WEB服務(wù)器安全設(shè)置

1、WEB服務(wù)器安全設(shè)置1服務(wù)器安全設(shè)置：目前很多服務(wù)器存在的很多安全隱患，黑客經(jīng)常會(huì)通過各種漏洞把服務(wù)器給黑掉。目的：掌握系統(tǒng)權(quán)限的配置；端口的封堵；FTP服務(wù)器的安全設(shè)置；IIS服務(wù)器的設(shè)置。2操作系統(tǒng)的安裝：服務(wù)器硬盤至少分兩個(gè)區(qū)，格式為NTFS格式。安裝2003操作系統(tǒng)，并打好最新補(bǔ)丁。安裝好驅(qū)動(dòng)程序，系統(tǒng)默認(rèn)沒有安裝IIS，所以要安裝IIS。步驟：開始-控制面板-添加/刪除程序-添加/刪除WINDOWS組件-應(yīng)用程序：3應(yīng)用程序-ASP.NET（可選） |-啟用網(wǎng)絡(luò)COM+訪問（必選） |-Internet 信息服務(wù)(IIS) （必選） |-公用文件（必選） |-萬維網(wǎng)服務(wù)Active

2、Server pages（必選） |-Internet 數(shù)據(jù)連接器（可選） |WebDAV 發(fā)布（可選） |萬維網(wǎng)服務(wù)（必選） |在服務(wù)器端的包含文件（可選） 然后點(diǎn)擊確定下一步安裝。 4系統(tǒng)補(bǔ)丁的更新點(diǎn)擊開始菜單所有程序-Windows Update按照提示進(jìn)行補(bǔ)丁的安裝。備份系統(tǒng)用GHOST備份系統(tǒng)。 安裝常用的軟件例如：殺毒軟件、解壓縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。 5安裝殺毒軟件，有的殺毒軟件不支持服務(wù)器版，目前瑞星，麥咖啡，諾頓都可以；如果安裝瑞星的話會(huì)造成ASP動(dòng)態(tài)不能訪問，需要進(jìn)行修復(fù)一下動(dòng)態(tài)庫(kù)，方法：在DOS命令行下輸入：re

3、gsvr32 jscript.dll （命令功能：修復(fù)Java動(dòng)態(tài)鏈接庫(kù)） ；regsvr32 vbscript.dll （命令功能：修復(fù)VB動(dòng)態(tài)鏈接庫(kù)） 。不要指望殺毒能殺掉所有的木馬。6開啟防火墻，這是2003自帶的防火墻，隨沒有什么功能但可以屏蔽一些端口。在高級(jí)tcp/ip設(shè)置里-“NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS（S）”。 7修改注冊(cè)表. 開始-運(yùn)行-regedit 依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右邊鍵值中 P

4、ortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 ) 注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效.8用戶安全設(shè)置 禁用Guest賬號(hào) ：在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開記事本，在

5、里面輸入一串包含特殊字符、數(shù)字、字母的長(zhǎng)字符串，然后把它作為Guest用戶的密碼拷進(jìn)去。 限制不必要的用戶 ：去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。 9把系統(tǒng)Administrator賬號(hào)改名 ：Windows 2003 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶 。創(chuàng)建一個(gè)陷阱用戶 ：什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最

6、低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。 10把共享文件的權(quán)限從Everyone組改成授權(quán)用戶 ：任何時(shí)候都不要把共享文件的用戶設(shè)置成“Everyone”組，包括打印共享，默認(rèn)的屬性就是“Everyone”組的，一定不要忘了改。 11本地策略設(shè)置在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項(xiàng)目時(shí)需要注意的是如果審核的項(xiàng)目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會(huì)影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情

7、況在這二者之間做出選擇。 12推薦的要審核的項(xiàng)目是：登錄事件 成功 失敗 賬戶登錄事件 成功 失敗系統(tǒng)事件 成功 失敗 策略更改 成功 失敗 對(duì)象訪問 失敗目錄服務(wù)訪問 失敗 特權(quán)使用 失敗 13開啟用戶策略 ：使用用戶策略，分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘，用戶鎖定時(shí)間為20分鐘，用戶鎖定閾值為3次。 （該項(xiàng)為可選） 不讓系統(tǒng)顯示上次登錄的用戶名 ：密碼安全設(shè)置 ：使用安全密碼 ，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼。 設(shè)置屏幕保護(hù)密碼 14開啟密碼策略 ：注意應(yīng)用密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長(zhǎng)度最小值為6位 ，設(shè)置強(qiáng)制密碼歷史為5次，時(shí)間為42天。 15本地策略用戶權(quán)

8、限分配關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。 通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除。16本地策略安全選項(xiàng) 交互式登陸：不顯示上次的用戶名啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享全部刪除網(wǎng)絡(luò)訪問：可匿名訪問的命全部刪除網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑全部刪除 網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑全部刪除 帳戶：重命名來賓帳戶重命名一個(gè)帳戶 帳戶：重命名系統(tǒng)管理員帳戶重命名一個(gè)帳戶17禁用不必要的服務(wù) 開始-運(yùn)行-s

9、ervices.msc ：TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)Server支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表 Task scheduler 允許程序在指定時(shí)間運(yùn)行 Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息 Distributed : 局域網(wǎng)管理共享文件，不需要可禁用 18Distributed linktracking clien

10、t：用于局域網(wǎng)更新連接信息，不需要可禁用 Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告 Microsoft Serch：提供快速的單詞搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要可禁用 PrintSpooler：如果沒有打印機(jī)可禁用 Remote Registry：禁止遠(yuǎn)程修改注冊(cè)表 Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助 Workstation 關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)

11、啟動(dòng)的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動(dòng)。 19修改注冊(cè)表，讓系統(tǒng)更強(qiáng)壯 隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏 ：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0 20防止SYN洪水攻擊 ：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為SynAttackPr

12、otect，值為2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 021禁止響應(yīng)ICMP路由通告報(bào)文 ：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersI

13、nterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0 防止ICMP重定向報(bào)文的攻擊 ：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設(shè)為0 22不支持IGMP協(xié)議 ：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為IGMPLevel 值為0禁止IPC空連接： Local_MachineSystemCurre

14、ntControlSetControlLSA-RestrictAnonymous 把這個(gè)值改成”1”即可。 23 刪除默認(rèn)共享：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer類型是REG_DWORD把值改為0即可建立一個(gè)記事本，填上以下代碼。保存為*.bat并加到啟動(dòng)項(xiàng)目中：net share c$ /delnet share d$ /delnet share e$ /delnet share f$ /delnet share ipc$ /delnet share a

15、dmin$ /del24系統(tǒng)權(quán)限的設(shè)置 磁盤權(quán)限 ：系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤Documents and Settings 目錄只給 Administrators 組SYSTEM 的完全控制權(quán)限系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、t、telnet.exe 、 netstat.exe、regedit.exe、at.exe

16、、attrib.exe、del文件只給 Administrators 組和SYSTEM 的完全控制權(quán)限另將System32cmd.exe、轉(zhuǎn)移到其他目錄或更名 Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限。并且要一個(gè)一個(gè)目錄查看，包括下面的所有子目錄。刪除c:inetpub目錄25IIS站點(diǎn)設(shè)置： 將IIS目錄數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。 啟用父級(jí)路徑 在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）：右鍵單擊“默認(rèn)Web站點(diǎn)屬性主目錄配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.sht

17、ml, .shtm, .stm 在IIS中將HTTP404 Object Not Found出錯(cuò)頁面通過URL重定向到一個(gè)定制HTM文件 26刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。 刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 更改IIS日志的路徑 ：右鍵單擊“默認(rèn)Web站點(diǎn)屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性 27Web站點(diǎn)權(quán)限設(shè)定（建議） ：讀 允許寫 不允許腳本源訪問 不允許目錄瀏覽 建議關(guān)閉日志訪問 建議關(guān)閉索引資源 建議關(guān)閉執(zhí)行 推薦選擇 “僅限于腳本” 28程

18、序安全: 涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫(kù)連接地用戶名與口令應(yīng)給予最小的權(quán)限;需要經(jīng)過驗(yàn)證的ASP頁面，可跟蹤上一個(gè)頁面的文件名，只有從上一頁面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁面。 防止ASP主頁.inc文件泄露問題; 防止UE等編輯器生成some.asp.bak文件泄露問題。 29為每個(gè)站點(diǎn)單獨(dú)設(shè)置賬戶：我的電腦-右鍵-管理-賬戶：新建賬戶-密碼，在新建的賬戶屬性里將隸屬于賬戶刪除（不給任何權(quán)限），遠(yuǎn)程訪問拒絕；再新建一應(yīng)用程序池賬戶，在新建賬戶隸屬于里講賬戶刪除-添加IIS_WPG賬戶組。打開IIS管理器：應(yīng)用程序池-新建應(yīng)用程序池-標(biāo)識(shí)-配置

19、-賬戶選擇新建的應(yīng)用程序池賬戶，密碼填此賬戶密碼。30WEB賬戶配置：新建網(wǎng)站-屬性-目錄安全性-身份驗(yàn)證和訪問控制-編輯-選擇無任何權(quán)限那個(gè)賬戶，密碼填此賬戶密碼，確定。WEB文件夾權(quán)限設(shè)置：新建網(wǎng)站文件夾-右鍵屬性-安全-高級(jí)-勾掉父項(xiàng)的繼承權(quán)-只留administrator和system賬戶其他刪除-添加web賬戶和應(yīng)用程序池新建賬戶，并編輯權(quán)限，去掉：完全控制、遍歷文件夾、取得所有權(quán)。將此硬盤的權(quán)限只留administration和system，添加IIS_WPG用戶為讀取權(quán)限。31卸載最不安全的組件 最簡(jiǎn)單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).BAT文件， r

20、egsvr32/u C:WINDOWSSystem32wshom.ocxdel C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dlldel C:WINDOWSshell32.dll然后運(yùn)行一下，WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了。可能會(huì)提示無法刪除文件，不用管它，重啟一下服務(wù)器，你會(huì)發(fā)現(xiàn)這三個(gè)都提示“安全”了。32IP安全策略設(shè)置：在控制面板-管理工具-打開本地安全策略：右鍵新建IP策略。33SERV-U安全設(shè)置作為一款精典的FTP服務(wù)器軟件

21、，SERVU一直被大部分管理員所使用，首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞，即利用一個(gè)賬號(hào)可以輕易的得到SYSTEM權(quán)限。其次是Serv-u的本地溢出漏洞，即Serv-U有一個(gè)默認(rèn)的管理用戶（用戶名：localadministrator，密碼：#|$ak#.|k;0p），任何人只要通過一個(gè)能訪問本地端口43958的賬號(hào)就可以隨意增刪賬號(hào)和執(zhí)行任意內(nèi)部和外部命令。從SERVU開始，該軟件有了登錄密碼功能，這樣如果加了管理密碼，并且設(shè)置比較妥善的話，SERVU將會(huì)比原來安全的多?，F(xiàn)在我們就開始SERVU的設(shè)置之旅，采用版本是SERVU 。 34修改安裝路徑：路徑

22、最好復(fù)雜無規(guī)律安裝的時(shí)候只選前2項(xiàng)就可以了，后面的2個(gè)是說明和在線幫助文件。 生成的開始菜單組里的文件夾的名字，建議更改成比較不像SERVU的名字，或者是刪除該文件夾 。安裝完成后會(huì)出現(xiàn)一個(gè)向?qū)ё屇憬⒁粋€(gè)域和賬號(hào)。在這里點(diǎn)Cancel取消向?qū)?。用向?qū)傻馁~號(hào)會(huì)帶來一些問題，所以下面采用手工方式建立域和賬號(hào)。 35然后點(diǎn)選Start automatically(system service)前面的選項(xiàng)，接著點(diǎn)下邊的Start Server按鈕把SERVU加入系統(tǒng)服務(wù)，這樣就可以隨系統(tǒng)啟動(dòng)了，不用每次都手工啟動(dòng)。 通過點(diǎn)擊Set/Change Password設(shè)置一個(gè)密碼。 這里建議設(shè)置一個(gè)足

23、夠復(fù)雜的密碼，以防止別人暴力破解。自己記不得也沒有關(guān)系，只要把ServUDaemon.ini里的LocalSetupPassword=這一行清除并保存，再次運(yùn)行ServUAdmin.exe就不會(huì)提示你輸入密碼登錄了。 36首先建立一個(gè)WINDOWS賬號(hào)SSERVU，密碼也需要足夠的復(fù)雜。密碼要記住。建好賬號(hào)以后，雙擊建好的用戶編輯用戶屬性，從“隸屬于”里刪除USERS組。 從“終端服務(wù)配置文件”選項(xiàng)里取消“允許登錄到終端服務(wù)器（W）”的選擇，然后點(diǎn)擊確定繼續(xù)我們的設(shè)置。 開始菜單的管理工具里找到“服務(wù)”點(diǎn)擊打開。在“Serv-U 服務(wù)”上點(diǎn)右鍵，選擇屬性 37點(diǎn)擊“登錄”進(jìn)入登錄賬號(hào)選擇界面。選擇剛才建立的系統(tǒng)賬號(hào)名，并在下面重復(fù)輸入2次該賬號(hào)的密碼（就是剛才讓你記住的那個(gè)），然后點(diǎn)“應(yīng)用”，再次點(diǎn)確定