首页 > > 服务器技术 > 安全防护 >

关于Windows Internet服务器安全配置

2008-02-23 07:05:09来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

原理篇

我们将从入侵者入侵的各个环节来作出对应措施,一步步的加固Windows系统。加固Windows系统,一共归于几个方面:

1.端口限制;

2.设置ACL权限;

3.关闭服务或组件;

4.包过滤;

5.审计。

我们现在开始从入侵者的第一步开始,对应的开始加固已有的Windows系统。

1.扫描

这是入侵者在刚开始要做的第一步,比如搜索有漏洞的服务。

对应措施:端口限制。

以下所有规则,都需要选择镜像,否则会导致无法连接。我们需要作的就是打开服务所需要的端口,而将其他的端口一律屏蔽。

2.下载信息

这里主要是通过URL SCAN,来过滤一些非法请求。

对应措施:过滤相应包。

我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段,来阻止特定结尾的文件的执行。

3.上传文件

入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等。

对应措施:取消相应服务和功能,设置ACL权限。如果有条件可以不使用FSO的,通过 regsvr32 /u c:\Windows\system32\scrrun.dll来注销掉相关的DLL。

如果需要使用,那就为每个站点建立一个user用户。对每个站点相应的目录,只给这个用户读、写、执行权限,给administrators全部权限。安装杀毒软件,实时杀除上传上来的恶意代码。个人推荐MCAFEE或者卡巴斯基,如果使用MCAFEE,对Windows目录所有添加与修改文件的行为进行阻止。

4.WebShell

入侵者上传文件后,需要利用WebShell来执行可执行程序,或者利用WebShell进行更加方便的文件操作。

对应措施:取消相应服务和功能。

一般WebShell用到以下组件: 

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

我们在注册表中将以上键值改名或删除,同时需要注意按照这些键值下的CLSID键的内容从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除。

5.执行SHELL

入侵者获得shell来执行更多指令。

对应措施:设置ACL权限。

Windows的命令行控制台位于\Windows\SYSTEM32\CMD.EXE,我们将此文件的ACL修改为某个特定管理员帐户(比如administrator)拥有全部权限。其他用户,包括system用户,administrators组等等,一律无权限访问此文件。

6.利用已有用户或添加用户

入侵者通过利用修改已有用户或者添加Windows正式用户。向获取管理员权限迈进

对应措施:设置ACL权限,修改用户。

将除管理员外所有用户的终端访问权限去掉,限制CMD.EXE的访问权限,限制SQL SERVER内的XP_CMDSHELL。

7.登陆图形终端

入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,获取许多图形程序的运行权限。由于Windows系统下绝大部分应用程序都是GUI的,所以这步是每个入侵Windows的入侵者都希望获得的。

对应措施:端口限制。

入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问,我们在第一步的端口限制中,对所有从内到外的访问一律屏蔽也就是为了防止反弹木马。所以在端口限制中,由本地访问外部网络的端口越少越好。如果不是作为MAIL SERVER,可以不用加任何由内向外的端口,

阻断所有的反弹木马。

8.擦除脚印

入侵者在获得了一台机器的完全管理员权限后,就是擦除脚印来隐藏自身。

对应措施:审计。

首先我们要确定在Windows日志中打开足够的审计项目。如果审计项目不足,入侵者甚至都无需去删除Windows事件。其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的。将运行的指令保存下来,了解入侵者的行动。对于Windows日志,我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性。

evtsys工具提供将Windows日志转换成syslog格式并且发送到远程服务器上的功能。使用此用具,并且在远程服务器上开放syslogd。如果远程服务器是Windows系统,推荐使用kiwi syslog deamon。

我们要达到的目的就是,不让入侵者扫描到主机弱点。即使扫描到了也不能上传文件,即使上传文件了不能操作其他目录的文件,即使操作了其他目录的文件也不能执行shell,即使执行了shell也不能添加用户,即使添加用户了也不能登陆图形终端,即使登陆了图形终端,拥有系统控制权,他的所作所为还是会被记录下来。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:手把手教你几种方式来巧妙设置路由器

下一篇:电子邮件炸弹攻击原理及相关预防方法

相关文章

IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设

网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源

网站联盟: 联盟新闻 联盟介绍 联盟点评 网赚技巧

行业资讯: 搜索引擎 网络游戏 电子商务 广告传媒

网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护

软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计: Java技术 C/C++ VB delphi

网络知识: 网络协议 网络安全 网络管理 组网方案 Cisco技术

操作系统: Win2000 WinXP Win2003 Mac OS Linux FreeBSD

热门词条
最新资讯
热门关注
热门标签