|
假設(shè)需要在windows 環(huán)境下建立一個web網(wǎng)站服務(wù)器,該服務(wù)器將為多個用戶提供web網(wǎng)站服務(wù)����,網(wǎng)站暫且只支持asp和asp .net����。網(wǎng)站程序開發(fā)由用戶負責(zé)��,程序代碼不保證安全性��。在這種情況下�����,黑客很可能通過SQL注入等方式入侵web網(wǎng)站��,上載webshell���,并嘗試進一步入侵其他網(wǎng)站����,甚至入侵整個操作系統(tǒng)����。 在Windows Server 2003環(huán)境下安裝web網(wǎng)站時需要做好安全配置����,除了最基本的打補丁���,設(shè)置防火墻、除木馬軟件和殺病毒軟件之外�,還應(yīng)做好網(wǎng)站的權(quán)限管理,以實現(xiàn)兩個目的: 1��、如果某一網(wǎng)站被黑客入侵����,避免相同服務(wù)器上其他網(wǎng)站慘遭池魚之殃; 2�、如果網(wǎng)站被入侵,避免讓黑客進一步訪問操作系統(tǒng)其它文件��。 以下設(shè)置未必完整和準(zhǔn)確�,請大家指正。 首先介紹服務(wù)器基本軟件環(huán)境: 操作系統(tǒng):Windows 2003 Server���; 安全軟件:Windows自帶防火墻�、360安全衛(wèi)士和殺病毒軟件(例如Symantec Client Security)���; 系統(tǒng)軟件:Internet Information Server�����、Jmail 4.3版(發(fā)送郵件的免費組件)���; 應(yīng)用軟件:WinRAR(壓縮解壓縮)����、EditPlus 2(文本編輯) Microsoft Office 2003(文檔編輯��、數(shù)據(jù)庫訪問控件)���; 接下來介紹系統(tǒng)中開啟的服務(wù): ●Application Experience Lookup Service(在應(yīng)用程序啟動時為應(yīng)用程序處理應(yīng)用程序兼容性查找請求���。) ●Application Layer Gateway Service(為 Internet 連接共享和 Windows 防火墻提供第三方協(xié)議插件的支持) ●COM+ Event System(支持系統(tǒng)事件通知服務(wù) (SENS),此服務(wù)為訂閱的組件對象模型 (COM) 組件提供自動分布事件功能�。如果停止此服務(wù),SENS 將關(guān)閉�����,而且不能提供登錄和注銷通知��。如果禁用此服務(wù)����,顯式依賴此服務(wù)的其他服務(wù)都將無法啟動。) ●Cryptographic Services(提供三種管理服務(wù): 編錄數(shù)據(jù)庫服務(wù)�����,它確定 Windows 文件的簽名�;受保護的根服務(wù),它從此計算機添加和刪除受信根證書頒發(fā)機構(gòu)的證書���;和密鑰(Key)服務(wù)����,它幫助注冊此計算機獲取證書���。如果此服務(wù)被終止���,這些管理服務(wù)將無法正常運行。如果此服務(wù)被禁用����,任何依賴它的服務(wù)將無法啟動。) ●DCOM Server Process Launcher(為 DCOM 服務(wù)提供啟動的功能�。) ●Distributed Link Tracking Client(啟用客戶端程序跟蹤鏈接文件的移動�����,包括在同一 NTFS 卷內(nèi)移動�����,移動到同一臺計算機上的另一 NTFS���、或另一臺計算機上的 NTFS。如果此服務(wù)被停用�,這臺計算機上的鏈接將不會維護或跟蹤。如果此服務(wù)被禁用��,任何依賴于它的服務(wù)將無法啟用��。) ●Distributed Transaction Coordinator(協(xié)調(diào)跨多個數(shù)據(jù)庫���、消息隊列�����、文件系統(tǒng)等資源管理器的事務(wù)����。如果停止此服務(wù)����,則不會發(fā)生這些事務(wù)。如果禁用此服務(wù)�,顯式依賴此服務(wù)的其他服務(wù)將無法啟動。) ●DNS Client(為此計算機解析和緩沖域名系統(tǒng)(DNS)名稱��。如果此服務(wù)被停止�,計算機將不能解析 DNS 名稱并定位 Active Directory 域控制器。如果此服務(wù)被禁用����,任何明確依賴它的服務(wù)將不能啟動。) ●Error Reporting Service(收集���、存儲和向 Microsoft 報告異常應(yīng)用程序崩潰�。如果此服務(wù)被停用����,那么錯誤報告僅在內(nèi)核錯誤和某些類型用戶模式錯誤時發(fā)生。如果此服務(wù)被禁用��,任何依賴于它的服務(wù)將無法啟用����。) ●Event Log(啟用在事件查看器查看基于 Windows 的程序和組件頒發(fā)的事件日志消息��。無法終止此服務(wù)��。) ●Help and Support(啟用在此計算機上運行幫助和支持中心�����。如果停止服務(wù)�����,幫助和支持中心將不可用���。如果禁用服務(wù),任何直接依賴于此服務(wù)的服務(wù)將無法啟動����。)。 ●HTTP SSL(此服務(wù)通過安全套接字層(SSL)實現(xiàn) HTTP 服務(wù)的安全超文本傳送協(xié)議(HTTPS)��。如果此服務(wù)被禁用�����,任何依賴它的服務(wù)將無法啟動。) ●IIS Admin Service(允許此服務(wù)器管理 Web 和 FTP 服務(wù)��。如果此服務(wù)被停止���,服務(wù)器將不能運行 Web,F(xiàn)TP��,NNTP�,SMTP 站點,或配置 IIS�����。如果此服務(wù)被禁止��,任何明確依賴于它的服務(wù)都將不能啟動����。) ●IPSEC Services(提供 TCP/IP 網(wǎng)絡(luò)上客戶端和服務(wù)器之間端對端的安全。如果此服務(wù)被停用�����,網(wǎng)絡(luò)上客戶端和服務(wù)器之間的 TCP/IP 安全將不穩(wěn)定����。如果此服務(wù)被禁用��,任何依賴它的服務(wù)將無法啟動���。) ●Logical Disk Manager(監(jiān)測和監(jiān)視新硬盤驅(qū)動器并向邏輯磁盤管理器管理服務(wù)發(fā)送卷的信息以便配置。如果此服務(wù)被終止�,動態(tài)磁盤狀態(tài)和配置信息會過時。如果此服務(wù)被禁用�����,任何依賴它的服務(wù)將無法啟動����。) ●Machine Debug Manager(支持對 Visual Studio 和腳本調(diào)試器進行本地和遠程調(diào)試。如果該服務(wù)停止��,調(diào)試器將不能正常工作���。) ●Network Connections(管理“網(wǎng)絡(luò)和撥號連接”文件夾中對象�,在其中您可以查看局域網(wǎng)和遠程連接���。如果服務(wù)被禁用��,您將無法查看局域網(wǎng)和遠程連接而且任何依賴它的服務(wù)將無法啟動�。) ●Network Location Awareness (NLA)(收集并保存網(wǎng)絡(luò)配置和位置信息,并在信息改動時通知應(yīng)用程序�����。) ●Plug and Play(使計算機在極少或沒有用戶輸入的情況下能識別并適應(yīng)硬件的更改�����。終止或禁用此服務(wù)會造成系統(tǒng)不穩(wěn)定��。) ●Protected Storage(保護敏感數(shù)據(jù)(如私鑰)的存儲����,以便防止未授權(quán)的服務(wù)����、過程或用戶對其的非法訪問。如果此服務(wù)被停用�����,保護性存儲將不可用。如果此服務(wù)被禁用����,任何依賴于它的服務(wù)將無法啟用。) ●Remote Procedure Call (RPC)(作為終結(jié)點映射程序(endpoint mapper)和 COM 服務(wù)控制管理器使用�。如果此服務(wù)被停用或禁用,使用 COM 或遠程過程調(diào)用(RPC)服務(wù)的程序工作將不正常���。) ●SAVRoam(Symantec AntiVirus 漫游服務(wù)) ●Secondary Logon(啟用替換憑據(jù)下的啟用進程�。如果此服務(wù)被終止�����,此類型登錄訪問將不可用���。如果此服務(wù)被禁用����,任何依賴它的服務(wù)將無法啟動��。) ●Security Accounts Manager(此服務(wù)的啟動通知其他服務(wù)安全帳戶管理 (SAM) 準(zhǔn)備好接收請求�����。禁用此服務(wù)將使系統(tǒng)中的其他服務(wù)接收不到 SAM 準(zhǔn)備好的通知,從而導(dǎo)致這些服務(wù)啟動不正確�����。此服務(wù)不應(yīng)被禁用����。) ●Shell Hardware Detection(為自動播放硬件事件提供通知。) ●Simple Mail Transfer Protocol (SMTP)(跨網(wǎng)傳輸電子郵件) ●Symantec AntiVirus(提供 Symantec AntiVirus 的實時病毒掃描�����、報告和管理功能�。) ●Symantec AntiVirus Definition Watcher(監(jiān)控和維護病毒定義��。) ●Symantec Event Manager(事件擴展和記錄服務(wù)) ●Symantec Settings Manager(設(shè)置存儲和管理服務(wù)) ●Symantec SPBBCSvc(Symantec SPBBC) ●System Event Notification(監(jiān)視系統(tǒng)事件并通知 COM+ 事件系統(tǒng)“訂閱者(subscriber)”�。如果此服務(wù)被停用,COM+ 事件系統(tǒng)“訂閱者”將接收不到系統(tǒng)事件通知��。如果此服務(wù)被禁用����,任何依賴于它的服務(wù)將無法啟用。) ●Task Scheduler(使用戶能在此計算機上配置和計劃自動任務(wù)�����。如果此服務(wù)被終止,這些任務(wù)將無法在計劃時間里運行���。如果此服務(wù)被禁用�,任何依賴它的服務(wù)將無法啟動���。) ●TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持����,從而使用戶能夠共享文件����、打印和登錄到網(wǎng)絡(luò)。如果此服務(wù)被停用�,這些功能可能不可用。如果此服務(wù)被禁用�,任何依賴它的服務(wù)將無法啟動。) ●Terminal Services(允許用戶以交互方式連接到遠程計算機�����。遠程桌面�����、快速用戶切換、遠程協(xié)助和終端服務(wù)器依賴此服務(wù) - 停止或禁用此服務(wù)會使您的計算機變得不可靠����。要阻止遠程使用此計算機,請在“系統(tǒng)”屬性控制面板項目上清除“遠程”選項卡上的復(fù)選框�。) ●Windows Firewall/Internet Connection Sharing (ICS)(為家庭或小型辦公網(wǎng)絡(luò)提供網(wǎng)絡(luò)地址轉(zhuǎn)換,定址以及名稱解析和/或防止入侵服務(wù)�����。) ●Windows Management Instrumentation(提供共同的界面和對象模式以便訪問有關(guān)操作系統(tǒng)����、設(shè)備、應(yīng)用程序和服務(wù)的管理信息�。如果此服務(wù)被終止,多數(shù)基于 Windows 的軟件將無法正常運行��。如果此服務(wù)被禁用�����,任何依賴它的服務(wù)將無法啟動���。) ●Windows Time(維護在網(wǎng)絡(luò)上的所有客戶端和服務(wù)器的時間和日期同步�。如果此服務(wù)被停止���,時間和日期的同步將不可用�。如果此服務(wù)被禁用��,任何明確依賴它的服務(wù)都將不能啟動�。) ●Workstation(創(chuàng)建和維護到遠程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止��,這些連接將不可用��。如果服務(wù)被禁用��,任何直接依賴于此服務(wù)的服務(wù)將無法啟動���。) ●World Wide Web Publishing Service(通過 Internet 信息服務(wù)管理器提供 Web 連接和管理) 設(shè)置防火墻開放的端口: ●HTTP(TCP 80端口) ●遠程桌面(TCP 3389端口����,限制特定IP才能訪問) 設(shè)置windows自身安全策略: 設(shè)置Windows操作系統(tǒng)自身的安全策略�����,點擊“開始”→“程序”→“管理工具”→“本地安全策略”���,做以下設(shè)置: ●密碼策略 安全設(shè)置 ●密碼必須符合復(fù)雜性要求 啟用 ●密碼長度最小值 8 ●密碼鎖定策略 安全設(shè)置 ●復(fù)位帳戶鎖定計數(shù)器 30分鐘之后 ●帳戶鎖定時間 30分鐘 ●帳戶鎖定閥值 5次無效登錄 ●審核策略 安全設(shè)置 ●審核策略更改 成功�、失敗 ●審核登錄事件 成功�、失敗 ●審核帳戶登錄事件 成功��、失敗 ●審核帳戶管理 成功�����、失敗 打補丁: ●計算機的操作系統(tǒng)�����、防病毒軟件和Microsoft Office均打了最新補丁�,并且設(shè)置了自動更新功能����。 磁盤情況: ●計算機有C��、D�����、E三個磁盤分區(qū)�,文件系統(tǒng)為NTFS�����。系統(tǒng)文件全部裝在C區(qū)���,日志在D盤,所有網(wǎng)站全部在E區(qū)����。 用戶組配置: 創(chuàng)建IIS_GUEST(IIS匿名訪問用戶組)���,該組的訪問權(quán)限為: ●C:\WINDOWS\system32\vfpodbc.dll(可讀) ●C:\WINDOWS\system32\vbscript.dll(可讀) ●C:\WINDOWS\system32\vbschs.dll(可讀) ●C:\WINDOWS\system32\VBAME.DLL(可讀) ●C:\WINDOWS\system32\vbajet32.dll(可讀) ●C:\WINDOWS\system32\odbc*.dll(可讀) ●C:\WINDOWS\system32\jsproxy.dll(可讀) ●C:\WINDOWS\system32\jscript.dll(可讀) ●c:\program files\common files\system\(可讀) ●c:\program files\common files\odbc\(可讀) ●C:\Program Files\Dimac\w3JMail4\jmail.dll(可讀) ●C:\WINDOWS\Temp(該目錄設(shè)置為可讀寫) Internet Information Server(IIS)配置: ●安裝IIS時只支持ASP和ASP .net���。 ●IIS的日志存放在D:\LogFiles��。 為用戶創(chuàng)建網(wǎng)站的步驟是: 1�、為每個用戶分配一個獨立的IIS匿名訪問用戶��,該用戶屬于IIS匿名訪問用戶組(IIS_GUEST)�; 2�����、在E盤為用戶分配一個獨立的目錄��,該目錄只允許administrators組和對應(yīng)的IIS匿名訪問用戶才能訪問�,缺省訪問權(quán)限為讀取和列目錄��,對用戶上載目錄設(shè)置為可讀寫但不可執(zhí)行�,用戶文件數(shù)據(jù)庫文件設(shè)置為可修改。 3�、在IIS中為用戶創(chuàng)建網(wǎng)站,有獨立域名的建立虛擬網(wǎng)站��,沒有域名的建立虛擬目錄�����。虛擬網(wǎng)站和目錄的目錄安全性設(shè)置為:對應(yīng)的IIS匿名訪問用戶才能訪問。 除了系統(tǒng)的安裝和設(shè)置外�����,日常安全管理也是站點安全中重要的一環(huán)�����,以下也許是Windows系統(tǒng)安全管理員每天應(yīng)做的事: 1. 檢查操作系統(tǒng)和Serv-U有無新增帳戶�����,并了解其來源及用途��;查看管理員組里有無新增帳戶,該組的帳戶除系統(tǒng)最初設(shè)置外����,以后不應(yīng)該增加帳戶���; 2. 在命令行狀態(tài)下,運行netstat –an命令查看當(dāng)前連接及打開的端口����,查找可疑連接及可疑的端口��; 3. 查看“任務(wù)管理器”�,查找有無可疑的應(yīng)用程序或后臺進程在運行�����,并觀察CPU及內(nèi)存的使用狀態(tài)����; 4. 運行注冊表編輯器,查找有無可疑的程序被加到windows的啟動項里�����,并查看有無新增的可疑服務(wù)�; 5. 使用 Windows事件查看器查看“系統(tǒng)日志”“安全日志”和“應(yīng)用程序日志”,以發(fā)現(xiàn)有無可疑的事件或影響系統(tǒng)性能的事件�; 7. 在發(fā)覺異常時�����,查看\WINNT\system32\LogFiles下的WEB服務(wù)器日志�,以發(fā)現(xiàn)是否有試圖攻擊WEB的行為����; 8. 定期運行殺毒軟件全盤查殺病毒�; 9. 定期打系統(tǒng)補丁,及時填補安全漏洞��。 10.定期對系統(tǒng)進行整體備份��。
|
