構(gòu)架一個安全網(wǎng)站.ppt

1、藍 盾 安 全 技 術(shù) 教 學, 構(gòu)架一個安全網(wǎng)站,張賀勛,前 言 1、當前互聯(lián)網(wǎng)的概況 2、影響網(wǎng)站安全的因素 3、國內(nèi)外架站的模式 4、網(wǎng)站安全體系結(jié)構(gòu) 5、以WINDOWS2000架構(gòu)安全網(wǎng)站,藍盾安全小組,目 錄,定制自己的WIN2000 SERVER WIN2000 SERVER的安裝 服務器的設置 IIS的安裝與設置 安裝組件的選擇 如何設置IIS 后臺程序的編寫 數(shù)據(jù)庫的安全 運行防毒軟件 防火墻的應用（略） 掃描器的應用（略） 介紹幾款有用的工具 結(jié)束語,藍盾安全小組,定制自己的WIN2000 SERVER 1、WIN2000 SERVER的安裝 版本的選擇： 對于我們來說，有

2、英文版和簡體中文版WIN2000 SERVER可供選擇，但我強烈建議：在語言不成為障礙的情況下，請一定使用英文版。這是因為中文版的Bug遠遠多于英文版，而補丁一般還會遲至少半個月（也就是說一般微軟公布了漏洞后你的機子還會有半個月處于無保護狀況）,藍盾安全小組,分區(qū)的選擇 分區(qū)可分為FAT16，F(xiàn)AT32和NTFS格式，以前的DOS和WIN95都是采用FAT16的格式，現(xiàn)在多采用FAT32和NTFS格式。但NTFS文件系統(tǒng)是一個基于安全性的文件系統(tǒng)，它是建立在保護文件和目錄數(shù)據(jù)基礎上，同時照顧節(jié)省存儲資源、減少磁盤占用量的一種先進的文件系統(tǒng)。Windows NT 4.0采用的就是NTFS 4.0

3、文件系統(tǒng)，Win 2000采用了更新版本的NTFS文件系統(tǒng)NTFS 5.0，它的推出使得用戶不但可以像Win 9X那樣方便快捷地操作和管理計算機，同時也可享受到NTFS所帶來的系統(tǒng)安全性。,藍盾安全小組,NTFS啟動扇區(qū)的默認保護如： 1、root: Administrators - Full Control Creator/Owner - Full Control Everyone - Change System - Full Control 2、boot partition:Msapps 及子目錄 Administrators - Full Control Creator/Owner -

4、Full Control Everyone - Change Server Operators - Change System - Full Control,藍盾安全小組,安裝的方式 在完全安裝并配置好win2000 SERVER之前，一定不要把主機接入網(wǎng)絡。 因為Win2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它，這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的。,藍盾安全小組,補

5、丁的安裝 應用程序安裝完之后就是補丁的安裝，可以到微軟下載中心,藍盾安全小組,2、服務器的設置 從硬盤啟動 從硬盤啟動，可以設置一個COMS密碼，可防止從其它盤進入你的系統(tǒng)，不過這個的實用。賬號,藍盾安全小組,賬號/共享列表的泄露 Win2000的默認安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號/共享列表，這個本來是為了方便局域網(wǎng)用戶共享文件的，但是一個遠程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。很多朋友都知道可以通過更改注冊表hkey Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止139

6、空連接，這樣入侵者就沒有辦法拿到我們的用戶列表。（如下圖）,藍盾安全小組,另外Terminal Service可登錄界面泄漏帳號，解決 辦法：把 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon項中的Dont Display Last User Name串數(shù)據(jù)改成1，這樣系統(tǒng)不會自動顯示上次的登錄用戶名。(如下圖),藍盾安全小組,停掉Guest 帳號 在計算機管理的用戶里面把guest帳號停用掉，任何時候都不允許guest帳號登陸系統(tǒng)。為了保險起見，最好給guest 加一個復雜的密碼，你可以打開記事本，在里面輸

7、入一串包含特殊字符,數(shù)字，字母的長字符串，然后把它作為guest帳號的密碼拷進去。,藍盾安全小組,限制不必要的用戶數(shù)量 去掉所有的無用帳號。用戶組策略設置相應權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不在使用的帳戶。這些帳戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。國內(nèi)的nt/2000主機，如果系統(tǒng)帳戶超過10個，一般都能找出一兩個弱口令帳戶。進入“開始”程序管理工具計算機管理本地用戶和組用戶 （如圖）一般這幾個就可以了。,藍盾安全小組,改系統(tǒng)administrator帳號 大家都知道，windows 2000 的administrator帳號

8、是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然，請不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone 。,藍盾安全小組,創(chuàng)建一個陷阱帳號 什么是陷阱帳號? Look!創(chuàng)建一個名為” Administrator”的本地帳戶，把它的權(quán)限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?；蛘咴谒膌ogin scripts上面做點手腳。嘿嘿，夠損！,藍盾安全小組,使用安全密碼

9、 一個好的密碼對于一個網(wǎng)絡是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經(jīng)可以說明這一點了。一些公司的管理員創(chuàng)建帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的東西做用戶名，然后又把這些帳戶的密碼設置得N簡單，比如 “welcome” “iloveyou” “l(fā)etmein”或者和用戶名相同等等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼，還要注意經(jīng)常更改密碼。前些天在IRC和人討論這一問題的時候，我們給好密碼下了個定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須改密

10、碼。,藍盾安全小組,審計策略 Win2000的默認安裝是不開任何安全審核的！那么請你到本地安全策略-審核策略中打開相應的審核，推薦的審核是： 賬戶管理 成功 失敗 登錄事件 成功 失敗 對象訪問 失敗 策略更改 成功 失敗 特權(quán)使用 失敗 系統(tǒng)事件 成功 失敗 目錄服務訪問 失敗 賬戶登錄事件 成功 失敗,藍盾安全小組,審核項目少的缺點是萬一你想看發(fā)現(xiàn)沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統(tǒng)資源而且會導致你根本沒空去看，這樣就失去了審核的意義。另外的一些相關(guān)的設置如。賬戶策略-密碼策略中設定。 遠程控制 在WIN2000下，有一個有好的遠程控制程序，那就是TERMINAL SERVE

11、R。但是美中不足的是它為大家伙都知道。而且在默認情況下，它是用3389端口通信了，,藍盾安全小組,這就給黑客在機可乘，所以要改掉它的通信端口。 方法如下: 服務器端： 在HKEY_LOCAL_MACHINESYSTEMCurrent ControsetTerminal serverWdsRdpwdTdstcp中PortNumber的值是3389，修改成希望的端口，如5000。 （如圖）,藍盾安全小組,2.HKEY_LOCAL_MACHINESYSTEMCurrentControsetcontrolTerminal serverwinstationsRDP-tcp中PortNumbe 改成希望的

12、端口。 重新啟動。,客戶端 ： 1）新建一個連結(jié)。 開始程序TERMINAL SERVICES CLIENTCLIENT CONNECTION MANAGERFILE NEW CONNECTION 2）導出文件。用記事本打開這個.CNS 3）找SERVER PROT項，將改為同服務器一樣的端口 4）導入本連結(jié)。,藍盾安全小組,關(guān)閉 DirectDraw 這是C2級安全標準對視頻卡和內(nèi)存的要求。關(guān)閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲，在服務器上玩星際爭霸？我暈.$%$%&?），但是對于絕大多數(shù)的商業(yè)站點都應該是沒有影響的。 修改注冊表 : HKEY LOC

13、AL MACHINESYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)為 0 即可。,藍盾安全小組,關(guān)閉默認共享 win2000安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，你可以在cmd下打 net share 查看他們。網(wǎng)上有很多關(guān)于IPC入侵的文章，相信大家一定對它不陌生。要禁止這些共享 ，打開 管理工具計算機管理共享文件夾共享 在相應的共享文件夾上按右鍵，點停止共享即可，不過機器重新啟動后，這些共享又會重新開啟的。 C$ D$ E$ 每個分區(qū)的根目錄。Win2000 Pro版中，Administrator和B

14、ackup Operators組成員可連接，,藍盾安全小組,禁止dump file的產(chǎn)生 dump文件在系統(tǒng)崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給黑客提供一些敏感信息比如一些應用程序的密碼等。要禁止它，打開 控制面板系統(tǒng)屬性高級啟動和故障恢復 把 寫入調(diào)試信息 改成無。要用的時候，可以再重新打開它。,藍盾安全小組,鎖住注冊表 在windows2000中，只有administrators和Backup Operators才有從網(wǎng)絡上訪問注冊表的權(quán)限。如果你覺得還不夠的話，可以進一步設定注冊表訪問權(quán)限，詳細信息請參考： ,藍盾安全小組,

15、二、IIS的安裝與設置 1、文件的定制 在安裝之前，你應該確切的知道你需要哪些服務，而且要僅僅安裝你確實需要的服務，根據(jù)安全原則，最少的服務+最小的權(quán)限=最大的安全。典型的WEB服務器需要的最小組件選擇是：只安裝IIS的Com Files，IIS Snap-In，WWW Server組件。如果你確實需要安裝其他組件，請慎重，特別是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務 。,藍盾安全小組,2、IIS的設置 刪除Inetpub文件 把C盤那個什么Inetp

16、ub目錄徹底刪掉，在D盤建WEB內(nèi)容存放目錄，在IIS管理器中將主目錄指向它。 刪除所有虛擬目錄 安裝時默認的什么scripts等虛擬目錄一概刪除，也就是剛安裝好后站點下的所有目錄。,藍盾安全小組,應用程序配置 1）取消索引服務（.idq,.htw,.ida） 索引服務是IIS4中包含的內(nèi)容索引引擎。你可以對它進行ADO調(diào)用并搜索你的站點，它為你提供了一個很好的web 搜索引擎。如果你的網(wǎng)站沒有利用索引服務對網(wǎng)站進行全文檢索，也就可以取消網(wǎng)站的這個功能 2）取消服務器端包含也就是SSI（.shtml,.shtm,.stm）,藍盾安全小組,3）取消Internet數(shù)據(jù)庫連接（.idc） 它允許H

17、TML頁面和后臺數(shù)據(jù)庫建立連接，實現(xiàn)動態(tài)頁面，IIS4和IIS5中基本已經(jīng)不使用idc，所以，建議取消idc。 4）取消Internet打印（.printer） 取消的好處是可以避免.printer遠程緩存溢出漏 洞 5）取消htr映射（.htr） htr構(gòu)造特殊的URL請求，可能導致網(wǎng)站部分文件源代碼暴露（包括ASP）,藍盾安全小組,安全日志 Win2000自帶了相當強大的日志系統(tǒng),從用戶登錄到特權(quán)的使用都有非常詳細的記錄.優(yōu)點是被黑了以后可以追查入侵者。所以，要設置好自已的日志和了解如何的看日志。 1、設置 開始程序管理工具INTERNET服務管理器站點名屬性WEB站點啟用日志屬性 可以看

18、到（如圖）,藍盾安全小組,WIN2000的INTERNET服務的LOG文件在C:WINNTsystem32LogFiles目錄下 ，它的結(jié)構(gòu)如下,小技巧 在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件，可以讓目前絕大多數(shù)CGI漏洞掃描器失靈。為了保險起見，你可以使用IIS的備份功能，將剛剛的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。還有，如果你怕IIS負荷過高導致服務器滿負荷死機，也可以在性能中打開CPU限制，例如將IIS的最大CPU使用率限制在70%。,藍盾安全小組,保障備份盤的安全 一旦系統(tǒng)資料被破壞，備份盤將是你恢復資

19、料的唯一途徑。備份完資料后，把備份盤防在安全的地方。千萬別把資料備份在同一臺服務器上，那樣的話，還不如不要備份。,藍盾安全小組,三、后臺程序的編寫 程序員的弊?。?1、 把密碼物理路徑寫在程序里面。 2、 把路徑起得有意義，（MDB,CONN） 3、 把密碼寫到GLOBAL.ASA文件中 4、 密碼沒有加密,藍盾安全小組,四、數(shù)據(jù)庫的安全 網(wǎng)頁常用的的數(shù)據(jù)庫有 MICROSOFT SQLSERVER、ORACLE、MYSQL、ACCESS。 （1）MICROSOFT SQL SERVER 數(shù)據(jù)庫的安全。 1、跟著微軟打滿所有補丁外，2、加強sa這樣的帳號的密碼，跟系統(tǒng)帳號的使用配置相似，一般操

20、作數(shù)據(jù)庫不要使用象sa這樣的最高權(quán)限的帳號，而使用能滿足你的要求的一般帳號。,3、接著對擴展存儲過程開始大屠殺，首先就是xp_cmdshell，還有xp_regread等一大堆存儲過程，都drop吧，一般也用不著。 4、去掉guest帳號，阻止非授權(quán)用戶訪問。 5、去掉不必要的網(wǎng)絡協(xié)議。 6、加強對數(shù)據(jù)庫登陸的日志記錄，最好記錄所有登陸事件?？梢杂孟旅娴暮唵蜠OS命,令請定期查看SQL Server日志檢查是否有可疑的登錄事件發(fā)生7、用管理員帳號定期檢查所有帳號，是否密碼為空或者過于簡單，比如下面的語句： Use master Select name,Password from syslogi

21、ns where password is null 用下面語句對所有帳號，檢查對存儲過程和擴展存儲過程的執(zhí)行權(quán)，提防不必要的,執(zhí)行權(quán)限擴散： Use master Select From sysobjects, sysprotects Where sysprotects.uid = 0 AND xtype IN (X,P) AND sysobjects.id = sysprotects.id 加強數(shù)據(jù)庫的安全是非常重要的，有的數(shù)據(jù)庫服務器是和WEB服務器隔離開的，這就,同MAIL服務器一樣，數(shù)據(jù)庫的日志可能就基本很少去查看，這將會成為管理員的一個疏忽點。類似DN

22、S、MAIL等等，數(shù)據(jù)庫服務器往往成為各種入侵的跳板。 3、MYSQL 庫的安全。,五、運行防毒軟件 在Win2000/NT服務器安裝防毒軟件這一點是非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫,六. 防火墻的應用（略） 七. 掃描器的應用（略）,藍盾安全小組,八、介紹幾款有用的工具 1、URLSCAN 1. 最基本功能，幫助管理員設置IIS安全性； 2. 此工具可以在IIS4和IIS5上使用； 3. 即使系統(tǒng)沒有及時安裝所有補丁，也能有效防 止IIS4和IIS5的已知漏洞； 4. 幫助管理員去掉對本網(wǎng)站不必要的一些服務， 使IIS在滿足本網(wǎng)站需求的情況下運行