查看單個文章
舊 2003-06-08, 12:01 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 NT/2000伺服器終極安全設置與效率最佳化指南

標藏D:NT/2000伺服器終極安全設置與效率最佳化指南



現在有很多人都認為微軟的東西漏洞太多,,微軟的系統安全性極差,不過通過我在做各種系統的安全配置的程序中我總結出了一些經驗,特拿來與各位共享,其實各種系統都有很多漏洞,只不過微軟的東西用的人最多,普遍又是水準不是很高,不會作各種安全設置,所以才會讓人有現在網上的NT/2000服務性安全性都很差的感覺,其實NT/2000的伺服器如果真的做好了各項安全設置之後,其安全性絕對不會比nix系統差,如果你按照下面我說的做,我可以保證你95%以上的安全性,100%我可不敢保證,當然你必須要及時打上微軟的各種大大小小的修正檔,呵呵,是誰,誰拿香蕉皮扔我,站出來!!呵呵,廢話少說,轉入正題。


1.初級篇:NT/2000系統本身的全部安裝與相關設置

瞼哞T(2000)建立的WEB站點在所有的網站中佔了很大一部分比例,主要因為其易用性與易管理性,使該公司不必再投入大量的金錢在伺服器的管理上,這一點優於nix系統,不必請很專業的管理員,不必支付一份可以節省的高薪,呵呵,當然nix的管理員也不會失業,因為其開放源碼和windows系統無與倫比的速度,使得現在幾乎所有的大型伺服器全部採用nix系統。但對於中小型企業來說windows已經足夠,但NT的安全問題也一直比較突出,使得一些每個關於NT的網站都有一種如履薄冰的感覺,在此我給出一份安全解決方案,算是為中國的網路安全事業做出一份貢獻吧 (說明:本方案主要是針對建立Web站點的NT、2000伺服器安全,對於區域網路內的伺服器並不合適。)

瞻@、 定制自己的NT/2000 SERVER

1. 版本的選項:
WIN2000有各種語言的版本,對於我們來說,可以選項英文版或簡體中文版,我強烈建議:在語言不成為障礙的情況下,請一定使用英文版。要知道,微軟的產品是以Bug &Patch而著稱的,中文版的Bug遠遠多於英文版,而修正檔一般還會遲至少半個月(也就是說一般微軟公佈了漏洞後你的電腦還會有半個月處於無保護狀況)

2. 組件的定制:
win2000在預設情況下會安裝一些常用的組件,但是正是這個預設安裝是極度危險的你應該確切的知道你需要哪些服務,而且僅僅安裝你確實需要的服務,根據安全原則,最少的服務+最小的權限=最大的安全。典型的WEB伺服器需要的最小組件選項是:只安裝IIS的Com Files,IIS Snap-In,WWW Server組件。如果你確實需要安裝其他組件,請慎重,特別是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個危險服務。

瞻G、 正確安裝NT/2000 SERVER

瞻ˊ蚻ONT還是2000,硬碟分區均為NTFS分區;
罈〝:
癒]1) NTFS比FAT分區多了安全控制功能,可以對不同的資料夾設置不同的訪問權限,安全性增強。
癒]2) 建議最好一次性全部安裝成NTFS分區,而不要先安裝成FAT分區再轉化為NTFS分區,這樣做在安裝了SP5和SP6的情況下會導致轉化不成功,甚至系統崩潰。
癒]3) 安裝NTFS分區有一個潛在的危險,就是目前大多數反病毒軟體沒有提供對軟碟啟動後NTFS分區病毒的查殺,這樣一旦系統中了惡性病毒而導致系統不能正常啟動,後果就比較嚴重,因此及建議平時做好防病毒工作。
(4)分區和邏輯碟的分配
有一些朋友為了省事,將硬碟僅僅分為一個邏輯碟,所有的軟體都裝在C驅上,這是很不好的,建議最少建立兩個分區,一個系統分區,一個應用程式分區,這是因為,微軟的IIS經常會有洩漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統檔案的洩漏甚至入侵者遠端獲取ADMIN。推薦的安全配置是建立三個邏輯磁碟機,第一個大於2G,用來裝系統和重要的*志文件,第二個放IIS,第三個放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統檔案。要知道,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序並從IIS中執行。
(5)安裝順序的選項:
win2000在安裝中有幾個順序是一定要注意的: 首先,何時接入網路:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼後,系統就建立了ADMIN$的共享,但是並沒有用你剛剛輸入的密碼來保護它,這種情況一直持續到你再次啟動後,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動執行,而這時的伺服器是滿身漏洞,非常容易進入的,因此,在完全安裝並配置好win2000 SERVER之前,一定不要把主機接入網路。 其次,修正檔的安裝:修正檔的安裝應該在所有應用程式安裝完之後,因為修正檔程序往往要替換/修改某些系統檔案,如果先安裝修正檔再安裝應用程式有可能導致修正檔不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝

三、 安全配置NT/2000 SERVER
即使正確的安裝了WIN2000 SERVER,系統還是有很多的漏洞,還需要進一步進行細緻地配置。

1.連接阜:
連接阜是電腦和外部網路相連的邏輯接頭,也是電腦的第一道屏障,連接阜配置正確與否直接影響到主機的安全,一般來說,僅開啟你需要使用的連接阜會比較安全,配置的方法是在網路卡屬性內容-TCP/IP-進階-選項-TCP/IP篩選啟用TCP/IP篩選,不過對於win2000的連接阜過濾來說,有一個不好的特性:只能規定開哪些連接阜,不能規定關閉哪些連接阜,這樣對於需要開大量連接阜的用戶就比較痛苦。

2.IIS:
IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS預設安裝又實在不敢恭維,所以IIS的配置是我們的重點,現在大家跟著我一起來:首先,把C碟那個什麼Inetpub目錄徹底刪掉,在D碟建一個Inetpub(要是你不放心用預設目錄名也可以改一個名字,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub;其次,那個IIS安裝時預設的什麼scripts等虛擬目錄一概刪除,如果你需要什麼權限的目錄可以自己慢慢建,需要什麼權限開什麼。(特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給)第三,應用程式配置:在IIS管理器中刪除必須之外的任何無用映射,必須指的是ASP,ASA和其他你確實需要用到的檔案類型,例如你用到stml等(使用server side include),實際上90%的主機有了上面兩個映射就夠了,其餘的映射幾乎每個都有一個淒慘的故事:htw, htr, idq, ida……想知道這些故事?去查以前的漏洞列表吧。在IIS管理器中右擊主機->屬性內容->WWW服務 編輯->主目錄配置->應用程式映射,然後就開始一個個刪吧(裡面沒有全選的,嘿嘿)。接著在剛剛那個視窗的應用程式偵錯書籤內將指令碼錯誤消息改為發送文本(除非你想ASP出錯的時候用戶知道你的程序/網路/資料庫結構)錯誤文本寫什麼?隨便你喜歡,自己看著辦。點擊確定退出時別忘了讓虛擬站點繼承你設定的屬性內容。安裝新的Service Pack後,IIS的應用程式映射應重新設置。(說明:安裝新的Service Pack後,某些應用程式映射又會出現,導致出現安全漏洞。這是管理員較易忽視的一點。)

為了對付*益增多的cgi漏洞掃瞄器,還有一個小技巧可以參考,在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件,可以讓目前絕大多數CGI漏洞掃瞄器失靈。其實原因很簡單,大多數CGI掃瞄器在編寫時為了方便,都是通過檢視返回頁面的HTTP程式碼來判斷漏洞是否存在的,例如,著名的IDQ漏洞一般都是通過取1.idq來檢驗,如果返回HTTP200,就認為是有這個漏洞,反之如果返回HTTP404就認為沒有,如果你通過URL將HTTP404出錯信息重定向到HTTP404.htm文件,那麼所有的掃瞄無論存不存在漏洞都會返回HTTP200,90%的CGI掃瞄器會認為你什麼漏洞都有,結果反而掩蓋了你真正的漏洞,讓入侵者茫然無處下手,不過從個人角度來說,我還是認為扎扎實實做好安全設置比這樣的小技巧重要的多。

最後,為了保險起見,你可以使用IIS的制作備份功能,將剛剛的設定全部制作備份下來,這樣就可以隨時恢復IIS的安全配置。還有,如果你怕IIS負荷過高導致伺服器滿負荷當機,也可以在性能中開啟CPU限制,例如將IIS的最大CPU使用率限制在70%。
3.帳號原則:
癒]1)帳號盡可能少,且盡可能少用來登錄;
罈〝:網站帳號一般只用來做系統維護,多餘的帳號一個也不要,因為多一個帳號就會多一份被攻破的危險。
癒]2)除過Administrator外,有必要再增加一個屬於管理員組的帳號;
罈〝:兩個管理員組的帳號,一方面防止管理員一旦忘記一個帳號的密碼還
礎酗@個備用帳號;另方面,一旦黑客攻破一個帳號並更改密碼,我們還有
礎鳥鷛|重新在短期內取得控制權。
癒]3)所有帳號權限需嚴格控制,輕易不要給帳號以特殊權限;
癒]4)將Administrator重命名,改為一個不易猜的名字。其他一般帳號也應尊循這一原則。
罈〝:這樣可以為黑客攻擊增加一層障礙。
癒]5)將Guest帳號禁用,同時重命名為一個複雜的名字,增加密碼,並將它從
麋uest組刪掉;
罈〝:有的黑客工具正是利用了guest 的弱點,可以將帳號從一般用戶提
瞻禸儥瑊z員組。
癒]6)給所有用戶帳號一個複雜的密碼(系統帳號出外),長度最少在8位以上, 且必須同時包含字母、數字、特殊字串。同時不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數字(如2000)等。
罈〝:密碼是黑客攻擊的重點,密碼一旦被突破也就無任何系統安全可言了,而這往往是不少網管所忽視的地方,據我們的測試,僅字母加數字的5位密碼在幾分鐘內就會被攻破,而所推薦的方案則要安全的多。
癒]7)密碼必須定期更改(建議至少兩周該一次),且最好記在心裡,除此以外不要在任何地方做記錄;另外,如果在*志稽核中發現某個帳號被連續嘗試,則必須立刻更改此帳號(包括用戶名和密碼);
癒]8)在帳號屬性內容中設立鎖定次數,比如改帳號失敗登錄次數超過5次即鎖定改帳號。這樣可以防止某些大規模的登錄嘗試,同時也使管理員對該帳號提高警惕。

4.安全*志:

Win2000的預設安裝是不開任何安全稽核的!
那麼請你到本機安全原則->稽核原則中開啟相應的稽核,推薦的稽核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對像訪問 失敗
原則更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
帳戶登錄事件 成功 失敗
稽核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;稽核項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了稽核的意義。 與之相關的是:
在賬戶原則->密碼原則中設定:
密碼複雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶原則->賬戶鎖定原則中設定:
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復位鎖定計數 20分鐘
同樣,Terminal Service的安全*志預設也是不開的,我們可以在Terminal Service Configration(遠端服務配置)-權限-進階中配置安全稽核,一般來說只要記錄登錄、註銷事件就可以了。

5.目錄和文件權限:

為了控制好伺服器上用戶的權限,同時也為了預防以後可能的入侵和溢出,我們還必須非常小心地設置目錄和文件的訪問權限,NT的訪問權限分為:讀取、寫入、讀取及執行、修改、列目錄、完全控制。在預設的情況下,大多數的資料夾對所有用戶(Everyone這個組)是完全敞開的(Full Control),你需要根據套用的需要進行權限重設。
在進行權限控制時,請記住以下幾個原則:
1>限是累計的:如果一個用戶同時屬於兩個組,那麼他就有了這兩個組所允許的所有權限;
2>拒絕的權限要比允許的權限高(拒絕原則會先執行)如果一個用戶屬於一個被拒絕訪問某個資源的組,那麼不管其他的權限設置給他開放了多少權限,他也一定不能訪問這個資源。所以請非常小心地使用拒絕,任何一個不當的拒絕都有可能造成系統無法正常執行;
3>文件權限比資料夾權限高
4>利用用戶組來進行權限控制是一個成熟的系統管理員必須具有的優良習慣之一;
5>僅給用戶真正需要的權限,權限的最小化原則是安全的重要保障;
6.只安裝一種操作系統;
罈〝:安裝兩種以上操作系統,會給黑客以可乘之機,利用攻擊使系統重啟到另外一個沒有安全設置的操作系統(或者他熟悉的操作系統),進而進行破壞。
7.安裝成獨立的域控制器(Stand Alone),選項工作組成員,不選項域;
罈〝:主域控制器(PDC)是區域網路中隊多台聯網機器管理的一種方式,用於網站伺服器包含著安全隱患,使黑客有可能利用域方式的漏洞攻擊站點伺服器。

8.將操作系統檔案所在分區與WEB資料包括其他應用程式所在的分區分開,並在安裝時最好不要使用系統預設的目錄,如將\WINNT改為其他目錄;
罈〝:黑客有可能通過WEB站點的漏洞得到操作系統對操作系統某些程序的執行權限,從而造成更大的破壞。同時如果採用IIS的話你應該在其設置中刪除掉所有的無用的映射,同時不要安裝索引服務,遠端站點管理與伺服器擴展最好也不要要,然後刪掉預設路徑下的www,整個刪,不要手軟,然後再硬碟的另一個硬碟建立存放你網站的資料夾,同時一定記得開啟w3c*志紀錄,切記(不過本人建議採用apache 1.3.24)

系統安裝程序中一定本著最小服務原則,無用的服務一概不選項,達到系統的最小安裝,多一個服務,多一份風險,呵呵,所以無用組件千萬不要安裝!
9.關於修正檔:在NT下,如果安裝了修正檔程序,以後如果要從NT光碟上安裝新的Windows程序,都要重新安裝一次修正檔程序, 2000下不需要這樣做。
罈〝:

癒]1) 最新的修正檔程序,表示系統以前有重大漏洞,非補不可了,對於區域網路內伺服器可以不是最新的,但站點必須安裝最新修正檔,否則黑客可能會利用低版本修正檔的漏洞對系統造成威脅。這是一部分管理員較易忽視的一點;
癒]2) 安裝NT的SP5、SP6有一個潛在威脅,就是一旦系統崩潰重裝NT時,系統將不會認NTFS分區,原因是微軟在這兩個修正檔中對NTFS做了改進。只能通過Windows 2000安裝程序中認NTFS,這樣會造成很多麻煩,建議同時做好資料制作備份工作。
癒]3) 安裝Service Pack前應先在測試電腦上安裝一次,以防因為例外原因導致機器當機,同時做好資料制作備份。

繙伅q不安裝與WEB站點服務無關的軟體;
罈〝:其他應用軟體有可能存在黑客熟知的安全漏洞。



10.解除NetBios與TCP/IP傳輸協定的綁定

罈〝:NetBois在區域網路內是不可缺少的功能,在網站伺服器上卻成了黑客掃瞄工具的首選目標。方法:NT:控制面版——網路——綁定——NetBios接頭——禁用 2000:控制面版——網路和撥號連接——本機網路——屬性內容——TCP/IP——屬性內容——進階——WINS——禁用TCP/IP上的NETBIOS

11.刪除所有的網路共享資源,在網路連接的設置中刪除文件和列印共享,只留下TCP/IP傳輸協定

罈〝:NT與2000在預設情況下有不少網路共享資源,在區域網路內對網路管理和網路通訊有用,在網站伺服器上同樣是一個特大的安全隱患。(卸載「Microsoft 網路的文件和列印機共享」。當檢視「網路和撥號連接」中的任何連接屬性內容時,將顯示該選項。按擊「卸載」按鈕刪除該組件;清除「Microsoft 網路的文件和列印機共享」複選框將不起作用。)
瞻隤k:
(1)NT:管理工具——伺服器管理器——共享目錄——停止共享;
2000:控制面版——管理工具——計算及管理——共用資料夾———停止共享
礎上述兩種方法太麻煩,伺服器每重啟一次,管理員就必須停止一次
癒]2)修改註冊表:
簞鶡潝egedit,然後修改註冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵
齋ame: AutoShareServer
嬸ype: REG_DWORD
燾alue: 0
繕M後重新啟動您的伺服器,磁牒分區共享去掉,但IPC共享仍存在,需每次重啟後手工刪除。

12.改NTFS的安全權限;
罈〝:NTFS下所有文件預設情況下對所有人(EveryOne)為完全控制權限,這使黑客有可能使用一般用戶身份對文件做增加、刪除、執行等操作,建議對一般用戶只給予讀取權限,而只給管理員和System以完全控制權限,但這樣做有可能使某些正常的指令碼程序不能執行,或者某些需要寫的操作不能完成,這時需要對這些文件所在的資料夾權限進行更改,建議在做更改前先在測試電腦上作測試,然後慎重更改。

13.加強資料制作備份;
罈〝:這一點非常重要,站點的核心是資料,資料一旦遭到破壞後果不堪設想,而這往往是黑客們真正關心的東西;遺憾的是,不少網管在這一點上作的並不好,不是制作備份不完全,就是制作備份不及時。資料制作備份需要仔細計劃,制定出一個原則並作了測試以後才實施,而且隨著網站的更新,制作備份計劃也需要不斷地調整。


14.只保留TCP/IP傳輸協定,刪除NETBEUI、IPX/SPX傳輸協定;
罈〝:網站需要的通訊傳輸協定只有TCP/IP,而NETBEUI是一個只能用於區域網路的傳輸協定,IPX/SPX是面臨淘汰的傳輸協定,放在網站上沒有任何用處,反而會被某些黑客工具利用。

15.不要起用IP轉發功能,控制台->網路->傳輸協定->TCP/IP傳輸協定->屬性內容,使這個選框為空。(NT)
罈〝:預設情況下,NT的IP轉發功能是禁止的,但注意不要啟用,否則它會具有路由作用,被黑客利用來對其他伺服器進行攻擊。

16.安裝最新的MDAChttp://www.microsoft.com/data/download.htm)
罈〝:MDAC為資料訪問設備,通常程序對資料庫的訪問都通過它,但它也是黑客攻擊的目標,為防止以前版本的漏洞可能會被帶入昇級後的版本,建議卸載後安裝最新的版本。注意:在安裝最新版本前最好先做一下測試,因為有的資料訪問方式或許在新版本中不再被支持,這種情況下可以通過修改註冊表來檔漏洞,祥見漏洞測試我的文件。

17.設置IP拒絕訪問列表
罈〝:對於WWW服務,可以拒絕一些對站點有攻擊嫌疑的位址;尤其對於FTP服務,如果只是自己公司上傳文件,就可以只允許本公司的IP訪問改FTP服務,這樣,安全性大為提高。

18.禁止對FTP服務的匿名訪問
罈〝:如果允許對FTP服務做匿名訪問,該匿名帳戶就有可能被利用來獲取更多的信息,以致對系統造成危害。

19.建議使用W3C擴充*志文件格式,每天記錄客戶IP位址,用戶名,伺服器連接阜,方法,URI字根,HTTP狀態,用戶代理,而且每天均要審查*志。(最好不要使用預設的目錄,建議更換一個記*志的路徑,同時設置*志的訪問權限,只允許管理員和system為Full Control)
罈〝:作為一個重要措施,既可以發現攻擊的跡象,採取預防措施,也可以作為受攻擊的一個證據。

20.慎重設置WEB站點目錄的訪問權限,一般情況下,不要給予目錄以寫入和允許目錄瀏覽權限。只給予.ASP文件目錄以指令碼的權限,而不要給與執行權限。
罈〝:目錄訪問權限必須慎重設置,否則會被黑客利用。

21.ASP編程安全:

礎w全不僅是網管的事,編程人員也必須在某些安全細節上注意,養成良好的安全習慣,否則,會給黑客造成可乘之機。目前,大多數網站上的ASP程序有這樣那樣的安全漏洞,但如果寫程序的時候注意的話,還是可以避免的。

簪A及用戶名與密碼的程序最好封裝在伺服器端,盡量少的在ASP文件裡出現,涉及到與資料庫連接地用戶名與密碼應給予最小的權限。
罈〝:用戶名與密碼,往往是黑客們最感興趣的東西,如果被通過某種方式看到來源碼,後果是嚴重的。因此要盡量減少它們在ASP文件中的出現次數。出現次數多得用戶名與密碼可以寫在一個位置比較隱蔽的包含文件中。如果涉及到與資料庫連接,理想狀態下只給它以執行存儲程序的權限,千萬不要直接給予該用戶以修改、插入、刪除記錄的權限。

罈搨n經過驗證的ASP頁面,可跟蹤上一個頁面的檔案名,只有從上一頁面轉進來的會話才能讀取這個頁面。
罈〝:現在的需要經過驗證的ASP程序多是在頁面頭部加一個判斷語句,但這還不夠,有可能被黑客繞過驗證直接進入,因此有必要跟蹤上一個頁面。具體漏洞見所附漏洞我的文件。

穡黎蕼SP主頁.inc文件洩露問題
繚磽s在asp 的主頁正在製作並沒有進行最後偵錯完成以前,可以被某些搜尋引擎機動追加為搜尋對象,如果這時候有人利用搜尋引擎對這些網頁進行搜尋,會得到有關文件的定位,並能在瀏覽器中察看到資料庫地點和結構的細節揭示完整的來源碼。
繡悃M方案:程序員應該在網頁發佈前對其進行徹底的偵錯;安全專家需要固定asp 包含文件以便外部的用戶不能看他們。 首先對 .inc 文件內容進行加密,其次也可以使用 .asp 文件替代 .inc 文件使用戶無法從瀏覽器直接觀看文件的來源碼。.inc 文件的檔案名不用使用系統預設的或者有特殊含義容易被用戶猜測到的,盡量使用無規則的英文字母。


穠`意某些ASP編輯器會自動制作備份asp文件,會被下載的漏洞
礎b有些編輯asp程序的工具,當新增或者修改一個asp文件時,編輯器自動新增一個備份檔案,比如:UltraEdit就會制作備份一個..bak文件,如你新增或者修改了some.asp,編輯器自動產生一個叫some.asp.bak文件,如果你沒有刪除這個 bak文件,攻擊有可以直接下載some.asp.bak文件,這樣some.asp的源程序就會給下載。

礎b處理類似留言板、BBS等輸入框的ASP程序中,最好遮閉掉HTML、javascript、VBScript語句,如無特殊要求,可以限定只允許輸入字母與數字,遮閉掉特殊字串。同時對輸入字串的長度進行限制。而且不但在客戶端進行輸入合法性檢查,同時要在伺服器端程序中進行類似檢查。
罈〝:輸入框是黑客利用的一個目標,他們可以通過輸入指令碼語言等對用戶客戶端造成損壞; 如果該輸入框涉及到資料查詢,他們會利用特殊查詢輸入得到更多的資料庫資料,甚至是表的全部。因此必須對輸入框進行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查,仍有可能被繞過,因此必須在伺服器端再做一次檢查。


穡黎蕼CCESS mdb 資料庫有可能被下載的漏洞
礎b用ACCESS做後台資料庫時,如果有人通過各種方法知道或者猜到了伺服器的ACCESS資料庫的路徑和資料庫名稱,那麼他能夠下載這個ACCESS資料庫文件,這是非常危險的。
繡悃M方法:
(1) 為你的資料庫檔案名稱起個複雜的非常規的名字,並把他放在幾目錄下。所謂 "非常規", 打個比方: 比如有個資料庫要儲存的是有關書籍的信息, 可不要把他起個"book.mdb"的名字,起個怪怪的名稱,比如d34ksfslf.mdb, 再把他放在如./kdslf/i44/studi/ 的幾層目錄下,這樣黑客要想通過猜的方式得到你的ACCESS資料庫文件就難上加難了。
(2)不要把資料庫名寫在程序中。有些人喜歡把DSN寫在程序中,比如:
鮭BPath = Server.MapPath("cmddb.mdb")
檬onn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
簞畢p萬一給人拿到了源程序,你的ACCESS資料庫的名字就一覽無餘。因此建議你在ODBC裡設置資料來源,再在程序中這樣寫:
檬onn.open "shujiyuan"
(3)使用ACCESS來為資料庫文件編碼及加密。首先在選取 "工具->安全->加密/解密資料庫,選取資料庫(如:employer.mdb),然後接確定,接著會出現 "資料庫加密後另存為"的視窗,存為:employer1.mdb。 接著employer.mdb就會被編碼,然後存為employer1.mdb..
簫n注意的是,以上的動作並不是對資料庫設置密碼,而只是對資料庫文件加以編碼,目的是為了防止他人使用別的工具來檢視資料庫文件的內容。
簣竣U來我們為資料庫加密,首先以開啟經過編碼了的 employer1.mdb, 在開啟時,選項"獨佔"方式。然後選取功能表的"工具->安全->設置資料庫密碼", 接著 輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到 employer1.mdb的。

23.SQL SERVER的安全

壘QL SERVER是NT平台上用的最多的資料庫系統,但是它的安全問題也必須引起重視。資料庫中往往存在著最有價值的信息,一旦資料被竊後果不堪設想。

瞻峸玊騝s修正檔程序。
罈〝:與NT一樣,SQL SERVER的許多漏洞會由修正檔程序來彌補。建議在安裝修正檔程序之前先在測試電腦上做測試,同時提前做好目標伺服器的資料制作備份。

繕酬A一個複雜的密碼。
罈〝:SA具有對SQL SERVER資料庫操作的全部權限。遺憾的是,一部分網管對資料庫並不熟悉,建立資料庫的工作由編程人員完成,而這部分人員往往只注重編寫SQL 語句本身,對SQL SERVER資料庫的管理不熟悉,這樣很有可能造成SA密碼為空。這對資料庫安全是一個嚴重威脅。目前具有這種隱患的站點不在少數。

薩Y格控制資料庫用戶的權限,輕易不要給讓用戶對表有直接的查詢、更改、插入、刪除權限,可以通過給用戶以訪問視圖的權限,以及只具有執行存儲程序的權限。
罈〝:用戶如果對表有直接的操作權限,就會存在資料被破壞的危險。

穡謆q完整的資料庫制作備份與恢復原則。

24. PCANYWHERE的安全:

瞼堳e,PCANYWHERE是最流行的關於NT與2000的遠端控制工具,同樣也需要注意安全問題。

竄媊陰艦帠瞈W的用戶名與密碼,最好採用加密手段。千萬不要採用與NT管理員一樣的用戶名與密碼,也不要使用與NT集成的密碼。同時在伺服器端的設置時務必採用security options中的強加密方式,拒絕低加密水準的連接,同時採用密碼加密與傳輸程序中的用戶名與密碼加密,以防止被嗅探到,還要限制連接次數,另外很重要的一點就是一定在protect item中設置高強度的密碼,同時一定限制不能夠讓別人看到你的host端的任何設置,即便是要察看主機端的相關設置也必須要輸入密碼!
罈〝:PCANYWHERE 密碼是遠端控制的第一個關口,如果與NT的一樣, 就失去了安全屏障。被攻破後就毫無安全可言。而如果採用單獨的密碼,即使攻破了PCANYWHERE,NT還有一個密碼屏障。
瞻峸犰w裝較新的版本。


2.中級篇: IIS的安全與性能調整

實際上,安全和套用在很多時候是矛盾的,因此,你需要在其中找到平衡點,畢竟伺服器是給用戶用而不是做OPEN HACK的,如果安全原則妨礙了系統套用,那麼這個安全原則也不是一個好的原則。 網路安全是一項系統工程,它不僅有空間的跨度,還有時間的跨度。很多朋友(包括部分系統管理員)認為進行了安全配置的主機就是安全的,其實這其中有個誤區:我們只能說一台主機在一定的情況一定的時間上是安全的隨著網路結構的變化、新的漏洞的發現,管理員/用戶的操作,主機的安全狀況是隨時隨地變化著的,只有讓安全意識和安全制度貫穿整個程序才能做到真正的安全。

提高IIS 5.0網站伺服器的執行效率的八種方法  
以下是提高IIS 5.0網站伺服器的執行效率的八種方法:
1. 啟用HTTP的持續作用可以改善15~20%的執行效率。  
2. 不啟用記錄可以改善5~8%的執行效率。  
3. 使用 [獨立] 的處理程序會損失20%的執行效率。  
4. 增加快取記憶體的儲存檔案數量,可提高Active Server Pages之效能。  
5. 勿使用CGI程式。  
6. 增加IIS 5.0電腦CPU數量。  
7. 勿啟用ASP偵錯功能。  
8. 靜態網頁採用HTTP 壓縮,大約可以減少20%的傳輸量。  

簡單介紹如下。  
1、啟用HTTP的持續作用  
啟用HTTP的持續作用(Keep-Alive)時,IIS與瀏覽器的連線不會斷線,可以改善執行效率,直到瀏覽器關閉時連線才會斷線。因為維持「Keep-Alive」狀態時,於每次用戶端請求時都不須重新增立一個新的連接,所以將改善伺服器的效率。此功能為HTTP1.1預設的功能,HTTP 1.0加上Keep-Alive header也可以提供HTTP的持續作用功能。
 

2、啟用HTTP的持續作用可以改善15~20%的執行效率。  
如何啟用HTTP的持續作用呢?步驟如下:在 [Internet服務管理員] 中,選取整個IIS電腦、或Web站台,於 [內容] 之 [主目錄] 頁,勾選 [HTTP的持續作用] 選項。
 

3、不啟用記錄  
不啟用記錄可以改善5~8%的執行效率。如何設定不啟用記錄呢?步驟如下:  
在 [Internet服務管理員] 中,選取整個IIS電腦、或Web站台,於 [內容] 之 [主目錄] 頁,不勾選 [啟用記錄] 選項。設定非獨立的處理程序使用 [獨立] 的處理程序會損失20%的執行效率,此處所謂 獨立」系指將 [主目錄]、[虛擬目錄] 頁之套用程式保護選項設定為 [高(獨立的)] 時。因此 [套用程式保護] 設定為 [低 (IIS處理程序)] 時執行效率較高如何設定非「獨立」的處理程序呢?步驟如下: 在 [Internet服務管理員] 中,選取整個IIS電腦、Web站台、或套用程式的起始目錄。於 [內容] 之 [主目錄]、[虛擬目錄] 頁,設定套用程式保護選項為 [低 (IIS處理程序)] 。  

4、調整快取(快取)記憶體  
IIS 5.0將靜態的網頁資料暫存於快取(快取)記憶體當中;IIS 4.0則將靜態的網頁資料暫存於檔案當中。調整快取(快取)記憶體的儲存檔案數量可以改善執行效率。ASP指令檔案執行過後,會在暫存於快取(快取)記憶體中以提高執行效能。增加快取記憶體的儲存檔案數量,可提高Active Server Pages之效能。可以設定所有在整個IIS電腦、「獨立」Web站台、或「獨立」套用程式上執行之套用程式的快取記憶體檔案數量。如何設定快取(快取)功能呢?步驟如下:在 [Internet服務管理員] 中選取整個IIS電腦、「獨立」Web站台、或「獨立」套用程式的起始目錄。於 [內容] 之 [主目錄]、[虛擬目錄] 頁,按下 [設定] 按鈕時,即可由 [處理程序選項] 頁設定[指令檔快取記憶體] 。如何設定快取(快取)記憶體檔案數量呢?步驟如下:在[Internet服務管理員] 中,選取整個IIS電腦、或Web站台的起始目錄。於 [內容] 之[伺服器擴充程式] 頁,按下 [設定] 按鈕。即可設定快取(快取)記憶體檔案數量。

5、勿使用CGI程式  
使用CGI程式時,因為處理程序(Process)須不斷地產生與摧毀,造成執行效率不佳。一般而言,執行效率比較如下: 靜態網頁(Static):100 ISAPI:50 ASP:10 CGI:1  換句話說,ASP比CGI可能快10倍,因此勿使用CGI程式可以改善IIS的執行效率。以彈性(Flexibility)而言:ASP > CGI > ISAPI > 靜態網頁(Static)。以安全(Security)而言:ASP(獨立) = ISAPI(獨立)= CGI > ASP(非獨立) = ISAPI(非獨立)= 靜態網頁(Static)

6、增加IIS 5.0電腦CPU數量  
根據微軟的測試報告,增加IIS 4.0電腦CPU數量,執行效率並不會改善多少;但是增加IIS 5.0電腦CPU數量,執行效率會幾乎成正比地提供,換句話說,兩顆CPU的IIS5.0電腦執行效率幾乎是一顆CPU電腦的兩倍,四顆CPU的IIS 5.0電腦執行效率幾乎是一顆CPU電腦的四倍IIS 5.0將靜態的網頁資料暫存於快取(快取)記憶體當中;IIS 4.0 則將靜態的網頁資料暫存於檔案當中。調整快取(快取)記憶體的儲存檔案數量可以改善執行效率。  

7、啟用ASP偵錯功能  
勿啟用ASP偵錯功能可以改善執行效率。如何勿啟用ASP偵錯功能呢?步驟如下:於[Internet服務管理員] 中,選取Web站台、或套用程式的起始目錄,按右鍵選項[內容],按 [主目錄]、[虛擬目錄] 或 [目錄] 頁,按下 [設定] 按鈕,選項 [套用程式偵錯] 頁,不勾選 [啟用ASP伺服器端指令偵錯]、[啟用ASP用戶端指令偵錯] 選項。

8、靜態網頁採用HTTP 壓縮  
靜態網頁採用HTTP 壓縮,大約可以減少20%的傳輸量。HTTP壓縮功能啟用或關閉,系針對整台IIS伺服器來設定。用戶端使用IE 5.0瀏覽器連線到已經啟用HTTP壓縮IIS5.0之Web伺服器,才有HTTP壓縮功能。如何啟用HTTP壓縮功能呢?步驟如下:若要啟用HTTP 壓縮功能,方法為在 [Internet服務管理員] 中,選取電腦之 [內容],於 [主要內容] 之下選取 [WWW服務]。然後按一下 [編輯] 按鈕,於 [服務] 頁上,選取 [壓縮靜態檔案] 可以壓縮靜態檔案,不選取 [壓縮套用程式檔案] 。  動態產生的內容檔案(壓縮套用程式檔案)也可以壓縮,但是須耗費額外CPU處理時間,若%Processor Time已經百分之八十或更多時,建議不要壓縮

以上是對採用IIS作為WEB伺服器的一些安全相關的設置與其性能調整的參數設置,可以最大化的最佳化你的IIS,不過個人認為如果不存在障礙,還是採用apache比較好一些,漏洞少,建議採用apache 1.3.24版本,因為最近經測試,apache 1.3.23之前的版本都存在溢出漏洞,不要怕,這種漏洞很少的,呵呵。另外,個人建議不要採用ASP安全性總不叫人放心,個人認為還是採用JSP好一些,安全性好,功能強大,絕對超值,呵呵,因為PHP也存在不少的洞洞

附:IIS安全工具及其使用說明

一、IIS Lock Tool,快速設置IIS安全屬性內容

  IIS Lock Tool的推出,還要感謝紅色程式碼,因為正是紅色程式碼的大面積傳播,致使微軟設計發佈這款說明 管理員們設置IIS安全性的工具。

(一)、IIS Lock Tool具有以下功能和特點

  1、最基本功能,說明 管理員設置IIS安全性;

  2、此工具可以在IIS4和IIS5上使用;

  3、即使系統沒有及時安裝所有修正檔,也能有效防止IIS4和IIS5的已知漏洞;

  4、說明 管理員去掉對本網站不必要的一些服務,使IIS在滿足本網站需求的情況下執行最少的服務;

  5、具有兩種使用模式:快捷模式和進階模式。快捷模式直接說明 管理員設置好IIS安全性,這種模式只適合於只有HTML和HTM靜態網頁的網站使用,因為設置完成以後,ASP不能執行;進階模式允許管理員自己設置各種屬性內容,設置得當,對IIS系統任何功能均沒有影響。

(二)、IIS Lock Tool的使用

  1、軟體下載和安裝

  IIS Lock Tool在微軟網站下載,下載位址:
http://www.microsoft.com/Downloads/...ReleaseID=32362

  安裝很簡單,需要注意的是,安裝以後,程序不會在系統的【程序】功能表出現,也不會在【管理工具】出現,需要安裝者在安裝目錄尋找執行該程序。

  2、軟體的使用

  在以下的介紹中,我們將詳細介紹每一步設置的意義和推薦設置,之所以詳細介紹,是為了我們明白這些設置到底意味著什麼,同時,和我們原來的安全設置相對照,避免出現設置完成以後,系統出現障礙。

 執行該軟體,首先出現以下界面:




  以上界面介紹了IIS Lock Tool的一些基本情況和使用時需要注意的地方:1)使用時應該選項針對本網站最少的服務,去掉不必要的服務;2)設置完成以後,建議對網站進行徹底檢查,以確定設置對本網站是否合適;

  在以上界面,點擊【下一步】按鈕,出現以下界面:




  以上界面選項快捷模式還是進階模式來執行軟體,在這裡,軟體介紹了兩者模式的區別:

 快捷模式:此設置模式關閉了IIS的一些進階服務屬性內容,其中包括動態網頁屬性內容(ASP);所以,我們需要再重複一遍,選項快捷模式只適合提供靜態頁面的網站,當然,這種模式是相對最安全的。

  進階模式:此模式執行安裝者自定義各種屬性內容,同時允許進階屬性內容的執行。

  快捷模式設置我們不必介紹,點擊【下一步】按鈕就可以設置完成。我們選項【Advanced Lockdown】(進階設置),點擊【下一步】按鈕,出現以下界面:




  以上界面說明 管理員設置各種指令碼映射,我們來看每一種影射應該怎樣設置:

  1)Disable support Active Server Pages(ASP),選項這種設置將使IIS不支持ASP功能;可以根據網站具體情況選項,一般不選項此項,因為網站一般要求執行ASP程序;

  2)Disable support Index Server Web Interface(.idq,.htw,.ida),選項這一項將不支持索引服務,具體就是不支持.idq,.htw,.ida這些文件。我們先來看看到底什麼是索引服務,然後來決定取捨。索引服務是IIS4中包含的內容索引引擎。你可以對它進行ADO使用並搜尋你的站點,它為你提供了一個很好的web 搜尋引擎。如果你的網站沒有利用索引服務對網站進行全文檢索,也就可以取消網站的這個功能,取消的好處是:1)減輕系統負擔;2)有效防止利用索引服務漏洞的病毒和黑客,因為索引伺服器漏洞可能使攻擊者控制網站伺服器,同時,暴露網頁文件在伺服器上的物理位置(利用.ida、.idq)。因此,我們一般建議在這一項前面打勾,也就是取消索引服務;

 3)Disable support for Server Side Includes(.shtml,.shtm,.stm),取消伺服器端包含;先來看看什麼叫伺服器端包含,SSI就是HTML文件中,可以通過註釋行使用的指令或指針。SSI 具有強大的功能,只要使用一條簡單的SSI 指令就可以實現整個網站的內容更新,動態顯示時間和*期,以及執行shell和CGI指令碼程序等複雜的功能。一般而言,我們沒有用到這個功能,所以,建議取消;取消可以防止一些IIS潛在地漏洞;

  4)Disable for Internet Data Connector(.idc),取消Internet資料庫連接;先看Internet資料庫連接的作用,它允許HTML頁面和後台資料庫建立連接,實現動態頁面。需要注意的是,IIS4和IIS5中基本已經不使用idc,所以,建議在此項打勾,取消idc;

  5)Disable support for Internet Printing (.printer),取消Internet列印;這一功能我們一般沒有使用,建議取消;取消的好處是可以避免.printer遠端緩衝溢出漏洞,這個漏洞使攻擊者可以利用這個漏洞遠端入侵IIS 伺服器,並以系統管理員(system)身份執行任意指令;

  6)Disable support for .HTR Scripting(.htr),取消htr映射;攻擊者通過htr構造特殊的URL請求,可能導致網站部分文件來源碼暴露(包括ASP),建議在此項前面打勾,取消映射;

  理解以上各項設置以後,我們可以根據本網站情況來決定取捨,一般網站除了ASP要求保留以外,其他均可以取消,也就是全消第一項前面的勾,其他全部打勾,按【下一步】按鈕,出現以下界面(圖四)


圖四

  以上界面設置可以讓管理員選項一些IIS預設安裝文件的保留與否,我們來看怎樣選項:

  1)Remove sample web files,刪除web例子文件;建議刪除,因為一般我們不需要在伺服器上閱讀這些文件,而且,這些文件可能讓攻擊者利用來閱讀部分網頁源程序程式碼(包括ASP);

  2)Remove the Scripts vitual directory,刪除指令碼虛擬目錄;建議刪除;

  3)Remove the MSDAC virtual directory,刪除MSDAC虛擬目錄,建議刪除;

  4)Disable Distribauted Authoring and Versioning(WebDAV),刪除WEBDAV,WebDav主要允許管理者遠端編寫和修改頁面,一般我們不會用到,建議刪除,刪除的好處是可以避免IIS5的一個WebDav漏洞,該漏洞可能導致伺服器停止。

  5)Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe),防止匿名用戶執行可執行文件,比如cmd.exe和tftp.exe;建議選項此項,因為紅色程式碼和尼姆達均利用了以上所說的匿名執行可執行文件的功能;

  6)Set file permissions to prevent the IIS anouymous user from writing to content directories,防止匿名用戶對目錄具有寫權限,這個不要解釋,建議選項;

  設置以上選項以後,按【下一步】按鈕,出現以下界面(圖五):


圖五

  要求驗證是否接受以上設置,選項【是】,出現以下界面(圖六)開始對系統執行設置:


圖六

  在以上界面中,我們可以看到對IIS的詳細設置情況。設置完成以後,建議重新啟動IIS。

二、URLScan Tool--過濾非法URL訪問

  仔細觀察IIS的漏洞,我們幾乎可以得出這樣一個結論,所有利用這些漏洞實現對網站攻擊的手段均是構造特殊的URL來訪問網站,一般有以下幾種類型的URL可以利用漏洞:

  1、特別長的URL,比如紅色程式碼攻擊網站的URL就是這樣:

GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;

 2、特殊字串或者字串串的URL,比如在URL後面加::$DATA可以看到網頁(ASP)來源碼;

  3、URL中含有可執行檔案名,最常見的就是有cmd.exe;

  既然這些攻擊利用特殊的URL來實現,所以,微軟提供了這款專門過濾非法URL的安全工具,可以達到禦敵於國門之外的效果,這款工具有以下特點和功能:

  1、基本功能:過濾非法URL請求;

  2、設定規則,辨別那些URL請求是合法的;這樣,就可以針對本網站來制定專門的URL請求規則;同時,當有新的漏洞出現時,可以更改這個規則,達到防禦新漏洞的效果;

  3、程序提供一套URL請求規則,這個規則包含已經發現的漏洞利用特徵,說明 管理員設置規則;

(一)、軟體的下載與安裝

  URLScan可以在微軟的網站上下載,位址如下:

http://download.microsoft.com/downl...-US/UrlScan.exe

  和一般軟體一樣安裝,但是,此軟體不能選項安裝路徑,安裝完成以後,我們可以在System32/InetSvr/URLScan目錄下找到以下文件:

  urlscan.dll:動態連接庫文件;
  urlscan.inf:安裝信息文件;
  urlscan.txt:軟體說明文件;
  urlscan.ini:軟體配置文件,這個文件很只要,因為對URLScan的所有配置,均有這個文件來完成。

(二)、軟體的配置

  軟體的配置由urlscan.ini文件來完成,在配置此文件以前,我們需要瞭解一些基本知識。

 1、urlscan配置文件的構造形式

  urlscan配置文件必須遵從以下規則:

  (1)此檔案名必須為urlscan.ini;

  (2)配置文件必須和urlscan.dll在同一目錄;

  (3)配置文件必須是標準ini文件結構,也就是由節,串和值組成;

  (4)配置文件修改以後,必須重新啟動IIS,使配置生效;

  (5)配置文件由以下各節組成:

  [Option]節,主要設置節;
  [AllowVerbs]節,配置認定為合法URL規則設定,此設定與Option節有關;
  [DenyVerbs]節,配置認定為非法URL規則設定,此設定與Option節有關;
  [DenyHeaders]節,配置認定為非法的header在設立設置;
  [AllowExtensions]節,配置認定為合法的文件副檔名在這裡設置,此設定與Option節有關;
  [DenyExtensions]節,配置認定為非法的文件副檔名在這裡設置,此設定與Option節有關;

  2、具體配置

  (1)Option節的配置,因為Option節的設置直接影響到以後的配置,因此,這一節的設置特別重要。此節主要進行以下屬性內容的設置:

  UseAllowVerbs:使用允許模式檢查URL請求,如果設置為1,所有沒有在[AllowVerbs]節設置的請求都被拒絕;如果設置為0,所有沒有在[DenyVerbs]設置的URL請求都認為合法;預設為1;

  UseAllowExtensions:使用允許模式檢測文件副檔名;如果設置為 1,所有沒在[AllowExtensions]節設置的文件副檔名均認為是非法請求;如果設置為0,所有沒在[DenyExtensions]節設置的副檔名均被認為是合法請求;預設為0;

  EnableLogging:是否允許使用Log文件,如果為1,將在urlscan.dll的相同目錄設置名為urlscan.log的文件記錄所有過濾;

  AllowLateScanning:允許其他URL過濾在URLScan過濾之前進行,系統預設為不允許0;

  AlternateServerName:使用服務名替代;如果此節存在而且[RemoveServerHeader]節設置為0,IIS將在這裡設置的伺服器名替代預設的「Server」;

  NormalizeUrlBeforeScan:在檢測URL之前規格化URL;如果為1,URLScan將在IIS編碼URL之前URL進行檢測;需要提醒的是,只有管理員對URL解析非常熟悉的情況下才可以將其設置為0;預設為1;

  VerifyNormalization:如果設置為1,UrlScan將校驗URL規則,預設為1;此節設定與NormalizeUrlBeforeScan有關;

  AllowHighBitCharacters:如果設置為1,將允許URL中存在所有字元,如果為0,含有非ASCII字串的URL將拒絕;預設為1;

  AllowDotInPath:如果設置為1,將拒絕所有含有多個「.」的URL請求,由於URL檢測在IIS解析URL之前,所以,對這一檢測的準確性不能保證,預設為0;

  RemoveServerHeader:如果設置為1,將把所有回應的服務頭清除,預設為0;

  (2)[AllowVerbs]節配置

  如果UseAllowVerbs設置為1,此節設置的所有請求將被允許,一般設置以下請求:

  GET、HEAD、POST

  (3)[DenyVerbs]節配置

  如果UseAllowVerbs設置為0,此節設置的所有請求將拒絕,一般設置以下請求:

  PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK

  (4)[AllowExtensions]節設置

  在這一節設置的所有副檔名文件將被允許請求,一般設置以下請求:

  .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下載服務,需要增加.rar、.zip

  (5)[DenyExtensions]節設置

  在這一節設置的所有副檔名文件請求將被拒絕,根據已經發現的漏洞,我們可以在這一節增加內容,一般為以下設置:
.asa、可執行文件、批次處理文件、*志文件、罕見擴展如:shtml、.printer等。

三、總結

  以上兩個工具功能強大,可以真正實現對IIS的保護。IIS Lock Tool簡單,相對而言,只是被動的防衛;UrlScan設置比較難,建議對IIS非常熟悉的管理員使用,只要設置得當,UrlScan的功能更加強大。在使用UrlScan的時候,切記不要設置一次萬事大吉,需要不停跟蹤新出現的漏洞,隨時修改URLScan的配置文件。


3。進階篇:NT/2000的進階安全設置

1.禁用空連接,禁止匿名獲得用戶名列表

Win2000的預設安裝允許任何用戶通過空用戶得到系統所有帳號/共享列表,這個本來是為了方便區域網路用戶共享文件的,但是一個遠端用戶也可以得到你的用戶列表並使用暴力法破解用戶密碼。很多朋友都知道可以通過更改註冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空連接,實際上win2000的本機安全原則(如果是域伺服器就是在域伺服器安全和域安全原則中)就有這樣的選項RestrictAnonymous(匿名連接的額外限制),這個選項有三個值: 0:None. Rely on default permissions(無,取決於預設的權限 1 :Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM帳號和共享) 2:No access without explicit anonymous permissions(沒有顯式匿名權限就不允許訪問) 0這個值是系統預設的,什麼限制都沒有,遠端用戶可以知道你電腦上所有的帳號、組信息、共享目錄、網路傳輸列表(NetServerTransportEnum等等,對伺服器來說這樣的設置非常危險。 1這個值是只允許非NULL用戶存取SAM帳號信息和共享信息。 2這個值是在win2000中才支持的,需要注意的是,如果你一旦使用了這個值,你的共享估計就全部完蛋了,所以我推薦你還是設為1比較好。 好了,入侵者現在沒有辦法拿到我們的用戶列表,我們的賬戶安全了
2。禁止顯示上次登陸的用戶名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon項中的Don』t Display Last User Name串資料改成1,這樣系統不會自動顯示上次的登錄用戶名。將伺服器註冊表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\
WindowsNT\CurrentVersion\Winlogon項中的Don't Display Last User Name串資料修改為1,隱藏上次登陸控制台的用戶名。其實,在2000的本機安全原則中也存在該選項
Winnt4.0修改註冊表:
黏KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增加DontDisplayLastUserName,將其值設為1。


2.預防DoS:

在註冊表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以說明 你防禦一定強度的DoS攻擊 SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0

在Win2000中如何關閉ICMP(Ping)

  3.針對ICMP攻擊
ICMP的全名是Internet Control and Message Protocal即英特網控制消息/錯誤報文傳輸協定,這個傳輸協定主要是用來進行錯誤信息和控制信息的傳遞,例如著名的Ping和Tracert工具都是利用ICMP傳輸協定中的ECHO request報文進行的(請求報文ICMP ECHO類型8程式碼0,回應報文ICMP ECHOREPLY類型0程式碼0)。
  ICMP傳輸協定有一個特點---它是無連結的,也就是說只要發送端完成ICMP報文的封裝並傳遞給路由器,這個報文將會像郵包一樣自己去尋找目的位址,這個特點使得ICMP傳輸協定非常靈活快捷,但是同時也帶來一個致命的缺陷---易偽造(郵包上的寄信人位址是可以隨便寫的),任何人都可以偽造一個ICMP報文並發送出去,偽造者可以利用SOCK_RAW編程直接改寫報文的ICMP首部和IP首部,這樣的報文攜帶的源位址是偽造的,在目的端根本無法追查,(攻擊者不怕被抓那還不有恃無恐?)根據這個原理,外面出現了不少關於ICMP的攻擊軟體,有通過網路架構缺陷製造ICMP風暴的,有使用非常大的報文堵塞網路的,有利用ICMP碎片攻擊消耗伺服器CPU的,甚至如果將ICMP傳輸協定用來進行通訊,可以製作出不需要任何TCP/UDP連接阜的木馬(參見揭開木馬的神秘面紗三)......既然ICMP傳輸協定這麼危險,我們為什麼不關掉它呢?

  我們都知道,Win2000在網路屬性內容中自帶了一個TCP/IP過濾器,我們來看看能不能通過這裡關掉ICMP傳輸協定,桌面上右擊網路芳鄰->屬性內容->右擊你要配置的網路卡->屬性內容->TCP/IP->進階->選項->TCP/IP過濾,這裡有三個過濾器,分別為:TCP連接阜、UDP連接阜和IP傳輸協定,我們先允許TCP/IP過濾,然後一個一個來配置,先是TCP連接阜,點擊"只允許",然後在下面加上你需要開的連接阜,一般來說WEB伺服器只需要開80(www),FTP伺服器需要開20(FTP Data),21(FTP Control),郵件伺服器可能需要開啟25(SMTP),110(POP3),以此類推......接著是UDP,UDP傳輸協定和ICMP傳輸協定一樣是關於無連結的,一樣容易偽造,所以如果不是必要(例如要從UDP提供DNS服務之類)應該選項全部不允許,避免受到洪水(Flood)或碎片(Fragment)攻擊。最右邊的一個編輯框是定義IP傳輸協定過濾的,我們選項只允許TCP傳輸協定通過,增加一個6(6是TCP在IP傳輸協定中的程式碼,IPPROTO_TCP=6),從道理上來說,只允許TCP傳輸協定通過時無論UDP還是ICMP都不應該能通過,可惜的是這裡的IP傳輸協定過濾指的是狹義的IP傳輸協定,從架構上來說雖然ICMP傳輸協定和IGMP傳輸協定都是IP傳輸協定的附屬傳輸協定,但是從網路7層結構上ICMP/IGMP傳輸協定與IP傳輸協定同屬一層,所以微軟在這裡的IP傳輸協定過濾是不包括ICMP傳輸協定的,也就是說即使你設置了「只允許TCP傳輸協定通過」,ICMP報文仍然可以正常通過,所以如果我們要過濾ICMP傳輸協定還需要另想辦法。

  剛剛在我們進行TCP/IP過濾時,還有另外一個選項:IP安全機制(IP Security),我們過濾ICMP的想法就要著落在它身上。

開啟本機安全原則,選項IP安全原則,在這裡我們可以定義自己的IP安全原則。一個IP安全過濾器由兩個部分組成:過濾原則和過濾操作,過濾原則決定哪些報文應當引起過濾器的關注,過濾操作決定過濾器是「允許」還是「拒絕」報文的通過。要新增IP安全過濾器,必須新增自己的過濾原則和過濾操作:右擊本機的IP安全原則,選項管理IP過濾器,在IP過濾器管理列表中建立一個新的過濾規則:ICMP_ANY_IN,源位址選任意IP,目標位址選本機,傳輸協定類型是ICMP,切換到管理過濾器操作,增加一個名為Deny的操作,操作類型為"阻止"(Block)。這樣我們就有了一個關注所有進入ICMP報文的過濾原則和丟棄所有報文的過濾操作了。需要注意的是,在位址選項中有一個鏡像選項,如果選鏡像,那麼將會建立一個對稱的過濾原則,也就是說當你關注any IP->my IP的時候,由於鏡像的作用,實際上你也同時關注了my IP->any IP,你可以根據自己的需要選項或者放棄鏡像。再次右擊本機的IP安全原則,選項新增IP過濾原則,建立一個名稱為ICMP Filter的過濾器,通過增加過濾規則嚮導,我們把剛剛定義的ICMP_ANY_IN過濾原則指定給ICMP Filter,然後在操作選框中選項我們剛剛定義的Deny操作,退出嚮導視窗,右擊ICMP Filter並啟用它,現在任何位址進入的ICMP報文都會被丟棄了。
  雖然用IP sec能夠對ICMP報文進行過濾,不過操作起來太麻煩,而且如果你只需要過濾特定的ICMP報文,還要保留一些常用報文(如主機不可達、網路不可達等),IP sec原則就力不從心了,我們可以利用Win2000的另一個強大工具路由與遠端訪問控制(Routing & Remote Access)來完成這些複雜的過濾操作。

  路由與遠端訪問控制是Win2000用來管理路由表、配置VPN、控制遠端訪問、進行IP報文過濾的工具,預設情況下並沒有安裝,所以首先你需要啟用它,開啟"管理工具"->"路由與遠端訪問",右擊伺服器(如果沒有則需要增加本機)選項"配置並啟用路由及遠端訪問",這時配置嚮導會讓你選項是什麼樣的伺服器,一般來說,如果你不需要配置VPN伺服器,那麼選項"手動配置"就可以了,配置完成後,主機下將出現一個IP路由的選項,在"一般"中選項你想配置的網路卡(如果你有多塊網路卡,你可以選項關閉某一塊的ICMP),在網路卡屬性內容中點擊"輸入篩選器",增加一條過濾原則"from:ANY to:ANY 傳輸協定:ICMP 類型:8 :編碼 丟棄"就可以了(類型8編碼0就是Ping使用的ICMP_ECHO報文,如果要過濾所有的ICMP報文只需要將類型和編碼都設置為255)

  細心的朋友剛才可能已經發現,在輸入、輸出過濾器的下面,還有一個"碎片檢查"功能,這個功能使用來應付IP碎片攻擊的,這已經超出了本文所討論的範圍,我會在以後的拒絕服務攻擊的文章中繼續和大家一起探討的。Win2000的路由及遠端訪問是一個功能非常強大的工具集

4.改變windows系統的一些預設值(例如:資料包的生存時間(TTL)值,不同系統有不同的值,有經驗的人可以根據TTL的不同的值判斷對方使用的是何種操作系統(例如windows 2000預設值128),我改改改,看你怎麼看)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DefaultTTL REG_DWORD 0-0xff(0-255 十進制,預設值128)

說明:指定傳出IP資料包中設置的預設生存時間(TTL)值.TTL決定了IP資料包在到達
目標前在網路中生存的最大時間.它實際上限定了IP資料包在丟棄前允許通過的路由
器數量.有時利用此數值來探測遠端主機操作系統.

5.防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

EnableICMPRedirects REG_DWORD 0x0(預設值為0x1)

說明:該參數控制Windows 2000是否會改變其路由表以回應網路設備(如路由器)發送給它的ICMP重定向消息,有時會被利用來幹壞事.Win2000中預設值為1,表示回應ICMP重定向報文.

6.禁止回應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(預設值為0x2)

說明:「ICMP路由公告」功能可造成他人電腦的網路連接異常,資料被竊聽,電腦被用於流量攻擊等嚴重後果.此問題曾導致校園網某些區域網路大面積,長時間的網路異常.因此建議關閉回應ICMP路由通告報文.Win2000中預設值為2,表示當DHCP發送路由器發現選項時啟用

7.防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

SynAttackProtect REG_DWORD 0x2(預設值為0x0)

說明:SYN攻擊保護包括減少SYN-ACK重新傳輸次數,以減少分配資源所保留的時
間.路由緩衝項資源分配延遲,直到建立連接為止.如果synattackprotect=2,
則AFD的連接指示一直延遲到三路握手完成為止.注意,僅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried設置超出範圍時,保護機制才會採取措施.

8.禁止C$、D$一類的預設共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0

9.禁止ADMIN$預設共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
10.限制IPC$預設共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous REG_DWORD 0x0 預設
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2,否則可能會造成你的一些服務無法啟動,如SQL Server

11.不支持IGMP傳輸協定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

IGMPLevel REG_DWORD 0x0(預設值為0x2)

說明:記得Win9x下有個bug,就是用可以用IGMP使別人顯示藍色,修改註冊表可以修正這個
bug.Win2000雖然沒這個bug了,但IGMP並不是必要的,因此照樣可以去掉.改成0後用
route print將看不到那個討厭的224.0.0.0項了.

12.設置arp緩衝老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

Arp快取Life REG_DWORD 0-0xFFFFFFFF(秒數,預設值為120秒)
Arp快取MinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,預設值為600)

說明:如果Arp快取Life大於或等於Arp快取MinReferencedLife,則引用或未引用的ARP緩衝項在Arp快取Life秒後到期.如果Arp快取Life小於阿ARP快取MinReferencedLife,未引用項在Arp快取Life秒後到期,而引用項在Arp快取MinReferencedLife秒後到期.每次將出站資料包發送到項的IP位址時,就會引用ARP緩衝中的項。

13.禁止死網關監測技術
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

EnableDeadGWDetect REG_DWORD 0x0(預設值為ox1)

說明:如果你設置了多個網關,那麼你的機器在處理多個連接有困難時,就會自動改用制作備份網關.有時候這並不是一項好主意,建議禁止死網關監測.

14.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

IPEnableRouter REG_DWORD 0x0(預設值為0x0)

說明:把值設置為0x1可以使Win2000具備路由功能,由此帶來不必要的問題.

15.做NAT時放大轉換的對外連接阜最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

MaxUserPort REG_DWORD 5000-65534(十進制)(預設值0x1388--十進制為5000)

說明:當應用程式從系統請求可用的用戶連接阜數時,該參數控制所使用的最大連接阜數.正常情況下,短期連接阜的分配數量為1024-5000.將該參數設置到有效範圍以外時,就會使用最接近的有效數值(5000或65534).使用NAT時建議把值放大點.
16.修改MAC位址
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\

找到右視窗的說明為"網路卡"的目錄,
比如說是{4D36E972-E325-11CE-BFC1-08002BE10318}

展開之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的鍵值為你網路卡的說明,比如說"DriverDesc"的值為"Intel(R) 82559 Fast Ethernet LAN on Motherboard"然後在右視窗新增一字串串值,名字為"Networkaddress",內容為你想要的MAC值,比如說是"004040404040"然後重起電腦,ipconfig /all看看.

17.防止密碼被DUMP,你只需在服務裡面關掉Remote regisitery services

以上是我對windows平台伺服器安全設置等的一些認識與看法,如果你有新的資料與看法,請寫信告訴我


特別感謝:以上一些安全設置我借鑒了大量的相關安全資料,與前人的相關安全文獻,特在此對他們表示感謝

版權所有,如需轉載請註明出處並保持文章完整性


作者:arlenecc

版權所有,如需轉載請註明出處
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次