服务器系统安全维护

服务器系统安全维护丁兆锟(dzkad@)主要内容一、WindowsServer2003IIS服务器二、安装和配置DNS服务器三、WindowsServer2003中设置FTP服务器四、Windows2000中设置FTP服务器五、设置SMTP安全选项六、MicrosoftSQLServer安全防护一、WindowsServer2003IIS服务器1.IIS服务器的安全性2.一个IIS远程攻击示例3.确保Web服务的安全4.确保Web站点的安全1.IIS服务器的安全性由于Web站点的发布很多是依靠Microsoft的IIS服务器，疏于防护和无安全配置的IIS服务器往往是黑客攻击的“肉鸡”，这是因为服务器存在着诸如IDA、IDQ、Unicode、.printer、WebDAV等等漏洞，不少可远程获得管理员权限为了向组织Intranet中的Web服务器和应用程序提供全面的安全保护，应该保护每个MicrosoftInternet信息服务(IIS)服务器以及在这些服务器运行的每个Web站点和应用程序不受可与它们连接的客户端计算机的侵害2.一个IIS远程攻击示例WebDAV是HTTP协议的扩展，允许远程编写和管理Web内容微软IIS5.0的WebDAV在处理某些畸形的请求时存在缺陷，当外部提交一恶意超长的SEARCH请求时，远程的WebDav服务会出现缓冲区溢出可使IIS服务重启攻击者可以通过这个漏洞以Web服务器的执行权限执行任意代码，以下几页给出针对Windows2000Server的攻击工程(1)启用“X-Scan”扫描器(2)发现目标主机中“Webdav”漏洞(3)攻击目标主机(4)创建管理员用户netlocalgroupadministratorsccc/add

(5)远远程桌面完完全控制3.确保保Web服服务的安全全3.1仅仅启用必要要的Web服务扩展展3.2仅仅安装必要要的IIS组件3.3使使用安全工工具3.4确确保IIS全局的设设置安全3.5确确保默认Web站点点和管理Web站点点的安全3.6使使FrontPageServerExtension无效效3.1仅仅启用必要要的Web服务扩展展3.2仅仅安装必要要的IIS组件除“万维网网发布服务务”之外，，IIS6.0还包包括其它的的组件和服服务，例如如FTP和和SMTP服务。可可以通过双双击“控制制面板”上上的“添加加/删除程程序”来启启动Windows组件向导导应用程序序服务器，，以安装和和启用IIS组件和和服务。安安装IIS之后，必必须启用Web站点点和应用程程序所需的的所有必要要的IIS组件和服服务应该仅启用用Web站站点和应用用程序所需需的必要IIS组件件和服务。。启用不必必要的组件件和服务会会增加IIS服务器器的受攻击击面3.3使使用安全工工具Microsoft免费提供供了一个““IISLockdownWizard”工工具来确保保IISWeb服服务器的安安全。它可可让管理员员通过选用用一个模板板来选择服服务器支持持的技术。。Microsoft免费提供供一个叫““URLScan””的工具，，它在MicrosoftInternet信息服务务(IIS)接受HTTP请请求时对请请求进行屏屏蔽和分析析。正确配配置后，““URLScan””可有效减减少IIS4.0、、IIS5.0和IIS5.1遭受来来自Internet攻击的的危险。3.4确确保IIS全局的设设置安全大部分IIS配置设设置存储在在元库中，，但是一些些全局设置置仍在注册册表里。要确保注册册表内这些些键值按如如下设置：：HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\AllowSpecialCharsShell。它是是允许或组组织特定的的命令字符符作为CGI脚本或或可执行文文件的参数数，应设置置为0。HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\LogSuccessfullRequests。它是是使IIS日志记录录功能启用用或禁用的的参数，应应设置为1。HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\SSIEnableCmdDirective。它是允允许或组织使使用服务器端端的#execcmd指指示参数，应应设置为0。。3.4确保保IIS全局局的设置安全全(续)要确保注册表表内这些键值值按如下设置置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\AllowGuestAccess。它是设置置是否允许Guest访访问Web服服务器的参数数，0表示禁禁止访问；1允许。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\EnableSvcLoc。它是允允许或组织微微软控制台（（MMC）管管理单元管理理IIS服务务器的参数，，0表示禁止止访问；1允允许。可根据据实际需要设设置。HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\Printers\DisableWebPrinting。它它是禁止网络络打印的参数数，应设置为为0。3.5确保保默认Web站点和管理理Web站点点的安全第一次安全IID时会创创建两个站点点：默认Web站点和管管理Web站站点，它们有有不少安全隐隐患，应该禁禁用。要删除以下默默认Web站站点的虚拟目目录ScriptsIISHelpIISSamplesPrintersIISAdminIISAdmpwdMSADCPBServerPBSDataRPCCertSrvCertControlCertEnroll从系统文件中中删除这些目目录C:\inetpub\scriptsC:\winnt\help\iishelp\iisC:\inetpub\iissamplesC:\winnt\web\printersC:\winnt\system32\inetsrv\iisadminC:\winnt\system32\inetsrv\iisadmpwd3.6使FrontPageServerExtension无效FPSE提供供了方便的远远程Web授授权特性，但但是它却导致致了Web服服务器遭受攻攻击面的扩大大。如果要完全删删除FPSE，首先打开“Internet服务管管理器”在每个Web站点上右键键点击，选择择“AllTasks”，“RemoveServerExtensions”。然然后删除_vti或_private目录最后，从主Web站点属属性的“ISAPI扩展展”标签中删删除FPEXED.dll文件。4.确保Web站点的的安全4.1Web站点为只只读在“管理Web站点”上上单击鼠标右右键，选择““新建站点””。根据提示操作作，我们自建建的站点说明明假设为“Web”，目目录为“D:\webroot\””，只给读取取权限。在“Web””的属性“主主目录”中设设置执行许可可为“无”，，“应用程序序设置”、““配置”中删删除不必要的的IIS扩展展名映射4.3帐户户策略清理帐户保护众所周知知帐户的安全全再增加一个属属于管理员组组的帐号作管管理和备份创建一个帐号号陷阱，就是是说创建一个个Administrator的本本地帐号，但但权限低密码码强定期修改口令令对于IIS服服务器，建议议不要使用帐帐户锁定策略略在“本地策略略”的“安全全选项”里，，把“LanManager身份验验证级别”改改为“仅发送送NTLM响响应”，这样样即使入侵者者借助Sniffer得得到口令的hash也很很难破解把“匿名连接接的额外限制制”设置为““没有显示匿匿名权限就无无法访问”启用“在关机机时清理虚拟拟内存交换页页面”启用“登录屏屏幕上不要显显示上次登录录的用户名””4.4在专专用磁盘卷中中放置内容4.5设置置NTFS权权限NTFS下所所有文件默认认情况下对所所有人（eneryone）为完全全控制权限，，如果限制一一般用户只有有只读权限的的话，有可能能会导致一些些脚本运行不不正常，这时时需要对这些些文件所在的的文件夹权限限进行更改。。这样WindowsServer2003将检查NTFS文件系系统的权限，，以确定用户户或进程对特特定文件或文文件夹所具有有的访问权限限类型。建议在做更改改前，先在测测试机器上做做测试，然后后慎重更改。。NTFS权限限表文件类型建议的NTFS权限CGI文件（.exe、.dll、.cmd、.pl）Everyone（执行）、Administrators（完全控制）、System（完全控制）脚本文件(.asp)Everyone（执行）、Administrators（完全控制）、System（完全控制）包含文件（.inc、.shtm、.shtml）Everyone（执行）、Administrators（完全控制）、System（完全控制）静态内容（.txt、.gif、.jpg、.htm、.html）Everyone（只读）、Administrators（完全控制）、System（完全控制）4.6设置置IISWeb站点权权限IIS将检查查Web站点点权限，以确确定在Web站点中可能能发生的操作作类型，例如如允许脚本源源访问或允许许文件夹浏览览。应该为Web站点分分配权限。Web站点权权限可与NTFS权限结结合使用。它它们可配置给给特定的站点点、文件夹和和文件。与NTFS权限限不同，Web站点权限限影响试图访访问IIS服服务器站点的的每个人。Web站点权权限可以通过过使用IIS管理器管理理单元生效。。Web站点权权限表Web站点权限授予的权限读用户可查看目录或文件的内容和属性。在默认情况下，该权限为选中状态。写用户可更改目录或文件的内容和属性。脚本源访问用户可以访问源文件。如果启用“读”权限，则可以读取源文件；如果启用“写”权限，则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限，也不启用“写”权限，则此选项将不可用。要点：启用“脚本源访问”时，用户可以查看敏感信息，例如用户名和密码。他们还可以更改IIS服务器上运行的源代码，从而严重影响服务器的安全性和性能。目录浏览用户可以查看文件列表和集合。日志访问每次访问Web站点都会创建日志条目。索引此资源允许使用索引服务索引资源。这样便可以对资源执行搜索。执行以下选项确定用户运行脚本的级别：“无”—不允许在服务器上运行脚本和可执行文件。“仅限于脚本”—仅允许在服务器上运行脚本。“脚本和可执行文件”—允许在服务器上运行脚本和可执行文件。4.7配置置IIS日志志可以为每个站站点或应用程程序创建单独独的日志。IIS可以记记录Windows操作作系统提供的的事件日志或或性能监视功功能所记录信信息范围之外外的信息。IIS日志可可记录诸如谁谁访问过站点点、访客浏览览过哪些内容容、以及最后后一次访问的的时间等信息息。IIS日日志可被用来来了解那些内内容最受欢迎迎，确定信息息瓶颈，或者者用作协助攻攻击事件调查查的资源。4.8打开开审核策略打开安全审核核是Win2000最基基本的入侵检检测方法。当当有人尝试对对你的系统进进行某些（如如尝试用户名名密码、改变变帐户策略、、未经许可的的文件访问等等等）入侵的的时候，都会会被安全审核核记录下来。。很多管理员员在系统被入入侵了几个月月都不知道系系统遭到了破破坏。安全设置审核核策略策略设置审核帐户管理成功，失败审核对象访问成功审核特权使用成功，失败审核系统登录事件成功，失败审核登录事件成功，失败审核策略更改成功，失败审核系统事件成功，失败二、安装和配配置DNS服服务器1.准备工工作2.安装DNS服务3.安全配配置DNS1.准备工工作你的域名（经经过Internic批批准）要为其提供名名称解析的每每台服务器的的IP地址和和主机名操作系统配置置正确已经分配了所所有可用的磁磁盘空间所有现有的磁磁盘卷都使用用NTFS文文件系统2.安装DNS服务打开“Windows组组件向导”。。为此，请执执行下列步骤骤：单击“开始””，单击“控控制面板”，，然后单击““添加或删除除程序”。单击“添加/删除Windows组组件”。在“组件”中中，选中“网网络服务”复复选框，然后后单击“详细细信息”。在“网络服务务子组件”中中，选中“域域名系统(DNS)”复复选框，单击击“确定”，，然后单击““下一步”。。在得到提示时时，在“文件件复制来源””中键入分发发文件的完整整路径，然后后单击“确定定”。3.安全配配置DNS启动“配置你你的服务器向向导”在“服务器角角色”页上，，单击“DNS服务器””，然后单击击“下一步””在“选择摘要要”页上，查查看并确认你你所选择的选选项。然后单单击“下一步步”在“配置你的的服务器”向向导中完成对对DNS服务务器本身的IP地址等参参数的配置在“配置DNS服务器向向导”中完完成对DNS区域、转发发器等参数的的配置，完成成DNS的配配置过程三、WindowsServer2003中中设置FTP服务器1.安装FTP服务2.配置匿匿名FTP服服务3.FTP服务安全配配置1.安装FTP服务单击“开始””，指向“控控制面板”，，然后单击““添加或删除除程序”。单击“添加/删除Windows组组件”。在““组件”列表表中，单击““应用程序服服务器”，单单击“Internet信息服务(IIS)””（但是不要要选中或清除除复选框），，然后单击““详细信息””。单击以选中下下列复选框（（如果它们尚尚未被选中））：“公用文文件文件传输输协议(FTP)服务Internet信息服服务管理器””单击以选中你你想要安装的的任何其他的的IIS相关关服务或子组组件旁边的复复选框，然后后单击“确定定”。单击“下一步步”。出现提提示时，请将将WindowsServer2003CD-ROM插入计算机机的CD-ROM或DVD-ROM驱动器，或或提供文件所所在位置的路路径，然后单单击“确定””。单击“完成””。2.配置匿匿名FTP服服务启动“Internet信息服务管管理器”或打打开IIS管管理单元。展开“服务器器名称”，其其中服务器名名称是该服务务器的名称。。展开“FTP站点”，右右击“默认FTP站点””，然后单击击“属性”。。单击“安全帐帐户”选项卡卡。单击以选中““允许匿名连连接”复选框框（如果它尚尚未被选中）），然后单击击以选中“仅仅允许匿名连连接”复选框框。单击“主主目录”选项项卡。单击以选中““读取”和““日志访问””复选框（如如果它们尚未未被选中），，然后单击以以清除“写入入”复选框（（如果它尚未未被清除）。。单击“确定””。退出“Internet信息服服务管理器””或者关闭IIS管理单单元。3.FTP服务安全配配置3.1限制制客户端连接接数3.2配置置匿名用户或或域用户访问问权限3.3将访访问权限限制制到特定计算算机3.1限制制客户端连接接数单击“开始””，指向“管管理工具”，，然后单击““Internet信息息服务(IIS)管理器器”。在控制台树中中，展开“ServerName””（其中ServerName是服服务器的名称称），展开““FTP站点点”，右键单单击FTP站站点，然后单单击“属性””。单击“FTP站点”选项项卡。在“FTP站站点连接”下下，单击“连连接限制为””，然后键入入允许同时连连接到服务器器的最大数量量。达到限制制值时，IIS将向客户户端返回一条条错误信息，，说明服务器器忙。在“连接超时时(秒)”框框中，键入一一个时间长度度，指定服务务器在用户处处于非活动状状态多长时间间后与该用户户断开连接。。如果FTP协议不关闭闭某个连接，，此操作可确确保在指定的的时间段后关关闭所有连接接。单击“确定””。退出Internet信息服务务(IIS)管理器。3.2配置置匿名用户或或域用户访问问权限单击“开始””，指向“管管理工具”，，然后单击““Internet信息息服务(IIS)管理器器”。在控制台树中中，展开“ServerName””（其中ServerName是服服务器的名称称），展开““FTP站点点”，右键单单击你的FTP站点，然然后单击“属属性”。单击击“安全帐户户”选项卡，，执行以下操操作之一：要允许以匿名名方式连接到到FTP站点点，请单击以以选中“允许许匿名连接””复选框（如如果它尚未被被选中）。要将FTP站站点配置为要要求提供Windows用户名和密密码，请单击击清除“允许许匿名连接””复选框3.3将访访问权限限制制到特定计算算机单击“开始””，指向“管管理工具”，，然后单击““Internet信息息服务(IIS)管理器器”。在控制台树中中，展开“ServerName””（其中ServerName是服服务器的名称称），展开““FTP站点点”，右键单单击FTP站站点，然后单单击“属性””。单击“目录安安全性”选项项卡。执行下下列操作之一一：要拒绝访问，，请单击“授授权访问”，，然后单击““添加”。在在出现的“拒拒绝访问”对对话框中，指指定所需的选选项，然后单单击“确定””。指定的计计算机或者计计算机组将被被添加到列表表中。要授予访问权权限，请单击击“拒绝访问问”，然后单单击“添加””。在出现的的“授权访问问”对话框中中，指定所需需的选项，然然后单击“确确定”。你选选择的计算机机、计算机组组或者域将被被添加到列表表中四、Windows2000中设置置FTP服务务器4.1安装装Internet信息息服务4.2配置置匿名FTP服务4.3安全全配置4.1安装装Internet信息息服务单击“开始””，指向“设设置”，然后后单击“控制制面板”。在在“控制面板板”中，双击击“添加/删删除程序”。。选择“添加/删除Windows组组件”。在““Windows组件向向导”中，选选择“Internet信息服务(IIS)””，然后单击击“详细信息息”。选择“公用文文件、文档、、文件传输协协议(FTP)服务器””和“Internet信息服务管管理单元”，，然后单击““确定”。单击“下一步步”。如果提示你配配置终端服务务，则单击““下一步”。。如果提示你你输入FTP根文件夹的的路径，则键键入适合的文文件夹路径。。默认路径为为C:\Inetpub\Ftproot。若若要获得更多多的安全性，，推荐使用NTFS驱动动器。单击““确定”以继继续。得到提示时，，插入Windows2000CD或提供这这些文件所在在位置的路径径，然后单击击“确定”。。单击“完成成”。4.2配置置匿名FTP服务依次单击“开开始、程序和和管理工具””，然后单击击“Internet服服务管理器””。（在Windows2000Professional中，可可从“控制面面板”访问““管理工具””。）单击服务器名名称旁边的加加号(+)。。右击“默认FTP站点””，然后单击击“属性”。。单击“安全帐帐户”选项卡卡。选择“允允许匿名连接接”，然后选选择“只允许许匿名连接””。单击“主目录录”选项卡。。选择“读取取和日志访问问”，然后清清除“写入””。单击“确定””保存这些设设置。4.3安全全配置FTP服务取消匿名FTP连接禁止FTP目目录写入五、设置SMTP安全选选项设置操作员权权限指派/删除操操作员权限要求对传入连连接进行身份份验证为出站消息配配置身份验证证要求传输层安安全(TLS)加密创建和管理密密钥证书为服务器设置置TLS加密密级别设置对服务器器的IP访问问限制设置IP地址址访问限制从虚拟服务器器删除中继限限制六、MicrosoftSQLServer安全防护护确保安装安全全：使用安全的密密码策略使用安全的帐帐号策略创建并使用一一个低权限的的服务帐号清除安装过程程中的临时文文件打安全补丁设置安全的SQLServer服服务器只激活你要在在服务器上使使用的网络库库（netlib）修改默认的1433端口口屏蔽对1434端口的探探测激活审查事件件日志控制权限禁用AdHoc查询设置操作系统统访问控制列列表ACL清除危险的扩扩展存储过程程在任务务相关关存储储过程程上设设置严严格权权限使用SSL来加加密数数据通通信协协议SqlServer的的监控控和维维护更新服服务器器版本本和漏漏洞补补丁执行变变化控控制基于事事件作作实时时预警警控制制谢谢谢9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。1月月-231月月-23Thursday,January5,202310、雨中黄黄叶树，，灯下白白头人。。。20:56:2520:56:2520:561/5/20238:56:25PM11、以我独沈沈久，愧君君相见频。。。1月-2320:56:2520:56Jan-2305-Jan-2312、故人江江海别，，几度隔隔山川。。。20:56:2520:56:2520:56Thursday,January5,202313、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。1月月-231月月-2320:56:2520:56:25January5,202314、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。05一一月月20238:56:25下下午午20:56:251月-2315、比不了了得就不不比，得得不到的的就不要要。。。一月238:56下午午1月-2320:56January5,202316、行动出出成果，，工作出出财富。。。2023/1/520:56:2520:56:2505January202317、做前，能够够环视四周；；做时，你只只能或者最好好沿着以脚为为起点的射线线向前。。8:56:25下午8:56下下午20:56:251月-239、没有失败败，只有暂暂时停止成成功！。1月-231月-23Thursday,January5,202310、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。20:56:2520:56:2520:561/5/20238:56:25PM11、成功就是是日复一日日那一点点点小小努力力的积累。。。1月-2320:56:2520:56Jan-2305-Jan-2312、世世间间成成事事，，不不求求其其绝绝对对圆圆满满，，留留一一份份不不足足，，可可得得无无限限完完美美。。。。20:56:2520:56:2520:56Thursday,January5,202313、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。1月月-231月月-2320:56:2520