当前位置 主页 > 服务器问题 > win服务器问题汇总 >

    Windows Internet服务器安全配置指南原理篇第2/2页

    栏目:win服务器问题汇总 时间:2019-10-13 21:13



    本文提到的部分软件在提供下载的RAR中包含 
    包括COM命令行执行记录 
    URLSCAN 2.5以及配置好的配置文件 
    IPSEC导出的端口规则 
    evtsys 
    一些注册表加固的注册表项. 


    实践篇 


    下面我用的例子.将是一台标准的虚拟主机. 
    系统:windows2003 
    服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL] 
    描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减 


    1.WINDOWS本地安全策略 端口限制 
    A.对于我们的例子来说.需要开通以下端口 
    外->本地 80 
    外->本地 20 
    外->本地 21 
    外->本地 PASV所用到的一些端口 
    外->本地 25 
    外->本地 110 
    外->本地 3389 
    然后按照具体情况.打开SQL SERVER和MYSQL的端口 
    外->本地 1433 
    外->本地 3306 
    B.接着是开放从内部往外需要开放的端口 
    按照实际情况,如果无需邮件服务,则不要打开以下两条规则 
    本地->外 53 TCP,UDP 
    本地->外 25 
    按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口 
    本地->外 80 
    C.除了明确允许的一律阻止.这个是安全规则的关键. 
    外->本地 所有协议 阻止 


    2.用户帐号 
    a.将administrator改名,例子中改为root 
    b.取消所有除管理员root外所有用户属性中的  
    远程控制->启用远程控制 以及 
    终端服务配置文件->允许登陆到终端服务器 
    c.将guest改名为administrator并且修改密码 
    d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等 


    3.目录权限 
    将所有盘符的权限,全部改为只有 
    administrators组 全部权限 
    system 全部权限 
    将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限 
    然后做如下修改 
    C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限 
    C:\WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限 
    C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限 
    现在WebShell就无法在系统目录内写入文件了. 
    当然也可以使用更严格的权限. 
    在WINDOWS下分别目录设置权限. 
    可是比较复杂.效果也并不明显. 


    4.IIS 
    在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型, 
    在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除. 
    安装URLSCAN 
    在[DenyExtensions]中 
    一般加入以下内容 
    .cer 
    .cdx 
    .mdb 
    .bat 
    .cmd 
    .com 
    .htw  
    .ida  
    .idq  
    .htr  
    .idc  
    .shtm  
    .shtml  
    .stm  
    .printer  
    这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.