WEB服務(wù)器安全設(shè)置

單擊此處編輯母版標題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,,,,*,WEB服務(wù)器安全設(shè)置,,1,服務(wù)器安全設(shè)置：,,目前很多服務(wù)器存在的很多安全隱患，黑客經(jīng)常會通過各種漏洞把服務(wù)器給黑掉目的：掌握系統(tǒng)權(quán)限的配置；端口的封堵；,,FTP服務(wù)器的安全設(shè)置；IIS服務(wù)器的設(shè)置2,,操作系統(tǒng)的安裝：,,服務(wù)器硬盤至少分兩個區(qū)，格式為NTFS格式安裝2003操作系統(tǒng)，并打好最新補丁安裝好驅(qū)動程序，系統(tǒng)默認沒有安裝IIS，所以要安裝IIS步驟：開始-控制面板-添加/刪除程序-添加/刪除WINDOWS組件-應(yīng)用程序：,3,,應(yīng)用程序-------ASP.NET（可選）,,|---啟用網(wǎng)絡(luò)COM+訪問（必選）,,|---Internet 信息服務(wù)(IIS) （必選）,,|---公用文件（必選）,,|---萬維網(wǎng)服務(wù)—Active Server pages（必選）,,|---Internet 數(shù)據(jù)連接器（可選）,,,|——WebDAV 發(fā)布（可選）,,|——萬維網(wǎng)服務(wù)（必選）　　 |——在服務(wù)器端的包含文件（可選）,,然后點擊確定—>下一步安裝4,,系統(tǒng)補丁的更新　點擊開始菜單—>所有程序->Windows Update按照提示進行補丁的安裝。

備份系統(tǒng)　　用GHOST備份系統(tǒng)安裝常用的軟件　　例如：殺毒軟件、解壓縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)5,,安裝殺毒軟件，有的殺毒軟件不支持服務(wù)器版，目前瑞星，麥咖啡，諾頓都可以；如果安裝瑞星的話會造成ASP動態(tài)不能訪問，需要進行修復(fù)一下動態(tài)庫，方法：在DOS命令行下輸入：regsvr32 jscript.dll （命令功能：修復(fù)Java動態(tài)鏈接庫） ；regsvr32 vbscript.dll （命令功能：修復(fù)VB動態(tài)鏈接庫） 不要指望殺毒能殺掉所有的木馬6,,開啟防火墻，這是2003自帶的防火墻，隨沒有什么功能但可以屏蔽一些端口在高級tcp/ip設(shè)置里--“NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS（S）”7,,修改注冊表. 開始--運行--regedit 依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 10000 ) 注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口修改完畢.重新啟動服務(wù)器.設(shè)置生效.,8,,用戶安全設(shè)置,,禁用Guest賬號 ：在計算機管理的用戶里面把Guest賬號禁用。

為了保險起見，最好給Guest加一個復(fù)雜的密碼你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去限制不必要的用戶 ：去掉所有的Duplicate User用戶、測試用戶、共享用戶等等用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口9,,把系統(tǒng)Administrator賬號改名 ：Windows 2003 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個用戶的密碼盡量把它偽裝成普通用戶 創(chuàng)建一個陷阱用戶 ：什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼這樣可以讓那些 Hacker們忙上一段時間，借此發(fā)現(xiàn)它們的入侵企圖10,,把共享文件的權(quán)限從Everyone組改成授權(quán)用戶 ：任何時候都不要把共享文件的用戶設(shè)置成“Everyone”組，包括打印共享，默認的屬性就是“Everyone”組的，一定不要忘了改11,,本地策略設(shè)置,,在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴重的事件也越難當(dāng)然如果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件，你需要根據(jù)情況在這二者之間做出選擇。

12,,推薦的要審核的項目是：,,登錄事件???? 成功 失敗,,賬戶登錄事件 成功 失敗,,系統(tǒng)事件???? 成功 失敗,,策略更改???? 成功 失敗,,對象訪問???? 失敗,,目錄服務(wù)訪問 失敗,,特權(quán)使用???? 失敗,13,,開啟用戶策略 ：使用用戶策略，分別設(shè)置復(fù)位用戶鎖定計數(shù)器時間為20分鐘，用戶鎖定時間為20分鐘，用戶鎖定閾值為3次 （該項為可選）,,不讓系統(tǒng)顯示上次登錄的用戶名 ：,,密碼安全設(shè)置 ：使用安全密碼 ，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼設(shè)置屏幕保護密碼,14,,開啟密碼策略 ：注意應(yīng)用密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長度最小值為6位 ，設(shè)置強制密碼歷史為5次，時間為42天15,,本地策略——>用戶權(quán)限分配,,關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除16,,本地策略——>安全選項,,交互式登陸：不顯示上次的用戶名　　　　　　　啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉　 啟用網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗證儲存憑證　　　啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享　　　　　　　全部刪除網(wǎng)絡(luò)訪問：可匿名訪問的命　　　　　　　　全部刪除網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑　　　　全部刪除 網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑全部刪除 帳戶：重命名來賓帳戶　　　　　　　重命名一個帳戶 帳戶：重命名系統(tǒng)管理員帳戶　　　　重命名一個帳戶,17,,禁用不必要的服務(wù),,開始-運行-services.msc ：,,TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò),,Server支持此計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享,,Computer Browser 維護網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表,,Task scheduler 允許程序在指定時間運行,,Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息,,Distributed : 局域網(wǎng)管理共享文件，不需要可禁用,18,,Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要可禁用,,Error reporting service：禁止發(fā)送錯誤報告,,Microsoft Serch：提供快速的單詞搜索，不需要可禁用,,NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要可禁用,,PrintSpooler：如果沒有打印機可禁用,,Remote Registry：禁止遠程修改注冊表,,Remote Desktop Help Session Manager：禁止遠程協(xié)助,,Workstation? ?關(guān)閉的話遠程NET命令列不出用戶組,,以上是在Windows Server 2003 系統(tǒng)上面默認啟動的服務(wù)中禁用的，默認禁用的服務(wù)如沒特別需要的話不要啟動。

19,,修改注冊表，讓系統(tǒng)更強壯,,隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏 ：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0,20,,防止SYN洪水攻擊 ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值，名為SynAttackProtect，值為2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 0,21,,禁止響應(yīng)ICMP路由通告報文 ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值，名為PerformRouterDiscovery 值為0,,防止ICMP重定向報文的攻擊 ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 將EnableICMPRedirects 值設(shè)為0,22,,不支持IGMP協(xié)議 ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值，名為IGMPLevel 值為0,,禁止IPC空連接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。

23,,刪除默認共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可,,建立一個記事本，填上以下代碼保存為*.bat并加到啟動項目中：net share c$ /delnet share d$ /delnet share e$ /delnet share f$ /delnet share ipc$ /delnet share admin$ /del,24,,系統(tǒng)權(quán)限的設(shè)置,,磁盤權(quán)限 ：,,系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限,,系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組SYSTEM 的完全控制權(quán)限,,系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限,,系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、、t、telnet.exe 、? ?? ? netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只給 Administrators 組和SYSTEM 的完全??控制權(quán)限,,另將\System32\cmd.exe、、轉(zhuǎn)移到其他目錄或更名,,Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限。

并且要一個一個目錄查看，包括下面的所有子目錄刪除c:\inetpub目錄,25,,IIS站點設(shè)置：,,將IIS目錄＆數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)啟用父級路徑,,在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）：右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射主要為.shtml, .shtm, .stm,,在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件,,26,,刪除IIS默認創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC更改IIS日志的路徑 ：右鍵單擊“默認Web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性,27,,Web站點權(quán)限設(shè)定（建議） ：讀? ? ? ?? ?? ?? ? 允許寫? ? ? ?? ?? ?? ? 不允許腳本源訪問? ? ? ? 不允許目錄瀏覽? ? ? ? 建議關(guān)閉日志訪問? ? ? ? 建議關(guān)閉索引資源? ? ? ? 建議關(guān)閉執(zhí)行? ? ? ?? ?? ?推薦選擇 “僅限于腳本”,28,,程序安全:,,涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;,,需要經(jīng)過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉(zhuǎn)進來的會話才能讀取這個頁面。

防止ASP主頁.inc文件泄露問題;,,防止UE等編輯器生成some.asp.bak文件泄露問題29,,為每個站點單獨設(shè)置賬戶：我的電腦-右鍵-管理-賬戶：新建賬戶-密碼，在新建的賬戶屬性里將隸屬于賬戶刪除（不給任何權(quán)限），遠程訪問拒絕；再新建一應(yīng)用程序池賬戶，在新建賬戶隸屬于里講賬戶刪除-添加IIS_WPG賬戶組打開IIS管理器：應(yīng)用程序池-新建應(yīng)用程序池-標識-配置-賬戶選擇新建的應(yīng)用程序池賬戶，密碼填此賬戶密碼30,,WEB賬戶配置：新建網(wǎng)站-屬性-目錄安全性-身份驗證和訪問控制-編輯-選擇無任何權(quán)限那個賬戶，密碼填此賬戶密碼，確定WEB文件夾權(quán)限設(shè)置：新建網(wǎng)站文件夾-右鍵屬性-安全-高級-勾掉父項的繼承權(quán)-只留administrator和system賬戶其他刪除-添加web賬戶和應(yīng)用程序池新建賬戶，并編輯權(quán)限，去掉：完全控制、遍歷文件夾、取得所有權(quán)將此硬盤的權(quán)限只留administration和system，添加IIS_WPG用戶為讀取權(quán)限31,,卸載最不安全的組件,,最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件將下面的代碼保存為一個.BAT文件， regsvr32/u C:\WINDOWS\System32\wshom.ocxdel C:\WINDOWS\System32\wshom.ocxregsvr32/u C:\WINDOWS\system32\shell32.dlldel C:\WINDOWS\shell32.dll,,然后運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。

可能會提示無法刪除文件，不用管它，重啟一下服務(wù)器，你會發(fā)現(xiàn)這三個都提示“×安全”了32,,IP安全策略設(shè)置：,,在控制面板-管理工具-打開本地安全策略：,,右鍵新建IP策略33,,SERV-U安全設(shè)置,,作為一款精典的FTP服務(wù)器軟件，SERV－U一直被大部分管理員所使用，首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞，即利用一個賬號可以輕易的得到SYSTEM權(quán)限其次是Serv-u的本地溢出漏洞，即Serv-U有一個默認的管理用戶（用戶名：localadministrator，密碼：#|@$ak#.|k;0@p），任何人只要通過一個能訪問本地端口43958的賬號就可以隨意增刪賬號和執(zhí)行任意內(nèi)部和外部命令從SERV－U6.0.0.2開始，該軟件有了登錄密碼功能，這樣如果加了管理密碼，并且設(shè)置比較妥善的話，SERV－U將會比原來安全的多現(xiàn)在我們就開始SERV－U的設(shè)置之旅，采用版本是SERV－U 6.0.0.234,,修改安裝路徑：路徑最好復(fù)雜無規(guī)律,,安裝的時候只選前2項就可以了，后面的2個是說明和在線幫助文件生成的開始菜單組里的文件夾的名字，建議更改成比較不像SERV－U的名字，或者是刪除該文件夾 。

安裝完成后會出現(xiàn)一個向?qū)ё屇憬⒁粋€域和賬號在這里點Cancel取消向?qū)в孟驅(qū)傻馁~號會帶來一些問題，所以下面采用手工方式建立域和賬號35,,然后點選Start automatically(system service)前面的選項，接著點下邊的Start Server按鈕把SERV－U加入系統(tǒng)服務(wù)，這樣就可以隨系統(tǒng)啟動了，不用每次都手工啟動通過點擊Set/Change Password設(shè)置一個密碼這里建議設(shè)置一個足夠復(fù)雜的密碼，以防止別人暴力破解自己記不得也沒有關(guān)系，只要把ServUDaemon.ini里的LocalSetupPassword=這一行清除并保存，再次運行ServUAdmin.exe就不會提示你輸入密碼登錄了36,,首先建立一個WINDOWS賬號SSERVU，密碼也需要足夠的復(fù)雜密碼要記住建好賬號以后，雙擊建好的用戶編輯用戶屬性，從“隸屬于”里刪除USERS組從“終端服務(wù)配置文件”選項里取消“允許登錄到終端服務(wù)器（W）”的選擇，然后點擊確定繼續(xù)我們的設(shè)置開始菜單的管理工具里找到“服務(wù)”點擊打開在“Serv-U 服務(wù)”上點右鍵，選擇屬性,37,,點擊“登錄”進入登錄賬號選擇界面。

選擇剛才建立的系統(tǒng)賬號名，并在下面重復(fù)輸入2次該賬號的密碼（就是剛才讓你記住的那個），然后點“應(yīng)用”，再次點確定，完成服務(wù)的設(shè)置接下來要先使用FTP管理工具建立一個域，再建立一個賬號，建好后選擇保存在注冊表打開注冊表來測試相應(yīng)的權(quán)限，否則SERV－U是沒辦法啟動的在開始－＞運行里輸入regedt32點“確定”繼續(xù)38,,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft]分支在上面點右鍵，選擇權(quán)限，然后點高級，取消允許父項的繼承權(quán)限傳播到該對象和所有子對象，包括那些在此明確定義的項目，點擊“應(yīng)用”繼續(xù)，接著刪除所有的賬號再次點擊“確定”按鈕繼續(xù)這時會彈出對話框顯示“您拒絕了所有用戶訪問Cat Soft沒有人能訪問 Cat Soft，而且只有所有者才能更改權(quán)限您要繼續(xù)嗎？”，點擊“是”繼續(xù)接著點擊添加按鈕增加我們建立的SSERVU賬號到該子鍵的權(quán)限列表里，并給予完全控制權(quán)限到這里注冊表已經(jīng)設(shè)置完了但還不能重新啟動SERV－U，因為安裝目錄還沒設(shè)置39,,現(xiàn)在就來設(shè)置一下，只保留你的管理賬號和SSERVU賬號，并給予除了完全控制外的所有權(quán)限服務(wù)里重啟Serv-U 服務(wù)就可以正常啟動了。

當(dāng)然，到這里還沒有完全設(shè)置完，你的FTP用戶因為沒有權(quán)限還是登錄不了的，所以還要設(shè)置一下目錄的權(quán)限40,,假設(shè)你有一個WEB目錄，路徑是d:\web那么在這個目錄的“安全設(shè)定”里除了管理員和IIS用戶都刪除掉，再加入SSERVU賬號，切記SYSTEM賬號也刪除掉為什么要這樣設(shè)置呢？因為現(xiàn)在已經(jīng)是用SSERVU賬號啟動的SERV－U，而不是用SYSTEM權(quán)限啟動的了，所以訪問目錄不再是用SYSTEM而是用SSERVU，此時SYSTEM已經(jīng)沒有用了，這樣就算真的溢出也不可能得到SYSTEM權(quán)限另外，WEB目錄所在盤的根目錄還要設(shè)置允許SSERV－U賬號的瀏覽和讀取權(quán)限，并確認在高級里設(shè)置只有該文件夾41,,結(jié)束,42,,。