网站建设技术
标准的虚拟主机Windows 2003 Internet服务器安全配置(2)
时间:2009年12月12日 来源:互联网 作者:佚名 浏览:

1.

2.用户帐号

a.将administrator改名,例子中改为root

b.取消所有除管理员root外所有用户属性中的

远程控制->启用远程控制 以及

终端服务配置文件->允许登陆到终端服务器

c.将guest改名为administrator并且修改密码

d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限

将所有盘符的权限,全部改为只有

administrators组   全部权限

system   全部权限

将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限

然后做如下修改

C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限

C:\

4.IIS

在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,

在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.

安装URLSCAN

在[DenyExtensions]中

一般加入以下内容

.cer

.cdx

.mdb

.bat

.cmd

.com

.htw  

.ida  

.idq  

.htr  

.idc  

.shtm

.shtml

.stm  

.printer

这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.

因为即便文件头加入特殊字符.还是可以通过编码构造出来的

5.WEB目录权限

作为*************.会有许多独立客户比较保险的做法就是为每个客户,建立一个如果服务器上站点不多.并且有论坛我们可以把每个论坛的上传目录去掉此用户的执行权限.

只有读写权限

这样入侵者即便绕过论坛文件类型检测上传了webshell也是无法运行的.

6.MS SQL SERVER2000

使用系统帐户登陆查询分析器运行以下脚本

use master

exec sp_dropextendedproc 'xp_cmdshell'

exec sp_dropextendedproc 'xp_dirtree'

exec sp_dropextendedproc 'xp_enumgroups'

exec sp_dropextendedproc 'xp_fixeddrives'

exec sp_dropextendedproc 'xp_loginconfig'

exec sp_dropextendedproc 'xp_enumerrorlogs'

exec sp_dropextendedproc 'xp_getfiledetails'

exec sp_dropextendedproc 'Sp_OACreate'

exec sp_dropextendedproc 'Sp_OADestroy'

exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

exec sp_dropextendedproc 'Sp_OAGetProperty'

exec sp_dropextendedproc 'Sp_OAMethod'

exec sp_dropextendedproc 'Sp_OASetProperty'

exec sp_dropextendedproc 'Sp_OAStop'

exec sp_dropextendedproc 'Xp_regaddmultistring'

exec sp_dropextendedproc 'Xp_regdeletekey'

exec sp_dropextendedproc 'Xp_regdeletevalue'

exec sp_dropextendedproc 'Xp_regenumvalues'

exec sp_dropextendedproc 'Xp_regread'

exec sp_dropextendedproc 'Xp_regremovemultistring'

exec sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

go

删除所有危险的扩展.

7.修改CMD.EXE以及NET.EXE权限

将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改

cmd.exe    root用户    所有权限

net.exe    root用户    所有权现

这样就能防止非法访问.

还可以使用例子中提供的comlog程序

将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令

8.备份

使用ntbackup软件.备份系统状态.

使用reg.exe 备份系统关键数据

如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y

来备份系统的ODBC

9.杀毒

这里介绍MCAFEE 8i 中文企业版

因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.

比如已经能够检测到海阳顶端2006

而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件

而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.

而且无法对于MIME编码的文件进行杀毒.

在MCAFEE中.

我们还能够加入规则.阻止在

10.关闭无用的服务

我们一般关闭如下服务

Computer Browser

Help and Support

Messenger

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

如果服务器不用作域控,我们也可以禁用

Workstation

11.取消危险组件

如果服务器不需要FSO

regsvr32 /u c:\

12.审计

本地安全策略->本地策略->审核策略

打开以下内容

审核策略更改     成功,失败

审核系统事件     成功,失败

审核帐户登陆事件     成功,失败

审核帐户管理     成功,失败