時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(9)
大家好,我是A5安全小組 jack ,今天跟大家交流下 關(guān)于WEB服務(wù)器安全的相關(guān)問題。
其實(shí),在服務(wù)器和網(wǎng)站的安全設(shè)置方面,我雖然有一些經(jīng)驗(yàn),但是還談不上有研究,所以我今天做這個(gè)講座的時(shí)候心里很不踏實(shí),總害怕說錯(cuò)了會(huì)誤了別人的事,有說錯(cuò)的地方還請大家指出,今天就全當(dāng)互相討論交流了。也許各位當(dāng)中有安全高手或者破壞高手看了我所說的會(huì)嘲笑或者竊喜,但我想我的經(jīng)驗(yàn)里畢竟還是存在很多正確的地方,有千千萬萬的比我知道的更少的人還是需要有人來提供這些經(jīng)驗(yàn)和信息的。呵呵
現(xiàn)在幾乎有一部分的站長都擁有自己的服務(wù)器,一部分的人還使用虛擬主機(jī)或合租服務(wù)器。對于現(xiàn)在在使用虛擬主機(jī)和合租的部分站長來說 可能在服務(wù)器安全方面考慮的比較少,因?yàn)橛蠭DC過硬的技術(shù)在支撐,只要對自己的使用的網(wǎng)站程序相對多了解一些,多關(guān)注下程序官方發(fā)布的新聞和漏洞補(bǔ)丁提示,及時(shí)的升級程序打上最新漏洞補(bǔ)丁就已經(jīng)有80%的安全性了,官方補(bǔ)丁是免費(fèi)發(fā)布給我們的東西,如果連程序漏洞補(bǔ)丁都不能及時(shí)打上,那么這個(gè)網(wǎng)站被黑的可能性幾乎在80%以上,所以說程序補(bǔ)丁務(wù)必要及時(shí)打上。其次就是虛擬主機(jī)管理帳號密碼和FTP帳號密碼、后臺登陸路徑地址和管理員帳號密碼的設(shè)置,這個(gè)可能很多人有時(shí)候容易忽略,但是由于疏忽大意設(shè)置的密碼過于簡單或沒有更改默認(rèn)的帳號密碼、后臺路徑而造成網(wǎng)站被黑的還是有一小部分站長。現(xiàn)在有很多傻瓜式的黑客工具,隨便一個(gè)懂點(diǎn)計(jì)算機(jī)技術(shù)的人就能上手,對于一些FTP帳號密碼和網(wǎng)站后臺密碼簡單的網(wǎng)站可以批量獲取到帳號密碼,直接登陸FTP或后臺拿到WEBSHELL ,所以說一般在拿到FTP帳號密碼后要及時(shí)的修改盡量越復(fù)雜越好。網(wǎng)站在安裝完畢后及時(shí)的刪除安裝文件修改后臺路徑和后臺登陸帳號密碼是務(wù)必要做的,不要嫌麻煩,也許你的小小的操作就會(huì)給你網(wǎng)站帶來很大的安全保障,疏忽大意,僥幸心理只會(huì)給網(wǎng)站帶來很大的安全隱患,因?yàn)橐粋€(gè)入侵找的就是你被忽略的死角鉆你不注意的漏洞。
好了 對于使用虛擬主機(jī)的網(wǎng)站安全我暫時(shí)先說這么多,我們下面重點(diǎn)說一下獨(dú)立WEB服務(wù)器的安全設(shè)置。
最近遇到好幾位站長找我求助,看了下情況都是差不多,都是因?yàn)榍捌谥活欀W(wǎng)站,對服務(wù)器安全方面的意識和技術(shù)防范不夠 所以導(dǎo)致整個(gè)服務(wù)器都被黑客控制,服務(wù)器上的所有網(wǎng)站都被掛馬,都是好幾萬流量的網(wǎng)站,這個(gè)后果很嚴(yán)重。在服務(wù)器配置網(wǎng)站和環(huán)境的時(shí)候沒有把安全性考慮進(jìn)去,只是為了能讓自己的網(wǎng)站能正常訪問,所以整個(gè)服務(wù)器的權(quán)限幾乎都是Everyone 權(quán)限在運(yùn)作。這樣的服務(wù)器能不被黑純屬意外。下面我們就針對目前主流的服務(wù)器系統(tǒng)WIN2003 給大家提一些相關(guān)安全配置和防范方面的信息,希望對各位有所幫助。我直接分幾大塊寫出來 。
一、操作系統(tǒng)配置
1.安裝操作系統(tǒng)(NTFS分區(qū))后,裝殺毒軟件,我選用的是卡巴。
2.安裝系統(tǒng)補(bǔ)丁。(微軟發(fā)布的每個(gè)補(bǔ)丁務(wù)必要打上,因?yàn)楹芏嗄抉R都是針對具體的漏洞才可以執(zhí)行的)掃描漏洞全面殺毒
3.刪除Windows Server 2003默認(rèn)共享
首先編寫如下內(nèi)容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名為delshare.bat,放到啟動(dòng)項(xiàng)中,每次開機(jī)時(shí)會(huì)自動(dòng)刪除共享。
4.禁用IPC連接
打開CMD后輸入如下命令即可進(jìn)行連接:net use\\ip\ipc$ "password" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連接。
5.刪除"網(wǎng)絡(luò)連接"里的協(xié)議和服務(wù)
在"網(wǎng)絡(luò)連接"里,把不需要的協(xié)議和服務(wù)都刪掉,這里只安裝了基本的Internet協(xié)議(TCP/IP),同時(shí)在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。
6.啟用windows連接防火墻,只開放web服務(wù)(80端口)。
注:在2003系統(tǒng)里,不推薦用TCP/IP篩選里的端口過濾功能,譬如在使用FTP服務(wù)器的時(shí)候,如果僅僅只開放21端口,由于FTP協(xié)議的特殊性,在進(jìn)行FTP傳輸?shù)臅r(shí)候,由于FTP 特有的Port模式和Passive模式,在進(jìn)行數(shù)據(jù)傳輸?shù)臅r(shí)候,需要?jiǎng)討B(tài)的打開高端口,所以在使用TCP/IP過濾的情況下,經(jīng)常會(huì)出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個(gè)問題,所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能。
7.磁盤權(quán)限
系統(tǒng)盤只給 Administrators 和 SYSTEM 權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 和 SYSTEM 權(quán)限;
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 和 SYSTEM 權(quán)限;
系統(tǒng)盤\Documents and Settings\All Users\Application Data目錄只給 Administrators 和 SYSTEM 權(quán)限;
系統(tǒng)盤\Windows 目錄只給 Administrators 、 SYSTEM 和 users 權(quán)限;( users默認(rèn)的就可以)
系統(tǒng)盤\Windows\System32\目錄下的:net.exe;net1.exe;cmd.exe;command.exeftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe 文件只給 Administrators 權(quán)限(如果覺得沒用就刪了它,比如我刪了cmd.exe,command.exe,嘿嘿。);
其它盤,有安裝程序運(yùn)行的(我的sql server 2000 在D盤)給 Administrators 和 SYSTEM 權(quán)限,無只給 Administrators 權(quán)限。
8.本地安全策略設(shè)置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略 (可選用)
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)拒絕登陸:加入Guests、Users組
通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項(xiàng)
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命名管道 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑 全部刪除
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗(yàn)證儲存憑據(jù)或.Net passports
帳戶:重命名來賓帳戶 重命名一個(gè)帳戶
(下面一項(xiàng)更改可能導(dǎo)致sqlserver不能使用)
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶
9.關(guān)閉不必要的危險(xiǎn)服務(wù)項(xiàng)目。
右鍵我的電腦—>管理—>服務(wù)和應(yīng)用程序—>服務(wù)
找到 Server 雙擊 選擇啟動(dòng)類型——>禁用——>服務(wù)狀態(tài)——>關(guān)閉
找到 TCP/IP NetBIOS Helper 雙擊 選擇啟動(dòng)類型——>禁用——>服務(wù)狀態(tài)——>關(guān)閉
找到 Workstation 雙擊 選擇啟動(dòng)類型——>禁用——>服務(wù)狀態(tài)——>關(guān)閉
10.開啟默認(rèn)防火墻
開啟默認(rèn)防火墻 將常用的端口 80 1433 3306 21 3389 等端口還有你經(jīng)常使用的特殊端口添加進(jìn)去 點(diǎn)確定。
11.更改默認(rèn)的3389遠(yuǎn)程端口
現(xiàn)在有很多小工具直接可以修改的。但是也可以直接在注冊表自己修改(這個(gè)要慎重,如果修改錯(cuò)就掉遠(yuǎn)程了)
第一:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]
PortNumber值,默認(rèn)是3389,修改為自定義的端口,如6553
第二:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp]
PortNumber值,默認(rèn)是3389,修改為自定義的端口, 如6553
注意:這兩處的修改端口都必須一致才行。
二、iis配置(包括網(wǎng)站所在目錄)
1.新建自己的網(wǎng)站(*注意:在應(yīng)用程序設(shè)置中執(zhí)行權(quán)限設(shè)為無,在需要的目錄里再更改),目錄不在系統(tǒng)盤
注:為支持asp.net,將系統(tǒng)盤\Inetpub\wwwroot中的aspnet_client文件夾復(fù)制到web根目錄下,并給web根目錄加上users權(quán)限。
2.刪掉系統(tǒng)盤\inetpub目錄
3.刪除不用的映射
在"應(yīng)用程序配置"里,只給必要的腳本執(zhí)行權(quán)限:ASP、ASPX。
4.為網(wǎng)站創(chuàng)建系統(tǒng)用戶
A.例如:網(wǎng)站為admin5.net,新建用戶admin5.net權(quán)限為guests。然后在web站點(diǎn)屬性里"目錄安全性"---"身份驗(yàn)證和訪問控制"里設(shè)置匿名訪問使用下列Windows 用戶帳戶"的用戶名和密碼都使用admin5.net這個(gè)用戶的信息。(用戶名:主機(jī)名\admin5.net)
B.給網(wǎng)站所在的磁盤目錄添加用戶admin5.net,只給讀取和寫入的權(quán)限。
5.設(shè)置應(yīng)用程及子目錄的執(zhí)行權(quán)限
A.主應(yīng)用程序目錄中
關(guān)鍵詞標(biāo)簽:服務(wù)器安全
相關(guān)閱讀
熱門文章 ISAPI Rewrite實(shí)現(xiàn)IIS圖片防盜鏈 IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin 在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻略 win2000server IIS和tomcat5多站點(diǎn)配置
人氣排行 XAMPP配置出現(xiàn)403錯(cuò)誤“Access forbidden!”的解決辦法 WIN2003 IIS6.0+PHP+ASP+MYSQL優(yōu)化配置 訪問網(wǎng)站403錯(cuò)誤 Forbidden解決方法 如何從最大用戶并發(fā)數(shù)推算出系統(tǒng)最大用戶數(shù) Server Application Unavailable的解決辦法 報(bào)錯(cuò)“HTTP/1.1 400 Bad Request”的處理方法 Windows Server 2003的Web接口 http 500內(nèi)部服務(wù)器錯(cuò)誤的解決辦法(windows xp + IIS5.0)