变态的Web服务器IIS安全设置

一一 删除默认共享删除默认共享 关闭关闭 139 445 端口端口 选择 计算机管理 程序 选择 共享文件夹 在相应的共享文件夹上按右键 选择 停止 共享即可 不过在系统重新启动后 IPC 和 printer 会再次共享 IPC 和 printer 工作的端口是 139 和 445 咱们来手工关闭 关闭 445 端口的方法 445 端口是文件共享 打印机共享通讯端口 默认是开放的 修改注册表 添加一个键值 Hive HKEY LOCAL MACHINE System CurrentControlSet Services NetBT Parameters 添加 DWORD 值 SMBDeviceEnabled 右键单击 SMBDeviceEnabled 值 选择 修改 在出现的 编辑 DWORD 值 对话框中 在 数值数据 下 输入 0 单击 确定 按钮 完成设置 从启电脑 即可关闭 445 端口 关闭 139 端口的方法 139 端口开启都是由于 NetBIOS 这个网络协议在使用它 Netbios 网络基本输入输出系 统 是 1983 年 IBM 开发的一套网络标准 微软在这基 础上继续开发 微软的客户机 服 务器网络系统都是基于 NetBIOS 的 在构建的网络系统中 对每一台主机的唯一标识信息 是它的 NetBIOS 名 系统可 以利用 WINS 服务 广播及 Lmhost 文件等多种模式将 NetBIOS 名解析为相应 IP 地址 从而实现信息通讯 在这样的网络系统内部 利用 NetBIOS 名实现信息通讯是非常方便 快捷的 但是在 Internet 上 它就和一个后门程序差 不多了 不少骇客就是通过这个漏洞入侵计算机的 控制面板 网络 本地链接 属性 这里勾选取消 网络文件和打印机共享 tcp ip 协议属性 高级 WINS Netbios 设置 禁用 Netbios 即可关闭 139 端口 二二 设置目录权限设置目录权限 WINDOWS 用户 在 WIN2003 系统中大多数时候把权限按用户 組 来划分 在 开始 程序 管理工具 计算机管理 本地用户和组 管理系统用户和用户组 NTFS 安全权限设置是很强大的 请记住分区的时候把所有的硬盘都分为 NTFS 分区 然后我们可以确定每个分区对每个用户开放的权限 文件 夹 上右键 属性 安全 在这里管理 NTFS 文件 夹 权限 IIS 匿名用户 每个 IIS 站点或者虚拟目录 都可以设置一个匿名访问用户 现在暂且把 它叫 IIS 匿名用户 当用户访问你的网站的 ASP 文件的时候 这个 ASP 文件所具有的权限 就是这个 IIS 匿名用户 所具有的权限 权限设置的思路要为每个独立的要保护的个体 比如一个网站或者一个虚拟目录 创建 一个系统用户 让这个站点在系统中具有惟一的可以设置权限的身份 设置所有的分区禁止这个用户访问 而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问 要去掉继承父权限 并且要加上超管组和 SYSTEM 组 这样设置了之后 这个站点里的 ASP 程序就只有当前这个文件夹的权限了 具体设置 c 盘保留 administrators 和 system 用户并给于完全权限之外 其他用户全部删除 C Program Files Common Files 这个文件夹给于 everyone 读取权限 C Documents and Settings All Users 这个文件夹从新删除一次 只保留 administrators 和 system 用户并给于完全权限 c windows 文件夹给于 administrators 和 system 用户完全权限和 Users 用户组读取运行 权限 其他分区全部保留 administrators 和 system 用户并给于完全权限之外 别的用户全部删除 而每个网站则单独建立一个用户 添加到 Guests 用户组 右击 我的电脑 管理 本地用户组 用户 新建用户 比如创建 dongwang 密码 dongwang 然后右击 dongwang 用户 属性 选择 隶属于 选项卡 将默认归属于 users 组删除 添加 Gue sts 组 来宾组 确定 然后再选择 远程控制 选项卡 将 启用远程控制 取消 确定 在网站程序文件夹点击右 键 安全 给于刚刚建立用户读取和 写入的权限 注意 网站程序文件 夹 指的是 自 己的网站所在的目录 比如 我的网站存放路径为 E WEB 动网网站 在 IIS 的 站点属性或者虚拟目录属性 目录安全性 匿名访问和验证控制 编辑 匿名访问 编辑 填写 刚刚创建的那个用户名并输入密码 然后确定 其次提示你再次输入密码然后点确定 三三 删除不必要的组件删除不必要的组件 关掉不必要的服务关掉不必要的服务 其实 只要做好了上面的权限设置 那么 FSO XML strem 都不再是不安全组件了 因为他 们都没有跨出自己的文件夹或者站点的权限 最危险的组件是 WSH 和 Shell 因为它可以运行你硬盘里的 EXE 等程序 比如它可以运行提 升程序来提升 SERV U 权限甚至用 SERVU 来运行更高权 限的系统程序 这里建议不要用 SERV U 这种流行软件 FTP 服务器软件这里推荐使用 Gene6 功能方面比 SERV U 有过而无不及 FSO 和 XML 是非常常用的组件之一 很多程序会用到他们 WSH 组件会被一部分主机管理程 序用到 也有的打包程序也会用到 手工删除 WSH 和 Shell 组件的方法 下边为参考资料 最简单的办法是直接卸载后删除相应的程序文件 将下面的代码保存为一个 BAT 文件 以 下均以 WIN2000 为例 如果使用 2003 则系统文件夹应该是 C WINDOWS regsvr32 u C WINDOWS System32 wshom ocx del C WINDOWS System32 wshom ocx regsvr32 u C WINDOWS system32 shell32 dll del C WINDOWS system32 shell32 dll 然后运行一下 WScript Shell Shell application WScript Network 就会被卸载了 可能会提示无 法删除文件 不用管它 重启一下服务器 你会发现这三个都提示 安全 了 改名不安全组件 需要注意的是组件的名称和 Clsid 都要改 并且要改彻底了 下面以 Shell application 为例来 介绍方法 打开注册表编辑器 开始 运行 regedit 回车 然后 编辑 查找 填写 Shell application 查找下一个 用这个方法能找到两个 注册表项 13709620 C279 11CE A49E 444553540000 和 Shell application 为了确保万无 一失 把这两个注册表项导出来 保 存为 reg 文件 比如我们想做这样的更改 13709620 C279 11CE A49E 444553540000 改名为 13709620 C279 11CE A49E 444553540001 Shell application 改名为 Shell application ajiang 那么 就把刚才导出的 reg 文件里的内容按上面的对应关系替换掉 然后把修改好的 reg 文 件导入到注册表中 双击即可 导入了改名后的注册表项之 后 别忘记了删除原有的那两个 项目 这里需要注意一点 Clsid 中只能是十个数字和 ABCDEF 六个字母 下面是我修改后的代码 两个文件我合到一起了 Windows Registry Editor Version 5 00 HKEY CLASSES ROOT CLSID 13709620 C279 11CE A49E 444553540001 Shell Automation Service HKEY CLASSES ROOT CLSID 13709620 C279 11CE A49E 444553540001 InProcServer32 C WINNT system32 shell32 dll ThreadingModel Apartment HKEY CLASSES ROOT CLSID 13709620 C279 11CE A49E 444553540001 ProgID Shell Application ajiang 1 HKEY CLASSES ROOT CLSID 13709620 C279 11CE A49E 444553540001 TypeLib 50a7e9b0 70ef 11d1 b75a 00a0c90564fe HKEY CLASSES ROOT CLSID 13709620 C279 11CE A49E 444553540001 Version 1 1 HKEY CLASSES ROOT CLSID 13709620 C279 11CE A49E 444553540001 VersionIndependentProgID Shell Application ajiang HKEY CLASSES ROOT Shell Application ajiang Shell Automation Service HKEY CLASSES ROOT Shell Application ajiang CLSID 13709620 C279 11CE A49E 444553540001 HKEY CLASSES ROOT Shell Application ajiang CurVer Shell Application ajiang 1 你可以把这个保存为一个 reg 文件运行试一下 但是可别就此了事 因为万一黑客也看了我 的这篇文章 他会试验我改出来的这个名字的 防止列出用户组和系统进程 利用 getobject WINNT 获得了系统用户和系统进程的列表 这个列表可能会被黑客利用 我们应当隐藏起来 方法是 开始 程序 管理工具 服务 找到 Workstation 停止它 禁用它 参考资料结束 自动删除危险组件和服务优化的方法 是使用一款软件来实现 有朋友需要的可以 PM 俺 四四 升级补丁升级补丁 update 点击开始 Windows Update 安装所有的关键更新 在桌面 我的电脑上点击右键 选择属性 自动更新 选择自动 推荐 五五 装杀毒软件装杀毒软件 推荐 McAfee 像卡巴