服务器系统安全维护.ppt

服务器系统安全维护 丁兆锟 dzkad 主要内容 一 WindowsServer2003IIS服务器二 安装和配置DNS服务器三 WindowsServer2003中设置FTP服务器四 Windows2000中设置FTP服务器五 设置SMTP安全选项六 MicrosoftSQLServer安全防护 一 WindowsServer2003IIS服务器 1 IIS服务器的安全性2 一个IIS远程攻击示例3 确保Web服务的安全4 确保Web站点的安全 1 IIS服务器的安全性 由于Web站点的发布很多是依靠Microsoft的IIS服务器 疏于防护和无安全配置的IIS服务器往往是黑客攻击的 肉鸡 这是因为服务器存在着诸如IDA IDQ Unicode printer WebDAV等等漏洞 不少可远程获得管理员权限为了向组织Intranet中的Web服务器和应用程序提供全面的安全保护 应该保护每个MicrosoftInternet信息服务 IIS 服务器以及在这些服务器运行的每个Web站点和应用程序不受可与它们连接的客户端计算机的侵害 2 一个IIS远程攻击示例 WebDAV是HTTP协议的扩展 允许远程编写和管理Web内容微软IIS5 0的WebDAV在处理某些畸形的请求时存在缺陷 当外部提交一恶意超长的SEARCH请求时 远程的WebDav服务会出现缓冲区溢出可使IIS服务重启攻击者可以通过这个漏洞以Web服务器的执行权限执行任意代码 以下几页给出针对Windows2000Server的攻击工程 1 启用 X Scan 扫描器 2 发现目标主机中 Webdav 漏洞 3 攻击目标主机 4 创建管理员用户 netlocalgroupadministratorsccc add 5 远程桌面完全控制 3 确保Web服务的安全 3 1仅启用必要的Web服务扩展3 2仅安装必要的IIS组件3 3使用安全工具3 4确保IIS全局的设置安全3 5确保默认Web站点和管理Web站点的安全3 6使FrontPageServerExtension无效 3 1仅启用必要的Web服务扩展 启用所有的Web服务扩展可确保与现有应用软件的最大可能的兼容性 仅启用在IIS服务器环境下运行的站点和应用软件所必需的Web服务扩展 通过最大限度精简服务器的功能 可以减少每个IIS服务器的受攻击面 从而增强了安全性 建议不要安装IndexServer FrontPageServerExtensions 示例WWW站点等功能 3 2仅安装必要的IIS组件 除 万维网发布服务 之外 IIS6 0还包括其它的组件和服务 例如FTP和SMTP服务 可以通过双击 控制面板 上的 添加 删除程序 来启动Windows组件向导应用程序服务器 以安装和启用IIS组件和服务 安装IIS之后 必须启用Web站点和应用程序所需的所有必要的IIS组件和服务应该仅启用Web站点和应用程序所需的必要IIS组件和服务 启用不必要的组件和服务会增加IIS服务器的受攻击面 3 3使用安全工具 Microsoft免费提供了一个 IISLockdownWizard 工具来确保IISWeb服务器的安全 它可让管理员通过选用一个模板来选择服务器支持的技术 Microsoft免费提供一个叫 URLScan 的工具 它在MicrosoftInternet信息服务 IIS 接受HTTP请求时对请求进行屏蔽和分析 正确配置后 URLScan 可有效减少IIS4 0 IIS5 0和IIS5 1遭受来自Internet攻击的危险 3 4确保IIS全局的设置安全 大部分IIS配置设置存储在元库中 但是一些全局设置仍在注册表里 要确保注册表内这些键值按如下设置 HKLM SYSTEM CurrentControlSet services W3SVC Parameters AllowSpecialCharsShell 它是允许或组织特定的命令字符作为CGI脚本或可执行文件的参数 应设置为0 HKLM SYSTEM CurrentControlSet services W3SVC Parameters LogSuccessfullRequests 它是使IIS日志记录功能启用或禁用的参数 应设置为1 HKLM SYSTEM CurrentControlSet services W3SVC Parameters SSIEnableCmdDirective 它是允许或组织使用服务器端的 execcmd指示参数 应设置为0 3 4确保IIS全局的设置安全 续 要确保注册表内这些键值按如下设置 HKEY LOCAL MACHINE SYSTEM CurrentControlSet services W3SVC Parameters AllowGuestAccess 它是设置是否允许Guest访问Web服务器的参数 0表示禁止访问 1允许 HKEY LOCAL MACHINE SYSTEM CurrentControlSet services W3SVC Parameters EnableSvcLoc 它是允许或组织微软控制台 MMC 管理单元管理IIS服务器的参数 0表示禁止访问 1允许 可根据实际需要设置 HKEY LOCAL MACHINE SOFTWARE Policies Microsoft WindowsNT Printers DisableWebPrinting 它是禁止网络打印的参数 应设置为0 3 5确保默认Web站点和管理Web站点的安全 第一次安全IID时会创建两个站点 默认Web站点和管理Web站点 它们有不少安全隐患 应该禁用 要删除以下默认Web站点的虚拟目录 ScriptsIISHelpIISSamplesPrintersIISAdminIISAdmpwdMSADCPBServerPBSDataRPCCertSrvCertControlCertEnroll 从系统文件中删除这些目录 C inetpub scriptsC winnt help iishelp iisC inetpub iissamplesC winnt web printersC winnt system32 inetsrv iisadminC winnt system32 inetsrv iisadmpwd 3 6使FrontPageServerExtension无效 FPSE提供了方便的远程Web授权特性 但是它却导致了Web服务器遭受攻击面的扩大 如果要完全删除FPSE 首先打开 Internet服务管理器 在每个Web站点上右键点击 选择 AllTasks RemoveServerExtensions 然后删除 vti或 private目录最后 从主Web站点属性的 ISAPI扩展 标签中删除FPEXED dll文件 4 确保Web站点的安全 4 1Web站点为只读4 2设置WWW属性4 3帐户策略4 4在专用磁盘卷中放置内容4 5设置NTFS权限4 6设置IISWeb站点权限4 7配置IIS日志4 8打开审核策略 4 1Web站点为只读 在 管理Web站点 上单击鼠标右键 选择 新建站点 根据提示操作 我们自建的站点说明假设为 Web 目录为 D webroot 只给读取权限 4 2设置WWW属性 在 Web 的属性 主目录 中设置执行许可为 无 应用程序设置 配置 中删除不必要的IIS扩展名映射 4 3帐户策略 清理帐户保护众所周知帐户的安全再增加一个属于管理员组的帐号作管理和备份创建一个帐号陷阱 就是说创建一个Administrator的本地帐号 但权限低密码强定期修改口令对于IIS服务器 建议不要使用帐户锁定策略在 本地策略 的 安全选项 里 把 LanManager身份验证级别 改为 仅发送NTLM响应 这样即使入侵者借助Sniffer得到口令的hash也很难破解把 匿名连接的额外限制 设置为 没有显示匿名权限就无法访问 启用 在关机时清理虚拟内存交换页面 启用 登录屏幕上不要显示上次登录的用户名 4 4在专用磁盘卷中放置内容 IIS会将默认Web站点的文件存储到 inetpub wwwroot 其中是安装WindowsServer2003操作系统的驱动器 应该将构成Web站点和应用程序的所有文件和文件夹放置到IIS服务器的专用磁盘卷中 将这些文件和文件夹放置到IIS服务器的一个专用磁盘卷 不包含操作系统的磁盘卷 有助于防止目录遍历攻击 4 5设置NTFS权限 NTFS下所有文件默认情况下对所有人 eneryone 为完全控制权限 如果限制一般用户只有只读权限的话 有可能会导致一些脚本运行不正常 这时需要对这些文件所在的文件夹权限进行更改 这样WindowsServer2003将检查NTFS文件系统的权限 以确定用户或进程对特定文件或文件夹所具有的访问权限类型 建议在做更改前 先在测试机器上做测试 然后慎重更改 NTFS权限表 4 6设置IISWeb站点权限 IIS将检查Web站点权限 以确定在Web站点中可能发生的操作类型 例如允许脚本源访问或允许文件夹浏览 应该为Web站点分配权限 Web站点权限可与NTFS权限结合使用 它们可配置给特定的站点 文件夹和文件 与NTFS权限不同 Web站点权限影响试图访问IIS服务器站点的每个人 Web站点权限可以通过使用IIS管理器管理单元生效 Web站点权限表 4 7配置IIS日志 可以为每个站点或应用程序创建单独的日志 IIS可以记录Windows操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息 IIS日志可记录诸如谁访问过站点 访客浏览过哪些内容 以及最后一次访问的时间等信息 IIS日志可被用来了解那些内容最受欢迎 确定信息瓶颈 或者用作协助攻击事件调查的资源 4 8打开审核策略 打开安全审核是Win2000最基本的入侵检测方法 当有人尝试对你的系统进行某些 如尝试用户名密码 改变帐户策略 未经许可的文件访问等等 入侵的时候 都会被安全审核记录下来 很多管理员在系统被入侵了几个月都不知道系统遭到了破坏 安全设置审核策略 二 安装和配置DNS服务器 1 准备工作2 安装DNS服务3 安全配置DNS 1 准备工作 你的域名 经过Internic批准 要为其提供名称解析的每台服务器的IP地址和主机名操作系统配置正确已经分配了所有可用的磁盘空间所有现有的磁盘卷都使用NTFS文件系统 2 安装DNS服务 打开 Windows组件向导 为此 请执行下列步骤 单击 开始 单击 控制面板 然后单击 添加或删除程序 单击 添加 删除Windows组件 在 组件 中 选中 网络服务 复选框 然后单击 详细信息 在 网络服务子组件 中 选中 域名系统 DNS 复选框 单击 确定 然后单击 下一步 在得到提示时 在 文件复制来源 中键入分发文件的完整路径 然后单击 确定 3 安全配置DNS 启动 配置你的服务器向导 在 服务器角色 页上 单击 DNS服务器 然后单击 下一步 在 选择摘要 页上 查看并确认你所选择的选项 然后单击 下一步 在 配置你的服务器 向导中完成对DNS服务器本身的IP地址等参数的配置在 配置DNS服务器向导 中完成对DNS区域 转发器等参数的配置 完成DNS的配置过程 三 WindowsServer2003中设置FTP服务器 1 安装FTP服务2 配置匿名FTP服务3 FTP服务安全配置 1 安装FTP服务 单击 开始 指向 控制面板 然后单击 添加或删除程序 单击 添加 删除Windows组件 在 组件 列表中 单击 应用程序服务器 单击 Internet信息服务 IIS 但是不要选中或清除复选框 然后单击 详细信息 单击以选中下列复选框 如果它们尚未被选中 公用文件文件传输协议 FTP 服务Internet信息服务管理器 单击以选中你想要安装的任何其他的IIS相关服务或子组件旁边的复选框 然后单击 确定 单击 下一步 出现提示时 请将WindowsServer2003CD ROM插入计算机的CD ROM或DVD ROM驱动器 或提供文件所在位置的路径 然后单击 确定 单击 完成 2 配置匿名FTP服务 启动 Internet信息服务管理器 或打开IIS管理单元 展开 服务器名称 其中服务器名称是该服务器的名称 展开 FTP站点 右击 默认FTP站点 然后单击 属性 单击 安全帐户 选项卡 单击以选中 允许匿名连接 复选框 如果它尚未被选中 然后单击以选中 仅允许匿名连接 复选框 单击 主目录 选项卡 单击以选中 读取 和 日志访问 复选框 如果它们尚未被选中 然后单击以清除 写入 复选框 如果它尚未被清除 单击 确定 退出 Internet信息服务管理器 或者关闭IIS管理单元 3 FTP服务安全配置 3 1限制客户端连接数3 2配置匿名用户或域用户访问权限3 3将访问权限限制到特定计算机 3 1限制客户端连接数 单击 开始 指向 管理工具 然后单击 Internet信息服务 IIS 管理器 在控制台树中 展开 ServerName 其中ServerName是服务器的名称 展开 FTP站点 右键单击FTP站点 然后单击 属性 单击 FTP站点 选项卡 在 FTP站点连接 下 单击 连接限制为 然后键入允许同时连接到服务器的最大数量 达到限制值时 IIS将向客户端返回一条错误信息 说明服务器忙 在 连接超时 秒 框中 键入一个时间长度 指定服务器在用户处于非活动状态多长时间后与该用户断开连接 如果FTP协议不关闭某个连接 此操作可确保在指定的时间段后关闭所有连接 单击 确定 退出Internet信息服务 IIS 管理器 3 2配置匿名用户或域用户访问权限 单击 开始 指向 管理工具 然后单击 Internet信息服务 IIS 管理器 在控制台树中 展开 ServerName 其中ServerName是服务器的名称 展开 FTP站点 右键单击你的FTP站点 然后单击 属性 单击 安全帐户 选项卡 执行以下操作之一 要允许以匿名方式连接到FTP站点 请单击以选中 允许匿名连接 复选框 如果它尚未被选中 要将FTP站点配置为要求提供Windows用户名和密码 请单击清除 允许匿名连接 复选框 3 3将访问权限限制到特定计算机 单击 开始 指向 管理工具 然后单击 Internet信息服务 IIS 管理器 在控制台树中 展开 ServerName 其中ServerName是服务器的名称 展开 FTP站点 右键单击FTP站点 然后单击 属性 单击 目录安全性 选项卡 执行下列操作之一 要拒绝访问 请单击 授权访问 然后单击 添加 在出现的 拒绝访问 对话框中 指定所需的选项 然后单击 确定 指定的计算机或者计算机组将被添加到列表中 要授予访问权限 请单击 拒绝访问 然后单击 添加 在出现的 授权访问 对话框中 指定所需的选项 然后单击 确定 你选择的计算机 计算机组或者域将被添加到列表中 四 Windows2000中设置FTP服务器 4 1安装Internet信息服务4 2配置匿名FTP服务4 3安全配置 4 1安装Internet信息服务 单击 开始 指向 设置 然后单击 控制面板 在 控制面板 中 双击 添加 删除程序 选择 添加 删除Windows组件 在 Windows组件向导 中 选择 Internet信息服务 IIS 然后单击 详细信息 选择 公用文件 文档 文件传输协议 FTP 服务器 和 Internet信息服务管理单元 然后单击 确定 单击 下一步 如果提示你配置终端服务 则单击 下一步 如果提示你输入FTP根文件夹的路径 则键入适合的文件夹路径 默认路径为C Ine