高手支招之網(wǎng)絡(luò)服務(wù)器安全配置的技巧

　　系統(tǒng)更新?lián)Q代速度很快，但是對(duì)于win2003系統(tǒng)還是有很多用戶鐘愛的。所以這里就與大家分享下在win2003系統(tǒng)中網(wǎng)絡(luò)服務(wù)器安全配置的技巧，滿足win2003用戶的需求。

　　系統(tǒng)：Windows2003

　　服務(wù)：[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [php] [MySQL]

　　1. WINDOWS本地安全策略 端口限制

　　A. 對(duì)于我們的例子來說，需要開通以下端口

　　外->本地 80

　　外->本地 20

　　外->本地 21

　　外->本地 PASV所用到的一些端口

　　外->本地 25

　　外->本地 110

　　外->本地 3389

　　然后按照具體情況，打開SQL SERVER和MYSQL的端口

　　外->本地 1433

　　外->本地 3306

　　B. 接著是開放從內(nèi)部往外需要開放的端口

　　按照實(shí)際情況，如果無需郵件服務(wù)，則不要打開以下兩條規(guī)則

　　本地->外 53 TCP，UDP

　　本地->外 25

　　按照具體情況，如果無需在服務(wù)器上訪問網(wǎng)頁(yè)，盡量不要開以下端口

　　本地->外 80

　　C. 除了明確允許的一律阻止，這個(gè)是安全規(guī)則的關(guān)鍵

　　外->本地 所有協(xié)議 阻止

　　2. 用戶帳號(hào)

　　A. 將administrator改名，例子中改為root

　　B. 取消所有除管理員root外所有用戶屬性中的

　　遠(yuǎn)程控制->啟用遠(yuǎn)程控制 以及

　　終端服務(wù)配置文件->允許登陸到終端服務(wù)器

　　C. 將guest改名為administrator并且修改密碼

　　D. 除了管理員root、IUSER以及IWAM以及aspNET用戶外，禁用其他一切用戶，包括SQL DEBUG以及TERMINAL USER等等

　　3. 目錄權(quán)限

　　將所有盤符的權(quán)限，全部改為只有

　　administrators組 全部權(quán)限

　　ystem 全部權(quán)限

　　將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權(quán)限的兩個(gè)權(quán)限

　　然后做如下修改

　　C:\PRogram Files\Common Files 開放Everyone默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限

　　C:\WINDOWS\ 開放Everyone默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個(gè)權(quán)限

　　C:\WINDOWS\Temp 開放Everyone 修改、讀取及運(yùn)行、列出文件目錄、讀取、寫入權(quán)限

　　現(xiàn)在WebShell就無法在系統(tǒng)目錄內(nèi)寫入文件了。當(dāng)然也可以使用更嚴(yán)格的權(quán)限，在WINDOWS下分別目錄設(shè)置權(quán)限�？墒潜容^復(fù)雜，效果也并不明顯。

　　4. IIS

　　在IIS 6下，應(yīng)用程序擴(kuò)展內(nèi)的文件類型對(duì)應(yīng)ISAPI的類型已經(jīng)去掉了IDQ、PRINT等等危險(xiǎn)的腳本類型，

　　在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除。

　　安裝URLSCAN

　　在[DenyExtensions]中一般加入以下內(nèi)容 . cer

　　. cdx

　　. mdb

　　 .bat

　　. cmd

　　. com

　　. htw

　　. ida

　　. idq

　　. htr

　　. idc

　　. shtm

　　. shtml

　　. stm

　　. printer

　　這樣入侵者就無法下載.mdb數(shù)據(jù)庫(kù)，這種方法比外面一些在文件頭加入特殊字符的方法更加徹底。

　　因?yàn)榧幢阄募�頭加入特殊字符，還是可以通過編碼構(gòu)造出來的

　　5. WEB目錄權(quán)限

　　比較保險(xiǎn)的做法就是為每個(gè)客戶建立一個(gè)Windows用戶，然后在IIS的響應(yīng)的站點(diǎn)項(xiàng)內(nèi)把IIS執(zhí)行的匿名用戶，綁定成這個(gè)用戶并且把他指向的目錄，權(quán)限變更為administrators 全部權(quán)限

　　system 全部權(quán)限

　　單獨(dú)建立的用戶(或者IUSER) 選擇高級(jí)->打開除 完全控制、遍歷文件夾/運(yùn)行程序、取得所有權(quán) 3個(gè)外的其他權(quán)限

　　如果服務(wù)器上站點(diǎn)不多，并且有論壇，我們可以把每個(gè)論壇的上傳目錄去掉此用戶的執(zhí)行權(quán)限，只有讀寫權(quán)限這樣入侵者即便繞過論壇文件類型檢測(cè)上傳了webshell也是無法運(yùn)行的。

　　6. MS SQL SERVER2000

　　使用系統(tǒng)帳戶登陸查詢分析器運(yùn)行以下腳本 use master

　　e xec sp_dropextendedproc 'xp_cmdshell'

　　e xec sp_dropextendedproc 'xp_dirtree'

　　e xec sp_dropextendedproc 'xp_enumgroups'

　　e xec sp_dropextendedproc 'xp_fixeddrives'

　　e xec sp_dropextendedproc 'xp_loginconfig'

　　e xec sp_dropextendedproc 'xp_enumerrorlogs'

　　e xec sp_dropextendedproc 'xp_getfiledetails'

　　e xec sp_dropextendedproc 'Sp_OACreate'

　　e xec sp_dropextendedproc 'Sp_OADestroy'

　　e xec sp_dropextendedproc 'Sp_OAGetErrorInfo'

　　e xec sp_dropextendedproc 'Sp_OAGetProperty'

　　e xec sp_dropextendedproc 'Sp_OAMethod'

　　e xec sp_dropextendedproc 'Sp_OASetProperty'

　　e xec sp_dropextendedproc 'Sp_OAStop'

　　e xec sp_dropextendedproc 'Xp_regaddmultistring'

　　e xec sp_dropextendedproc 'Xp_regdeletekey'

　　e xec sp_dropextendedproc 'Xp_regdeletevalue'

　　e xec sp_dropextendedproc 'Xp_regenumvalues'

　　e xec sp_dropextendedproc 'Xp_regread'

　　e xec sp_dropextendedproc 'Xp_regremovemultistring'

　　e xec sp_dropextendedproc 'Xp_regwrite'

　　drop procedure sp_makewebtask

　　go 刪除所有危險(xiǎn)的擴(kuò)展

　　7. 修改CMD.EXE以及NET.EXE權(quán)限

　　將兩個(gè)文件的權(quán)限修改到特定管理員才能訪問，比如本例中，我們?nèi)缦滦薷?/p>

　　cmd.e xe root用戶 所有權(quán)限

　　et.e xe root用戶 所有權(quán)現(xiàn)

　　這樣就能防止非法訪問

　　還可以使用例子中提供的comlog程序?qū)�com.exe改名_com.e xe，然后替換com文件，這樣可以記錄所有執(zhí)行的命令行指令

　　8. 備份

　　使用ntbackup軟件備份系統(tǒng)狀態(tài)，使用reg.e xe 備份系統(tǒng)關(guān)鍵數(shù)據(jù)，如reg export

　　LM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y

　　來備份系統(tǒng)的ODBC

　　9. 殺毒

　　在MCAFEE中，我們還能夠加入規(guī)則阻止在windows目錄建立和修改E XE. DLL文件等，我們?cè)谲浖�中加入�?duì)WEB目錄的殺毒計(jì)劃，每天執(zhí)行一次，并且打開實(shí)時(shí)監(jiān)控。

　　10. 關(guān)閉無用的服務(wù)

　　我們一般關(guān)閉如下服務(wù)

　　Computer Browser

　　Help and Support

　　Messenger

　　Print Spooler

　　Remote Registry

　　TCP/ip NetBIOS Helper

　　如果服務(wù)器不用作域控，我們也可以禁用Workstation

　　11. 取消危險(xiǎn)組件

　　如果服務(wù)器不需要fso，regsvr32 /u c:windows\system32\scrrun.dll注銷組件，使用regedit將/HKEY_CLASSES_ROOT下的 　WScript.Network

　　WScript.Network.1

　　WScript.Shell

　　WScript.Shell.1

　　Shell.application

　　Shell.Application.1

　　鍵值改名或刪除

　　將這些鍵值下CLSID中包含的字串

　　如{72C24DD5-D70A-438B-8A42-98424B88AFB8}

　　到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值

　　全部刪除

　　12. 審計(jì)

　　本地安全策略->本地策略->審核策略

　　打開以下內(nèi)容

　　審核策略更改 成功，失敗

　　審核系統(tǒng)事件 成功，失敗

　　審核帳戶登陸事件 成功，失敗

　　審核帳戶管理 成功，失敗

　　網(wǎng)絡(luò)服務(wù)器對(duì)系統(tǒng)來說是一個(gè)重要的組成部分，對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行安全配置，能夠保障上網(wǎng)的需求。雖然步驟很繁瑣，但是這些操作都是很有必要的，不可忽略。