服务器系统安全运行维护

1、服务器系统安全运行维护 主要内容 一、Windows Server2003 IIS服务器 二、安装和配置DNS服务器 三、Windows Server2003中设置FTP服务器 四、Windows2000中设置FTP服务器 五、设置SMTP安全选项 六、Microsoft SQL Server安全防护 一、Windows Server2003 IIS服务器 n1. IIS服务器的安全性 n2. 一个IIS远程攻击示例 n3. 确保Web服务的安全 n4. 确保Web站点的安全 1. IIS服务器的安全性 n由于Web站点的发布很多是依靠Microsoft的IIS服务器， 疏于防护和无安全配置的

2、IIS服务器往往是黑客攻击的 “肉鸡”，这是因为服务器存在着诸如IDA、IDQ、 Unicode、.printer、WebDAV等等漏洞，不少可远程 获得管理员权限 n为了向组织Intranet中的Web服务器和应用程序提供 全面的安全保护，应该保护每个Microsoft Internet信 息服务(IIS)服务器以及在这些服务器运行的每个Web 站点和应用程序不受可与它们连接的客户端计算机的 侵害 2. 一个IIS远程攻击示例 nWebDAV是HTTP协议的扩展，允许远程编写 和管理Web内容 n微软IIS5.0的WebDAV在处理某些畸形的请求 时存在缺陷，当外部提交一恶意超长的 SEAR

3、CH请求时，远程的WebDav服务会出现 缓冲区溢出可使IIS服务重启 n攻击者可以通过这个漏洞以Web服务器的执行 权限执行任意代码，以下几页给出针对 Windows 2000Server的攻击工程 (1) 启用“X-Scan”扫描器 (2) 发现目标主机中“Webdav”漏洞 (3) 攻击目标主机 (4) 创建管理员用户 nnet localgroup administrators ccc /add (5) 远程桌面完全控制 3. 确保Web服务的安全 n3.1 仅启用必要的Web服务扩展 n3.2 仅安装必要的IIS组件 n3.3 使用安全工具 n3.4 确保IIS全局的设置安全 n3.

4、5 确保默认Web站点和管理Web站点的安全 n3.6 使FrontPage Server Extension无效 3.1 仅启用必要的Web服务扩展 n启用所有的Web服务扩展可确保与现有应用软 件的最大可能的兼容性。 n仅启用在IIS服务器环境下运行的站点和应用 软件所必需的Web服务扩展，通过最大限度精 简服务器的功能，可以减少每个IIS服务器的 受攻击面，从而增强了安全性。建议不要安装 Index Server、FrontPage Server Extensions、 示例WWW站点等功能。 3.2 仅安装必要的IIS组件 n除“万维网发布服务”之外，IIS6.0还包括其它的组 件和服

5、务，例如FTP和SMTP服务。可以通过双击 “控制面板”上的“添加/删除程序”来启动 Windows组件向导应用程序服务器，以安装和启用IIS 组件和服务。安装IIS之后，必须启用Web站点和应用 程序所需的所有必要的IIS组件和服务 n应该仅启用Web站点和应用程序所需的必要IIS组件和 服务。启用不必要的组件和服务会增加IIS服务器的受 攻击面 3.3 使用安全工具 nMicrosoft免费提供了一个“IISLockdown Wizard”工 具来确保IIS Web服务器的安全。它可让管理员通过 选用一个模板来选择服务器支持的技术。 nMicrosoft免费提供一个叫“URLScan”的工

6、具，它在 Microsoft Internet信息服务(IIS)接受HTTP请求时对请 求进行屏蔽和分析。正确配置后，“URLScan”可有 效减少IIS4.0、IIS5.0和IIS5.1遭受来自Internet攻击的 危险。 3.4 确保IIS全局的设置安全 n大部分IIS配置设置存储在元库中，但是一些全局设置仍在注册表 里。 n要确保注册表内这些键值按如下设置： qHKLMSYSTEMCurrentControlSetservicesW3SVCParameters AllowSpecialCharsShell。它是允许或组织特定的命令字符作为 CGI脚本或可执行文件的参数，应设置为0。 q

7、HKLMSYSTEMCurrentControlSetservicesW3SVCParameters LogSuccessfullRequests。它是使IIS日志记录功能启用或禁用的 参数，应设置为1。 qHKLMSYSTEMCurrentControlSetservicesW3SVCParameters SSIEnableCmdDirective。它是允许或组织使用服务器端的 #execcmd指示参数，应设置为0。 3.4 确保IIS全局的设置安全(续) n要确保注册表内这些键值按如下设置： qHKEY_LOCAL_MACHINESYSTEMCurrentControlSetservic

8、esW3SVCParametersAllowGuestAccess。它是设置是否允 许Guest访问Web服务器的参数，0表示禁止访问；1允许。 qHKEY_LOCAL_MACHINESYSTEMCurrentControlSetservic esW3SVCParametersEnableSvcLoc。它是允许或组织微软 控制台（MMC）管理单元管理IIS服务器的参数，0表示禁止访 问；1允许。可根据实际需要设置。 qHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWin dowsNTPrintersDisableWebPrinting。它是禁止网络打印的

9、参 数，应设置为0。 3.5 确保默认Web站点和管理Web站点 的安全 n第一次安全IID时会创建两个站点：默认Web 站点和管理Web站点，它们有不少安全隐患， 应该禁用。 要删除以下默认Web站点的虚拟目录 nScripts nIISHelp nIISSamples nPrinters nIISAdmin nIISAdmpwd nMSADC nPBServer nPBSData nRPC nCertSrv nCertControl nCertEnroll 从系统文件中删除这些目录 nC:inetpubscripts nC:winnthelpiishelpiis nC:inetpubiis

10、samples nC:winntwebprinters nC:winntsystem32inetsrviisadmin nC:winntsystem32inetsrviisadmpwd 3.6 使FrontPage Server Extension无效 nFPSE提供了方便的远程Web授权特性，但是 它却导致了Web服务器遭受攻击面的扩大。 n如果要完全删除FPSE， q首先打开“Internet服务管理器” q在每个Web站点上右键点击，选择“All Tasks”， “Remove Server Extensions”。然后删除_vti或 _private目录 q最后，从主Web站点属性的“

11、ISAPI扩展”标签中 删除FPEXED.dll文件。 4. 确保Web站点的安全 n4.1 Web站点为只读 n4.2 设置WWW属性 n4.3 帐户策略 n4.4 在专用磁盘卷中放置内容 n4.5 设置NTFS权限 n4.6 设置IIS Web站点权限 n4.7 配置IIS日志 n4.8 打开审核策略 4.1 Web站点为只读 n在“管理Web站点”上单击鼠标右键，选择 “新建站点”。 n根据提示操作，我们自建的站点说明假设为 “Web”，目录为“D:webroot”，只给读取权 限。 4.2 设置WWW属性 n在“Web”的属性 “主目录”中设置 执行许可为“无”， “应用程序设置”、

12、“配置”中删除不 必要的IIS扩展名映 射 4.3 帐户策略 n清理帐户 n保护众所周知帐户的安全 n再增加一个属于管理员组的帐号作管理和备份 n创建一个帐号陷阱，就是说创建一个Administrator的本地帐号， 但权限低密码强 n定期修改口令 n对于IIS服务器，建议不要使用帐户锁定策略 n在“本地策略”的“安全选项”里，把“LanManager身份验证级 别”改为“仅发送NTLM响应”，这样即使入侵者借助Sniffer得到 口令的hash也很难破解 n把“匿名连接的额外限制”设置为“没有显示匿名权限就无法访 问” n启用“在关机时清理虚拟内存交换页面” n启用“登录屏幕上不要显示上次登

13、录的用户名” 4.4 在专用磁盘卷中放置内容 nIIS会将默认Web站点的文件存储到 inetpubwwwroot，其中 是安装Windows Server2003操 作系统的驱动器。 n应该将构成Web站点和应用程序的所有文件和 文件夹放置到IIS服务器的专用磁盘卷中。将 这些文件和文件夹放置到IIS服务器的一个专 用磁盘卷不包含操作系统的磁盘卷有助于 防止目录遍历攻击。 4.5 设置NTFS权限 nNTFS下所有文件默认情况下对所有人（eneryone） 为完全控制权限，如果限制一般用户只有只读权限的 话，有可能会导致一些脚本运行不正常，这时需要对 这些文件所在的文件夹权限进行更改。这样W

14、indows Server2003将检查NTFS文件系统的权限，以确定用 户或进程对特定文件或文件夹所具有的访问权限类型。 n建议在做更改前，先在测试机器上做测试，然后慎重 更改。 NTFS权限表 文件类型建议的NTFS权限 CGI文件 （.exe、.dll、.cmd、.pl） Everyone（执行）、Administrators（完全控制）、 System（完全控制） 脚本文件(.asp) Everyone（执行）、Administrators（完全控制）、 System（完全控制） 包含文件 （.inc、.shtm、.shtml） Everyone（执行）、Administrators（

15、完全控制）、 System（完全控制） 静态内容 （.txt、.gif、.jpg、.htm、.h tml） Everyone（只读）、Administrators（完全控制）、 System（完全控制） 4.6 设置IIS Web站点权限 nIIS将检查Web站点权限，以确定在Web站点 中可能发生的操作类型，例如允许脚本源访问 或允许文件夹浏览。应该为Web站点分配权限。 nWeb站点权限可与NTFS权限结合使用。它们 可配置给特定的站点、文件夹和文件。与 NTFS权限不同，Web站点权限影响试图访问 IIS服务器站点的每个人。Web站点权限可以 通过使用IIS管理器管理单元生效。 Web站

16、点权限表 Web站点权 限 授予的权限 读 用户可查看目录或文件的内容和属性。在默认情况下，该权限为选中状态。 写 用户可更改目录或文件的内容和属性。 脚本源访问 用户可以访问源文件。如果启用“读”权限，则可以读取源文件；如果启用“写” 权 限，则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读” 权 限，也不启用“写”权限，则此选项将不可用。要点：启用“脚本源访问”时， 用户可 以查看敏感信息，例如用户名和密码。他们还可以更改IIS服务器上运行的源代 码，从而严重影响服务器的安全性和性能。 目录浏览 用户可以查看文件列表和集合。 日志访问 每次访问Web站点都会创建日志条目。

17、 索引此资源允许使用索引服务索引资源。这样便可以对资源执行搜索。 执行 以下选项确定用户运行脚本的级别： “无”不允许在服务器上运行脚本和可执行文件。 “仅限于脚本”仅允许在服务器上运行脚本。 “脚本和可执行文件”允许在服务器上运行脚本和可执行文件。 4.7 配置IIS日志 n可以为每个站点或应用程序创建单独的日志。 IIS可以记录Windows操作系统提供的事件日 志或性能监视功能所记录信息范围之外的信息。 IIS日志可记录诸如谁访问过站点、访客浏览 过哪些内容、以及最后一次访问的时间等信息。 IIS日志可被用来了解那些内容最受欢迎，确 定信息瓶颈，或者用作协助攻击事件调查的资 源。 4.8

18、 打开审核策略 n打开安全审核是Win2000最基本的入侵检测方 法。当有人尝试对你的系统进行某些（如尝试 用户名密码、改变帐户策略、未经许可的文件 访问等等）入侵的时候，都会被安全审核记录 下来。很多管理员在系统被入侵了几个月都不 知道系统遭到了破坏。 安全设置审核策略 策略设置 审核帐户管理成功，失败 审核对象访问成功 审核特权使用成功，失败 审核系统登录事件成功，失败 审核登录事件成功，失败 审核策略更改成功，失败 审核系统事件成功，失败 二、安装和配置DNS服务器 n1. 准备工作 n2. 安装DNS服务 n3. 安全配置DNS 1. 准备工作 n你的域名（经过Internic批准）

19、n要为其提供名称解析的每台服务器的IP地址和 主机名 n操作系统配置正确 n已经分配了所有可用的磁盘空间 n所有现有的磁盘卷都使用NTFS文件系统 2. 安装DNS服务 n打开“Windows组件向导”。为此，请执行下列步骤： q单击“开始”，单击“控制面板”，然后单击“添加或删除 程序”。 q单击“添加/删除Windows组件”。 n在“组件”中，选中“网络服务”复选框，然后单击 “详细信息”。 n在“网络服务子组件”中，选中“域名系统(DNS)”复 选框，单击“确定”，然后单击“下一步”。 n在得到提示时，在“文件复制来源”中键入分发文件 的完整路径，然后单击“确定”。 3. 安全配置DN

20、S n启动“配置你的服务器向导” n在“服务器角色”页上，单击“DNS服务器”，然后 单击“下一步” n在“选择摘要”页上，查看并确认你所选择的选项。 然后单击“下一步” n在“配置你的服务器”向导中完成对DNS服务器本身 的IP地址等参数的配置 n在“配置DNS服务器向导” 中完成对DNS区域、转 发器等参数的配置，完成DNS的配置过程 三、Windows Server2003中设置FTP服 务器 n1. 安装FTP服务 n2. 配置匿名FTP服务 n3. FTP服务安全配置 1. 安装FTP服务 n单击“开始”，指向“控制面板”，然后单击“添加或 删除程序”。 n单击“添加/删除Windo

21、ws组件”。在“组件”列表中， 单击“应用程序服务器”，单击“Internet信息服务 (IIS)”（但是不要选中或清除复选框），然后单击“详细 信息”。 n单击以选中下列复选框（如果它们尚未被选中）：“公 用文件文件传输协议(FTP)服务Internet信息服务管理器” n单击以选中你想要安装的任何其他的IIS相关服务或子组 件旁边的复选框，然后单击“确定”。 n单击“下一步”。出现提示时，请将Windows Server2003 CD-ROM插入计算机的CD-ROM或DVD- ROM驱动器，或提供文件所在位置的路径，然后单击 “确定”。 n单击“完成”。 2. 配置匿名FTP服务 n启动“

22、Internet信息服务管理器”或打开IIS管理单元。 n展开“服务器名称”，其中服务器名称是该服务器的名称。 n展开“FTP站点”，右击“默认FTP站点”，然后单击“属性”。 n单击“安全帐户”选项卡。 n单击以选中“允许匿名连接”复选框（如果它尚未被选中），然 后单击以选中“仅允许匿名连接”复选框。单击“主目录”选项 卡。 n单击以选中“读取”和“日志访问”复选框（如果它们尚未被选 中），然后单击以清除“写入”复选框（如果它尚未被清除）。 n单击“确定”。退出“Internet信息服务管理器”或者关闭IIS管理 单元。 3. FTP服务安全配置 n3.1 限制客户端连接数 n3.2 配置匿

23、名用户或域用户访问权限 n3.3 将访问权限限制到特定计算机 3.1 限制客户端连接数 n单击“开始”，指向“管理工具”，然后单击“Internet信息服务 (IIS)管理器”。 n在控制台树中，展开“ServerName”（其中ServerName是服务器 的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属 性”。 n单击“FTP站点”选项卡。 n在“FTP站点连接”下，单击“连接限制为”，然后键入允许同 时连接到服务器的最大数量。达到限制值时，IIS将向客户端返回 一条错误信息，说明服务器忙。 n在“连接超时(秒)”框中，键入一个时间长度，指定服务器在用户 处于非活动状态多长时

24、间后与该用户断开连接。如果FTP协议不 关闭某个连接，此操作可确保在指定的时间段后关闭所有连接。 n单击“确定”。退出Internet信息服务(IIS)管理器。 3.2 配置匿名用户或域用户访问权 限 n单击“开始”，指向“管理工具”，然后单击 “Internet信息服务(IIS)管理器”。 n在控制台树中，展开“ServerName”（其中 ServerName是服务器的名称），展开“FTP 站点”，右键单击你的FTP站点，然后单击 “属性”。单击“安全帐户”选项卡，执行以 下操作之一： q要允许以匿名方式连接到FTP站点，请单击以选中 “允许匿名连接”复选框（如果它尚未被选中）。 q要将F

25、TP站点配置为要求提供Windows用户名和密 码，请单击清除“允许匿名连接”复选框 3.3 将访问权限限制到特定计算机 n单击“开始”，指向“管理工具”，然后单击“Internet信息服务 (IIS)管理器”。 n在控制台树中，展开“ServerName”（其中ServerName是服务器 的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属 性”。 n单击“目录安全性”选项卡。执行下列操作之一： q要拒绝访问，请单击“授权访问”，然后单击“添加”。在出现的 “拒绝访问”对话框中，指定所需的选项，然后单击“确定”。指 定的计算机或者计算机组将被添加到列表中。 q要授予访问权限，请单

26、击“拒绝访问”，然后单击“添加”。在出 现的“授权访问”对话框中，指定所需的选项，然后单击“确定”。 你选择的计算机、计算机组或者域将被添加到列表中 四、Windows2000中设置FTP服务器 n4.1 安装Internet信息服务 n4.2 配置匿名FTP服务 n4.3 安全配置 4.1 安装Internet信息服务 n单击“开始”，指向“设置”，然后单击“控制面板”。在“控 制面板”中，双击“添加/删除程序”。 n选择“添加/删除Windows组件”。在“Windows组件向导”中， 选择“Internet信息服务(IIS)”，然后单击“详细信息”。 n选择“公用文件、文档、文件传输协议(FTP)服务器”和 “Internet信息服务管理单元”，然后单击“确定”。 n单击“下一步”。 n如果提示你配置终端服务，则单击“下一步”