行權(quán)限.
只有讀寫權(quán)限
這樣入侵者即便繞過論壇文件類型檢測上傳了webshell
也是無法運(yùn)行的.

6.MS?SQL?SERVER2000
使用系統(tǒng)帳戶登陸查詢分析器
運(yùn)行以下腳本
use?master?
exec?sp_dropextendedproc?'xp_cmdshell'?
exec?sp_dropextendedproc?'xp_dirtree'
exec?sp_dropextendedproc?'xp_enumgroups'
exec?sp_dropextendedproc?'xp_fixeddrives'
exec?sp_dropextendedproc?'xp_loginconfig'
exec?sp_dropextendedproc?'xp_enumerrorlogs'
exec?sp_dropextendedproc?'xp_getfiledetails'
exec?sp_dropextendedproc?'Sp_OACreate'?
exec?sp_dropextendedproc?'Sp_OADestroy'?
exec?sp_dropextendedproc?'Sp_OAGetErrorInfo'?
exec?sp_dropextendedproc?'Sp_OAGetProperty'?
exec?sp_dropextendedproc?'Sp_OAMethod'?
exec?sp_dropextendedproc?'Sp_OASetProperty'?
exec?sp_dropextendedproc?'Sp_OAStop'?
exec?sp_dropextendedproc?'Xp_regaddmultistring'?
exec?sp_dropextendedproc?'Xp_regdeletekey'?
exec?sp_dropextendedproc?'Xp_regdeletevalue'?
exec?sp_dropextendedproc?'Xp_regenumvalues'?
exec?sp_dropextendedproc?'Xp_regread'?
exec?sp_dropextendedproc?'Xp_regremovemultistring'?
exec?sp_dropextendedproc?'Xp_regwrite'?
drop?procedure?sp_makewebtask
go
刪除所有危險的擴(kuò)展.

7.修改CMD.EXE以及NET.EXE權(quán)限
將兩個文件的權(quán)限.修改到特定管理員才能訪問,比如本例中.我們?nèi)缦滦薷?br> cmd.exe???root用戶???所有權(quán)限
net.exe???root用戶???所有權(quán)現(xiàn)
這樣就能防止非法訪問.
還可以使用例子中提供的comlog程序
將com.exe改名_com.exe,然后替換com文件.這樣可以記錄所有執(zhí)行的命令行指令

8.備份
使用ntbackup軟件.備份系統(tǒng)狀態(tài).
使用reg.exe?備份系統(tǒng)關(guān)鍵數(shù)據(jù)
如reg?export?HKLM\SOFTWARE\ODBC?e:\backup\system\odbc.reg?/y
來備份系統(tǒng)的ODBC

9.殺毒
這里介紹MCAFEE?8i?中文企業(yè)版
因為這個版本對于國內(nèi)的許多惡意代碼和木馬都能夠及時的更新.
比如已經(jīng)能夠檢測到海陽頂端2006
而且能夠殺除IMAIL等SMTP軟件使用的隊列中MIME編碼的病毒文件
而很多人喜歡安裝諾頓企業(yè)版.而諾頓企業(yè)版,對于WEBSHELL.基本都是沒有反應(yīng)的.
而且無法對于MIME編碼的文件進(jìn)行殺毒.
在MCAFEE中.
我們還能夠加入規(guī)則.阻止在windows目錄建立和修改EXE.DLL文件等
我們在軟件中加入對WEB目錄的殺毒計劃.
每天執(zhí)行一次
并且打開實時監(jiān)控.

10.關(guān)閉無用的服務(wù)
我們一般關(guān)閉如下服務(wù)
Computer?Browser
Help?and?Support
Messenger
Print?Spooler
Remote?Registry
TCP/IP?NetBIOS?Helper
如果服務(wù)器不用作域控,我們也可以禁用
Workstation

11.取消危險組件
如果服務(wù)器不需要FSO
regsvr32?/u?c:\windows\system32\scrrun.dll
注銷組件
使用regedit
將/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
鍵值改名或刪除
將這些鍵值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值
全部刪除

12.審計
本地安全策略->本地策略->審核策略
打開以下內(nèi)容
審核策略更改????成功,失敗
審核系統(tǒng)事件????成功,失敗
審核帳戶登陸事件????成功,失敗
審核帳戶管理????成功,失敗?

上文是Windows Internet服務(wù)器安全配置的介紹，大家都了解了嗎？更多的相關(guān)介紹，請繼續(xù)關(guān)注西部數(shù)碼技術(shù)頻道！

標(biāo)簽： idc Mysql 安全 代碼 防火墻 服務(wù)器 服務(wù)器安全 腳本 漏洞 權(quán)限 數(shù)據(jù)庫 搜索 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 西部數(shù)碼 虛擬主機(jī) 終端服務(wù)器

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。