大家好,我是A5安全小組 jack ,今天跟大家交流下 關(guān)于WEB服務(wù)器安全的相關(guān)問題����。
其實,在服務(wù)器和網(wǎng)站的安全設(shè)置方面�����,我雖然有一些經(jīng)驗���,但是還談不上有研究����,所以我今天做這個講座的時候心里很不踏實���,總害怕說錯了會誤了別人的事���,有說錯的地方還請大家指出,今天就全當(dāng)互相討論交流了�����。也許各位當(dāng)中有安全高手或者破壞高手看了我所說的會嘲笑或者竊喜,但我想我的經(jīng)驗里畢竟還是存在很多正確的地方��,有千千萬萬的比我知道的更少的人還是需要有人來提供這些經(jīng)驗和信息的�����。呵呵
現(xiàn)在幾乎有一部分的站長都擁有自己的服務(wù)器��,一部分的人還使用虛擬主機或合租服務(wù)器�。對于現(xiàn)在在使用虛擬主機和合租的部分站長來說 可能在服務(wù)器安全方面考慮的比較少,因為有IDC過硬的技術(shù)在支撐���,只要對自己的使用的網(wǎng)站程序相對多了解一些����,多關(guān)注下程序官方發(fā)布的新聞和漏洞補丁提示����,及時的升級程序打上最新漏洞補丁就已經(jīng)有80%的安全性了,官方補丁是免費發(fā)布給我們的東西���,如果連程序漏洞補丁都不能及時打上,那么這個網(wǎng)站被黑的可能性幾乎在80%以上���,所以說程序補丁務(wù)必要及時打上���。其次就是虛擬主機管理帳號密碼和FTP帳號密碼�����、后臺登陸路徑地址和管理員帳號密碼的設(shè)置���,這個可能很多人有時候容易忽略,但是由于疏忽大意設(shè)置的密碼過于簡單或沒有更改默認(rèn)的帳號密碼�、后臺路徑而造成網(wǎng)站被黑的還是有一小部分站長。現(xiàn)在有很多傻瓜式的黑客工具����,隨便一個懂點計算機技術(shù)的人就能上手,對于一些FTP帳號密碼和網(wǎng)站后臺密碼簡單的網(wǎng)站可以批量獲取到帳號密碼��,直接登陸FTP或后臺拿到WEBSHELL �����,所以說一般在拿到FTP帳號密碼后要及時的修改盡量越復(fù)雜越好���。網(wǎng)站在安裝完畢后及時的刪除安裝文件修改后臺路徑和后臺登陸帳號密碼是務(wù)必要做的����,不要嫌麻煩,也許你的小小的操作就會給你網(wǎng)站帶來很大的安全保障���,疏忽大意����,僥幸心理只會給網(wǎng)站帶來很大的安全隱患��,因為一個入侵找的就是你被忽略的死角鉆你不注意的漏洞�����。
好了 對于使用虛擬主機的網(wǎng)站安全我暫時先說這么多����,我們下面重點說一下獨立WEB服務(wù)器的安全設(shè)置。
最近遇到好幾位站長找我求助�����,看了下情況都是差不多�,都是因為前期只顧著弄網(wǎng)站�����,對服務(wù)器安全方面的意識和技術(shù)防范不夠 所以導(dǎo)致整個服務(wù)器都被黑客控制,服務(wù)器上的所有網(wǎng)站都被掛馬���,都是好幾萬流量的網(wǎng)站��,這個后果很嚴(yán)重����。在服務(wù)器配置網(wǎng)站和環(huán)境的時候沒有把安全性考慮進(jìn)去���,只是為了能讓自己的網(wǎng)站能正常訪問�����,所以整個服務(wù)器的權(quán)限幾乎都是Everyone 權(quán)限在運作���。這樣的服務(wù)器能不被黑純屬意外。下面我們就針對目前主流的服務(wù)器系統(tǒng)WIN2003 給大家提一些相關(guān)安全配置和防范方面的信息����,希望對各位有所幫助��。我直接分幾大塊寫出來 �。
一���、操作系統(tǒng)配置
1.安裝操作系統(tǒng)(NTFS分區(qū))后��,裝殺毒軟件����,我選用的是卡巴���。
2.安裝系統(tǒng)補丁����。(微軟發(fā)布的每個補丁務(wù)必要打上����,因為很多木馬都是針對具體的漏洞才可以執(zhí)行的)掃描漏洞全面殺毒
3.刪除Windows Server 2003默認(rèn)共享
首先編寫如下內(nèi)容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名為delshare.bat,放到啟動項中�,每次開機時會自動刪除共享。
4.禁用IPC連接
打開CMD后輸入如下命令即可進(jìn)行連接:net use\\ip\ipc$ "password" /user:"usernqme"��。我們可以通過修改注冊表來禁用IPC連接�����。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵�,將其值改為1即可禁用IPC連接。
5.刪除"網(wǎng)絡(luò)連接"里的協(xié)議和服務(wù)
在"網(wǎng)絡(luò)連接"里�����,把不需要的協(xié)議和服務(wù)都刪掉���,這里只安裝了基本的Internet協(xié)議(TCP/IP),同時在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"�。
6.啟用windows連接防火墻,只開放web服務(wù)(80端口)����。
注:在2003系統(tǒng)里,不推薦用TCP/IP篩選里的端口過濾功能��,譬如在使用FTP服務(wù)器的時候�����,如果僅僅只開放21端口���,由于FTP協(xié)議的特殊性��,在進(jìn)行FTP傳輸?shù)臅r候���,由于FTP 特有的Port模式和Passive模式���,在進(jìn)行數(shù)據(jù)傳輸?shù)臅r候,需要動態(tài)的打開高端口����,所以在使用TCP/IP過濾的情況下,經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}���。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題��,所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能�。
7.磁盤權(quán)限
系統(tǒng)盤只給 Administrators 和 SYSTEM 權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 和 SYSTEM 權(quán)限;
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 和 SYSTEM 權(quán)限;
系統(tǒng)盤\Documents and Settings\All Users\Application Data目錄只給 Administrators 和 SYSTEM 權(quán)限;
系統(tǒng)盤\Windows 目錄只給 Administrators ��、 SYSTEM 和 users 權(quán)限;( users默認(rèn)的就可以)
系統(tǒng)盤\Windows\System32\目錄下的:net.exe;net1.exe;cmd.exe;command.exeftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe 文件只給 Administrators 權(quán)限(如果覺得沒用就刪了它�,比如我刪了cmd.exe,command.exe�,嘿嘿。);
其它盤��,有安裝程序運行的(我的sql server 2000 在D盤)給 Administrators 和 SYSTEM 權(quán)限,無只給 Administrators 權(quán)限����。
8.本地安全策略設(shè)置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略 (可選用)
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B���、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組����、其它全部刪除����。
通過終端服務(wù)拒絕登陸:加入Guests�、Users組
通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除
C���、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命名管道 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑 全部刪除
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗證儲存憑據(jù)或.Net passports
帳戶:重命名來賓帳戶 重命名一個帳戶
(下面一項更改可能導(dǎo)致sqlserver不能使用)
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶
9.關(guān)閉不必要的危險服務(wù)項目�����。
右鍵我的電腦—>管理—>服務(wù)和應(yīng)用程序—>服務(wù)
找到 Server 雙擊 選擇啟動類型——>禁用——>服務(wù)狀態(tài)——>關(guān)閉
找到 TCP/IP NetBIOS Helper 雙擊 選擇啟動類型——>禁用——>服務(wù)狀態(tài)——>關(guān)閉
找到 Workstation 雙擊 選擇啟動類型——>禁用——>服務(wù)狀態(tài)——>關(guān)閉
10.開啟默認(rèn)防火墻
開啟默認(rèn)防火墻 將常用的端口 80 1433 3306 21 3389 等端口還有你經(jīng)常使用的特殊端口添加進(jìn)去 點確定����。
11.更改默認(rèn)的3389遠(yuǎn)程端口
現(xiàn)在有很多小工具直接可以修改的。但是也可以直接在注冊表自己修改(這個要慎重�����,如果修改錯就掉遠(yuǎn)程了)
第一:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]
PortNumber值�,默認(rèn)是3389,修改為自定義的端口�����,如6553
第二:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp]
PortNumber值����,默認(rèn)是3389,修改為自定義的端口���, 如6553
注意:這兩處的修改端口都必須一致才行�。
二����、iis配置(包括網(wǎng)站所在目錄)
1.新建自己的網(wǎng)站(*注意:在應(yīng)用程序設(shè)置中執(zhí)行權(quán)限設(shè)為無,在需要的目錄里再更改)�,目錄不在系統(tǒng)盤
注:為支持asp.net,將系統(tǒng)盤\Inetpub\wwwroot中的aspnet_client文件夾復(fù)制到web根目錄下,并給web根目錄加上users權(quán)限。
2.刪掉系統(tǒng)盤\inetpub目錄
3.刪除不用的映射
在"應(yīng)用程序配置"里���,只給必要的腳本執(zhí)行權(quán)限:ASP��、ASPX�����。
4.為網(wǎng)站創(chuàng)建系統(tǒng)用戶
A.例如:網(wǎng)站為admin5.net��,新建用戶admin5.net權(quán)限為guests����。然后在web站點屬性里"目錄安全性"---"身份驗證和訪問控制"里設(shè)置匿名訪問使用下列Windows 用戶帳戶"的用戶名和密碼都使用admin5.net這個用戶的信息�。(用戶名:主機名\admin5.net)
B.給網(wǎng)站所在的磁盤目錄添加用戶admin5.net,只給讀取和寫入的權(quán)限�����。
5.設(shè)置應(yīng)用程及子目錄的執(zhí)行權(quán)限
A.主應(yīng)用程序目錄中
關(guān)鍵詞標(biāo)簽:服務(wù)器安全
ISAPI Rewrite實現(xiàn)IIS圖片防盜鏈
IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin
在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻略
win2000server IIS和tomcat5多站點配置