服務(wù)器安全設置詳解

服務(wù)器被**是一件讓人感到很不爽的事情,我也不知道為什么這個(gè)世界上會(huì )有這么多的吃飽了沒(méi)事干的人,一天到晚在那里**別人的服務(wù)器,在心里是深深的詛咒他們.但是詛咒沒(méi)有用的,服務(wù)器的安全還是要設置好.

　　下面我用的例子.將是一臺標準的虛擬主機.

　　系統:windows2003

　　服務(wù):[IIS]?[SERV-U]?[IMAIL]?[SQL?SERVER?2000]?[PHP]?[MYSQL]

　　描述:為了演示,綁定了最多的服務(wù).大家可以根據實(shí)際情況做篩減

　　1.WINDOWS本地安全策略?端口限制

　　A.對于我們的例子來(lái)說(shuō).需要開(kāi)通以下端口

　　外->本地?80

　　外->本地?20

　　外->本地?21

　　外->本地?PASV所用到的一些端口

　　外->本地?25

　　外->本地?110

　　外->本地?3389

　　然后按照具體情況.打開(kāi)SQL?SERVER和MYSQL的端口

　　外->本地?1433

　　外->本地?3306

　　B.接著(zhù)是開(kāi)放從內部往外需要開(kāi)放的端口

　　按照實(shí)際情況,如果無(wú)需郵件服務(wù),則不要打開(kāi)以下兩條規則

　　本地->外?53?TCP,UDP

　　本地->外?25

　　按照具體情況.如果無(wú)需在服務(wù)器上訪(fǎng)問(wèn)網(wǎng)頁(yè).盡量不要開(kāi)以下端口

　　本地->外?80

　　C.除了明確允許的一律阻止.這個(gè)是安全規則的關(guān)鍵.

　　外->本地?所有協(xié)議?阻止

　　2.用戶(hù)帳號

　　a.將administrator改名,例子中改為root

　　b.取消所有除管理員root外所有用戶(hù)屬性中的

　　遠程控制->啟用遠程控制?以及

　　終端服務(wù)配置文件->允許登陸到終端服務(wù)器

　　c.將guest改名為administrator并且修改密碼

　　d.除了管理員root,IUSER以及IWAM以及ASPNET用戶(hù)外.禁用其他一切用戶(hù).包括SQL?DEBUG以及TERMINAL?USER等等

　　3.目錄權限

　　將所有盤(pán)符的權限,全部改為只有

　　administrators組?全部權限

　　system?全部權限

　　將C盤(pán)的所有子目錄和子文件繼承C盤(pán)的administrator(組或用戶(hù))和SYSTEM所有權限的兩個(gè)權限

　　然后做如下修改

　　C:\Documents?and?Settings\All?Users?開(kāi)放默認的讀取及運行?列出文件目錄?讀取三個(gè)權限

　　C:\Documents?and?Settings\?增加Users用戶(hù)組的讀取運行權限，避免出現LoadUserProfile失敗

021yin.com的Access數據庫訪(fǎng)問(wèn)權限

　　C:\Windows如下的操作可能導致采用Ghost的操作失敗,系統可以Ghost成功，但在啟動(dòng)后會(huì )自動(dòng)重啟，等待解決

　　C:\WINDOWS\?開(kāi)放Everyone　默認的讀取及運行?列出文件目錄?讀取三個(gè)權限

　　C:\WINDOWS\Temp?開(kāi)放Everyone?修改,讀取及運行,列出文件目錄,讀取,寫(xiě)入權限

021yin.com請開(kāi)發(fā)該目錄的讀寫(xiě)權限

　　同時(shí)注意下列相關(guān)目錄權限不足IIS_WPG及Service用戶(hù)的權限：

　　C:\WINDOWS\Help\IISHelp\Common

　　C:\WINDOWS\System32\Inetsrv\ASP?Compiled?Templates

　　C:\WINDOWS\IIS?Temporary?Compressed?Files

　　現在WebShell就無(wú)法在系統目錄內寫(xiě)入文件了.

　　當然也可以使用更嚴格的權限.

　　在WINDOWS下分別目錄設置權限.

　　可是比較復雜.效果也并不明顯.

　　4.IIS

　　在IIS?6下.應用程序擴展內的文件類(lèi)型對應ISAPI的類(lèi)型已經(jīng)去掉了IDQ,PRINT等等危險的腳本類(lèi)型,

　　在IIS?5下我們需要把除了ASP以及ASA以外所有類(lèi)型刪除.

　　安裝URLSCAN

　　在[DenyExtensions]中

　　一般加入以下內容

　　.cer

　　.cdx

　　.mdb

　　.bat

　　.cmd

021yin.com

　　.htw

　　.ida

　　.idq

　　.htr

　　.idc

　　.shtm

　　.shtml

　　.stm

　　.printer

　　這樣入侵者就無(wú)法下載.mdb數據庫.這種方法比外面一些在文件頭加入特殊字符的方法更加徹底.

　　因為即便文件頭加入特殊字符.還是可以通過(guò)編碼構造出來(lái)的

　　5.WEB目錄權限

　　作為虛擬主機.會(huì )有許多獨立客戶(hù)

　　比較保險的做法就是為每個(gè)客戶(hù),建立一個(gè)windows用戶(hù)

　　然后在IIS的響應的站點(diǎn)項內

　　把IIS執行的匿名用戶(hù).綁定成這個(gè)用戶(hù)

　　并且把他指向的目錄

　　權限變更為

　　administrators?全部權限

　　system?全部權限

　　單獨建立的用戶(hù)(或者IUSER)?選擇高級->打開(kāi)除?完全控制,遍歷文件夾/運行程序,取得所有權?3個(gè)外的其他權限.

　　如果服務(wù)器上站點(diǎn)不多.并且有論壇

　　我們可以把每個(gè)論壇的上傳目錄

　　去掉此用戶(hù)的執行權限.

　　只有讀寫(xiě)權限

　　這樣入侵者即便繞過(guò)論壇文件類(lèi)型檢測上傳了webshell

　　也是無(wú)法運行的.

　　6.MS?SQL?SERVER2000

　　使用系統帳戶(hù)登陸查詢(xún)分析器

　　運行以下腳本

　　use?master

　　exec?sp_dropextendedproc?‘xp_cmdshell’

　　exec?sp_dropextendedproc?‘xp_dirtree’

　　exec?sp_dropextendedproc?‘xp_enumgroups’

　　exec?sp_dropextendedproc?‘xp_fixeddrives’

　　exec?sp_dropextendedproc?‘xp_loginconfig’

　　exec?sp_dropextendedproc?‘xp_enumerrorlogs’

　　exec?sp_dropextendedproc?‘xp_getfiledetails’

　　exec?sp_dropextendedproc?‘Sp_OACreate’

　　exec?sp_dropextendedproc?‘Sp_OADestroy’

　　exec?sp_dropextendedproc?‘Sp_OAGetErrorInfo’

　　exec?sp_dropextendedproc?‘Sp_OAGetProperty’

　　exec?sp_dropextendedproc?‘Sp_OAMethod’

　　exec?sp_dropextendedproc?‘Sp_OASetProperty’

　　exec?sp_dropextendedproc?‘Sp_OAStop’

　　exec?sp_dropextendedproc?‘Xp_regaddmultistring’

　　exec?sp_dropextendedproc?‘Xp_regdeletekey’

　　exec?sp_dropextendedproc?‘Xp_regdeletevalue’

　　exec?sp_dropextendedproc?‘Xp_regenumvalues’

　　exec?sp_dropextendedproc?‘Xp_regread’

　　exec?sp_dropextendedproc?‘Xp_regremovemultistring’

　　exec?sp_dropextendedproc?‘Xp_regwrite’

　　drop?procedure?sp_makewebtask

　　go

　　刪除所有危險的擴展.

　　7.修改CMD.EXE以及NET.EXE權限

　　將兩個(gè)文件的權限.修改到特定管理員才能訪(fǎng)問(wèn),比如本例中.我們如下修改

　　cmd.exe?root用戶(hù)?所有權限

　　net.exe?root用戶(hù)?所有權現

　　這樣就能防止非法訪(fǎng)問(wèn).

　　還可以使用例子中提供的comlog程序

　　將com.exe改名_com.exe,然后替換com文件.這樣可以記錄所有執行的命令行指令

　　單獨對cmd.exe?net.exe?net1.exe?ping.exe?netstat.exe?ftp.exe?tftp.exe?telnet.exe?regedit.exe?at.exe?attrib.exe?cacls.exe?format.exe?設置為只允許administrators組訪(fǎng)問(wèn)，這樣就可以防范通過(guò)Serv-U的本地提升權限漏洞來(lái)運行這些關(guān)鍵的程序了，再刪除cacls.exe?這個(gè)程序，防止有人通過(guò)命令行來(lái)修改權限

　　8.備份

　　使用ntbackup軟件.備份系統狀態(tài).

　　使用reg.exe?備份系統關(guān)鍵數據

　　如reg?export?HKLM\SOFTWARE\ODBC?e:\backup\system\odbc.reg?/y

　　來(lái)備份系統的ODBC

　　9.殺毒

　　這里介紹MCAFEE?8i?中文企業(yè)版

　　因為這個(gè)版本對于國內的許多惡意代碼和木馬都能夠及時(shí)的更新.

　　比如已經(jīng)能夠檢測到海陽(yáng)頂端2006

　　而且能夠殺除IMAIL等SMTP軟件使用的隊列中MIME編碼的病毒文件

　　而很多人喜歡安裝諾頓企業(yè)版.而諾頓企業(yè)版,對于WEBSHELL.基本都是沒(méi)有反應的.

　　而且無(wú)法對于MIME編碼的文件進(jìn)行殺毒.

　　在MCAFEE中.

　　我們還能夠加入規則.阻止在windows目錄建立和修改EXE.DLL文件等

　　我們在軟件中加入對WEB目錄的殺毒計劃.

　　每天執行一次

　　并且打開(kāi)實(shí)時(shí)監控.

　　注意：安裝一些殺毒軟件會(huì )影響ASP地執行，是因為禁用了jscript.dll和vbscript.dll組件

　　在dos方式下運行?regsvr32?jscript.dll,?regsvr32?vbscript.dll解除限制即可

　　10.關(guān)閉無(wú)用的服務(wù)

　　我們一般關(guān)閉如下服務(wù)

　　Computer?Browser

　　Help?and?Support

　　Messenger

　　Print?Spooler

　　Remote?Registry

　　TCP/IP?NetBIOS?Helper

　　如果服務(wù)器不用作域控,我們也可以禁用

　　Workstation禁止探針探測進(jìn)程和用戶(hù)信息

　　關(guān)閉“遠程注冊表服務(wù)”

　　安全隱患:如果黑客連接到了我們的計算機，而且計算機啟用了遠程注冊表服務(wù)(Remote?Registry)，那么黑客就可遠程設置注冊表中的服務(wù)，因此遠程注冊表服務(wù)需要特別保護。

　　解決方法:我們可將遠程注冊表服務(wù)(Remote?Registry)的啟動(dòng)方式設置為禁用。不過(guò)，黑客在入侵我們的計算機后，仍然可以通過(guò)簡(jiǎn)單的操作將該服務(wù)從“禁用”轉換為“自動(dòng)啟動(dòng)”。因此我們有必要將該服務(wù)刪除。

　　找到注冊表中“HKEY_LOCAL_?MACHINESYSTEMCurrentControlSet?Services”下的RemoteRegistry項，右鍵點(diǎn)擊該項選擇“刪除”(圖1)，將該項刪除后就無(wú)法啟動(dòng)該服務(wù)了。

　　11.取消危險組件

　　如果服務(wù)器不需要FSO

　　regsvr32?/u?c:\windows\system32\scrrun.dll

　　注銷(xiāo)組件

　　regsvr32?/u?c:\windows\system32\wshom.ocx

　　regsvr32?/u?c:\windows\system32\wshext.dll

　　regsvr32?/u?c:\windows\system32\shell32.dll

　　如果有可能刪除這些組件

　　使用regedit在注冊表中進(jìn)行如下操作

　　將/HKEY_CLASSES_ROOT下的

　　WScript.Network

　　WScript.Network.1

　　WScript.Shell

　　WScript.Shell.1

　　Shell.Application

　　Shell.Application.1

　　鍵值改名或刪除

　　將這些鍵值下CLSID中包含的字串

　　如

　　{13709620-C279-11CE-A49E-444553540000}

　　{72C24DD5-D70A-438B-8A42-98424B88AFB8}

　　到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值

　　全部刪除

　　修改注冊表，讓系統更強壯

　　1、隱藏重要文件/目錄可以修改注冊表實(shí)現完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\?Microsoft\Windows\?Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊?“CheckedValue”，選擇修改，把數值由1改為0

　　2、啟動(dòng)系統自帶的Internet連接_blank”>防火墻，在設置服務(wù)選項中勾選Web服務(wù)器。

　　3、防止SYN洪水攻擊???HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為SynAttackProtect，值為2

　　EnablePMTUDiscovery?REG_DWORD?0

　　NoNameReleaseOnDemand?REG_DWORD?1

　　EnableDeadGWDetect?REG_DWORD?0

　　KeepAliveTime?REG_DWORD?300,000

　　PerformRouterDiscovery?REG_DWORD?0

　　EnableICMPRedirects?REG_DWORD?0

　　4.?禁止響應ICMP路由通告報文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface??新建DWORD值，名為PerformRouterDiscovery?值為0

　　5.?防止ICMP重定向報文的攻擊

　　　?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　　?將EnableICMPRedirects?值設為0

　　6.?不支持IGMP協(xié)議

　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為IGMPLevel?值為0

　　7.修改終端服務(wù)端口

　　[HKEY_LOCAL_MACHINE?\?SYSTEM?\?CurrentControlSet?\?Control?\?Terminal?Server?\?Wds?\?rdpwd?\?Tds?\?tcp]，看到右邊的PortNumber了嗎？在十進(jìn)制狀態(tài)下改成你想要的端口號吧，比如7126之類(lèi)的，只要不與其它沖突即可。

　　第二處HKEY_LOCAL_MACHINE?\?SYSTEM?\?CurrentControlSet?\?Control?\?Terminal?Server?\?WinStations?\?RDP-Tcp，方法同上，記得改的端口號和上面改的一樣就行了。

　　8、禁止IPC空連接：

　　cracker?可以利用net?use命令建立空連接，進(jìn)而入侵，還有net?view，nbtstat這些都是基于空連接的，禁止空連接就好了。打開(kāi)注冊表，找到Local_Machine\System?\CurrentControlSet\Control\LSA-RestrictAnonymous?把這個(gè)值改成”1”即可。

　　9、更改TTL值

　　cracker可以根據ping回的TTL值來(lái)大致判斷你的操作系統，如：

　　TTL=107(WINNT);

　　TTL=108(win2000);

　　TTL=127或128(win9x);

　　TTL=240或241(linux);

　　TTL=252(solaris);

　　TTL=240(Irix);

　　實(shí)際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip?\Parameters：DefaultTTL?REG_DWORD?0-0xff(0-255?十進(jìn)制,默認值128)改成一個(gè)莫名其妙的數字如258，起碼讓那些小菜鳥(niǎo)暈上半天，就此放棄入侵你也不一定哦

　　10.?刪除默認共享

　　有人問(wèn)過(guò)我一開(kāi)機就共享所有盤(pán)，改回來(lái)以后，重啟又變成了共享是怎么回事，這是2K為管理而設置的默認共享，必須通過(guò)修改注冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer?\Parameters：AutoShareServer類(lèi)型是REG_DWORD把值改為0即可

　　11.?禁止建立空連接

　　默認情況下，任何用戶(hù)通過(guò)通過(guò)空連接連上服務(wù)器，進(jìn)而枚舉出帳號，猜測密碼。我們可以通過(guò)修改注冊表來(lái)禁止建立空連接：

　　Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous?的值改成”1”即可。

　　12.審計

　　本地安全策略->本地策略->審核策略

　　打開(kāi)以下內容

　　審核策略更改?成功,失敗

　　審核系統事件?成功,失敗

　　審核帳戶(hù)登陸事件?成功,失敗

　　審核帳戶(hù)管理?成功,失敗

　　本地安全策略->本地策略->安全選項

　　交互式登陸：不顯示上次地用戶(hù)名啟用

　　交互式登陸：會(huì )話(huà)鎖定不顯示上次地用戶(hù)名啟用

　　網(wǎng)絡(luò )訪(fǎng)問(wèn):限制匿名訪(fǎng)問(wèn)命名管道和共享　啟用

　　13.解除上傳附件限制

　　Windows2003中IIS6默認無(wú)法上傳超過(guò)200K的附件以及無(wú)法下載超過(guò)4M的附件問(wèn)題

　　解決辦法：

　　1、先在服務(wù)里關(guān)閉?iis?admin?service?服務(wù)。

　　2、找到?windows\system32\inetsrv\?下的?metabase.xml?文件。

　　3、用純文本方式打開(kāi)，找到?ASPMaxRequestEntityAllowed?把它修改為需要的值（可修改為10M即：10240000），默認為：204800，即：200K。

　　4、存盤(pán)，然后重啟?iis?admin?service?服務(wù)。

　　在?IIS?6.0?中，無(wú)法下載超過(guò)4M的附件時(shí)，可以按以下步驟解決：

　　1、先在服務(wù)里關(guān)閉?iis?admin?service?服務(wù)。

　　2、找到?windows\system32\inetsrv\?下的?metabase.xml?文件。

　　3、用純文本方式打開(kāi)，找到?AspBufferingLimit?把它修改為需要的值（可修改為20M即：20480000）。

　　4、存盤(pán)，然后重啟?iis?admin?service?服務(wù)。

　　14防止Serv-U權限提升

　　其實(shí)，注銷(xiāo)了Shell組件之后，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語(yǔ)言也有shell能力，為防萬(wàn)一，還是設置一下為好。

　　用Ultraedit打開(kāi)ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長(cháng)度的其它字符就可以了，ServUAdmin.exe也一樣處理。

　　另外注意設置Serv-U所在的文件夾的權限，不要讓IIS匿名用戶(hù)有讀取的權限，否則人家下走你修改過(guò)的文件，照樣可以分析出你的管理員名和密碼。