单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,,*,WEB服务器安全设置,,1,服务器安全设置:,,目前很多服务器存在的很多安全隐患,黑客经常会通过各种漏洞把服务器给黑掉目的:掌握系统权限的配置;端口的封堵;,,FTP服务器的安全设置;IIS服务器的设置2,,操作系统的安装:,,服务器硬盘至少分两个区,格式为NTFS格式安装2003操作系统,并打好最新补丁安装好驱动程序,系统默认没有安装IIS,所以要安装IIS步骤:开始-控制面板-添加/删除程序-添加/删除WINDOWS组件-应用程序:,3,,应用程序-------ASP.NET(可选),,|---启用网络COM+访问(必选),,|---Internet 信息服务(IIS) (必选),,|---公用文件(必选),,|---万维网服务—Active Server pages(必选),,|---Internet 数据连接器(可选),,,|——WebDAV 发布(可选),,|——万维网服务(必选) |——在服务器端的包含文件(可选),,然后点击确定—>下一步安装4,,系统补丁的更新 点击开始菜单—>所有程序->Windows Update按照提示进行补丁的安装。
备份系统 用GHOST备份系统安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统5,,安装杀毒软件,有的杀毒软件不支持服务器版,目前瑞星,麦咖啡,诺顿都可以;如果安装瑞星的话会造成ASP动态不能访问,需要进行修复一下动态库,方法:在DOS命令行下输入:regsvr32 jscript.dll (命令功能:修复Java动态链接库) ;regsvr32 vbscript.dll (命令功能:修复VB动态链接库) 不要指望杀毒能杀掉所有的木马6,,开启防火墙,这是2003自带的防火墙,随没有什么功能但可以屏蔽一些端口在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”7,,修改注册表. 开始--运行--regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) 注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口 修改完毕.重新启动服务器.设置生效.,8,,用户安全设置,,禁用Guest账号 :在计算机管理的用户里面把Guest账号禁用。
为了保险起见,最好给Guest加一个复杂的密码你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去限制不必要的用户 :去掉所有的Duplicate User用户、测试用户、共享用户等等用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户这些用户很多时候都是黑客们入侵系统的突破口9,,把系统Administrator账号改名 :Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码尽量把它伪装成普通用户 创建一个陷阱用户 :什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图10,,把共享文件的权限从Everyone组改成授权用户 :任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改11,,本地策略设置,,在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
12,,推荐的要审核的项目是:,,登录事件 成功 失败,,账户登录事件 成功 失败,,系统事件 成功 失败,,策略更改 成功 失败,,对象访问 失败,,目录服务访问 失败,,特权使用 失败,13,,开启用户策略 :使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次 (该项为可选),,不让系统显示上次登录的用户名 :,,密码安全设置 :使用安全密码 ,要注意密码的复杂性,还要记住经常改密码设置屏幕保护密码,14,,开启密码策略 :注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天15,,本地策略——>用户权限分配,,关闭系统:只有Administrators组、其它全部删除通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除16,,本地策略——>安全选项,,交互式登陆:不显示上次的用户名 启用 网络访问:不允许SAM帐户和共享的匿名枚举 启用 网络访问:不允许为网络身份验证储存凭证 启用 网络访问:可匿名访问的共享 全部删除 网络访问:可匿名访问的命 全部删除 网络访问:可远程访问的注册表路径 全部删除 网络访问:可远程访问的注册表路径和子路径全部删除 帐户:重命名来宾帐户 重命名一个帐户 帐户:重命名系统管理员帐户 重命名一个帐户,17,,禁用不必要的服务,,开始-运行-services.msc :,,TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络,,Server支持此计算机通过网络的文件、打印、和命名管道共享,,Computer Browser 维护网络上计算机的最新列表以及提供这个列表,,Task scheduler 允许程序在指定时间运行,,Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息,,Distributed : 局域网管理共享文件,不需要可禁用,18,,Distributed linktracking client:用于局域网更新连接信息,不需要可禁用,,Error reporting service:禁止发送错误报告,,Microsoft Serch:提供快速的单词搜索,不需要可禁用,,NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用,,PrintSpooler:如果没有打印机可禁用,,Remote Registry:禁止远程修改注册表,,Remote Desktop Help Session Manager:禁止远程协助,,Workstation 关闭的话远程NET命令列不出用户组,,以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
19,,修改注册表,让系统更强壮,,隐藏重要文件/目录可以修改注册表实现完全隐藏 :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0,20,,防止SYN洪水攻击 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值,名为SynAttackProtect,值为2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 0,21,,禁止响应ICMP路由通告报文 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值,名为PerformRouterDiscovery 值为0,,防止ICMP重定向报文的攻击 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0,22,,不支持IGMP协议 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值,名为IGMPLevel 值为0,,禁止IPC空连接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
23,,删除默认共享:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可,,建立一个记事本,填上以下代码保存为*.bat并加到启动项目中:net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del,24,,系统权限的设置,,磁盘权限 :,,系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限,,系统盘\Documents and Settings 目录只给 Administrators 组SYSTEM 的完全控制权限,,系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限,,系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、、t、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全 控制权限,,另将\System32\cmd.exe、、转移到其他目录或更名,,Documents and Settings下所有些目录都设置只给adinistrators权限。
并且要一个一个目录查看,包括下面的所有子目录 删除c:\inetpub目录,25,,IIS站点设置:,,将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内启用父级路径,,在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可):右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射主要为.shtml, .shtm, .stm,,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,,26,,删除IIS默认创建的Inetpub目录(在安装系统的盘上)删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC更改IIS日志的路径 :右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性,27,,Web站点权限设定(建议) :读 允许 写 不允许 脚本源访问 不允许 目录浏览 建议关闭 日志访问 建议关闭 索引资源 建议关闭 执行 推荐选择 “仅限于脚本”,28,,程序安全:,,涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;,,需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
防止ASP主页.inc文件泄露问题;,,防止UE等编辑器生成some.asp.bak文件泄露问题29,,为每个站点单独设置账户:我的电脑-右键-管理-账户:新建账户-密码,在新建的账户属性里将隶属于账户删除(不给任何权限),远程访问拒绝;再新建一应用程序池账户,在新建账户隶属于里讲账户删除-添加IIS_WPG账户组打开IIS管理器:应用程序池-新建应用程序池-标识-配置-账户选择新建的应用程序池账户,密码填此账户密码30,,WEB账户配置:新建网站-属性-目录安全性-身份验证和访问控制-编辑-选择无任何权限那个账户,密码填此账户密码,确定WEB文件夹权限设置:新建网站文件夹-右键属性-安全-高级-勾掉父项的继承权-只留administrator和system账户其他删除-添加web账户和应用程序池新建账户,并编辑权限,去掉:完全控制、遍历文件夹、取得所有权将此硬盘的权限只留administration和system,添加IIS_WPG用户为读取权限31,,卸载最不安全的组件,,最简单的办法是直接卸载后删除相应的程序文件将下面的代码保存为一个.BAT文件, regsvr32/u C:\WINDOWS\System32\wshom.ocx del C:\WINDOWS\System32\wshom.ocx regsvr32/u C:\WINDOWS\system32\shell32.dll del C:\WINDOWS\shell32.dll,,然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。
可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了32,,IP安全策略设置:,,在控制面板-管理工具-打开本地安全策略:,,右键新建IP策略33,,SERV-U安全设置,,作为一款精典的FTP服务器软件,SERV-U一直被大部分管理员所使用,首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞,即利用一个账号可以轻易的得到SYSTEM权限其次是Serv-u的本地溢出漏洞,即Serv-U有一个默认的管理用户(用户名:localadministrator,密码:#|@$ak#.|k;0@p),任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令从SERV-U6.0.0.2开始,该软件有了登录密码功能,这样如果加了管理密码,并且设置比较妥善的话,SERV-U将会比原来安全的多现在我们就开始SERV-U的设置之旅,采用版本是SERV-U 6.0.0.234,,修改安装路径:路径最好复杂无规律,,安装的时候只选前2项就可以了,后面的2个是说明和在线帮助文件生成的开始菜单组里的文件夹的名字,建议更改成比较不像SERV-U的名字,或者是删除该文件夹 。
安装完成后会出现一个向导让你建立一个域和账号在这里点Cancel取消向导用向导生成的账号会带来一些问题,所以下面采用手工方式建立域和账号35,,然后点选Start automatically(system service)前面的选项,接着点下边的Start Server按钮把SERV-U加入系统服务,这样就可以随系统启动了,不用每次都手工启动通过点击Set/Change Password设置一个密码这里建议设置一个足够复杂的密码,以防止别人暴力破解自己记不得也没有关系,只要把ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存,再次运行ServUAdmin.exe就不会提示你输入密码登录了36,,首先建立一个WINDOWS账号SSERVU,密码也需要足够的复杂密码要记住建好账号以后,双击建好的用户编辑用户属性,从“隶属于”里删除USERS组从“终端服务配置文件”选项里取消“允许登录到终端服务器(W)”的选择,然后点击确定继续我们的设置开始菜单的管理工具里找到“服务”点击打开在“Serv-U 服务”上点右键,选择属性,37,,点击“登录”进入登录账号选择界面。
选择刚才建立的系统账号名,并在下面重复输入2次该账号的密码(就是刚才让你记住的那个),然后点“应用”,再次点确定,完成服务的设置接下来要先使用FTP管理工具建立一个域,再建立一个账号,建好后选择保存在注册表打开注册表来测试相应的权限,否则SERV-U是没办法启动的在开始->运行里输入regedt32点“确定”继续38,,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft]分支在上面点右键,选择权限,然后点高级,取消允许父项的继承权限传播到该对象和所有子对象,包括那些在此明确定义的项目,点击“应用”继续,接着删除所有的账号再次点击“确定”按钮继续这时会弹出对话框显示“您拒绝了所有用户访问Cat Soft没有人能访问 Cat Soft,而且只有所有者才能更改权限您要继续吗?”,点击“是”继续接着点击添加按钮增加我们建立的SSERVU账号到该子键的权限列表里,并给予完全控制权限到这里注册表已经设置完了但还不能重新启动SERV-U,因为安装目录还没设置39,,现在就来设置一下,只保留你的管理账号和SSERVU账号,并给予除了完全控制外的所有权限服务里重启Serv-U 服务就可以正常启动了。
当然,到这里还没有完全设置完,你的FTP用户因为没有权限还是登录不了的,所以还要设置一下目录的权限40,,假设你有一个WEB目录,路径是d:\web那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉,再加入SSERVU账号,切记SYSTEM账号也删除掉为什么要这样设置呢?因为现在已经是用SSERVU账号启动的SERV-U,而不是用SYSTEM权限启动的了,所以访问目录不再是用SYSTEM而是用SSERVU,此时SYSTEM已经没有用了,这样就算真的溢出也不可能得到SYSTEM权限另外,WEB目录所在盘的根目录还要设置允许SSERV-U账号的浏览和读取权限,并确认在高级里设置只有该文件夹41,,结束,42,,。
