Loading
0

配置安全的windows2003服务器与防御措施


现在网络安全日益紧迫,服务器、网站入侵等事件频频发生,提高网络安全意识越来越重要那么如何来配置服务器的安全呢?

我们通过以下几个方面对您的系统进行安全加固:   

1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。    

  • 1.目录权限的配置:除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限
  • 2.如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限.如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
  • 3.系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。
  • 4.因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。
  • 5.另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。   
  • 6.配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。    
  • 7.配置Windows目录,其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的不过还是应该进入SYSTEM32目录下,
  • 8.cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些经常被骇客利用的文件赋予匿名帐号拒绝访问。    
  • 9.审核MetBase.bin,C:/Windows/system32/inetsrv(这里已2003系统为例)目录只有administrator只允许Administrator用户读写。   
  • 10.组策略配置: 在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;  

2.网站IIS手工加固(iis6.0基本是是windows2003系统的中使用安全指数较低)

1.关闭并删除默认站点  默认FTP站点  默认Web站点  管理Web站点 


2.建立自己的站点,与系统不在一个分区   如:D:\wwwroot3.建立 E:\Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录  上的访问控制权限是: Administrators(完全控制)System(完全控制)


3.删除IIS的部分目录  IISHelp C:\winnt\help\iishelp   IISAdmin C:\system32\inetsrv\iisadmin   MSADC C:\Program Files\Common Files\System\msadc\  删除 C:\inetpub   


4.网站下的图片文件目录及UPLOAD相关用户上传目录中网站属性由“纯脚本”改成“无”这样能很有效的防止用户非法上传一些ASA文件来执行上传木马。  


5.所有网站IUSR-PCNAME用户权限减去“遍历文件夹-运行文件。  


6.建议使用DeerField对各种注入等手段通过URL提交的命令的关键字以及敏感文件的扩展名进行过滤,如.MDB、select、 %5c、cmd、system32、xp_ cmdshell、dir、‟or‟‟=‟、and、wwwroot、%2B、%25等。

对于提交有上述字串请示的IP,一般都是人为有意进行,因此可令防火墙对这类访问的IP进行较长时间的屏蔽。 


7.其他安全工具安装安全工具: 如Urlscn、IISLock等 2)


日志的安全管理  

  • (1、启用操作系统组策略中的审核功能,对关键事件进行审核记录;   
  • (2、启用IIS、FTP服务器等服务本身的日志功能;并对所有日志存放的默认位置进行更改同时作好文件夹权限设置!   
  • (3、安装Portreport对所有网络访问操作进行监视(可选,可能增大服务器负荷);   
  • (4、安装自动备份工具,定时对上述日志进行异地备份,起码是在其他分区的隐蔽位置进行备份,并对备份目录设置好权限(仅管理员可访问)。  
  • (5、准备一款日志分析工具,以便随时可用。   
  • (6、要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。  

9.修改IIS标志:使用工具程序修改IIS标志  修改IIS标志Banner的方法:下载一个修改IIS Banner显示信息的软件——IIS/PWS Banner Edit。

利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止(最好是在服务中将World Wide Web Publishing停止),并要将DLLcache下的文件全部清除。

否则你会发现即使修改了一点改变也没有。


IIS/PWS Banner Edit其实是个傻瓜级的软件,我们只要直接在New Banner中输入想要的Banner信息,再点击Save to file就修改成功了。

用IIS/PWS Banner Edit简单地修改,对菜鸟黑客来说他可能已被假的信息迷惑了,可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的 Banner信息,这样才能做到万无一失。 

以上方法能够防御大部分的的服务器安全威胁,当然如果说你服务器或者网站设置一些简单的密码对安全意识不高做什么都是枉然。

20131209171714-603541163

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。