熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

Windows服務器安全設置經驗詳談

2013-11-23 22:18:58  來源: Windows服務器 

  前言
  
  其實在服務器的安全設置方面我雖然有一些經驗但是還談不上有研究所以我寫這篇文章的時候心裡很不踏實總害怕說錯了會誤了別人的事
  
  本文更側重於防止ASP漏洞攻擊所以服務器防黑等方面的講解可能略嫌少了點
  
  基本的服務器安全設置
  
  安裝補丁
  
  安裝好操作系統之後最好能在托管之前就完成補丁的安裝配置好網絡後如果是則確定安裝上了SP如果是則最好安裝上SP然後點擊開始→Windows update安裝所有的關鍵更新
  
  安裝殺毒軟件
  
  雖然殺毒軟件有時候不能解決問題但是殺毒軟件避免了很多問題
  
  不要指望殺毒軟件殺掉所有的木馬因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺
  
  設置端口保護和防火牆刪除默認共享
  
  都是服務器防黑的措施即使你的服務器上沒有IIS這些安全措施都最好做上這是阿江的盲區大概知道屏蔽端口用本地安全策略不過這方面的東西網上攻略很多大家可以找出來看看晚些時候我或者會復制一些到我的網站上
  
  權限設置
  
  阿江感覺這是防止ASP漏洞攻擊的關鍵所在優秀的權限設置可以將危害減少在一個IIS站點甚至一個虛擬目錄裡我這裡講一下原理和設置思路聰明的朋友應該看完這個就能解決問題了
  
  權限設置的原理
  
  WINDOWS用戶在WINNT系統中大多數時候把權限按用戶(?M)來劃分在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組
  
  NTFS權限設置請記住分區的時候把所有的硬盤都分為NTFS分區然後我們可以確定每個分區對每個用戶開放的權限【文件(夾)上右鍵→屬性→安全】在這裡管理NTFS文件(夾)權限
  
  IIS匿名用戶每個IIS站點或者虛擬目錄都可以設置一個匿名訪問用戶(現在暫且把它叫IIS匿名用戶當用戶訪問你的網站的ASP文件的時候這個ASP文件所具有的權限就是這個IIS匿名用戶所具有的權限
  
  權限設置的思路
  
  要為每個獨立的要保護的個體(比如一個網站或者一個虛擬目錄)創建一個系統用戶讓這個站點在系統中具有惟一的可以設置權限的身份
  
  在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名
  
  設置所有的分區禁止這個用戶訪問而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問(要去掉繼承父權限並且要加上超管組和SYSTEM組)
  
  這樣設置了之後這個站點裡的ASP程序就只有當前這個文件夾的權限了從探針上看所有的硬盤都是紅叉叉
  
  我的設置方法
  
  我是先創建一個用戶組以後所有的站點的用戶都建在這個?M裡然後設置這個組在各個分區沒有權限或者完全拒絕然後再設置各個IIS用戶在各在的文件夾裡的權限
  
  因為比較多所以我很不想寫其實知道了上面的原理大多數人都應該懂了除非不知道怎麼添加系統用戶和?M不知道怎麼設置文件夾權限不知道IIS站點屬性在那裡真的有那樣的人你也不要著急要沉住氣慢慢來具體的方法其實自己也能摸索出來的我就是這樣當然如果我有空我會寫我的具體設置方法很可能還會配上圖片
  
  改名或卸載不安全組件
  
  不安全組件不驚人
  
  我在阿江探針裡加入了不安全組件檢測功能(其實這是參考i的代碼寫的只是把界面改的友好了一點檢測方法和他是基本一樣的)這個功能讓很多站長吃驚不小因為他發現他的服務器支持很多不安全組件
  
  其實只要做好了上面的權限設置那麼FSOXMLstrem都不再是不安全組件了因為他們都沒有跨出自己的文件夾或者站點的權限那個歡樂時光更不用怕有殺毒軟件在還怕什麼時光啊
  
  最危險的組件是WSH和Shell因為它可以運行你硬盤裡的EXE等程序比如它可以運行提升程序來提升SERVU權限甚至用SERVU來運行更高權限的系統程序
  
  卸載最不安全的組件
  
  最簡單的辦法是直接卸載後刪除相應的程序文件將下面的代碼保存為一個BAT文件( 以下均以 WIN 為例如果使用則系統文件夾應該是 C:\WINDOWS\ )
  
  Quoted from Unkown:
  
  regsvr/u C:\WINNT\System\wshomocx
  
  del C:\WINNT\System\wshomocx
  
  regsvr/u C:\WINNT\system\shelldll
  
  del C:\WINNT\system\shelldll
  
  然後運行一下WScriptShell Shellapplication WScriptNetwork就會被卸載了可能會提示無法刪除文件不用管它重啟一下服務器你會發現這三個都提示×安全
  
  改名不安全組件
  
  需要注意的是組件的名稱和Clsid都要改並且要改徹底了下面以Shellapplication為例來介紹方法
  
  打開注冊表編輯器【開始→運行→regedit回車】然後【編輯→查找→填寫Shellapplication→查找下一個】用這個方法能找到兩個注冊表項{CCEAE}Shellapplication為了確保萬無一失把這兩個注冊表項導出來保存為 reg 文件
  
  比如我們想做這樣的更改
  
  CCEAE 改名為 CCEAE
  
  Shellapplication 改名為 Shellapplication_ajiang
  
  那麼就把剛才導出的reg文件裡的內容按上面的對應關系替換掉然後把修改好的reg文件導入到注冊表中(雙擊即可)導入了改名後的注冊表項之後別忘記了刪除原有的那兩個項目這裡需要注意一點Clsid中只能是十個數字和ABCDEF六個字母
  
  下面是我修改後的代碼(兩個文件我合到一起了)
  
  Quoted from Unkown:
  
  Windows Registry Editor Version
  
  [HKEY_CLASSES_ROOT\CLSID\{CCEAE}]
  
  @=Shell Automation Service
  
  [HKEY_CLASSES_ROOT\CLSID\{CCEAE}\InProcServer]
  
  @=C:\\WINNT\\system\\shelldll
  
  ThreadingModel=Apartment
  
  [HKEY_CLASSES_ROOT\CLSID\{CCEAE}\ProgID]
  
  @=ShellApplication_ajiang
  
  [HKEY_CLASSES_ROOT\CLSID\{CCEAE}\TypeLib]
  
  @={aebefdbaacfe}
  
  [HKEY_CLASSES_ROOT\CLSID\{CCEAE}\Version]
  
  @=
  
  [HKEY_CLASSES_ROOT\CLSID\{CCEAE}\VersionIndependentProgID]
  
  @=ShellApplication_ajiang
  
  [HKEY_CLASSES_ROOT\ShellApplication_ajiang]
  
  @=Shell Automation Service
  
  [HKEY_CLASSES_ROOT\ShellApplication_ajiang\CLSID]
  
  @={CCEAE}
  
  [HKEY_CLASSES_ROOT\ShellApplication_ajiang\CurVer]
  
  @=ShellApplication_ajiang
  
  你可以把這個保存為一個reg文件運行試一下但是可別就此了事因為萬一黑客也看了我的這篇文章他會試驗我改出來的這個名字的
  
  防止列出用戶組和系統進程
  
  我在阿江ASP探針中結合i的方法利用getobject(WINNT)獲得了系統用戶和系統進程的列表這個列表可能會被黑客利用我們應當隱藏起來方法是
  
  【開始→程序→管理工具→服務】找到Workstation停止它禁用它
  
  防止ServU權限提升
  
  其實注銷了Shell組件之後侵入者運行提升工具的可能性就很小了但是prel等別的腳本語言也有shell能力為防萬一還是設置一下為好
  
  用Ultraedit打開ServUDaemonexe查找AsciiLocalAdministrator和#l@$ak#lk;@P修改成等長度的其它字符就可以了ServUAdminexe也一樣處理
  
  另外注意設置ServU所在的文件夾的權限不要讓IIS匿名用戶有讀取的權限否則人家下走你修改過的文件照樣可以分析出你的管理員名和密碼
  
  利用ASP漏洞攻擊的常見方法及防范
  
  一般情況下黑客總是瞄准論壇等程序因為這些程序都有上傳功能他們很容易的就可以上傳ASP木馬即使設置了權限木馬也可以控制當前站點的所有文件了另外有了木馬就然後用木馬上傳提升工具來獲得更高的權限我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具
  
  如果論壇管理員關閉了上傳功能則黑客會想辦法獲得超管密碼比如如果你用動網論壇並且數據庫忘記了改名人家就可以直接下載你的數據庫了然後距離找到論壇管理員密碼就不遠了
  
  作為管理員我們首先要檢查我們的ASP程序做好必要的設置防止網站被黑客進入另外就是防止攻擊者使用一個被黑的網站來控制整個服務器因為如果你的服務器上還為朋友開了站點你可能無法確定你的朋友會把他上傳的論壇做好安全設置這就用到了前面所說的那一大堆東西做了那些權限設置和防提升之後黑客就算是
From:http://tw.wingwit.com/Article/os/fwq/201311/29801.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.