当前位置:xp iso文章资讯xp技术教程

高手支招之网络服务器安全配置的技巧

作者:xp系统下载  来源:www.010dh.com  发布时间:2013-11-20

   高手支招之网络效劳器安全装备的窍门

  体系更新换代速度很快,但是关于win2003体系仍是有许多用户宠爱的。所以这儿就与咱们共享下在win2003体系中网络效劳器安全装备的窍门,满意win2003用户的需求。

  体系:Windows2003

  效劳:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [php] [MySQL]

  1. WINDOWS本地安全策略 端口约束

  A. 关于咱们的比方来说,需求注册以下端口

  外->本地 80

  外->本地 20

  外->本地 21

  外->本地 PASV所用到的一些端口

  外->本地 25

  外->本地 110

  外->本地 3389

  然后依照具体情况,翻开SQL SERVER和MYSQL的端口

  外->本地 1433

  外->本地 3306

  B. 接着是敞开从内部往外需求敞开的端口

  依照实际情况,若是无需邮件效劳,则不要翻开以下两条规矩

  本地->外 53 TCP,UDP

  本地->外 25

  依照具体情况,若是无需在效劳器上拜访页面,尽量不要开以下端口

  本地->外 80

  C. 除了清晰答应的一概阻碍,这个是安全规矩的要害

  外->本地 悉数协议 阻碍

  2. 用户帐号

  A. 将administrator改名,比方中改为root

  B. 撤销悉数除管理员root外悉数用户特点中的

  长途操控->启用长途操控 以及

  终端效劳装备文件->答应登入到终端效劳器

  C. 将guest改名为administrator而且修正暗码

  D. 除了管理员root、IUSER以及IWAM以及aspNET用野外,禁用其他悉数用户,包含SQL DEBUG以及TERMINAL USER等等

  3. 目录权限

  将悉数盘符的权限,悉数改为只要

  administrators组 悉数权限

  ystem 悉数权限

  将C盘的悉数子目录和子文件承继C盘的administrator(组或用户)和SYSTEM悉数权限的两个权限

  然后做如下修正

  C:\PRogram Files\Common Files 敞开Everyone默许的读取及运转 列出文件目录 读取三个权限

  C:\WINDOWS\ 敞开Everyone默许的读取及运转 列出文件目录 读取三个权限

  C:\WINDOWS\Temp 敞开Everyone 修正、读取及运转、列出文件目录、读取、写入权限

  如今WebShell就无法在体系目录内写入文件了。当然也能够运用更严厉的权限,在WINDOWS下别离目录设置权限。但是对比复杂,作用也并不显着。

  4. IIS

  在IIS 6下,应用程序拓展内的文件类型对应ISAPI的类型现已去掉了IDQ、PRINT等等风险的脚本类型,

  在IIS 5下咱们需求把除了ASP以及ASA以外悉数类型删去。

  装置URLSCAN

  在[DenyExtensions]中通常参加以下内容 . cer

  . cdx

  . mdb

   .bat

  . cmd

  . com

  . htw

  . ida

  . idq

  . htr

  . idc

  . shtm

  . shtml

  . stm

  . printer

  这样入侵者就无法下载.mdb数据库,这种办法比外面一些在文件头参加特别字符的办法愈加彻底。

  由于即使文件头参加特别字符,仍是能够经过编码结构出来的

  5. WEB目录权限

  对比稳妥的做法即是为每个客户树立一个Windows用户,然后在IIS的呼应的站点项内把IIS履行的匿名用户,绑定成这个用户而且把他指向的目录,权限变更为administrators 悉数权限

  system 悉数权限

  独自树立的用户(或许IUSER) 挑选高档->翻开除 彻底操控、遍历文件夹/运转程序、获得悉数权 3个外的其他权限

  若是效劳器上站点不多,而且有论坛,咱们能够把每个论坛的上载目录去掉此用户的履行权限,只要读写权限这样入侵者即使绕过论坛文件类型检测上载了webshell也是无法运转的。

  6. MS SQL SERVER2000

  运用体系帐户登入查询分析器运转以下脚本 use master

  e xec sp_dropextendedproc 'xp_cmdshell'

  e xec sp_dropextendedproc 'xp_dirtree'

  e xec sp_dropextendedproc 'xp_enumgroups'

  e xec sp_dropextendedproc 'xp_fixeddrives'

  e xec sp_dropextendedproc 'xp_loginconfig'

  e xec sp_dropextendedproc 'xp_enumerrorlogs'

  e xec sp_dropextendedproc 'xp_getfiledetails'

  e xec sp_dropextendedproc 'Sp_OACreate'

  e xec sp_dropextendedproc 'Sp_OADestroy'

  e xec sp_dropextendedproc 'Sp_OAGetErrorInfo'

  e xec sp_dropextendedproc 'Sp_OAGetProperty'

  e xec sp_dropextendedproc 'Sp_OAMethod'

  e xec sp_dropextendedproc 'Sp_OASetProperty'

  e xec sp_dropextendedproc 'Sp_OAStop'

  e xec sp_dropextendedproc 'Xp_regaddmultistring'

  e xec sp_dropextendedproc 'Xp_regdeletekey'

  e xec sp_dropextendedproc 'Xp_regdeletevalue'

  e xec sp_dropextendedproc 'Xp_regenumvalues'

  e xec sp_dropextendedproc 'Xp_regread'

  e xec sp_dropextendedproc 'Xp_regremovemultistring'

  e xec sp_dropextendedproc 'Xp_regwrite'

  drop procedure sp_makewebtask

  go 删去悉数风险的拓展

  7. 修正CMD.EXE以及NET.EXE权限

  将两个文件的权限修正到特定管理员才干拜访,比方本例中,咱们如下修正

  cmd.e xe root用户 悉数权限

  et.e xe root用户 悉数权现

  这样就能避免不合法拜访

  还能够运用比方中供给的comlog程序将com.exe改名_com.e xe,然后更换com文件,这样能够记载悉数履行的命令行指令

  8. 备份

  运用ntbackup软件备份体系状况,运用reg.e xe 备份体系要害数据,如reg export

[]

栏目导航