第17章 打造服务器整体安全.ppt

1、第17章 打造服务器整体安全性,本章重点介绍如何进一步加固服务器的安全并介绍两款非常优秀的软件防火墙的功能,17.1 巩固服务器的安全,本节重点介绍如何利用系统的自身功能配置服务器的安全。 现在有很多人都认为Windows的漏洞太多，系统安全性极差，其实各种系统都有很多漏洞，只不过使用Windows的人最多，不会做各种安全设置，所以才会让很多的人都认为Windows很不安全。其实Windows NT/2000/XP/2003的服务器如果真的做好了各项安全设置之后，其安全性绝对不会比Linux系统差。 利用Syskey实现系统双重加密 配置服务器不响应Ping命令 Windows 2000/XP

2、/2003账号管理 修改IIS、Apache的Banner实现操作系统版本的隐藏 指定服务器的开放端口 禁用服务器相关程序 删除服务器的默认共享 提高服务器抗拒绝服务攻击能力,17.1.1 利用Syskey实现系统双重加密,1) 选择【开始】【运行】命令，在【打开】下拉文本框中输入“syskey.exe”，然后单击【确定】按钮。 (2) 在【保证Windows NT账户数据库的安全】对话框中提示用户一旦启用加密就不能禁用，选择【启用加密】单选按钮，然后单击【更新】按钮,3) 接着系统打开【账户数据库项】对话框，其中有两个选项组：【密码启动】、【系统产生的密码】。【密码启动】是指在系统启动时需要

3、输入一个密码方能启动；【系统产生的密码】是指在软盘上保存启动密码，当系统启动后需要插入该软盘方能启动。由于软盘不易保存，在这里推荐选择【密码启动】单选按钮，并输入一个启动密码。然后单击【确定】按钮。接着系统会弹出一个【成功】对话框，提示账户数据库的开始密码已更改，单击【确定】按钮退出Syskey程序,4) 当再次启动计算机时，系统就会弹出【Windows 2000启动密码】对话框，并要求用户在【密码】文本框中输入启动密码,17.1.2 配置服务器不响应Ping命令,本节重点介绍如何通过配置安全策略来实现服务器不响应Ping命令。 大家可能都知道我们通常用Ping命令是来检查网络是否畅通的一个简

4、单的方法，可是这个Ping也能给Windows系统带来严重的后果，那就是Ping攻击即是ICMP(Internet Control and Message Protocal，网际消息控制协议)攻击，原理是恶意攻击者在一个时段内连续使用Ping命令向目标服务器发送大量的数据包使得计算机的CPU处理不及而使用资源被占尽，从而造成服务器崩溃，这种攻击手法也被称为拒绝服务攻击，它只是拒绝服务攻击中的一种。 攻击原理 拒绝Ping响应 测试,Ping命令通过发送ICMP报文，回响请求来验证与另一台TCP/IP计算机的 IP 级连接。回响应答消息的接收情况将和往返过程的次数一起显示出来，也就是说，我们向目

5、标计算机发送一个ICMP报文，目标计算机接到此报文后就会返回一个给我们。攻击者如果使用以下Ping命令格式，就会造成目标服务器拒绝服务： Ping t l 60000 5,1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。 (2) 在【本地安全设置】窗口中，右击【IP安全策略，在本地机器】，在弹出的快捷菜单中选择【创建IP安全策略】命令,3) 进入欢迎使用【IP安全策略向导】对话框，单击【下一步】按钮继续以下操作。 (4) 接下来系统要求为创建的IP安全策略命名一个【名称】并给出一个简

6、短的【描述】。可以随便输入，该名称将显示在【本地安全设置】窗口中。在这里为此IP安全策略输入的名称是“ping” ，然后单击【下一步】按钮继续,5) 进入安全通信请求设置，选中【激活默认响应规则】复选框，然后单击【下一步】按钮继续。 (6) 设置默认响应规则身份验证方式，在这里可以选择此安全规则设置初始身份验证方法为【此字串用来保护密钥交换】，此项设置是用于基于多台计算机之间认证的。在这里为本地计算机创建IP策略，可随便在此文本框中输入几个字符，然后单击【下一步】按钮继续,7) 此时系统提示已成功地完成IP安全策略向导，要对刚创建的向导进行编辑，可选中【编辑属性】复选框，然后单击【完成】按钮。

7、 (8) 接着系统会打开一个【ping属性】对话框，单击【添加】按钮,9) 进入欢迎使用创建IP【安全规则向导】对话框，单击【下一步】按钮继续。 (10) 指定IP安全规则的隧道终结点，选择【此规则不指定隧道】单选按钮，然后单击【下一步】按钮继续,11) 选择网络类型。接着系统要求指定所创建的安全规则所针对的网络类型，共有3个选项，分别是【所有网络连接】、【局域网】、【远程访问】。在这里推荐选择【所有网络连接】单选按钮，单击【下一步】按钮继续。 (12) 接着进入【身份验证方法】设置，步骤(6)，选择【此字串用来保护密钥交换】单选按钮，然后在文本框中输入几个字符即可，单击【下一步】按钮继续,1

8、3) 进入【IP筛选器列表】设置，为创建的安全规则添加一个新的IP筛选器，单击【添加】按钮。 (14) 为要新创建的IP筛选器输入一个【名称】。在这里输入“ping-2”作为它的名称，然后单击【添加】按钮,15) 进入欢迎使用【IP筛选器向导】对话框，单击【下一步】按钮继续。 (16) 指定IP通信源地址。这里所谓的IP源地址是指要拒绝响应ICMP报文的IP地址范围。如果要拒绝所有人对服务器发送ICMP报文，可单击【源地址】下拉列表框，从中选择【任何IP地址】选项，单击【下一步】按钮继续,17) 指定IP通信目标、单击【目标地址】下拉列表框，从中选择【我的IP地址】选项，即拒绝任何IP地址对本

9、机发送ICMP报文，单击【下一步】按钮继续。 (18) 选择IP协议类型。在这里所要实现的就是要拒绝恶意攻击者对服务器发送大量的ICMP报文，因此单击【选择协议类型】下拉列表框，从中选择【ICMP】选项，然后单击【下一步】按钮继续,19) 接着系统提示已成功完成IP筛选器的创建，取消选中【编辑属性】复选框，然后单击【下一步】按钮继续。 (20) 此时系统将返回到【IP筛选器列表】，可以看到刚才所创建的ping-2IP筛选器已显示在其中了。在【IP筛选器列表】中选择【ping-2】，然后单击【下一步】按钮,21) 接下来就是要对IP筛选器ping-2进行筛选操作。在【筛选器操作】列表框中选择【要

10、求安全设置】选项，然后单击【下一步】按钮。 (22) 系统将提示我们已成功指定新规则属性，单击【完成】按钮退出安全规则向导,23) 返回【本地安全设置】窗口，单击左边窗口中的【IP安全策略，在本地机器】，这时我们发现在右边窗口中一个名称为ping的安全策略已被成功创建。右击【ping】，在弹出的快捷菜单中选择【指派】命令，这样就可以激活此安全策略，刚才的设置才会生效,完成上述操作后，在其他计算机上对目标计算机发送ICMP报文。此时我们发现对远程计算机使用Ping命令时，Ping返回的结果是Request timed out(超时) 。这就证明我们已成功地配置了服务器拒绝响应ICMP报文，因此在

11、防范ICMP攻击方面就安全多了，对于那些恶意攻击者所发来的大量数据包都能拦截下来，从而在这方面保证了计算机免受破坏的危险,17.1.3 Windows 2000/XP/2003账号管理,本节重点介绍如何管理服务器的账号，从而来提高服务器的安全。 入侵者最基本的攻击方法就是破解系统的密码，如果系统密码被入侵者获取，那么整个主机也将会被入侵者控制，后果也将不堪设想。 禁止枚举账号 Administrator账号更名 禁止显示上次登录的用户名 禁用Guest 账号,使用注册表法对这种行为禁止的操作步骤如下： (1) 选择【开始】【运行】命令，在【运行】对话框的【打开】下拉列表框中输入“regedit

12、.exe”，单击【确定】按钮，运行注册表编辑器，依次打开以下键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa (2) 双击子键下的RestrictAnonymous键值名，打开【编辑双字节值】对话框，在【数值数据】文本框中输入“1”，然后退出注册表即可禁止空会话,1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。 (2) 在【本地安全设置】窗口中，依次展开【本地策略】【安全选项】，然后双击右边窗口【策略】列表下的【对匿名连接额外限制】。 (3) 在打

13、开的【本地安全策略设置】对话框中，单击【本地策略设置】下拉列表框，从中选择【不允许枚举SAM账号和共享】选项,1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【计算机管理】图标。 (2) 在【计算机管理】窗口中，依次展开【系统工具】【本地用户和组】【用户】，然后在右边的窗口中右击Administrator用户，在弹出的快捷菜单中选择【重命名】命令。 (3) 重新输入一个名称代替Administrator用户，最好不要使用Admin、Root之类的名字，这样很有可能被入侵者猜到。尽量把它伪装成别人想不到的用户名。还可以在另建一个

14、名为Administrator的陷阱账号，不赋予任何权限，为其设一个超过10位的字母与数字组合而成的密码，并对该账户启用审核。这样入侵者忙了半天也可能进不来，或者即便进来了也什么都得不到，还给我们留下了跟踪的线索,使用注册表法的操作步骤如下： (1) 选择【开始】【运行】命令，在【运行】对话框的【打开】下拉列表框中输入“regedit.exe”，单击【确定】按钮，运行注册表编辑器，依次打开以下键：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon (2) 双击子键下的DontDisplayLastUserNam

15、e键值名，打开【编辑字符串】对话框，在【数值数据】文本框中输入“1”，然后退出注册表即可隐藏系统上次登录的用户名,使用安全策略法的操作步骤如下： (1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】“管理工具”【本地安全策略】图标。 (2) 在【本地安全设置】窗口中，依次展开【本地策略】【安全选项】，然后双击右边窗口【策略】列表下的【对匿名连接的额外限制】。 (3) 在【本地安全策略设置】对话框中，在【本地策略设置】选项组中选择【已启用】单选按钮，便可隐藏系统上次登录的用户名,1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】“管理工具” 下的【计算机管理】图标。 (2)

16、在【计算机管理】窗口中，依次展开【系统工具】【本地用户和组】【用户】，然后在右边的窗口中双击【Guest】用户。 (3) 在【Guest属性】对话框，选中【账户已停用】复选框，这样入侵者就无法使用Guest账号登录我们的系统了,17.1.4 修改IIS、Apache的Banner实现操作系统版本的隐藏,本节重点介绍如何通过手工和利用第三方程序来修改IIS、Apache的Banner。 入侵者在攻击一台目标服务器之前，第一步就是通过查看对方服务器所使用的操作系统及其的版本，然后针对不同的操作系统及其版本对服务器进行攻击。接下来介绍如何通过修改IIS、Apache的Banner来隐藏操作系统的版本

17、，从而来达到“瞒天过海”。 入侵方法检测 修改IIS的Web 服务器Banner 通过第三方软件修改Banner,1) 选择【开始】【运行】命令，在【打开】下拉文本框中输入“CMD.exe”，单击【确定】按钮运行【命令提示符】程序。 (2) 在【命令提示符】程序窗口中的命令提示符下输入如下格式命令： telnet 命令解释 通过远程登录的方式登录到目标Web服务器上。 在这里目标Web服务器的IP地址是2，端口是80，即输入如下命令： telnet 2 80,3) 登录到Web服务器后，【命令提示符】程序窗口成为黑色，没有该服务器的任何输出结果，这是

18、因为我们还没有向该服务器发送请求。此时只要我们连按两下【回车】键，将会得到如图所示的结果，该结果就被我们称为系统的Banner。在第二行可以看到“Server: Microsoft-IIS/5.1”字段，从而得知目标服务器使用的是微软公司的Windows XP架设的Web服务器(很多黑客扫描软件都是根据这一原因判断目标服务器操作系统的)。IIS的版本为5.1，即Windows XP系统，Windows NT/2000/2003的IIS版本分为4.0、5.0、5.5。同样也可以利用此方法得到FTP服务器的类型,1) 在【命令提示符】程序窗口中的命令提示符下输入“iisreset /stop”命令

19、停止IIS服务。 (2) 下载一款名为【WinHex】的十六进制文件编辑软件。安装完毕后运行【WinHex】程序，选择【文件】【打开】命令，打开%system32%system32inetsrvw3svc.dll程序，然后按Ctrl+F组合键打开【查找文本】对话框，查找“Microsoft-IIS/5.1”字段,3) 找到Microsoft-IIS/5.1字段后，只要把此字段修改为想让IIS的Web服务器显示的Banner即可。我们将其修改为“ server/0.0”，然后选择【WinHex】程序菜单栏中的【文件】【保存】命令，对所修改的w3svc.dll进行保存,

20、4) 由于Windows 2000/XP/2003系统后台的文件具有保护机制，当系统发现重要的文件被修改后会恢复备份文件，如果无法恢复时将会弹出【Windows文件保护】对话框，提示Windows所需的文件已被替换成无法识别的版本，插入安装盘恢复该文件。在这里我们不用理会此提示，单击【取消】按钮，接着系统会再次提示用户决定不还原文件的原始版本，确实要保留这些不可识别的文件版本吗？此时单击【是】按钮即可,5) Banner修改已完成，接下来启动IIS服务。在【命令提示符】程序窗口中的命令提示符下输入“iisreset /start”命令启动IIS服务。 (6) 此时，同样在【命令提示符】程序下输

21、入“telnet 2 80”命令，然后连续按两下回车键，就会在第二行发现Web服务器的版本信息已被修改为 server/0.0。这样可以迷惑入侵者，从而减小了服务器被攻击的几率,除以上介绍的通过手工来修改Banner外，还可以利用第三方软件进行修改，如IIS/PWS Banner Edit、Apache-Win32 Banner Edit等就是修改系统Banner的小工具，而且操作简单。我们只需在它的New banner文本框中输入要修改的内容，然后单击Save to file按钮即可实现对Banner的修改，在这里不做介绍了,17.1.5 指

22、定服务器的开放端口,1) 右击桌面上的【网上邻居】图标，在弹出的快捷菜单中选择【属性】命令。 (2) 在打开的【网络和拨号连接】窗口中，右击【本地连接】图标，在弹出的快捷菜单中选择【属性】命令,3) 双击【本地连接属性】对话框中的【Internet协议(TCP/IP)】选项。 (4) 在弹出的【Internet协议(TCP/IP)属性】对话框中，单击【高级】按钮,5) 在【高级TCP/IP设置】对话框中，双击【TCP/IP筛选】选项。 (6) 这一步最为关键，在打开的【TCP/IP筛选】对话框中，可以看到在默认情况下服务器允许任何端口及IP协议开放。在此通过在相应的端口及IP协议上选择【只允许

23、】单选按钮即可对TCP端口、UDP端口及IP协议进行封锁、过滤。例如，需要开放TCP的80端口进行Web服务，则在TCP端口上选择【只允许】单选按钮，然后单击【添加】按钮，在打开的【添加筛选器】对话框中的【TCP端口】文本框中输入“80”，然后单击“确定”按钮,7) TCP/IP筛选完成后，需要重新启动计算机方才能生效,17.1.6 禁用服务器相关程序,1) 在系统的安装目录%systemroot%system32文件夹下找到CMD.exe程序。 (2) 右击【CMD.exe】程序，在弹出的快捷菜单中选择【属性】命令，然后在【cmd.exe属性】对话框中选择【安全】选项卡(要使用NTFS分区才

24、会用此选项卡,3) 接下来对CMD进行权限分配的设置。这让我们又回想起了臭名昭著的UNICODE漏洞，它让一个稍懂计算机的人都可以通过IE程序来执行被攻击计算机上的CMD.exe程序，比如还有一些ASP木马程序，上传到被攻击的服务器后，便可调动受攻击服务器的CMD.exe程序。因此为了安全我们可以设置为拒绝所有用户来使用CMD.exe程序，然后单击【确定】按钮退出即可生效,17.1.7 删除服务器的默认共享,1) 选择【开始】【运行】命令，在【运行】对话框的【打开】下拉列表框中输入“regedit.exe”，单击【确定】按钮，运行注册表编辑器。 (2) 在【注册表编辑器】窗口中，依次展开以下键

25、： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters (3) 在右边的窗口中新建一个双字节值，其名称为AutoShareServer，设其数据为0,17.1.8 提高服务器抗拒绝服务攻击能力,1) 关闭无效网关的检查。当服务器设置了多个网关，在网络不通畅时系统会尝试连接第二个网关，通过关闭它可以优化网络。 在右边的窗口中新建一个双字节值，其名称为EnableDeadGWDetect，设数值数据为0,2) 禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。 在右

26、边的窗口中新建一个双字节值，其名称为EnableICMPRedirects，设数值数据为0。 (3) 不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。 在右边的窗口中新建一个双字节值，其名称为NoNameReleaseOnDemand，设数值数据为1,4) 发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。 在右边的窗口中新建一个双字节值，其名称为KeepAliveTime，设数值数据为493e0。 (5) 禁止进行最大包长度路径检测

27、。该项值为1时，将自动检测出可以传输的数据包的大小，可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576字节。 在右边的窗口中新建一个双字节值，其名称为EnablePMTUDiscovery，设数值数据为0,2) 禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。 在右边的窗口中新建一个双字节值，其名称为EnableICMPRedirects，设数值数据为0。 (3) 不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。 在右边的窗口中新建一个双字节值，其名称为NoNameRe

28、leaseOnDemand，设数值数据为1,6) 启动SYN攻击保护。默认项值为0，表示不开启攻击保护，项值为1和2表示启动SYN攻击保护，设成2之后安全级别更高。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。 在右边的窗口中新建一个双字节值，其名称为SynAttackProtect，设数值数据为2。 (7) 同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。 在右边的窗口中新建一个双字节值，其名称为TcpMa

29、xHalfOpen，设数值数据为2,8) 判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。 在右边的窗口中新建一个双字节值，其名称为TcpMaxHalfOpenRetried，设数值数据为50。 (9) 设置等待SYN-ACK时间。默认项值为3，默认这一过程消耗时间45秒；项值为2，消耗时间为21秒；项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。微软站点安全推荐为2。 在右边的窗口中新建一个双字节值，其名称为TcpMaxConnectResponse Retransmissions，设数值数据为1,10)

30、设置TCP重传单个数据段的次数。默认项值为5，默认这一过程消耗时间240秒。微软站点安全推荐为3。 在右边的窗口中新建一个双字节值，其名称为TcpMaxDataRetransmissions，设数值数据为3。 (11) 设置SYN攻击保护的临界点。当可用的backlog变为0时，此参数用于控制SYN攻击保护的开启，微软站点安全推荐为5。 在右边的窗口中新建一个双字节值，其名称为TCPMaxPortsExhausted，设数值数据为5,12) 禁止IP源路由。默认项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的源路由包，微软站点安全推荐为2。 在右边的窗口中新建一个双字节值，其名称为DisableIPSourceRouti