Windows Internet服務器安全配置指南原理篇第2/2頁
2024-09-10 00:01:58
供稿:網友
本文提到的部分軟件在提供下載的RAR中包含
包括COM命令行執行記錄
URLSCAN 2.5以及配置好的配置文件
IPSEC導出的端口規則
evtsys
一些注冊表加固的注冊表項.
實踐篇
下面我用的例子.將是一臺標準的虛擬主機.
系統:windows2003
服務:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:為了演示,綁定了最多的服務.大家可以根據實際情況做篩減
1.WINDOWS本地安全策略 端口限制
A.對于我們的例子來說.需要開通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具體情況.打開SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接著是開放從內部往外需要開放的端口
按照實際情況,如果無需郵件服務,則不要打開以下兩條規則
本地->外 53 TCP,UDP
本地->外 25
按照具體情況.如果無需在服務器上訪問網頁.盡量不要開以下端口
本地->外 80
C.除了明確允許的一律阻止.這個是安全規則的關鍵.
外->本地 所有協議 阻止
2.用戶帳號
a.將administrator改名,例子中改為root
b.取消所有除管理員root外所有用戶屬性中的
遠程控制->啟用遠程控制 以及
終端服務配置文件->允許登陸到終端服務器
c.將guest改名為administrator并且修改密碼
d.除了管理員root,IUSER以及IWAM以及ASPNET用戶外.禁用其他一切用戶.包括SQL DEBUG以及TERMINAL USER等等
3.目錄權限
將所有盤符的權限,全部改為只有
administrators組 全部權限
system 全部權限
將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權限的兩個權限
然后做如下修改
C:/Program Files/Common Files 開放Everyone 默認的讀取及運行 列出文件目錄 讀取三個權限
C:/WINDOWS/ 開放Everyone 默認的讀取及運行 列出文件目錄 讀取三個權限
C:/WINDOWS/Temp 開放Everyone 修改,讀取及運行,列出文件目錄,讀取,寫入權限
現在WebShell就無法在系統目錄內寫入文件了.
當然也可以使用更嚴格的權限.
在WINDOWS下分別目錄設置權限.
可是比較復雜.效果也并不明顯.
4.IIS
在IIS 6下.應用程序擴展內的文件類型對應ISAPI的類型已經去掉了IDQ,PRINT等等危險的腳本類型,
在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除.
安裝URLSCAN
在[DenyExtensions]中
一般加入以下內容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
這樣入侵者就無法下載.mdb數據庫.這種方法比外面一些在文件頭加入特殊字符的方法更加徹底.
