服務(wù)器系統(tǒng)安全維護培訓(xùn)教程

1、服務(wù)器系統(tǒng)安全維護丁兆錕()主要內(nèi)容一、Windows Server2003 IIS服務(wù)器二、安裝和配置DNS服務(wù)器三、Windows Server2003中設(shè)置FTP服務(wù)器四、Windows2000中設(shè)置FTP服務(wù)器五、設(shè)置SMTP安全選項六、Microsoft SQL Server安全防護一、Windows Server2003 IIS服務(wù)器n1. IIS服務(wù)器的安全性n2. 一個IIS遠程攻擊示例n3. 確保Web服務(wù)的安全n4. 確保Web站點的安全1. IIS服務(wù)器的安全性n由于Web站點的發(fā)布很多是依靠Microsoft的IIS服務(wù)器，疏于防護和無安全配置的IIS服務(wù)器往往是黑客攻

2、擊的“肉雞”，這是因為服務(wù)器存在著諸如IDA、IDQ、Unicode、.printer、WebDAV等等漏洞，不少可遠程獲得管理員權(quán)限n為了向組織Intranet中的Web服務(wù)器和應(yīng)用程序提供全面的安全保護，應(yīng)該保護每個Microsoft Internet信息服務(wù)(IIS)服務(wù)器以及在這些服務(wù)器運行的每個Web站點和應(yīng)用程序不受可與它們連接的客戶端計算機的侵害2. 一個IIS遠程攻擊示例nWebDAV是HTTP協(xié)議的擴展，允許遠程編寫和管理Web內(nèi)容n微軟IIS5.0的WebDAV在處理某些畸形的請求時存在缺陷，當(dāng)外部提交一惡意超長的SEARCH請求時，遠程的WebDav服務(wù)會出現(xiàn)緩沖區(qū)溢出可

3、使IIS服務(wù)重啟n攻擊者可以通過這個漏洞以Web服務(wù)器的執(zhí)行權(quán)限執(zhí)行任意代碼，以下幾頁給出針對Windows 2000Server的攻擊工程(1) 啟用“X-Scan”掃描器(2) 發(fā)現(xiàn)目標(biāo)主機中“Webdav”漏洞 (3) 攻擊目標(biāo)主機(4) 創(chuàng)建管理員用戶nnet localgroup administrators ccc /add (5) 遠程桌面完全控制3. 確保Web服務(wù)的安全n3.1 僅啟用必要的Web服務(wù)擴展n3.2 僅安裝必要的IIS組件 n3.3 使用安全工具n3.4 確保IIS全局的設(shè)置安全n3.5 確保默認Web站點和管理Web站點的安全 n3.6 使FrontPage

4、Server Extension無效 3.1 僅啟用必要的Web服務(wù)擴展3.2 僅安裝必要的IIS組件n除“萬維網(wǎng)發(fā)布服務(wù)”之外，IIS6.0還包括其它的組件和服務(wù)，例如FTP和SMTP服務(wù)?？梢酝ㄟ^雙擊“控制面板”上的“添加/刪除程序”來啟動Windows組件向?qū)?yīng)用程序服務(wù)器，以安裝和啟用IIS組件和服務(wù)。安裝IIS之后，必須啟用Web站點和應(yīng)用程序所需的所有必要的IIS組件和服務(wù)n應(yīng)該僅啟用Web站點和應(yīng)用程序所需的必要IIS組件和服務(wù)。啟用不必要的組件和服務(wù)會增加IIS服務(wù)器的受攻擊面3.3 使用安全工具nMicrosoft免費提供了一個“IISLockdown Wizard”工具來確

5、保IIS Web服務(wù)器的安全。它可讓管理員通過選用一個模板來選擇服務(wù)器支持的技術(shù)。nMicrosoft免費提供一個叫“URLScan”的工具，它在Microsoft Internet信息服務(wù)(IIS)接受HTTP請求時對請求進行屏蔽和分析。正確配置后，“URLScan”可有效減少IIS4.0、IIS5.0和IIS5.1遭受來自Internet攻擊的危險。 3.4 確保IIS全局的設(shè)置安全n大部分IIS配置設(shè)置存儲在元庫中，但是一些全局設(shè)置仍在注冊表里。n要確保注冊表內(nèi)這些鍵值按如下設(shè)置：qHKLMSYSTEMCurrentControlSetservicesW3SVCParametersAll

6、owSpecialCharsShell。它是允許或組織特定的命令字符作為CGI腳本或可執(zhí)行文件的參數(shù)，應(yīng)設(shè)置為0。qHKLMSYSTEMCurrentControlSetservicesW3SVCParametersLogSuccessfullRequests。它是使IIS日志記錄功能啟用或禁用的參數(shù)，應(yīng)設(shè)置為1。qHKLMSYSTEMCurrentControlSetservicesW3SVCParametersSSIEnableCmdDirective。它是允許或組織使用服務(wù)器端的#execcmd指示參數(shù)，應(yīng)設(shè)置為0。 3.4 確保IIS全局的設(shè)置安全(續(xù))n要確保注冊表內(nèi)這些鍵值按如下設(shè)

7、置： qHKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesW3SVCParametersAllowGuestAccess。它是設(shè)置是否允許Guest訪問Web服務(wù)器的參數(shù)，0表示禁止訪問；1允許。qHKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesW3SVCParametersEnableSvcLoc。它是允許或組織微軟控制臺（MMC）管理單元管理IIS服務(wù)器的參數(shù)，0表示禁止訪問；1允許?？筛鶕?jù)實際需要設(shè)置。qHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftW

8、indowsNTPrintersDisableWebPrinting。它是禁止網(wǎng)絡(luò)打印的參數(shù)，應(yīng)設(shè)置為0。3.5 確保默認Web站點和管理Web站點的安全n第一次安全IID時會創(chuàng)建兩個站點：默認Web站點和管理Web站點，它們有不少安全隱患，應(yīng)該禁用。 要刪除以下默認Web站點的虛擬目錄 nScriptsnIISHelpnIISSamplesnPrintersnIISAdminnIISAdmpwdnMSADCnPBServernPBSDatanRPCnCertSrvnCertControlnCertEnroll從系統(tǒng)文件中刪除這些目錄 nC:inetpubscriptsnC:winnthelp

9、iishelpiisnC:inetpubiissamplesnC:winntwebprintersnC:winntsystem32inetsrviisadminnC:winntsystem32inetsrviisadmpwd3.6 使FrontPage Server Extension無效nFPSE提供了方便的遠程Web授權(quán)特性，但是它卻導(dǎo)致了Web服務(wù)器遭受攻擊面的擴大。n如果要完全刪除FPSE，q首先打開“Internet服務(wù)管理器”q在每個Web站點上右鍵點擊，選擇“All Tasks”，“Remove Server Extensions”。然后刪除_vti或_private目錄q最后，

10、從主Web站點屬性的“ISAPI擴展”標(biāo)簽中刪除FPEXED.dll文件。4. 確保Web站點的安全4.1 Web站點為只讀n在“管理Web站點”上單擊鼠標(biāo)右鍵，選擇“新建站點”。n根據(jù)提示操作，我們自建的站點說明假設(shè)為“Web”，目錄為“D:webroot”，只給讀取權(quán)限。n在“Web”的屬性“主目錄”中設(shè)置執(zhí)行許可為“無”，“應(yīng)用程序設(shè)置”、“配置”中刪除不必要的IIS擴展名映射 4.3 帳戶策略n清理帳戶n保護眾所周知帳戶的安全n再增加一個屬于管理員組的帳號作管理和備份n創(chuàng)建一個帳號陷阱，就是說創(chuàng)建一個Administrator的本地帳號，但權(quán)限低密碼強n定期修改口令n對于IIS服務(wù)器，

11、建議不要使用帳戶鎖定策略n在“本地策略”的“安全選項”里，把“LanManager身份驗證級別”改為“僅發(fā)送NTLM響應(yīng)”，這樣即使入侵者借助Sniffer得到口令的hash也很難破解n把“匿名連接的額外限制”設(shè)置為“沒有顯示匿名權(quán)限就無法訪問”n啟用“在關(guān)機時清理虛擬內(nèi)存交換頁面”n啟用“登錄屏幕上不要顯示上次登錄的用戶名”4.4 在專用磁盤卷中放置內(nèi)容4.5 設(shè)置NTFS權(quán)限nNTFS下所有文件默認情況下對所有人（eneryone）為完全控制權(quán)限，如果限制一般用戶只有只讀權(quán)限的話，有可能會導(dǎo)致一些腳本運行不正常，這時需要對這些文件所在的文件夾權(quán)限進行更改。這樣Windows Server2

12、003將檢查NTFS文件系統(tǒng)的權(quán)限，以確定用戶或進程對特定文件或文件夾所具有的訪問權(quán)限類型。n建議在做更改前，先在測試機器上做測試，然后慎重更改。NTFS權(quán)限表文件類型建議的NTFS權(quán)限CGI文件（.exe、.dll、.cmd、.pl）Everyone（執(zhí)行）、Administrators（完全控制）、System（完全控制）腳本文件(.asp)Everyone（執(zhí)行）、Administrators（完全控制）、System（完全控制）包含文件（.inc、.shtm、.shtml）Everyone（執(zhí)行）、Administrators（完全控制）、System（完全控制）靜態(tài)內(nèi)容（.txt、.

13、gif、.jpg、.htm、.html）Everyone（只讀）、Administrators（完全控制）、System（完全控制）4.6 設(shè)置IIS Web站點權(quán)限nIIS將檢查Web站點權(quán)限，以確定在Web站點中可能發(fā)生的操作類型，例如允許腳本源訪問或允許文件夾瀏覽。應(yīng)該為Web站點分配權(quán)限。nWeb站點權(quán)限可與NTFS權(quán)限結(jié)合使用。它們可配置給特定的站點、文件夾和文件。與NTFS權(quán)限不同，Web站點權(quán)限影響試圖訪問IIS服務(wù)器站點的每個人。Web站點權(quán)限可以通過使用IIS管理器管理單元生效。Web站點權(quán)限表Web站點權(quán)限授予的權(quán)限讀用戶可查看目錄或文件的內(nèi)容和屬性。在默認情況下，該權(quán)限為

14、選中狀態(tài)。寫用戶可更改目錄或文件的內(nèi)容和屬性。腳本源訪問用戶可以訪問源文件。如果啟用“讀”權(quán)限，則可以讀取源文件；如果啟用“寫”權(quán)限，則可以更改腳本源代碼。腳本源訪問包括腳本的源代碼。如果既不啟用“讀”權(quán)限，也不啟用“寫”權(quán)限，則此選項將不可用。要點：啟用“腳本源訪問”時，用戶可以查看敏感信息，例如用戶名和密碼。他們還可以更改IIS服務(wù)器上運行的源代碼，從而嚴重影響服務(wù)器的安全性和性能。目錄瀏覽用戶可以查看文件列表和集合。日志訪問每次訪問Web站點都會創(chuàng)建日志條目。索引此資源允許使用索引服務(wù)索引資源。這樣便可以對資源執(zhí)行搜索。執(zhí)行以下選項確定用戶運行腳本的級別：“無”不允許在服務(wù)器上運行腳本和

15、可執(zhí)行文件?！皟H限于腳本”僅允許在服務(wù)器上運行腳本?！澳_本和可執(zhí)行文件”允許在服務(wù)器上運行腳本和可執(zhí)行文件。4.7 配置IIS日志n可以為每個站點或應(yīng)用程序創(chuàng)建單獨的日志。IIS可以記錄Windows操作系統(tǒng)提供的事件日志或性能監(jiān)視功能所記錄信息范圍之外的信息。IIS日志可記錄諸如誰訪問過站點、訪客瀏覽過哪些內(nèi)容、以及最后一次訪問的時間等信息。IIS日志可被用來了解那些內(nèi)容最受歡迎，確定信息瓶頸，或者用作協(xié)助攻擊事件調(diào)查的資源。4.8 打開審核策略n打開安全審核是Win2000最基本的入侵檢測方法。當(dāng)有人嘗試對你的系統(tǒng)進行某些（如嘗試用戶名密碼、改變帳戶策略、未經(jīng)許可的文件訪問等等）入侵的時候

16、，都會被安全審核記錄下來。很多管理員在系統(tǒng)被入侵了幾個月都不知道系統(tǒng)遭到了破壞。 安全設(shè)置審核策略策略設(shè)置審核帳戶管理成功，失敗審核對象訪問成功審核特權(quán)使用成功，失敗審核系統(tǒng)登錄事件成功，失敗審核登錄事件成功，失敗審核策略更改成功，失敗審核系統(tǒng)事件成功，失敗二、安裝和配置DNS服務(wù)器n1. 準(zhǔn)備工作n2. 安裝DNS服務(wù)n3. 安全配置DNS1. 準(zhǔn)備工作n你的域名（經(jīng)過Internic批準(zhǔn)）n要為其提供名稱解析的每臺服務(wù)器的IP地址和主機名n操作系統(tǒng)配置正確n已經(jīng)分配了所有可用的磁盤空間n所有現(xiàn)有的磁盤卷都使用NTFS文件系統(tǒng)2. 安裝DNS服務(wù)n打開“Windows組件向?qū)А?。為此，請?zhí)行

17、下列步驟：q單擊“開始”，單擊“控制面板”，然后單擊“添加或刪除程序”。q單擊“添加/刪除Windows組件”。n在“組件”中，選中“網(wǎng)絡(luò)服務(wù)”復(fù)選框，然后單擊“詳細信息”。n在“網(wǎng)絡(luò)服務(wù)子組件”中，選中“域名系統(tǒng)(DNS)”復(fù)選框，單擊“確定”，然后單擊“下一步”。n在得到提示時，在“文件復(fù)制來源”中鍵入分發(fā)文件的完整路徑，然后單擊“確定”。3. 安全配置DNSn啟動“配置你的服務(wù)器向?qū)А?n在“服務(wù)器角色”頁上，單擊“DNS服務(wù)器”，然后單擊“下一步” n在“選擇摘要”頁上，查看并確認你所選擇的選項。然后單擊“下一步” n在“配置你的服務(wù)器”向?qū)е型瓿蓪NS服務(wù)器本身的IP地址等參數(shù)的配

18、置n在“配置DNS服務(wù)器向?qū)А?中完成對DNS區(qū)域、轉(zhuǎn)發(fā)器等參數(shù)的配置，完成DNS的配置過程三、Windows Server2003中設(shè)置FTP服務(wù)器n1. 安裝FTP服務(wù)n2. 配置匿名FTP服務(wù) n3. FTP服務(wù)安全配置 1. 安裝FTP服務(wù)n單擊“開始”，指向“控制面板”，然后單擊“添加或刪除程序”。n單擊“添加/刪除Windows組件”。在“組件”列表中，單擊“應(yīng)用程序服務(wù)器”，單擊“Internet信息服務(wù)(IIS)”（但是不要選中或清除復(fù)選框），然后單擊“詳細信息”。n單擊以選中下列復(fù)選框（如果它們尚未被選中）：“公用文件文件傳輸協(xié)議(FTP)服務(wù)Internet信息服務(wù)管理器”

19、n單擊以選中你想要安裝的任何其他的IIS相關(guān)服務(wù)或子組件旁邊的復(fù)選框，然后單擊“確定”。n單擊“下一步”。出現(xiàn)提示時，請將Windows Server2003 CD-ROM插入計算機的CD-ROM或DVD-ROM驅(qū)動器，或提供文件所在位置的路徑，然后單擊“確定”。n單擊“完成”。2. 配置匿名FTP服務(wù)n啟動“Internet信息服務(wù)管理器”或打開IIS管理單元。n展開“服務(wù)器名稱”，其中服務(wù)器名稱是該服務(wù)器的名稱。n展開“FTP站點”，右擊“默認FTP站點”，然后單擊“屬性”。n單擊“安全帳戶”選項卡。n單擊以選中“允許匿名連接”復(fù)選框（如果它尚未被選中），然后單擊以選中“僅允許匿名連接”復(fù)

20、選框。單擊“主目錄”選項卡。n單擊以選中“讀取”和“日志訪問”復(fù)選框（如果它們尚未被選中），然后單擊以清除“寫入”復(fù)選框（如果它尚未被清除）。n單擊“確定”。退出“Internet信息服務(wù)管理器”或者關(guān)閉IIS管理單元。3. FTP服務(wù)安全配置 n3.1 限制客戶端連接數(shù)n3.2 配置匿名用戶或域用戶訪問權(quán)限n3.3 將訪問權(quán)限限制到特定計算機 3.1 限制客戶端連接數(shù)n單擊“開始”，指向“管理工具”，然后單擊“Internet信息服務(wù)(IIS)管理器”。n在控制臺樹中，展開“ServerName”（其中ServerName是服務(wù)器的名稱），展開“FTP站點”，右鍵單擊FTP站點，然后單擊“屬

21、性”。n單擊“FTP站點”選項卡。n在“FTP站點連接”下，單擊“連接限制為”，然后鍵入允許同時連接到服務(wù)器的最大數(shù)量。達到限制值時，IIS將向客戶端返回一條錯誤信息，說明服務(wù)器忙。n在“連接超時(秒)”框中，鍵入一個時間長度，指定服務(wù)器在用戶處于非活動狀態(tài)多長時間后與該用戶斷開連接。如果FTP協(xié)議不關(guān)閉某個連接，此操作可確保在指定的時間段后關(guān)閉所有連接。n單擊“確定”。退出Internet信息服務(wù)(IIS)管理器。3.2 配置匿名用戶或域用戶訪問權(quán)限n單擊“開始”，指向“管理工具”，然后單擊“Internet信息服務(wù)(IIS)管理器”。n在控制臺樹中，展開“ServerName”（其中Ser

22、verName是服務(wù)器的名稱），展開“FTP站點”，右鍵單擊你的FTP站點，然后單擊“屬性”。單擊“安全帳戶”選項卡，執(zhí)行以下操作之一：q要允許以匿名方式連接到FTP站點，請單擊以選中“允許匿名連接”復(fù)選框（如果它尚未被選中）。q要將FTP站點配置為要求提供Windows用戶名和密碼，請單擊清除“允許匿名連接”復(fù)選框 3.3 將訪問權(quán)限限制到特定計算機n單擊“開始”，指向“管理工具”，然后單擊“Internet信息服務(wù)(IIS)管理器”。n在控制臺樹中，展開“ServerName”（其中ServerName是服務(wù)器的名稱），展開“FTP站點”，右鍵單擊FTP站點，然后單擊“屬性”。n單擊“目錄

23、安全性”選項卡。執(zhí)行下列操作之一：q要拒絕訪問，請單擊“授權(quán)訪問”，然后單擊“添加”。在出現(xiàn)的“拒絕訪問”對話框中，指定所需的選項，然后單擊“確定”。指定的計算機或者計算機組將被添加到列表中。q要授予訪問權(quán)限，請單擊“拒絕訪問”，然后單擊“添加”。在出現(xiàn)的“授權(quán)訪問”對話框中，指定所需的選項，然后單擊“確定”。你選擇的計算機、計算機組或者域?qū)⒈惶砑拥搅斜碇?四、Windows2000中設(shè)置FTP服務(wù)器n4.1 安裝Internet信息服務(wù) n4.2 配置匿名FTP服務(wù)n4.3 安全配置4.1 安裝Internet信息服務(wù)n單擊“開始”，指向“設(shè)置”，然后單擊“控制面板”。在“控制面板”中，雙擊“添加/刪除程序”。n選擇“添加/刪除Windows組件”。在“Windows組件向?qū)А敝?，選擇“Internet信息服務(wù)(IIS)”，然后單擊“詳細信息”。n選擇“公用文件、文檔、文件傳輸協(xié)議(FTP)服務(wù)器”和“Internet信息服務(wù)管理單元”，然后單擊“確定”。n單擊“下一步”。n如果提示你配置終端服務(wù)，則單擊“下一步”。如果提示你輸入FTP根文件夾的路徑，則鍵入適合的文件夾路徑。默認路徑為