企业网络安全应用.ppt

任务十 企业网络安全应用 教学课件 内容简介 一 任务内容二 背景知识三 风险分析四 步骤介绍五 任务小结 一 任务内容 二 背景知识 1 网络应用服务种类2 网络应用服务安全3 VPN服务器 1 网络应用服务种类 WEB服务 是指专门提供Web文件保存空间 并负责传送和管理Web文件和支持各种Web程序的服务器FTP服务 提供了解决多个不同用户访问多个不同文件的一种完美解决方案DNS服务 作用是把域名转换成为网络可以识别的IP地址 1 网络应用服务种类 E mail服务 提供了邮件系统的基本结构 包括邮件传输 邮件分发 邮件存储等功能 以确保邮件能够发送到Internet网络中的任意地方 数据库服务 是指运行在局域网中的一台或多台服务器计算机上的数据库管理系统软件 数据库服务器为客户应用提供服务 这些服务包括 查询 更新 事务管理 索引 高速缓存 查询优化 安全及多用户存取控制等 2 网络应用服务安全 操作系统安全问题 操作系统安全指的是一个操作系统在其系统管理机制实施中的完整性 强制性 计划性 可预期性不受干扰 破坏 如操作系统的用户等级管理机制 文件读取权限管理机制 程序执行权限管理机制 系统资源分配管理机制等 操作系统安全问题的来源主要表现在系统管理程序编写失误 系统配置失误等方面 其安全问题主要体现在抵御和防范本地攻击 攻击行为通常表现为攻击者突破以上一些系统管理机制 对系统的越权访问和控制 网络应用服务安全问题 每一个网络应用服务都是由一个或多个程序构成 在讨论安全性问题时 不仅要考虑服务端程序 也需要考虑到客户端程序 服务端的安全问题主要表现在非法的远程访问 客户端的安全问题主要表现在本地越权使用客户程序 由于大多数服务的进程由超级用户守护 许多重大的安全漏洞往往出现在一些以超级用户守护的应用程序上 3 VPN服务器 远程访问VPN是指通过透明的方式将位于本地网络以外 远程网络 位置上的特定计算机连接到本地网络中的一系列相关技术 当启用远程访问时 远程客户可以通过远程访问技术像直接连接到本地网络一样来使用本地网络中的资源 在Windows服务器操作系统中两种方式的远程访问拨号网络连接远程访问方式虚拟专用网络 VPN 连接远程访问方式 3 VPN服务器 VPN工作原理A公司在外地增设了一家子公司 此时子公司的工作人员就可以通过VPN方式与总公司的企业网建立连接 就好象总公司和子总司之间架设了一条专用线路 子公司和总公司的电脑 就好像在一个局域网内 在局域网内 使用者可以非常安全地传输重要数据 而不必担心被拦截 共享局域网内的打印机或访问局域网内的其他电脑 3 VPN服务器 VPN的优势较强的移动性为企业节省相当大的成本保护一些核心部门计算机中的重要数据 3 VPN服务器 VPN适用范围网络接入位置众多 特别是单个用户和远程办公室站点多 例如多分支机构企业用户 远程教育用户 用户 站点分布范围广 彼此之间的距离远 遍布全球各地 需通过长途电信 甚至国际长途手段联系的用户 如一些跨国公司 带宽和时延要求相对适中 如一些提供IDG服务的ISP 对线路保密性和可用性有一定要求的用户 如大企业用户和政府网 三 风险分析 四 步骤介绍 1 服务器操作系统安全设置具体步骤目标 1 能正确配置WINDOWS企业服务器操作系统安全相关项2 能正确配置LINUX企业服务器操作系统安全相关项 四 步骤介绍 2 应用服务安全设置具体步骤目标 1 能针对WEB服务器进行安全配置2 能针对FTP服务器进行安全配置3 能针对SQL服务器进行安全配置 四 步骤介绍 3 安装配置VPN服务器具体步骤目标 1 能正确设置VPN服务器2 能正确设置客户机 1 服务器操作系统安全设置 1 WINDOWSSERVER2003安全设置磁盘设置端口设置口令设置账户设置策略设置权限设置2 RedHatLinux系统配置ls命令chmod命令chgrp命令chown命令setuid和setgid命令mount命令 1 WINDOWSSERVER2003安全设置 1 系统盘和站点放置盘必须设置为NTFS格式 方便设置权限 1 WINDOWSSERVER2003安全设置 2 将系统盘和站点放置盘除Administrators和System之外的用户权限全部去除 1 WINDOWSSERVER2003安全设置 3 启用Windows自带防火墙 只保留有用的端口 比如远程和Web Ftp 3389 80 21 等等 有邮件服务器的还要打开25和130端口 1 WINDOWSSERVER2003安全设置 4 安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除 1 WINDOWSSERVER2003安全设置 5 更改sa密码为谁都不知道的超长密码 在任何情况下都不要用sa这个帐户 1 WINDOWSSERVER2003安全设置 6 改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户 设置超长密码 并去掉所有用户组 就是在用户组那里设置为空即可 让这个帐号不属于任何用户组 同样改名禁用掉Guest用户 1 WINDOWSSERVER2003安全设置 7 配置帐户锁定策略 在运行中输入gpedit msc回车 打开组策略编辑器 选择计算机配置 Windows设置 安全设置 账户策略 账户锁定策略 将账户设为 三次登陆无效 锁定时间30分钟 复位锁定计数设为30分钟 1 WINDOWSSERVER2003安全设置 8 在安全设置里 本地策略 安全选项 中将网络访问 可匿名访问的共享 可匿名访问的命名管道 可远程访问的注册表路径 可远程访问的注册表路径和子路径四项清空 1 WINDOWSSERVER2003安全设置 9 在安全设置里 本地策略 安全选项通过终端服务拒绝登陆 加入ASPNET Guest IUSR IWAM NETWORKSERVICE SQLDebugger 表示你的机器名 具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择 注意不要添加进User组和Administrators组添加进去以后就没有办法远程登陆了 1 WINDOWSSERVER2003安全设置 10 去掉默认共享 将以下内容写入记事本另存为reg后缀 然后执行导入即可 WindowsRegistryEditorVersion5 00 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services lanmanserver parameters AutoShareServer dword 00000000 AutoSharewks dword 00000000 1 WINDOWSSERVER2003安全设置 11 禁用不需要的和危险的服务 以下列出服务都需要禁用 Alerter 发送管理警报和通知 ComputerBrowser 维护网络计算机更新 DistributedFileSystem 局域网管理共享文件 Distributedlinktrackingclient 用于局域网更新连接信息 Errorreportingservice 发送错误报告 RemoteProcedureCall RPC Locator RpcNs 远程过程调用 RPC RemoteRegistry 远程修改注册表 Removablestorage 管理可移动媒体 驱动程序和库 RemoteDesktopHelpSessionManager 远程协助 RoutingandRemoteAccess 在局域网以及广域网环境中为企业提供路由服务 Messenger 消息文件传输服务 NetLogon 域控制器通道管理 NTLMSecuritysupportprovide telnet服务和MicrosoftSerch用的 PrintSpooler 打印服务 Telnet telnet服务 Workstation 泄漏系统用户名列表 1 WINDOWSSERVER2003安全设置 12 更改本地安全策略的审核策略账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 1 WINDOWSSERVER2003安全设置 13 更改有可能会被提权利用的文件运行权限 找到以下文件 将其安全设置里除Administrators用户组全部删除 甚至System也不要留 在搜索框里输入 net exe net1 exe cmd exe tftp exe netstat exe regedit exe at exe attrib exe cacls exe c exe 点击 搜索 然后 全选 右键 属性 安全 1 WINDOWSSERVER2003安全设置 14 后备工作 将当前服务器的进程抓图或记录下来 将其保存 方便以后对照查看是否有不明的程序 将当前开放的端口抓图或记录下来保存 方便以后对照查看是否开放了不明的端口 2 RedHatLinux安全设置 1 ls命令ls可以列出目录下的内容 其常用参数有 a显示指定目录下所有子目录与文件 包括隐藏文件 l 以长格式列出显示的内容 ls命令的显示结果能够表明文件和目录的类型与访问权限 2 RedHatLinux安全设置 2 chmod命令chmod用于改变文件或目录的访问权限 用户用它控制文件或目录的访问权限 该命令有两种用法 一种是包含字母和操作符表达式的文字设定法 另一种是包含数字的数字设定法 1 文字设定法语法 chmod who mode 文件名2 数字设定法语法 chmod mode 文件名 2 RedHatLinux安全设置 3 chgrp命令chgrp命令用来改变文件或目录所属的组 语法 chgrp 选项 groupfilename使用chgrp命令修改某文件的组 将文件的组改为joyce 2 RedHatLinux安全设置 4 chown命令chown命令用来更改某个文件或目录的属主和属组 语法 chown 选项 用户或组文件使用chown命令将某文件的属主修改为joyce 2 RedHatLinux安全设置 5 Setuid和Setgid在Linux中 文件除了读 写 执行权限外 还有一些特殊权限 Setuid和setgid是其中的一类 它们与Linux系统的关系紧密 Setuid是指设置程序的有效的执行用户身份 Uid 为该文件的主人 而不是调用该程序的进程的Uid Setgid与之类似 Setuid和Setgid用1s 1显示出来为s权限 存在于主人和属组的执行权限的位置上 这种权限的设置方法如下 只设Setuid chmod4xxxfilename xxx为一般读 写 执行权限 下同 只设Setgid chmod2xxxfile同时设Setuid和Setgid chmod6xxxfilename取消两种权限 chmod0 xxxfilename 2 RedHatLinux安全设置 6 mount命令在Linux中 如果你要使用储存设备 软驱 硬盘 光驱等 就得先将它挂上 Mount 当储存设备挂上了之后 就可以把它当成一个目录来进行访问 挂上一个设备使用mount命令 在使用mount这个指令时 至少要先知道下列3种信息 Mount对象的文件系统类型 Filesystemtype Mount对象的设备名称 dev 将设备Mount到哪个目录去 2 应用服务安全设置 1 WEB IIS 服务相关安全设置用户和组设置文件设置权限设置其他设置2 FTP Serv U 服务相关安全设置文件设置账户设置权限设置3 数据库服务相关安全设置MSSQL设置策略删除具有破坏权限的存储过程 调用shell 注册表 COM组件 1 WEB IIS 服务相关安全设置 1 在计算机管理中设定一个新的用户组IISguest 这个用户组将我们的站点使用的匿名用户归类 方便管理 2 新建一个用户以 U 开头 以后站点的匿名用户就都是以 U 开头 方便识别和管理 当然也自己设定 只要方便识别即可 然后去掉归属于user组的用户 并添加到guest用户组 比如新建的站点是 就新建一个 U 用户 然后将它除去user组的隶属关系 然后将其加入guest组 3 在发布网站存放的逻辑分区本地磁盘上新建一个文件夹作为网站目录 在这里我们新建 E wwwroot 为我们的站点存放文件夹 目录最好带有迷惑性 如 E wirelesssecurity 4 将网站保存在此文件夹下 E wirelesssecurity 1 WEB IIS 服务相关安全设置 5 设置IIS发布此站点 站点的主机头设为申请到的域名 1 WEB IIS 服务相关安全设置 6 设置IIS匿名用户访问权限为刚刚我们新建的 U 用户 1 WEB IIS 服务相关安全设置 7 设置发布目录文件夹权限所有为 U 用户读取运行权限 1 WEB IIS 服务相关安全设置 8 设置 目录 U 用户日志生成静态目录 目录 Uploadfiles 上传目录 skin下的skin mdb 根目录下的index html等目录或文件权限为可以修改 1 WEB IIS 服务相关安全设置 9 在IIS上设置Uploadfiles文件夹为不可执行脚本 1 WEB IIS 服务相关安全设置 10 修改conn asp和config asp文件安全属性 适应我们前面做的安全设置 ASP的安全设置 设置过权限和服务之后 防范asp木马还需要做以下工作 在cmd窗口运行以下命令 regsvr32 uC WINNT System32 wshom ocxdelC WINNT System32 wshom ocxregsvr32 uC WINNT system32 shell32 dlldelC WINNT system32 shell32 dll即可将WScript Shell Shell application WScript Network组件卸载 可有效防止asp木马通过wscript或shell application执行命令以及使用木马查看一些系统敏感信息 另一种方法 可取消以上文件的users用户的权限 重新启动IIS即可生效 但不推荐该方法 1 WEB IIS 服务相关安全设置 11 访问之前已经设定好的网址 查看是否成功 成功 即确定安装完成 windows下根目录的权限设置 1 C WINDOWS DownloadedProgramFiles默认不改2 C WINDOWS OfflineWebPages默认不改3 C WINDOWS HelpTERMINALSERVERUSER除前两项权限不选其余都选4 C WINDOWS IISTemporaryCompressedFilesIIS WPG选全部权限5 C WINDOWS Installer删除everyone组权限6 C WINDOWS Prefetch默认权限不改7 C WINDOWS Registration添加NETWORKSERVICE选择其中三项权限 其它保留默认 8 C WINDOWS system32添加NETWORKSERVICE选择其中三项权限 其它保留默认9 C WINDOWS TAPI删除user组 其它组的权限保留默认10 C WINDOWS Temp删除user组 其它组的权限保留默认11 C WINDOWS Web注意权限设置为继承 12 C WINDOWS WinSxS添加NETWORKSERVICE选择其中三项权限 其它保留默认13 C WINDOWS ApplicationCompatibilityScripts14 C WINDOWS Debug UserMode删除users组的权限15 C WINDOWS Debug WPD目录删除AuthenticatedUsers组权限 其它默认不变16 C WINDOWS ime 17 C WINDOWS inf18 C WINDOWS Installer删除其子目录下所有包含everyone组的权限19 C WINDOWS Microsoft NET和C WINDOWS Microsoft NET Framework v1 1 432子目录中有很多组权限 保留默认20 C WINDOWS PCHealth UploadLB删除everyone组的权限 其它下级目录不用管 没有user组和everyone组权限21 C WINDOWS PCHealth HelpCtr删除everyone组的权限 其它下级目录不用管 没有user组和everyone组权限 如果C WINDOWS PCHealth 还有其它演示中没有的目录 也如此操作 依情况灵活运用 22 C WINDOWS Registration CRMLog删除users组的权限23 C WINDOWS security templates删除users组的权限及多余权限 system32根目录的设置 此目录中基本上是删除user组和其它不必要的组 其余组的权限保留就行了 1 C WINDOWS system32 GroupPolicy删除AuthenticatedUsers组 其下子目录保留默认不用改就行 2 C WINDOWS system32 inetsrv及其下子目录均保持不改就行 3 C WINDOWS system32 spool 4 C WINDOWS system32 spool drivers删除everyone组的权限5 C WINDOWS system32 spool PRINTERS删除everyone组的权限6 C WINDOWS system32 wbem AutoRecover删除everyone组的权限7 C WINDOWS system32 wbem Logs同上8 C WINDOWS system32 wbem mof同上9 C WINDOWS system32 wbem Repository同上 2 FTP Serv U 服务相关安全设置 1 SERV U默认是安装在C ProgramFiles Serv U目录下的 我们最好做一下变动 例如改为 D u89327850mx8utu432X UY32x211936890co7v23x1t3 这样的路径 如果安装盘符WEB用户不能浏览的话 很难猜到安装的路径 2 FTP Serv U 服务相关安全设置 2 安装的时候只选前2项就可以了 后面的2个是说明和在线帮助文件 2 FTP Serv U 服务相关安全设置 3 下图是生成的开始菜单组里的文件夹的名字 建议更改成与SERV U差别较大的名字 或者是删除该文件夹 2 FTP Serv U 服务相关安全设置 4 安装完成后会出现一个向导让你建立一个域和账号 在这里点Cancel取消向导 用向导生成的账号会带来一些问题 建议采用手工方式建立域和账号 2 FTP Serv U 服务相关安全设置 5 然后点选Startautomatically systemservice 前面的选项 接着点下边的StartServer按钮把SERV U加入系统服务 这样就可以随系统启动了 不用每次都手工启动 2 FTP Serv U 服务相关安全设置 6 通过点击Set ChangePassword设置一个密码 2 FTP Serv U 服务相关安全设置 7 因为是第一次使用 所以是没有密码的 不用在oldpassword里输入字符 直接在下面的Newpassword和Repeatnewpassword里输入同样的密码再点OK就可以了 这里建议设置一个足够复杂的密码 以防止别人暴力破解 2 FTP Serv U 服务相关安全设置 8 下面就到了该对SERV U进行安全设置的时候了 首先建立一个WINDOWS账号SSERVU 密码也需要足够的复杂 密码要记住 如果记不住就暂时保存在一个文件里 一会儿还要用到 2 FTP Serv U 服务相关安全设置 9 建好账号以后 双击建好的用户名 编辑用户属性 从 隶属于 里删除USERS组 2 FTP Serv U 服务相关安全设置 10 从 终端服务配置文件 选项里取消 允许登录到终端服务器 W 的选择 然后点击确定继续我们的设置 11 在开始菜单的管理工具里找到 服务 点击打开 在 Serv UFTPServer服务 上点右键 选择属性继续 2 FTP Serv U 服务相关安全设置 12 然后点击 登录 进入登录账号选择界面 选择刚才建立的系统账号名 并在下面重复输入2次该账号的密码 就是刚才记住的那个 然后点 应用 再次点确定 2 FTP Serv U 服务相关安全设置 13 接下来要先使用FTP管理工具建立一个域 再建立一个账号 建好后选择保存在注册表 2 FTP Serv U 服务相关安全设置 14 打开注册表来测试相应的权限 否则SERV U是没办法启动的 在 开始 运行 里输入regedt32点 确定 继续 15 找到 HKEY LOCAL MACHINE SOFTWARE CatSoft 分支 在上面点右键 选择权限 然后点高级 取消 允许父项的继承权限传播到该对象和所有子对象 包括那些在此明确定义的项目 点击 应用 继续 接着删除所有的账号 再次点击 确定 按钮继续 这时会弹出对话框显示 您拒绝了所有用户访问CatSoft 没有人能访问CatSoft 而且只有所有者才能更改权限 点击 是 继续 接着点击添加按钮增加我们建立的SSERVU账号到该子键的权限列表里 并给予完全控制权限 到这里注册表已经设置完了 但还不能重新启动SERV U 因为安装目录还没设置 2 FTP Serv U 服务相关安全设置 16 现在就来设置一下 只保留你的管理账号和SSERVU账号 并给予除了完全控制外的所有权限 2 FTP Serv U 服务相关安全设置 17 现在 在服务里重启Serv UFTPServer服务就可以正常启动了 当然 到这里还没有完全设置完 你的FTP用户因为没有权限还是登录不了的 所以还要设置一下目录的权限 2 FTP Serv U 服务相关安全设置 18 假设你有一个WEB目录 路径是d web 那么在这个目录的 安全设定 里除了管理员和IIS用户都删除掉 再加入SSERVU账号 切记SYSTEM账号也删除掉 为什么要这样设置呢 因为现在已经是用SSERVU账号启动的SERV U 而不是用SYSTEM权限启动的了 所以访问目录不再是用SYSTEM而是用SSERVU 此时SYSTEM已经没有用了 这样就算真的溢出也不可能得到SYSTEM权限 另外 WEB目录所在盘的根目录还要设置允许SSERV U账号的浏览和读取权限 并确认在高级里设置只有该文件夹 2 FTP Serv U 服务相关安全设置 19 至此 设置全部结束 现在的SERV U设置是配合IIS设置的 因为和IIS使用不同的账号 WEB用户就不可能访问SERV U的目录 并且WEB目录没有给予SYSTEM权限 所以SYSTEM账号也同样访问不了WEB目录 也就是说 即使使用MSSQL得到备份的权限也不能备份SHELL到你的WEB目录 3 数据库服务相关安全设置 1 MSSQL设置策略SystemAdministrators角色最好不要超过两个 如果是在本机最好将身份验证配置为Win登陆 不要使用Sa账户 为其配置一个较复杂的密码 3 数据库服务相关安全设置 2 删除具有破坏权限的存储过程 调用shell 注册表 COM组件 将代码全部复制到 SQL查询分析器 点击菜单上的 查询 执行 就会将有安全问题的SQL过程删除 usemasterEXECsp dropextendedproc xp cmdshell EXECsp dropextendedproc Sp OACreate EXECsp dropextendedproc Sp OADestroy EXECsp dropextendedproc Sp OAGetErrorInfo EXECsp dropextendedproc Sp OAGetProperty EXECsp dropextendedproc Sp OAMethod EXECsp dropextendedproc Sp OASetProperty EXECsp dropextendedproc Sp OAStop EXECsp dropextendedproc Xp regaddmultistring EXECsp dropextendedproc Xp regdeletekey EXECsp dropextendedproc Xp regdeletevalue EXECsp dropextendedproc Xp regenumvalues EXECsp dropextendedproc Xp regread EXECsp dropextendedproc Xp regremovemultistring EXECsp dropextendedproc Xp regwrite dropproceduresp makewebtask 3 数据库服务相关安全设置 3 更改默认SA空密码 数据库链接不要使用SA帐户 单数据库单独设使用帐户 只给public和db owner权限 另外数据库不要放