Windows Internet服務(wù)器安全配置指南原理篇第2/2頁(yè)
2024-09-10 00:01:29
供稿:網(wǎng)友
原理篇 我們將從入侵者入侵的各個(gè)環(huán)節(jié)來(lái)作出對(duì)應(yīng)措施 一步步的加固windows系統(tǒng). 加固windows系統(tǒng).一共歸于幾個(gè)方面 1.端口限制 2.設(shè)置ACL權(quán)限 3.關(guān)閉服務(wù)或組件 4.包過(guò)濾 5.審計(jì)
本文提到的部分軟件在提供下載的RAR中包含
包括COM命令行執(zhí)行記錄
URLSCAN 2.5以及配置好的配置文件
IPSEC導(dǎo)出的端口規(guī)則
evtsys
一些注冊(cè)表加固的注冊(cè)表項(xiàng).
實(shí)踐篇
下面我用的例子.將是一臺(tái)標(biāo)準(zhǔn)的虛擬主機(jī).
系統(tǒng):windows2003
服務(wù):[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:為了演示,綁定了最多的服務(wù).大家可以根據(jù)實(shí)際情況做篩減
1.WINDOWS本地安全策略 端口限制
A.對(duì)于我們的例子來(lái)說(shuō).需要開(kāi)通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具體情況.打開(kāi)SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接著是開(kāi)放從內(nèi)部往外需要開(kāi)放的端口
按照實(shí)際情況,如果無(wú)需郵件服務(wù),則不要打開(kāi)以下兩條規(guī)則
本地->外 53 TCP,UDP
本地->外 25
按照具體情況.如果無(wú)需在服務(wù)器上訪(fǎng)問(wèn)網(wǎng)頁(yè).盡量不要開(kāi)以下端口
本地->外 80
C.除了明確允許的一律阻止.這個(gè)是安全規(guī)則的關(guān)鍵.
外->本地 所有協(xié)議 阻止
2.用戶(hù)帳號(hào)
a.將administrator改名,例子中改為root
b.取消所有除管理員root外所有用戶(hù)屬性中的
遠(yuǎn)程控制->啟用遠(yuǎn)程控制 以及
終端服務(wù)配置文件->允許登陸到終端服務(wù)器
c.將guest改名為administrator并且修改密碼
d.除了管理員root,IUSER以及IWAM以及ASPNET用戶(hù)外.禁用其他一切用戶(hù).包括SQL DEBUG以及TERMINAL USER等等
3.目錄權(quán)限
將所有盤(pán)符的權(quán)限,全部改為只有
administrators組 全部權(quán)限
system 全部權(quán)限
將C盤(pán)的所有子目錄和子文件繼承C盤(pán)的administrator(組或用戶(hù))和SYSTEM所有權(quán)限的兩個(gè)權(quán)限
然后做如下修改
C:/Program Files/Common Files 開(kāi)放Everyone 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限
C:/WINDOWS/ 開(kāi)放Everyone 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限
C:/WINDOWS/Temp 開(kāi)放Everyone 修改,讀取及運(yùn)行,列出文件目錄,讀取,寫(xiě)入權(quán)限
現(xiàn)在WebShell就無(wú)法在系統(tǒng)目錄內(nèi)寫(xiě)入文件了.
當(dāng)然也可以使用更嚴(yán)格的權(quán)限.
在WINDOWS下分別目錄設(shè)置權(quán)限.
可是比較復(fù)雜.效果也并不明顯.
4.IIS
在IIS 6下.應(yīng)用程序擴(kuò)展內(nèi)的文件類(lèi)型對(duì)應(yīng)ISAPI的類(lèi)型已經(jīng)去掉了IDQ,PRINT等等危險(xiǎn)的腳本類(lèi)型,
在IIS 5下我們需要把除了ASP以及ASA以外所有類(lèi)型刪除.
安裝URLSCAN
在[DenyExtensions]中
一般加入以下內(nèi)容
.cer
.cdx
.mdb
.bat
.cmd
.com
