《WEB服務(wù)器安全設(shè)置》由會員分享，可在線閱讀，更多相關(guān)《WEB服務(wù)器安全設(shè)置（42頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,,,,*,WEB服務(wù)器安全設(shè)置,,1,服務(wù)器安全設(shè)置：,,目前很多服務(wù)器存在的很多安全隱患，黑客經(jīng)常會通過各種漏洞把服務(wù)器給黑掉。,,目的：掌握系統(tǒng)權(quán)限的配置；端口的封堵；,,FTP服務(wù)器的安全設(shè)置；IIS服務(wù)器的設(shè)置。,2,,操作系統(tǒng)的安裝：,,服務(wù)器硬盤至少分兩個區(qū)，格式為NTFS格式。,,安裝2003操作系統(tǒng)，并打好最新補丁。,,安裝好驅(qū)動程序，系統(tǒng)默認沒有安裝IIS，所以要安裝IIS。步驟：開始-控制面板-添加/刪除程序-添加/刪除WINDOWS組件-應(yīng)用程序：,3,,應(yīng)用程序-------

2、ASP.NET（可選）,,|---啟用網(wǎng)絡(luò)COM+訪問（必選）,,|---Internet 信息服務(wù)(IIS) （必選）,,|---公用文件（必選）,,|---萬維網(wǎng)服務(wù)—Active Server pages（必選）,,|---Internet 數(shù)據(jù)連接器（可選）,,,|——WebDAV 發(fā)布（可選）,,|——萬維網(wǎng)服務(wù)（必選）　　 |——在服務(wù)器端的包含文件（可選）,,然后點擊確定—>下一步安裝。,4,,系統(tǒng)補丁的更新　點擊開始菜單—>所有程序->Windows Update按照提示進行補丁的安裝。,,備份系統(tǒng)　　用GHOST備份系統(tǒng)。,,安裝常用的軟件　　例如：殺毒軟件、解壓縮軟

3、件等；安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。,5,,安裝殺毒軟件，有的殺毒軟件不支持服務(wù)器版，目前瑞星，麥咖啡，諾頓都可以；如果安裝瑞星的話會造成ASP動態(tài)不能訪問，需要進行修復一下動態(tài)庫，方法：在DOS命令行下輸入：regsvr32 jscript.dll （命令功能：修復Java動態(tài)鏈接庫） ；regsvr32 vbscript.dll （命令功能：修復VB動態(tài)鏈接庫） 。不要指望殺毒能殺掉所有的木馬。,,6,,開啟防火墻，這是2003自帶的防火墻，隨沒有什么功能但可以屏蔽一些端口。,,在高級tcp/ip設(shè)置里--“NetBIOS”設(shè)置“禁用tcp/IP

4、上的NetBIOS（S）”。,,7,,修改注冊表. 開始--運行--regedit 依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右邊鍵值中 PortNumber 改為你想用的

5、端口號.注意使用十進制(例 10000 ) 注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口修改完畢.重新啟動服務(wù)器.設(shè)置生效.,8,,用戶安全設(shè)置,,禁用Guest賬號 ：在計算機管理的用戶里面把Guest賬號禁用。為了保險起見，最好給Guest加一個復雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去。,,限制不必要的用戶 ：去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突

6、破口。,9,,把系統(tǒng)Administrator賬號改名 ：Windows 2003 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶 。,,創(chuàng)建一個陷阱用戶 ：什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間，借此發(fā)現(xiàn)它們的入侵企圖。,10,,把共享文件的權(quán)限從Everyone組改成授權(quán)用戶 ：任何時候都不要把共享文件的用戶設(shè)置成“Everyone”組，包括打印共享，默認的屬性就

7、是“Everyone”組的，一定不要忘了改。,,11,,本地策略設(shè)置,,在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴重的事件也越難當然如果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件，你需要根據(jù)情況在這二者之間做出選擇。,12,,推薦的要審核的項目是：,,登錄事件???? 成功 失敗,,賬戶登錄事件 成功 失敗,,系統(tǒng)事件???? 成功 失敗,,策略更改???? 成功 失敗,,對象訪問???? 失敗,,目錄服務(wù)訪問 失敗,,特權(quán)使用???? 失敗,13,,開

8、啟用戶策略 ：使用用戶策略，分別設(shè)置復位用戶鎖定計數(shù)器時間為20分鐘，用戶鎖定時間為20分鐘，用戶鎖定閾值為3次。 （該項為可選）,,不讓系統(tǒng)顯示上次登錄的用戶名 ：,,密碼安全設(shè)置 ：使用安全密碼 ，要注意密碼的復雜性，還要記住經(jīng)常改密碼。,,設(shè)置屏幕保護密碼,14,,開啟密碼策略 ：注意應(yīng)用密碼策略，如啟用密碼復雜性要求，設(shè)置密碼長度最小值為6位 ，設(shè)置強制密碼歷史為5次，時間為42天。,,15,,本地策略——>用戶權(quán)限分配,,關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。,,通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組

9、，其他全部刪除。,,16,,本地策略——>安全選項,,交互式登陸：不顯示上次的用戶名　　　　　　　啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉　 啟用網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗證儲存憑證　　　啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享　　　　　　　全部刪除網(wǎng)絡(luò)訪問：可匿名訪問的命　　　　　　　　全部刪除網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑　　　　全部刪除 網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑全部刪除 帳戶：重命名來賓帳戶　　　　　　　重命名一個帳戶 帳戶：重命名系統(tǒng)管理員帳戶　　　　重命名一個帳戶,17,,禁用不必要的服務(wù),,開始-運行-services.msc ：,,TCP/IPNe

10、tBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò),,Server支持此計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享,,Computer Browser 維護網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表,,Task scheduler 允許程序在指定時間運行,,Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息,,Distributed : 局域網(wǎng)管理共享文件，不需要可禁用,18,,Distributed linktracking client：用于局域網(wǎng)更新連接信

11、息，不需要可禁用,,Error reporting service：禁止發(fā)送錯誤報告,,Microsoft Serch：提供快速的單詞搜索，不需要可禁用,,NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要可禁用,,PrintSpooler：如果沒有打印機可禁用,,Remote Registry：禁止遠程修改注冊表,,Remote Desktop Help Session Manager：禁止遠程協(xié)助,,Workstation? ?關(guān)閉的話遠程NET命令列不出用戶組,,以上是在Windows Server 2003 系統(tǒng)上面默認啟

12、動的服務(wù)中禁用的，默認禁用的服務(wù)如沒特別需要的話不要啟動。,19,,修改注冊表，讓系統(tǒng)更強壯,,隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏 ：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0,20,,防止SYN洪水攻擊 ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建D

13、WORD值，名為SynAttackProtect，值為2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 0,21,,禁止響應(yīng)ICMP路由通告報文 ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont

14、rolSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值，名為PerformRouterDiscovery 值為0,,防止ICMP重定向報文的攻擊 ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 將EnableICMPRedirects 值設(shè)為0,22,,不支持IGMP協(xié)議 ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD

15、值，名為IGMPLevel 值為0,,禁止IPC空連接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。,23,,刪除默認共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可,,建立一個記事本，填上以下代碼。保存為*.bat并加到啟動項目中：net share c$ /delnet share d$ /d

16、elnet share e$ /delnet share f$ /delnet share ipc$ /delnet share admin$ /del,24,,系統(tǒng)權(quán)限的設(shè)置,,磁盤權(quán)限 ：,,系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限,,系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組SYSTEM 的完全控制權(quán)限,,系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限,,系統(tǒng)盤\Windows\S

17、ystem32\cacls.exe、cmd.exe、net.exe、net1.exe、、t、telnet.exe 、? ?? ? netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只給 Administrators 組和SYSTEM 的完全??控制權(quán)限,,另將\System32\cmd.exe、、轉(zhuǎn)移到其他目錄或更名,,Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限。并且要一個一個目錄查看，包括下面的所有子目錄。刪除c:\inetpub目錄,25,,IIS站點設(shè)置：,,將IIS目錄＆數(shù)據(jù)與系統(tǒng)磁盤

18、分開，保存在專用磁盤空間內(nèi)。,,啟用父級路徑,,在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）：右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm,,在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件,,26,,刪除IIS默認創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。,,刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。,,更改

19、IIS日志的路徑 ：右鍵單擊“默認Web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性,27,,Web站點權(quán)限設(shè)定（建議） ：讀? ? ? ?? ?? ?? ? 允許寫? ? ? ?? ?? ?? ? 不允許腳本源訪問? ? ? ? 不允許目錄瀏覽? ? ? ? 建議關(guān)閉日志訪問? ? ? ? 建議關(guān)閉索引資源? ? ? ? 建議關(guān)閉執(zhí)行? ? ? ?? ?? ?推薦選擇 “僅限于腳本”,28,,程序安全:,,涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;,,需要經(jīng)過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只

20、有從上一頁面轉(zhuǎn)進來的會話才能讀取這個頁面。,,防止ASP主頁.inc文件泄露問題;,,防止UE等編輯器生成some.asp.bak文件泄露問題。,29,,為每個站點單獨設(shè)置賬戶：我的電腦-右鍵-管理-賬戶：新建賬戶-密碼，在新建的賬戶屬性里將隸屬于賬戶刪除（不給任何權(quán)限），遠程訪問拒絕；再新建一應(yīng)用程序池賬戶，在新建賬戶隸屬于里講賬戶刪除-添加IIS_WPG賬戶組。,,打開IIS管理器：應(yīng)用程序池-新建應(yīng)用程序池-標識-配置-賬戶選擇新建的應(yīng)用程序池賬戶，密碼填此賬戶密碼。,30,,WEB賬戶配置：新建網(wǎng)站-屬性-目錄安全性-身份驗證和訪問控制-編輯-選擇無任何權(quán)限那個賬戶，密碼填此賬戶密碼，

21、確定。,,WEB文件夾權(quán)限設(shè)置：新建網(wǎng)站文件夾-右鍵屬性-安全-高級-勾掉父項的繼承權(quán)-只留administrator和system賬戶其他刪除-添加web賬戶和應(yīng)用程序池新建賬戶，并編輯權(quán)限，去掉：完全控制、遍歷文件夾、取得所有權(quán)。,,將此硬盤的權(quán)限只留administration和system，添加IIS_WPG用戶為讀取權(quán)限。,31,,卸載最不安全的組件,,最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個.BAT文件， regsvr32/u C:\WINDOWS\System32\wshom.ocxdel C:\WINDOWS\System32\wshom.ocxr

22、egsvr32/u C:\WINDOWS\system32\shell32.dlldel C:\WINDOWS\shell32.dll,,然后運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了?？赡軙崾緹o法刪除文件，不用管它，重啟一下服務(wù)器，你會發(fā)現(xiàn)這三個都提示“×安全”了。,32,,IP安全策略設(shè)置：,,在控制面板-管理工具-打開本地安全策略：,,右鍵新建IP策略。,33,,SERV-U安全設(shè)置,,作為一款精典的FTP服務(wù)器軟件，SERV－U一直被大部分管理員所使用，首先是SERV-U的SITE CHMOD漏洞和Ser

23、v-U MDTM漏洞，即利用一個賬號可以輕易的得到SYSTEM權(quán)限。其次是Serv-u的本地溢出漏洞，即Serv-U有一個默認的管理用戶（用戶名：localadministrator，密碼：#|@$ak#.|k;0@p），任何人只要通過一個能訪問本地端口43958的賬號就可以隨意增刪賬號和執(zhí)行任意內(nèi)部和外部命令。從SERV－U6.0.0.2開始，該軟件有了登錄密碼功能，這樣如果加了管理密碼，并且設(shè)置比較妥善的話，SERV－U將會比原來安全的多?，F(xiàn)在我們就開始SERV－U的設(shè)置之旅，采用版本是SERV－U 6.0.0.2。,34,,修改安裝路徑：路徑最好復雜無規(guī)律,,安裝的時候只選前2項就可以了

24、，后面的2個是說明和在線幫助文件。,,生成的開始菜單組里的文件夾的名字，建議更改成比較不像SERV－U的名字，或者是刪除該文件夾 。,,安裝完成后會出現(xiàn)一個向?qū)ё屇憬⒁粋€域和賬號。在這里點Cancel取消向?qū)?。用向?qū)傻馁~號會帶來一些問題，所以下面采用手工方式建立域和賬號。,35,,然后點選Start automatically(system service)前面的選項，接著點下邊的Start Server按鈕把SERV－U加入系統(tǒng)服務(wù)，這樣就可以隨系統(tǒng)啟動了，不用每次都手工啟動。,,通過點擊Set/Change Password設(shè)置一個密碼。,,這里建議設(shè)置一個足夠復雜的密碼，以防止別人

25、暴力破解。自己記不得也沒有關(guān)系，只要把ServUDaemon.ini里的LocalSetupPassword=這一行清除并保存，再次運行ServUAdmin.exe就不會提示你輸入密碼登錄了。,36,,首先建立一個WINDOWS賬號SSERVU，密碼也需要足夠的復雜。密碼要記住。,,建好賬號以后，雙擊建好的用戶編輯用戶屬性，從“隸屬于”里刪除USERS組。,,從“終端服務(wù)配置文件”選項里取消“允許登錄到終端服務(wù)器（W）”的選擇，然后點擊確定繼續(xù)我們的設(shè)置。,,開始菜單的管理工具里找到“服務(wù)”點擊打開。在“Serv-U 服務(wù)”上點右鍵，選擇屬性,37,,點擊“登錄”進入登錄賬號選擇界面。選擇剛才

26、建立的系統(tǒng)賬號名，并在下面重復輸入2次該賬號的密碼（就是剛才讓你記住的那個），然后點“應(yīng)用”，再次點確定，完成服務(wù)的設(shè)置。,,接下來要先使用FTP管理工具建立一個域，再建立一個賬號，建好后選擇保存在注冊表。,,打開注冊表來測試相應(yīng)的權(quán)限，否則SERV－U是沒辦法啟動的。在開始－＞運行里輸入regedt32點“確定”繼續(xù)。,38,,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft]分支。在上面點右鍵，選擇權(quán)限，然后點高級，取消允許父項的繼承權(quán)限傳播到該對象和所有子對象，包括那些在此明確定義的項目，點擊“應(yīng)用”繼續(xù)，接著刪除所有的賬號。再次點擊“確定”按鈕繼續(xù)。這時會

27、彈出對話框顯示“您拒絕了所有用戶訪問Cat Soft。沒有人能訪問 Cat Soft，而且只有所有者才能更改權(quán)限。您要繼續(xù)嗎？”，點擊“是”繼續(xù)。接著點擊添加按鈕增加我們建立的SSERVU賬號到該子鍵的權(quán)限列表里，并給予完全控制權(quán)限。到這里注冊表已經(jīng)設(shè)置完了。但還不能重新啟動SERV－U，因為安裝目錄還沒設(shè)置。,39,,現(xiàn)在就來設(shè)置一下，只保留你的管理賬號和SSERVU賬號，并給予除了完全控制外的所有權(quán)限。,,服務(wù)里重啟Serv-U 服務(wù)就可以正常啟動了。當然，到這里還沒有完全設(shè)置完，你的FTP用戶因為沒有權(quán)限還是登錄不了的，所以還要設(shè)置一下目錄的權(quán)限。,40,,假設(shè)你有一個WEB目錄，路徑是d:\web。那么在這個目錄的“安全設(shè)定”里除了管理員和IIS用戶都刪除掉，再加入SSERVU賬號，切記SYSTEM賬號也刪除掉。為什么要這樣設(shè)置呢？因為現(xiàn)在已經(jīng)是用SSERVU賬號啟動的SERV－U，而不是用SYSTEM權(quán)限啟動的了，所以訪問目錄不再是用SYSTEM而是用SSERVU，此時SYSTEM已經(jīng)沒有用了，這樣就算真的溢出也不可能得到SYSTEM權(quán)限。另外，WEB目錄所在盤的根目錄還要設(shè)置允許SSERV－U賬號的瀏覽和讀取權(quán)限，并確認在高級里設(shè)置只有該文件夾。,41,,結(jié)束,42,,