⑴高手支招之网络服务器安全配置的技巧
⑵系统更新换代速度很快,但是对于win系统还是有很多用户钟爱的。所以这里就与大家分享下在win系统中网络服务器安全配置的技巧,满足win用户的需求。
⑶系统:Windows
⑷服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER ] [php] [MySQL]
⑸. WINDOWS本地安全策略 端口限制
⑹A. 对于我们的例子来说,需要开通以下端口
⑺外->本地 PASV所用到的一些端口
⑻然后按照具体情况,打开SQL SERVER和MYSQL的端口
⑼B. 接着是开放从内部往外需要开放的端口
⑽按照实际情况,如果无需邮件服务,则不要打开以下两条规则
⑾本地->外 TCP,UDP
⑿按照具体情况,如果无需在服务器上访问网页,尽量不要开以下端口
⒀C. 除了明确允许的一律阻止,这个是安全规则的关键
⒁外->本地 所有协议 阻止
⒂A. 将administrator改名,例子中改为root
⒃B. 取消所有除管理员root外所有用户属性中的
⒄远程控制->启用远程控制 以及
⒅终端服务配置文件->允许登陆到终端服务器
⒆C. 将guest改名为administrator并且修改密码
⒇D. 除了管理员root、IUSER以及IWAM以及asp用户外,禁用其他一切用户,包括SQL DEBUG以及TERMINAL USER等等
⒈将所有盘符的权限,全部改为只有
⒉administrators组 全部权限
⒊ystem 全部权限
⒋将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
⒌C:PRogram Filesmon Files 开放Everyone默认的读取及运行 列出文件目录 读取三个权限
⒍C:WINDOWS 开放Everyone默认的读取及运行 列出文件目录 读取三个权限
⒎C:WINDOWSTemp 开放Everyone 修改、读取及运行、列出文件目录、读取、写入权限
⒏现在WebShell就无法在系统目录内写入文件了。当然也可以使用更严格的权限,在WINDOWS下分别目录设置权限。可是比较复杂,效果也并不明显。
⒐在IIS 下,应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ、PRINT等等危险的脚本类型,
⒑在IIS 下我们需要把除了ASP以及ASA以外所有类型删除。
⒒安装URLSCAN
⒓在[DenyExtensions]中一般加入以下内容 . cer
⒔. printer
⒕这样入侵者就无法下载.mdb数据库,这种方法比外面一些在文件头加入特殊字符的方法更加彻底。
⒖因为即便文件头加入特殊字符,还是可以通过编码构造出来的
⒗. WEB目录权限
⒘比较保险的做法就是为每个客户建立一个Windows用户,然后在IIS的响应的站点项内把IIS执行的匿名用户,绑定成这个用户并且把他指向的目录,权限变更为administrators 全部权限
⒙system 全部权限
⒚单独建立的用户(或者IUSER) 选择高级->打开除 完全控制、遍历文件夹/运行程序、取得所有权 个外的其他权限
⒛如果服务器上站点不多,并且有论坛,我们可以把每个论坛的上传目录去掉此用户的执行权限,只有读写权限这样入侵者即便绕过论坛文件类型检测上传了webshell也是无法运行的。
①. MS SQL SERVER
②使用系统帐户登陆查询分析器运行以下脚本 use master
③e xec sp_dropextendedproc 'xp_cmdshell'
④e xec sp_dropextendedproc 'xp_dirtree'
⑤e xec sp_dropextendedproc 'xp_enumgroups'
⑥e xec sp_dropextendedproc 'xp_fixeddrives'
⑦e xec sp_dropextendedproc 'xp_loginconfig'
⑧e xec sp_dropextendedproc 'xp_enumerrorlogs'
⑨e xec sp_dropextendedproc 'xp_getfiledetails'
⑩e xec sp_dropextendedproc 'Sp_OACreate'
Ⅰe xec sp_dropextendedproc 'Sp_OADestroy'
Ⅱe xec sp_dropextendedproc 'Sp_OAGetErrorInfo'
Ⅲe xec sp_dropextendedproc 'Sp_OAGetProperty'
Ⅳe xec sp_dropextendedproc 'Sp_OAMethod'
Ⅴe xec sp_dropextendedproc 'Sp_OASetProperty'
Ⅵe xec sp_dropextendedproc 'Sp_OAStop'
Ⅶe xec sp_dropextendedproc 'Xp_regaddmultistring'
Ⅷe xec sp_dropextendedproc 'Xp_regdeletekey'
Ⅸe xec sp_dropextendedproc 'Xp_regdeletevalue'
Ⅹe xec sp_dropextendedproc 'Xp_regenumvalues'
㈠e xec sp_dropextendedproc 'Xp_regread'
㈡e xec sp_dropextendedproc 'Xp_regremovemultistring'
㈢e xec sp_dropextendedproc 'Xp_regwrite'
㈣drop procedure sp_makewebtask
㈤go 删除所有危险的扩展
㈥. 修改CMD.EXE以及.EXE权限
㈦将两个文件的权限修改到特定管理员才能访问,比如本例中,我们如下修改
㈧cmd.e xe root用户 所有权限
㈨et.e xe root用户 所有权现
㈩这样就能防止非法访问
还可以使用例子中提供的log程序将.exe改名_.e xe,然后替换文件,这样可以记录所有执行的命令行指令
使用ntbackup软件备份系统状态,使用reg.e xe 备份系统关键数据,如reg export
LMSOFTWAREODBC e:backupsystemodbc.reg /y
来备份系统的ODBC
在MCAFEE中,我们还能够加入规则阻止在windows目录建立和修改E XE. DLL文件等,我们在软件中加入对WEB目录的杀毒计划,每天执行一次,并且打开实时监控。
. 关闭无用的服务
我们一般关闭如下服务
puter Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/ip BIOS Helper
如果服务器不用作域控,我们也可以禁用Workstation
. 取消危险组件
如果服务器不需要fso,regsvr /u c:windowssystemscrrun.dll注销组件,使用regedit将/HKEY_CLASSES_ROOT下的 WScript.work
WScript.work.
WScript.Shell
WScript.Shell.
Shell.application
Shell.Application.
将这些键值下CLSID中包含的字串
如{CDD-DA-B-A-BAFB}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
本地安全策略->本地策略->审核策略
审核策略更改 成功,失败
审核系统事件 成功,失败
审核帐户登陆事件 成功,失败
审核帐户管理 成功,失败
网络服务器对系统来说是一个重要的组成部分,对网络服务器进行安全配置,能够保障上网的需求。虽然步骤很繁琐,但是这些操作都是很有必要的,不可忽略。