Windows Server2003服务器安全配置

　　我们将从入侵者入侵的各个环节来作出对应措施，一步步的加固windows系统。

　　加固windows系统.一共归于几个方面

　　1.端口限制

　　2.设置ACL权限

　　3.关闭服务或组件

　　4.包过滤

　　5.审计

　　我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.

　　1.扫描

　　这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.

　　对应措施:端口限制

　　以下所有规则.都需要选择镜像,否则会导致无法连接

　　我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽

　　2.下载信息

　　这里主要是通过URL SCAN.来过滤一些非法请求

　　对应措施:过滤相应包

　　我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段

　　来阻止特定结尾的文件的执行

　　3.上传文件

　　入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.

　　对应措施:取消相应服务和功能,设置ACL权限

　　如果有条件可以不使用FSO的.

　　通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.

　　如果需要使用.

　　那就为每个站点建立一个user用户

　　对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限

　　安装杀毒软件.实时杀除上传上来的恶意代码.

　　个人推荐MCAFEE或者卡巴斯基

　　如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.

　　4.WebShell

　　入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.

　　对应措施:取消相应服务和功能

　　一般WebShell用到以下组件

　　W.Network

　　W.Network.1

　　W.Shell

　　W.Shell.1

　　Shell.Application

　　Shell.Application.1

　　我们在注册表中将以上键值改名或删除

　　同时需要注意按照这些键值下的CLSID键的内容

　　从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除

　　5.执行SHELL

　　入侵者获得shell来执行更多指令

　　相关文章

　　本栏目最新文章

　　[an error occurred while processing this directive]

　　【简 介】

　　我们将从入侵者入侵的各个环节来作出对应措施，一步步的加固windows系统。

　　实践篇

　　下面我用的例子.将是一台标准的虚拟主机.

　　系统:windows2003

　　服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]

　　描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

　　1.WINDOWS本地安全策略 端口限制

　　A.对于我们的例子来说.需要开通以下端口

　　外->本地 80

　　外->本地 20

　　外->本地 21

　　外->本地 PASV所用到的一些端口

　　外->本地 25

　　外->本地 110

　　外->本地 3389

　　然后按照具体情况.打开SQL SERVER和MYSQL的端口

　　外->本地 1433

　　外->本地 3306

　　B.接着是开放从内部往外需要开放的端口

　　按照实际情况,如果无需邮件服务,则不要打开以下两条规则

　　本地->外 53 TCP,UDP

　　本地->外 25

　　按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口

　　本地->外 80

　　C.除了明确允许的一律阻止.这个是安全规则的关键.

　　外->本地 所有协议 阻止

　　2.用户帐号

　　a.将administrator改名,例子中改为root

　　b.取消所有除管理员root外所有用户属性中的

　　远程控制->启用远程控制 以及

　　终端服务配置文件->允许登陆到终端服务器

　　c.将guest改名为administrator并且修改密码

　　d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

　　3.目录权限

　　将所有盘符的权限,全部改为只有

　　administrators组 全部权限

　　system 全部权限

　　将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限

　　然后做如下修改

　　C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限

　　C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限

　　C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限

　　现在WebShell就无法在系统目录内写入文件了.

　　当然也可以使用更严格的权限.

　　在WINDOWS下分别目录设置权限.

　　可是比较复杂.效果也并不明显.

　　4.IIS

　　相关文章

　　本栏目最新文章

　　[an error occurred while processing this directive]

　　5.WEB目录权限

　　作为虚拟主机.会有许多独立客户

　　比较保险的做法就是为每个客户,建立一个windows用户

　　然后在IIS的响应的站点项内

　　把IIS执行的匿名用户.绑定成这个用户

　　并且把他指向的目录

　　权限变更为

　　administrators 全部权限

　　system 全部权限

　　单独建立的用户(或者IUSER) 选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.

　　如果服务器上站点不多.并且有论坛

　　我们可以把每个论坛的上传目录

　　去掉此用户的执行权限.

　　只有读写权限

　　这样入侵者即便绕过论坛文件类型检测上传了webshell

　　也是无法运行的.

　　6.MS SQL SERVER2000

　　使用系统帐户登陆查询分析器

　　运行以下脚本

　　use master

　　exec sp_dropextendedproc 'xp_cmdshell'

　　exec sp_dropextendedproc 'xp_dirtree'

　　exec sp_dropextendedproc 'xp_enumgroups'

　　exec sp_dropextendedproc 'xp_fixeddrives'

　　exec sp_dropextendedproc 'xp_loginconfig'

　　exec sp_dropextendedproc 'xp_enumerrorlogs'

　　exec sp_dropextendedproc 'xp_getfiledetails'

　　exec sp_dropextendedproc 'Sp_OACreate'

　　exec sp_dropextendedproc 'Sp_OADestroy'

　　exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

　　exec sp_dropextendedproc 'Sp_OAGetProperty'

　　exec sp_dropextendedproc 'Sp_OAMethod'

　　exec sp_dropextendedproc 'Sp_OASetProperty'

　　exec sp_dropextendedproc 'Sp_OAStop'

　　exec sp_dropextendedproc 'Xp_regaddmultistring'

　　exec sp_dropextendedproc 'Xp_regdeletekey'

　　exec sp_dropextendedproc 'Xp_regdelete'

　　exec sp_dropextendedproc 'Xp_regenums'

　　exec sp_dropextendedproc 'Xp_regread'

　　exec sp_dropextendedproc 'Xp_regremovemultistring'

　　exec sp_dropextendedproc 'Xp_regwrite'

　　drop procedure sp_makewebtask

　　go

　　删除所有危险的扩展.

　　7.修改CMD.EXE以及NET.EXE权限

　　将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改

　　cmd.exe root用户 所有权限

　　net.exe root用户 所有权现

　　这样就能防止非法访问.