论文部分内容阅读
小编有话说
上期的“网络天才”,我们介绍了网络工程师需要高度重视的内网“嗅探”问题,因为它很有可能将公司秘密泄露出去,引起重大损失。同样地,容易引起重大损失的不仅是内网嗅探,来自外面的攻击者可能会利用Web服务器、FTP服务器进入你的网络!本期针对这些几乎每家公司都要用到的服务器,我们将指导你进行安全设置,假如你要应聘网络工程师,这一关非过不可!
本文可以学到
1 扫清Web、FTP服务器的安全隐患
2 服务器目录安全设定规则全接触
3 安装、调试服务器应用程序
本文涉及软件
Windows 2003
IIS6.0
IIS备份精灵
http://www.onlinedown.net/soft/33215.htm
SERV-U
http://www.onlinedown.net/soft/8718.htm
“早啊!凌晨4点的空气真新鲜。”老刘开玩笑般地冲着睡眼朦胧的小白打招呼。“刘哥,不至于吧?这么大早上来公司修补服务器来?我还没睡够呢。”小白郁闷地回了一声。“去不去?我昨天没睡觉才做好的安全方案,去机房我再给你讲”。老刘来到机房叮嘱:“进机房先要去除尘室,为了保证机房的干净。对了,你去4号橱拿一套工作服来。”(小提示:企业的机房为保证机房干净会有专门机房工作装和鞋套)
安全升级配置单
—Web服务器
根据昨天分析的服务器被入侵情况,首先要整理公司唯一对外可访问的Web(网页)服务器。公司的Web服务器采用了Windows 2003+IIS6.0系统,当初时间紧迫,默认安装后就直接使用了,今天要进行全面的升级设置。
封住入口—目录权限与审核
首要解决的是目录权限和信息审核问题:攻击者通过ASP木马只能获取网页目录的管理权限,而其他目录则没有执行权限。这样可以降低Web服务器沦陷后对内网的威胁。我们以系统盘为例介绍,假设磁盘有C、D、E、F四个分区,点中C盘,选择“属性→安全”标签,只给 Administrators 组和 SYSTEM 组的完全控制权限。方法是选中Administrators 组,在“允许”一栏中勾选所有选项,同样方法设置 SYSTEM 组。对于其他组,将其中的选项一律空置。
其他需要修改权限的目录
★系统盘\Documents and Settings 目录:只给 Administrators 组和 SYSTEM 的完全控制权限
★系统盘\Documents and Settings\All Users 目录:只给 Administrators 组和 SYSTEM 的完全控制权限
★系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全控制权限,目录内其他文件一律给予everyone权限。另外,将系统盘\winnt\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名。
此目录下有些目录都只能设置Administ rators权限,并且要一个一个目录查看,包括下面的所有子目录。删除C:\inetpub目录。
“咱们公司服务器上只有一个网站,所以比较简单,网站目录对应一个USERS权限的用户,在IIS的‘虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑’填写USERS权限的用户名。 设置其他所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的文件夹设置为允许这个用户访问(见图1)。”
(1)
增加哨兵—设置本地安全审核
如果说权限设置是设置法律,那么安全策略就是负责监督的哨兵。在“开始菜单→设置→控制面板→管理工具→本地安全策略”中进行如下设置:
★在“本地策略→审核策略”中,选择“审核策略更改”,勾选“成功”与“失败”两项,其他按照下面的方式选择,如“成功失败”表示勾选两项。
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
★本地策略→用户权限分配
关闭系统:只有Administrators组、其他全部删除。
通过终端服务允许登录:只加入Administrators,Remote Desktop Users组,其他全部删除
★在“本地策略→安全选项”中,选择“交互式登录:不显示上次的用户名”,然后选择“启用”,其他进行如下设置。
网络访问:不允许SAM账户和
共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问
的注册表路径 全部删除
网络访问:可远程访问的注
册表路径和子路径 全部删除
★关闭无关的进程服务(在“运行”菜单中输入“services.msc”进入),然后选中“Computer Browser”服务,右键点击“禁用”。其他需要禁用选项如下。
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Workstation
未雨绸缪—备份IIS站点信息
为了让攻击者无法进一步入侵,应该把IIS备份一份,万一被攻击者破坏也能及时恢复(见图2)。
(2)
第一步:选择本地计算机右键菜单中的“所有任务→备份/还原配置”来备份IIS,但这种操作如果重装Web服务器或将一台Web服务器移植到另一台Web服务器时就无能为力了,这时可使用IIS备份精灵来实现IIS的备份和移植。
第二步:启动IIS备份精灵,在站点列表上就会列出IIS服务器上配置的各种站点了,勾选你要备份的站点然后单击“导出站点”按钮,在弹出的“导出IIS站点”窗口上选择好文件保存路径,“确定”后,站点配置信息就会以一个TXT文本文件保存下来了。
第三步:在重装IIS服务器后需要导入站点信息时,运行IIS备份精灵,单击“导入站点”按钮,在弹出的“IIS导入站点”窗口上选择要事先备份好的IIS站点信息文件,按“确定”后即可导入。
安全升级配置单
—FTP服务器
对于FTP服务器,大多数企业都是用于存储公司员工的个人文件,也被称为文件服务器。小白在的公司采用的是Windows 2003 + Serv-U 5.0版FTP服务端 + IIS6.0组成的文件服务器。小白检查完所有Serv-U的用户,发现用户列表中多了一个完全控制权限的dircmpt的用户。
“FTP服务器也有入侵者!是我的失职,向公司所有计算机发送通知,暂停FTP服务器!重新安装新版本的Serv-U服务端,你在旁边学着如何设置FTP服务器,以后这些工作你都要非常熟悉!”老刘有点颓废地说道。
由于Serv-U的管理端口、账号和密码等重要信息是保留ServUDaemon.EXE文件里,因此下载后用如UltraEdit等16进制编辑软件就可以很轻易地获取到修改后的端口、账号和密码。如果要修改端口号,只需在UltraEdit中搜索“localadministrator”,后面就是账号名,同样方法可以找到密码和端口(见图3)。
(3)
★实例:发现陌生用户该怎么办?
如果再发现FTP服务器上出现陌生用户,要进行下面几个应急方案:
1.安装新版本。Serv-U,6.0的版本可以在ServUDaemon.ini中加上LocalSetupPortNo=12345,改变默认的管理端口,再采用IPSec限制任何IP(包含网卡绑定的10.4.1.101和本地默认127.0.0.1)访问12345端口访问,即增加12345端口的阻止。
2.使用“设置更改密码”的按钮,即在ServUDaemon.ini中加上LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39之类的MD5密码。
3.修改Serv-U安装目录D:\FAVR4SFDGSD\TTR的权限(目录名建议修改,为了安全,请不要使用默认目录),设为Administrator组完全控制,拒绝Guests组用户访问Serv-U目录。
4.把Serv-U的启动用户改成一个USER组的用户,那么就再不会有所谓的权限提升了。但要注意的是,这个低权限用户一定要对Serv-U安装目录和提供FTP服务的目录或盘符有完全控制的权限。使用普通组用户启动的Serv-U是不能增加用户和删除用户的,这样就可以完全避免攻击者利用FTP服务端对服务器进行入侵了。
“刘哥,今天就先弄到这里吧,辛苦啦!楼下大盘鸡我请客,晚上咱们再继续!”
上期的“网络天才”,我们介绍了网络工程师需要高度重视的内网“嗅探”问题,因为它很有可能将公司秘密泄露出去,引起重大损失。同样地,容易引起重大损失的不仅是内网嗅探,来自外面的攻击者可能会利用Web服务器、FTP服务器进入你的网络!本期针对这些几乎每家公司都要用到的服务器,我们将指导你进行安全设置,假如你要应聘网络工程师,这一关非过不可!
本文可以学到
1 扫清Web、FTP服务器的安全隐患
2 服务器目录安全设定规则全接触
3 安装、调试服务器应用程序
本文涉及软件
Windows 2003
IIS6.0
IIS备份精灵
http://www.onlinedown.net/soft/33215.htm
SERV-U
http://www.onlinedown.net/soft/8718.htm
“早啊!凌晨4点的空气真新鲜。”老刘开玩笑般地冲着睡眼朦胧的小白打招呼。“刘哥,不至于吧?这么大早上来公司修补服务器来?我还没睡够呢。”小白郁闷地回了一声。“去不去?我昨天没睡觉才做好的安全方案,去机房我再给你讲”。老刘来到机房叮嘱:“进机房先要去除尘室,为了保证机房的干净。对了,你去4号橱拿一套工作服来。”(小提示:企业的机房为保证机房干净会有专门机房工作装和鞋套)
安全升级配置单
—Web服务器
根据昨天分析的服务器被入侵情况,首先要整理公司唯一对外可访问的Web(网页)服务器。公司的Web服务器采用了Windows 2003+IIS6.0系统,当初时间紧迫,默认安装后就直接使用了,今天要进行全面的升级设置。
封住入口—目录权限与审核
首要解决的是目录权限和信息审核问题:攻击者通过ASP木马只能获取网页目录的管理权限,而其他目录则没有执行权限。这样可以降低Web服务器沦陷后对内网的威胁。我们以系统盘为例介绍,假设磁盘有C、D、E、F四个分区,点中C盘,选择“属性→安全”标签,只给 Administrators 组和 SYSTEM 组的完全控制权限。方法是选中Administrators 组,在“允许”一栏中勾选所有选项,同样方法设置 SYSTEM 组。对于其他组,将其中的选项一律空置。
其他需要修改权限的目录
★系统盘\Documents and Settings 目录:只给 Administrators 组和 SYSTEM 的完全控制权限
★系统盘\Documents and Settings\All Users 目录:只给 Administrators 组和 SYSTEM 的完全控制权限
★系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全控制权限,目录内其他文件一律给予everyone权限。另外,将系统盘\winnt\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名。
此目录下有些目录都只能设置Administ rators权限,并且要一个一个目录查看,包括下面的所有子目录。删除C:\inetpub目录。
“咱们公司服务器上只有一个网站,所以比较简单,网站目录对应一个USERS权限的用户,在IIS的‘虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑’填写USERS权限的用户名。 设置其他所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的文件夹设置为允许这个用户访问(见图1)。”
(1)
增加哨兵—设置本地安全审核
如果说权限设置是设置法律,那么安全策略就是负责监督的哨兵。在“开始菜单→设置→控制面板→管理工具→本地安全策略”中进行如下设置:
★在“本地策略→审核策略”中,选择“审核策略更改”,勾选“成功”与“失败”两项,其他按照下面的方式选择,如“成功失败”表示勾选两项。
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
★本地策略→用户权限分配
关闭系统:只有Administrators组、其他全部删除。
通过终端服务允许登录:只加入Administrators,Remote Desktop Users组,其他全部删除
★在“本地策略→安全选项”中,选择“交互式登录:不显示上次的用户名”,然后选择“启用”,其他进行如下设置。
网络访问:不允许SAM账户和
共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问
的注册表路径 全部删除
网络访问:可远程访问的注
册表路径和子路径 全部删除
★关闭无关的进程服务(在“运行”菜单中输入“services.msc”进入),然后选中“Computer Browser”服务,右键点击“禁用”。其他需要禁用选项如下。
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Workstation
未雨绸缪—备份IIS站点信息
为了让攻击者无法进一步入侵,应该把IIS备份一份,万一被攻击者破坏也能及时恢复(见图2)。
(2)
第一步:选择本地计算机右键菜单中的“所有任务→备份/还原配置”来备份IIS,但这种操作如果重装Web服务器或将一台Web服务器移植到另一台Web服务器时就无能为力了,这时可使用IIS备份精灵来实现IIS的备份和移植。
第二步:启动IIS备份精灵,在站点列表上就会列出IIS服务器上配置的各种站点了,勾选你要备份的站点然后单击“导出站点”按钮,在弹出的“导出IIS站点”窗口上选择好文件保存路径,“确定”后,站点配置信息就会以一个TXT文本文件保存下来了。
第三步:在重装IIS服务器后需要导入站点信息时,运行IIS备份精灵,单击“导入站点”按钮,在弹出的“IIS导入站点”窗口上选择要事先备份好的IIS站点信息文件,按“确定”后即可导入。
安全升级配置单
—FTP服务器
对于FTP服务器,大多数企业都是用于存储公司员工的个人文件,也被称为文件服务器。小白在的公司采用的是Windows 2003 + Serv-U 5.0版FTP服务端 + IIS6.0组成的文件服务器。小白检查完所有Serv-U的用户,发现用户列表中多了一个完全控制权限的dircmpt的用户。
“FTP服务器也有入侵者!是我的失职,向公司所有计算机发送通知,暂停FTP服务器!重新安装新版本的Serv-U服务端,你在旁边学着如何设置FTP服务器,以后这些工作你都要非常熟悉!”老刘有点颓废地说道。
由于Serv-U的管理端口、账号和密码等重要信息是保留ServUDaemon.EXE文件里,因此下载后用如UltraEdit等16进制编辑软件就可以很轻易地获取到修改后的端口、账号和密码。如果要修改端口号,只需在UltraEdit中搜索“localadministrator”,后面就是账号名,同样方法可以找到密码和端口(见图3)。
(3)
★实例:发现陌生用户该怎么办?
如果再发现FTP服务器上出现陌生用户,要进行下面几个应急方案:
1.安装新版本。Serv-U,6.0的版本可以在ServUDaemon.ini中加上LocalSetupPortNo=12345,改变默认的管理端口,再采用IPSec限制任何IP(包含网卡绑定的10.4.1.101和本地默认127.0.0.1)访问12345端口访问,即增加12345端口的阻止。
2.使用“设置更改密码”的按钮,即在ServUDaemon.ini中加上LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39之类的MD5密码。
3.修改Serv-U安装目录D:\FAVR4SFDGSD\TTR的权限(目录名建议修改,为了安全,请不要使用默认目录),设为Administrator组完全控制,拒绝Guests组用户访问Serv-U目录。
4.把Serv-U的启动用户改成一个USER组的用户,那么就再不会有所谓的权限提升了。但要注意的是,这个低权限用户一定要对Serv-U安装目录和提供FTP服务的目录或盘符有完全控制的权限。使用普通组用户启动的Serv-U是不能增加用户和删除用户的,这样就可以完全避免攻击者利用FTP服务端对服务器进行入侵了。
“刘哥,今天就先弄到这里吧,辛苦啦!楼下大盘鸡我请客,晚上咱们再继续!”