|
假設(shè)需要在windows 環(huán)境下建立一個(gè)web網(wǎng)站服務(wù)器���,該服務(wù)器將為多個(gè)用戶提供web網(wǎng)站服務(wù)����,網(wǎng)站暫且只支持asp和asp .net。網(wǎng)站程序開(kāi)發(fā)由用戶負(fù)責(zé)���,程序代碼不保證安全性����。在這種情況下��,黑客很可能通過(guò)SQL注入等方式入侵web網(wǎng)站��,上載webshell����,并嘗試進(jìn)一步入侵其他網(wǎng)站,甚至入侵整個(gè)操作系統(tǒng)����。 在Windows Server 2003環(huán)境下安裝web網(wǎng)站時(shí)需要做好安全配置,除了最基本的打補(bǔ)丁����,設(shè)置防火墻、除木馬軟件和殺病毒軟件之外��,還應(yīng)做好網(wǎng)站的權(quán)限管理��,以實(shí)現(xiàn)兩個(gè)目的: 1、如果某一網(wǎng)站被黑客入侵����,避免相同服務(wù)器上其他網(wǎng)站慘遭池魚(yú)之殃��; 2����、如果網(wǎng)站被入侵,避免讓黑客進(jìn)一步訪問(wèn)操作系統(tǒng)其它文件����。 以下設(shè)置未必完整和準(zhǔn)確,請(qǐng)大家指正����。 首先介紹服務(wù)器基本軟件環(huán)境: 操作系統(tǒng):Windows 2003 Server; 安全軟件:Windows自帶防火墻����、360安全衛(wèi)士和殺病毒軟件(例如Symantec Client Security); 系統(tǒng)軟件:Internet Information Server��、Jmail 4.3版(發(fā)送郵件的免費(fèi)組件)����; 應(yīng)用軟件:WinRAR(壓縮解壓縮)��、EditPlus 2(文本編輯) Microsoft Office 2003(文檔編輯��、數(shù)據(jù)庫(kù)訪問(wèn)控件)���; 接下來(lái)介紹系統(tǒng)中開(kāi)啟的服務(wù): ●Application Experience Lookup Service(在應(yīng)用程序啟動(dòng)時(shí)為應(yīng)用程序處理應(yīng)用程序兼容性查找請(qǐng)求。) ●Application Layer Gateway Service(為 Internet 連接共享和 Windows 防火墻提供第三方協(xié)議插件的支持) ●COM+ Event System(支持系統(tǒng)事件通知服務(wù) (SENS)���,此服務(wù)為訂閱的組件對(duì)象模型 (COM) 組件提供自動(dòng)分布事件功能����。如果停止此服務(wù)��,SENS 將關(guān)閉���,而且不能提供登錄和注銷(xiāo)通知��。如果禁用此服務(wù)���,顯式依賴此服務(wù)的其他服務(wù)都將無(wú)法啟動(dòng)。) ●Cryptographic Services(提供三種管理服務(wù): 編錄數(shù)據(jù)庫(kù)服務(wù)���,它確定 Windows 文件的簽名��;受保護(hù)的根服務(wù)����,它從此計(jì)算機(jī)添加和刪除受信根證書(shū)頒發(fā)機(jī)構(gòu)的證書(shū)����;和密鑰(Key)服務(wù),它幫助注冊(cè)此計(jì)算機(jī)獲取證書(shū)����。如果此服務(wù)被終止,這些管理服務(wù)將無(wú)法正常運(yùn)行���。如果此服務(wù)被禁用���,任何依賴它的服務(wù)將無(wú)法啟動(dòng)。) ●DCOM Server Process Launcher(為 DCOM 服務(wù)提供啟動(dòng)的功能��。) ●Distributed Link Tracking Client(啟用客戶端程序跟蹤鏈接文件的移動(dòng)��,包括在同一 NTFS 卷內(nèi)移動(dòng)����,移動(dòng)到同一臺(tái)計(jì)算機(jī)上的另一 NTFS���、或另一臺(tái)計(jì)算機(jī)上的 NTFS。如果此服務(wù)被停用���,這臺(tái)計(jì)算機(jī)上的鏈接將不會(huì)維護(hù)或跟蹤���。如果此服務(wù)被禁用,任何依賴于它的服務(wù)將無(wú)法啟用���。) ●Distributed Transaction Coordinator(協(xié)調(diào)跨多個(gè)數(shù)據(jù)庫(kù)��、消息隊(duì)列��、文件系統(tǒng)等資源管理器的事務(wù)���。如果停止此服務(wù),則不會(huì)發(fā)生這些事務(wù)��。如果禁用此服務(wù)��,顯式依賴此服務(wù)的其他服務(wù)將無(wú)法啟動(dòng)��。) ●DNS Client(為此計(jì)算機(jī)解析和緩沖域名系統(tǒng)(DNS)名稱。如果此服務(wù)被停止���,計(jì)算機(jī)將不能解析 DNS 名稱并定位 Active Directory 域控制器���。如果此服務(wù)被禁用,任何明確依賴它的服務(wù)將不能啟動(dòng)���。) ●Error Reporting Service(收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序崩潰��。如果此服務(wù)被停用���,那么錯(cuò)誤報(bào)告僅在內(nèi)核錯(cuò)誤和某些類(lèi)型用戶模式錯(cuò)誤時(shí)發(fā)生����。如果此服務(wù)被禁用���,任何依賴于它的服務(wù)將無(wú)法啟用��。) ●Event Log(啟用在事件查看器查看基于 Windows 的程序和組件頒發(fā)的事件日志消息��。無(wú)法終止此服務(wù)���。) ●Help and Support(啟用在此計(jì)算機(jī)上運(yùn)行幫助和支持中心���。如果停止服務(wù),幫助和支持中心將不可用����。如果禁用服務(wù),任何直接依賴于此服務(wù)的服務(wù)將無(wú)法啟動(dòng)����。)。 ●HTTP SSL(此服務(wù)通過(guò)安全套接字層(SSL)實(shí)現(xiàn) HTTP 服務(wù)的安全超文本傳送協(xié)議(HTTPS)��。如果此服務(wù)被禁用���,任何依賴它的服務(wù)將無(wú)法啟動(dòng)����。) ●IIS Admin Service(允許此服務(wù)器管理 Web 和 FTP 服務(wù)���。如果此服務(wù)被停止��,服務(wù)器將不能運(yùn)行 Web��,F(xiàn)TP��,NNTP���,SMTP 站點(diǎn)����,或配置 IIS����。如果此服務(wù)被禁止,任何明確依賴于它的服務(wù)都將不能啟動(dòng)���。) ●IPSEC Services(提供 TCP/IP 網(wǎng)絡(luò)上客戶端和服務(wù)器之間端對(duì)端的安全。如果此服務(wù)被停用����,網(wǎng)絡(luò)上客戶端和服務(wù)器之間的 TCP/IP 安全將不穩(wěn)定。如果此服務(wù)被禁用����,任何依賴它的服務(wù)將無(wú)法啟動(dòng)。) ●Logical Disk Manager(監(jiān)測(cè)和監(jiān)視新硬盤(pán)驅(qū)動(dòng)器并向邏輯磁盤(pán)管理器管理服務(wù)發(fā)送卷的信息以便配置。如果此服務(wù)被終止���,動(dòng)態(tài)磁盤(pán)狀態(tài)和配置信息會(huì)過(guò)時(shí)���。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無(wú)法啟動(dòng)��。) ●Machine Debug Manager(支持對(duì) Visual Studio 和腳本調(diào)試器進(jìn)行本地和遠(yuǎn)程調(diào)試����。如果該服務(wù)停止,調(diào)試器將不能正常工作����。) ●Network Connections(管理“網(wǎng)絡(luò)和撥號(hào)連接”文件夾中對(duì)象,在其中您可以查看局域網(wǎng)和遠(yuǎn)程連接����。如果服務(wù)被禁用,您將無(wú)法查看局域網(wǎng)和遠(yuǎn)程連接而且任何依賴它的服務(wù)將無(wú)法啟動(dòng)��。) ●Network Location Awareness (NLA)(收集并保存網(wǎng)絡(luò)配置和位置信息��,并在信息改動(dòng)時(shí)通知應(yīng)用程序���。) ●Plug and Play(使計(jì)算機(jī)在極少或沒(méi)有用戶輸入的情況下能識(shí)別并適應(yīng)硬件的更改���。終止或禁用此服務(wù)會(huì)造成系統(tǒng)不穩(wěn)定����。) ●Protected Storage(保護(hù)敏感數(shù)據(jù)(如私鑰)的存儲(chǔ)����,以便防止未授權(quán)的服務(wù)、過(guò)程或用戶對(duì)其的非法訪問(wèn)��。如果此服務(wù)被停用��,保護(hù)性存儲(chǔ)將不可用��。如果此服務(wù)被禁用��,任何依賴于它的服務(wù)將無(wú)法啟用���。) ●Remote Procedure Call (RPC)(作為終結(jié)點(diǎn)映射程序(endpoint mapper)和 COM 服務(wù)控制管理器使用。如果此服務(wù)被停用或禁用����,使用 COM 或遠(yuǎn)程過(guò)程調(diào)用(RPC)服務(wù)的程序工作將不正常。) ●SAVRoam(Symantec AntiVirus 漫游服務(wù)) ●Secondary Logon(啟用替換憑據(jù)下的啟用進(jìn)程。如果此服務(wù)被終止���,此類(lèi)型登錄訪問(wèn)將不可用��。如果此服務(wù)被禁用��,任何依賴它的服務(wù)將無(wú)法啟動(dòng)����。) ●Security Accounts Manager(此服務(wù)的啟動(dòng)通知其他服務(wù)安全帳戶管理 (SAM) 準(zhǔn)備好接收請(qǐng)求���。禁用此服務(wù)將使系統(tǒng)中的其他服務(wù)接收不到 SAM 準(zhǔn)備好的通知����,從而導(dǎo)致這些服務(wù)啟動(dòng)不正確���。此服務(wù)不應(yīng)被禁用���。) ●Shell Hardware Detection(為自動(dòng)播放硬件事件提供通知。) ●Simple Mail Transfer Protocol (SMTP)(跨網(wǎng)傳輸電子郵件) ●Symantec AntiVirus(提供 Symantec AntiVirus 的實(shí)時(shí)病毒掃描���、報(bào)告和管理功能��。) ●Symantec AntiVirus Definition Watcher(監(jiān)控和維護(hù)病毒定義����。) ●Symantec Event Manager(事件擴(kuò)展和記錄服務(wù)) ●Symantec Settings Manager(設(shè)置存儲(chǔ)和管理服務(wù)) ●Symantec SPBBCSvc(Symantec SPBBC) ●System Event Notification(監(jiān)視系統(tǒng)事件并通知 COM+ 事件系統(tǒng)“訂閱者(subscriber)”。如果此服務(wù)被停用��,COM+ 事件系統(tǒng)“訂閱者”將接收不到系統(tǒng)事件通知��。如果此服務(wù)被禁用����,任何依賴于它的服務(wù)將無(wú)法啟用。) ●Task Scheduler(使用戶能在此計(jì)算機(jī)上配置和計(jì)劃自動(dòng)任務(wù)���。如果此服務(wù)被終止��,這些任務(wù)將無(wú)法在計(jì)劃時(shí)間里運(yùn)行���。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無(wú)法啟動(dòng)��。) ●TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持���,從而使用戶能夠共享文件����、打印和登錄到網(wǎng)絡(luò)��。如果此服務(wù)被停用���,這些功能可能不可用��。如果此服務(wù)被禁用���,任何依賴它的服務(wù)將無(wú)法啟動(dòng)。) ●Terminal Services(允許用戶以交互方式連接到遠(yuǎn)程計(jì)算機(jī)����。遠(yuǎn)程桌面、快速用戶切換���、遠(yuǎn)程協(xié)助和終端服務(wù)器依賴此服務(wù) - 停止或禁用此服務(wù)會(huì)使您的計(jì)算機(jī)變得不可靠����。要阻止遠(yuǎn)程使用此計(jì)算機(jī)��,請(qǐng)?jiān)凇跋到y(tǒng)”屬性控制面板項(xiàng)目上清除“遠(yuǎn)程”選項(xiàng)卡上的復(fù)選框����。) ●Windows Firewall/Internet Connection Sharing (ICS)(為家庭或小型辦公網(wǎng)絡(luò)提供網(wǎng)絡(luò)地址轉(zhuǎn)換��,定址以及名稱解析和/或防止入侵服務(wù)���。) ●Windows Management Instrumentation(提供共同的界面和對(duì)象模式以便訪問(wèn)有關(guān)操作系統(tǒng)、設(shè)備��、應(yīng)用程序和服務(wù)的管理信息����。如果此服務(wù)被終止,多數(shù)基于 Windows 的軟件將無(wú)法正常運(yùn)行���。如果此服務(wù)被禁用���,任何依賴它的服務(wù)將無(wú)法啟動(dòng)。) ●Windows Time(維護(hù)在網(wǎng)絡(luò)上的所有客戶端和服務(wù)器的時(shí)間和日期同步��。如果此服務(wù)被停止,時(shí)間和日期的同步將不可用��。如果此服務(wù)被禁用,任何明確依賴它的服務(wù)都將不能啟動(dòng)。) ●Workstation(創(chuàng)建和維護(hù)到遠(yuǎn)程服務(wù)的客戶端網(wǎng)絡(luò)連接��。如果服務(wù)停止��,這些連接將不可用���。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無(wú)法啟動(dòng)�。) ●World Wide Web Publishing Service(通過(guò) Internet 信息服務(wù)管理器提供 Web 連接和管理) 設(shè)置防火墻開(kāi)放的端口: ●HTTP(TCP 80端口) ●遠(yuǎn)程桌面(TCP 3389端口,限制特定IP才能訪問(wèn)) 設(shè)置windows自身安全策略: 設(shè)置Windows操作系統(tǒng)自身的安全策略��,點(diǎn)擊“開(kāi)始”→“程序”→“管理工具”→“本地安全策略”�,做以下設(shè)置: ●密碼策略 安全設(shè)置 ●密碼必須符合復(fù)雜性要求 啟用 ●密碼長(zhǎng)度最小值 8 ●密碼鎖定策略 安全設(shè)置 ●復(fù)位帳戶鎖定計(jì)數(shù)器 30分鐘之后 ●帳戶鎖定時(shí)間 30分鐘 ●帳戶鎖定閥值 5次無(wú)效登錄 ●審核策略 安全設(shè)置 ●審核策略更改 成功、失敗 ●審核登錄事件 成功��、失敗 ●審核帳戶登錄事件 成功���、失敗 ●審核帳戶管理 成功���、失敗 打補(bǔ)丁: ●計(jì)算機(jī)的操作系統(tǒng)��、防病毒軟件和Microsoft Office均打了最新補(bǔ)丁���,并且設(shè)置了自動(dòng)更新功能��。 磁盤(pán)情況: ●計(jì)算機(jī)有C�、D、E三個(gè)磁盤(pán)分區(qū)�,文件系統(tǒng)為NTFS。系統(tǒng)文件全部裝在C區(qū)���,日志在D盤(pán)��,所有網(wǎng)站全部在E區(qū)��。 用戶組配置: 創(chuàng)建IIS_GUEST(IIS匿名訪問(wèn)用戶組)���,該組的訪問(wèn)權(quán)限為: ●C:\WINDOWS\system32\vfpodbc.dll(可讀) ●C:\WINDOWS\system32\vbscript.dll(可讀) ●C:\WINDOWS\system32\vbschs.dll(可讀) ●C:\WINDOWS\system32\VBAME.DLL(可讀) ●C:\WINDOWS\system32\vbajet32.dll(可讀) ●C:\WINDOWS\system32\odbc*.dll(可讀) ●C:\WINDOWS\system32\jsproxy.dll(可讀) ●C:\WINDOWS\system32\jscript.dll(可讀) ●c:\program files\common files\system\(可讀) ●c:\program files\common files\odbc\(可讀) ●C:\Program Files\Dimac\w3JMail4\jmail.dll(可讀) ●C:\WINDOWS\Temp(該目錄設(shè)置為可讀寫(xiě)) Internet Information Server(IIS)配置: ●安裝IIS時(shí)只支持ASP和ASP .net。 ●IIS的日志存放在D:\LogFiles�。 為用戶創(chuàng)建網(wǎng)站的步驟是: 1、為每個(gè)用戶分配一個(gè)獨(dú)立的IIS匿名訪問(wèn)用戶���,該用戶屬于IIS匿名訪問(wèn)用戶組(IIS_GUEST)�; 2��、在E盤(pán)為用戶分配一個(gè)獨(dú)立的目錄���,該目錄只允許administrators組和對(duì)應(yīng)的IIS匿名訪問(wèn)用戶才能訪問(wèn)��,缺省訪問(wèn)權(quán)限為讀取和列目錄�,對(duì)用戶上載目錄設(shè)置為可讀寫(xiě)但不可執(zhí)行,用戶文件數(shù)據(jù)庫(kù)文件設(shè)置為可修改�。 3、在IIS中為用戶創(chuàng)建網(wǎng)站��,有獨(dú)立域名的建立虛擬網(wǎng)站��,沒(méi)有域名的建立虛擬目錄�。虛擬網(wǎng)站和目錄的目錄安全性設(shè)置為:對(duì)應(yīng)的IIS匿名訪問(wèn)用戶才能訪問(wèn)��。 除了系統(tǒng)的安裝和設(shè)置外�,日常安全管理也是站點(diǎn)安全中重要的一環(huán),以下也許是Windows系統(tǒng)安全管理員每天應(yīng)做的事: 1. 檢查操作系統(tǒng)和Serv-U有無(wú)新增帳戶��,并了解其來(lái)源及用途�;查看管理員組里有無(wú)新增帳戶,該組的帳戶除系統(tǒng)最初設(shè)置外��,以后不應(yīng)該增加帳戶�; 2. 在命令行狀態(tài)下,運(yùn)行netstat –an命令查看當(dāng)前連接及打開(kāi)的端口���,查找可疑連接及可疑的端口��; 3. 查看“任務(wù)管理器”��,查找有無(wú)可疑的應(yīng)用程序或后臺(tái)進(jìn)程在運(yùn)行��,并觀察CPU及內(nèi)存的使用狀態(tài)�; 4. 運(yùn)行注冊(cè)表編輯器,查找有無(wú)可疑的程序被加到windows的啟動(dòng)項(xiàng)里�,并查看有無(wú)新增的可疑服務(wù); 5. 使用 Windows事件查看器查看“系統(tǒng)日志”“安全日志”和“應(yīng)用程序日志”�,以發(fā)現(xiàn)有無(wú)可疑的事件或影響系統(tǒng)性能的事件; 7. 在發(fā)覺(jué)異常時(shí)��,查看\WINNT\system32\LogFiles下的WEB服務(wù)器日志��,以發(fā)現(xiàn)是否有試圖攻擊WEB的行為���; 8. 定期運(yùn)行殺毒軟件全盤(pán)查殺病毒��; 9. 定期打系統(tǒng)補(bǔ)丁���,及時(shí)填補(bǔ)安全漏洞。 10.定期對(duì)系統(tǒng)進(jìn)行整體備份���。
|
