Windows Internet服务器安全配置原理篇-交流共享-唐山网站建设

Windows Internet服务器安全配置原理篇

核心提示：我们将从进侵者进侵的各个环节来作出对应措施1步步的加固windows系统

我们将从进侵者进侵的各个环节来作出对应措施1步步的加固windows系统，1共回于以下几个方面：

1. 端口限制

2. 设置ACL权限

3. 封闭服务或组件

4. 包过滤

5. 审计

我们现在开始从进侵者的第1步开始，对应的开始加固已有的windows系统：

1. 扫描

这是进侵者在刚开始要做的第1步，比如搜索有漏洞的服务

对应措施：端口限制

以下所有规则，都需要选择镜像，否则会导致没法连接我们需要作的就是打开服务所需要的端口.而将其他的端口1律屏蔽。

2. 下载信息

这里主要是通过URL SCAN.来过滤1些非法要求

对应措施：过滤相应包

我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段来禁止特定结尾的文件的履行

3. 上传文件

进侵者通过这步上传WEBSHELL、提权软件、运行cmd指令等等

对应措施：取消相应服务和功能，设置ACL权限

假设有条件可以不使用FSO的

通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相干的DLL，假设需要使用，那就为每个站点建立1个user用户对每个站点相应的目录，只给这个用户读、写、履行权限，给administrators全部权限。安装杀毒软件，实时杀除上传上来的恶意代码，个人推荐MCAFEE或卡巴斯基。假设使用MCAFEE.对WINDOWS目录所有添加与修改文件的行动进行禁止。

4. WebShell

进侵者上传文件后，需要利用WebShell来履行可履行程序，或利用WebShell进行更加方便的文件操纵。

对应措施:取消相应服务和功能

1般WebShell用到以下组件

　　WScript.Network
　　
　　WScript.Network.1
　　
　　WScript.Shell
　　
　　WScript.Shell.1
　　
　　Shell.Application
　　
　　Shell.Application.1
　　
　　我们在注册表中将以上键值改名或删除，同时需要留意依照这些键值下的CLSID键的内容，从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除。

5. 履行SHELL

进侵者取得shell来履行更多指令

对应措施：设置ACL权限

Windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE

我们将此文件的ACL修改成某个特定治理员帐户(比如administrator)具有全部权限。

其他用户，包括system用户、administrators组等等，1律无权限访问此文件。

6. 利用已有用户或添加用户

进侵者通过利用修改已有用户或添加Windows正式用户，向获得治理员权限迈进。

对应措施：设置ACL权限、修改用户

将除治理员外所有用户的终端访问权限往掉，限制CMD.EXE的访问权限，限制SQL SERVER内的XP_CMDSHELL

7. 登陆图形终端

进侵者登陆TERMINAL SERVER或RADMIN等等图形终端，获得很多图形程序的运行权限。由于WINDOWS系统下尽大部份利用程序都是GUI的，所以这步是每个进侵WINDOWS的进侵者都希看取得的。

对应措施：端口限制

进侵者可能利用3389或其他的木马之类的获得对图形界面的访问。我们在第1步的端口限制中，对所有从内到外的访问1律屏蔽也就是为了避免反弹木马，所以在端口限制中，由本地访问外部网络的端口越少越好。假设不是作为MAIL SERVER，可以不用加任何由内向外的端口，阻断所有的反弹木马。

8. 擦除脚印

进侵者在取得了1台机器的完全治理员权限后，就是擦除脚印来隐躲本身。
　　
对应措施：审计

首先我们要肯定在windows日志中打开足够的审计项目，假设审计项目不足，进侵者乃至都无需往删除windows事件。其次我们可以用自己的cmd.exe和net.exe来替换系统自带的将运行的指令保存下来，了解进侵者的行动。对windows日志，我们可以通过将日志发送到远程日志服务器的方式来保证记录的完全性。evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)提供将windows日志转换成syslog格式并且发送到远程服务器上的功能，使用此用具，并且在远程服务器上开放syslogd，假设远程服务器是windows系统，推荐使用kiwi syslog deamon。我们要到达的目的就是不让进侵者扫描到主机弱点，即使扫描到了也不能上传文件，即使上传文件了不能操纵其他目录的文件，即使操纵了其他目录的文件也不能履行shell，即使履行了shell也不能添加用户，即使添加用户了也不能登陆图形终端，即使登陆了图形终端、具有系统控制权，他的所作所为还是会被记录下来。

额外措施：我们可以通过增加1些设备和措施来进1步加强系统安全性。

1. 代理型防火墙，如ISA2004

代理型防火墙可以对进出的包进行内容过滤，设置对HTTP REQUEST内的request string或form内容进行过滤，将SELECT、DROP、DELETE、INSERT等都过滤掉，由于这些关键词在客户提交的表单或内容中是不可能出现的。过滤了以后可以说从根本杜尽了SQL 注进。

2. 用SNORT建立IDS

用另1台服务器建立个SNORT，对所有进出服务器的包都进行分析和记录，特别是FTP上传的指令和HTTP对ASP文件的要求，可以特别关注1下。本文提到的部份软件在提供下载的RAR中包括：

包括COM命令行履行记录

URLSCAN 2.5和配置好的配置文件

IPSEC导出的端口规则

evtsys

1些注册表加固的注册表项

http://www.fw8.net/

TAG:用户,权限,端口,终端,措施