服务器系统安全维护培训教程课件

服务器系统安全维护丁兆锟(dzkad@)服务器系统安全维护丁兆锟1主要内容一、WindowsServer2003IIS服务器二、安装和配置DNS服务器三、WindowsServer2003中设置FTP服务器四、Windows2000中设置FTP服务器五、设置SMTP安全选项六、MicrosoftSQLServer安全防护主要内容一、WindowsServer2003IIS服务2一、WindowsServer2003IIS服务器1.IIS服务器的安全性2.一个IIS远程攻击示例3.确保Web服务的安全4.确保Web站点的安全一、WindowsServer2003IIS服务器1.31.IIS服务器的安全性由于Web站点的发布很多是依靠Microsoft的IIS服务器，疏于防护和无安全配置的IIS服务器往往是黑客攻击的“肉鸡”，这是因为服务器存在着诸如IDA、IDQ、Unicode、.printer、WebDAV等等漏洞，不少可远程获得管理员权限为了向组织Intranet中的Web服务器和应用程序提供全面的安全保护，应该保护每个MicrosoftInternet信息服务(IIS)服务器以及在这些服务器运行的每个Web站点和应用程序不受可与它们连接的客户端计算机的侵害1.IIS服务器的安全性由于Web站点的发布很多是依靠Mi42.一个IIS远程攻击示例WebDAV是HTTP协议的扩展，允许远程编写和管理Web内容微软IIS5.0的WebDAV在处理某些畸形的请求时存在缺陷，当外部提交一恶意超长的SEARCH请求时，远程的WebDav服务会出现缓冲区溢出可使IIS服务重启攻击者可以通过这个漏洞以Web服务器的执行权限执行任意代码，以下几页给出针对Windows2000Server的攻击工程2.一个IIS远程攻击示例WebDAV是HTTP协议的扩展5(1)启用“X-Scan”扫描器(1)启用“X-Scan”扫描器6(2)发现目标主机中“Webdav”漏洞(2)发现目标主机中“Webdav”漏洞7(3)攻击目标主机(3)攻击目标主机8(4)创建管理员用户netlocalgroupadministratorsccc/add

(4)创建管理员用户netlocalgroupadmi9(5)远程桌面完全控制(5)远程桌面完全控制103.确保Web服务的安全3.1仅启用必要的Web服务扩展3.2仅安装必要的IIS组件3.3使用安全工具3.4确保IIS全局的设置安全3.5确保默认Web站点和管理Web站点的安全3.6使FrontPageServerExtension无效3.确保Web服务的安全3.1仅启用必要的Web服务扩展113.1仅启用必要的Web服务扩展启用所有的Web服务扩展可确保与现有应用软件的最大可能的兼容性。仅启用在IIS服务器环境下运行的站点和应用软件所必需的Web服务扩展，通过最大限度精简服务器的功能，可以减少每个IIS服务器的受攻击面，从而增强了安全性。建议不要安装IndexServer、FrontPageServerExtensions、示例WWW站点等功能。3.1仅启用必要的Web服务扩展启用所有的Web服务扩展可123.2仅安装必要的IIS组件除“万维网发布服务”之外，IIS6.0还包括其它的组件和服务，例如FTP和SMTP服务。可以通过双击“控制面板”上的“添加/删除程序”来启动Windows组件向导应用程序服务器，以安装和启用IIS组件和服务。安装IIS之后，必须启用Web站点和应用程序所需的所有必要的IIS组件和服务应该仅启用Web站点和应用程序所需的必要IIS组件和服务。启用不必要的组件和服务会增加IIS服务器的受攻击面3.2仅安装必要的IIS组件除“万维网发布服务”之外，II133.3使用安全工具Microsoft免费提供了一个“IISLockdownWizard”工具来确保IISWeb服务器的安全。它可让管理员通过选用一个模板来选择服务器支持的技术。Microsoft免费提供一个叫“URLScan”的工具，它在MicrosoftInternet信息服务(IIS)接受HTTP请求时对请求进行屏蔽和分析。正确配置后，“URLScan”可有效减少IIS4.0、IIS5.0和IIS5.1遭受来自Internet攻击的危险。3.3使用安全工具Microsoft免费提供了一个“IIS143.4确保IIS全局的设置安全大部分IIS配置设置存储在元库中，但是一些全局设置仍在注册表里。要确保注册表内这些键值按如下设置：HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\AllowSpecialCharsShell。它是允许或组织特定的命令字符作为CGI脚本或可执行文件的参数，应设置为0。HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\LogSuccessfullRequests。它是使IIS日志记录功能启用或禁用的参数，应设置为1。HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\SSIEnableCmdDirective。它是允许或组织使用服务器端的#execcmd指示参数，应设置为0。3.4确保IIS全局的设置安全大部分IIS配置设置存储在元153.4确保IIS全局的设置安全(续)要确保注册表内这些键值按如下设置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\AllowGuestAccess。它是设置是否允许Guest访问Web服务器的参数，0表示禁止访问；1允许。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\EnableSvcLoc。它是允许或组织微软控制台（MMC）管理单元管理IIS服务器的参数，0表示禁止访问；1允许。可根据实际需要设置。HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\Printers\DisableWebPrinting。它是禁止网络打印的参数，应设置为0。3.4确保IIS全局的设置安全(续)要确保注册表内这些键值163.5确保默认Web站点和管理Web站点的安全第一次安全IID时会创建两个站点：默认Web站点和管理Web站点，它们有不少安全隐患，应该禁用。3.5确保默认Web站点和管理Web站点的安全第一次安全I17要删除以下默认Web站点的虚拟目录ScriptsIISHelpIISSamplesPrintersIISAdminIISAdmpwdMSADCPBServerPBSDataRPCCertSrvCertControlCertEnroll要删除以下默认Web站点的虚拟目录Scripts18从系统文件中删除这些目录C:\inetpub\scriptsC:\winnt\help\iishelp\iisC:\inetpub\iissamplesC:\winnt\web\printersC:\winnt\system32\inetsrv\iisadminC:\winnt\system32\inetsrv\iisadmpwd从系统文件中删除这些目录C:\inetpub\script193.6使FrontPageServerExtension无效FPSE提供了方便的远程Web授权特性，但是它却导致了Web服务器遭受攻击面的扩大。如果要完全删除FPSE，首先打开“Internet服务管理器”在每个Web站点上右键点击，选择“AllTasks”，“RemoveServerExtensions”。然后删除_vti或_private目录最后，从主Web站点属性的“ISAPI扩展”标签中删除FPEXED.dll文件。3.6使FrontPageServerExtensio204.确保Web站点的安全4.1Web站点为只读4.2设置WWW属性4.3帐户策略4.4在专用磁盘卷中放置内容4.5设置NTFS权限4.6设置IISWeb站点权限4.7配置IIS日志4.8打开审核策略4.确保Web站点的安全4.1Web站点为只读214.1Web站点为只读在“管理Web站点”上单击鼠标右键，选择“新建站点”。根据提示操作，我们自建的站点说明假设为“Web”，目录为“D:\webroot\”，只给读取权限。4.1Web站点为只读在“管理Web站点”上单击鼠标右键，224.2设置WWW属性在“Web”的属性“主目录”中设置执行许可为“无”，“应用程序设置”、“配置”中删除不必要的IIS扩展名映射4.2设置WWW属性在“Web”的属性“主目录”中设置执行234.3帐户策略清理帐户保护众所周知帐户的安全再增加一个属于管理员组的帐号作管理和备份创建一个帐号陷阱，就是说创建一个Administrator的本地帐号，但权限低密码强定期修改口令对于IIS服务器，建议不要使用帐户锁定策略在“本地策略”的“安全选项”里，把“LanManager身份验证级别”改为“仅发送NTLM响应”，这样即使入侵者借助Sniffer得到口令的hash也很难破解把“匿名连接的额外限制”设置为“没有显示匿名权限就无法访问”启用“在关机时清理虚拟内存交换页面”启用“登录屏幕上不要显示上次登录的用户名”4.3帐户策略清理帐户244.4在专用磁盘卷中放置内容IIS会将默认Web站点的文件存储到<systemroot>\inetpub\wwwroot，其中<systemroot>是安装WindowsServer2003操作系统的驱动器。应该将构成Web站点和应用程序的所有文件和文件夹放置到IIS服务器的专用磁盘卷中。将这些文件和文件夹放置到IIS服务器的一个专用磁盘卷—不包含操作系统的磁盘卷—有助于防止目录遍历攻击。4.4在专用磁盘卷中放置内容IIS会将默认Web站点的文件254.5设置NTFS权限NTFS下所有文件默认情况下对所有人（eneryone）为完全控制权限，如果限制一般用户只有只读权限的话，有可能会导致一些脚本运行不正常，这时需要对这些文件所在的文件夹权限进行更改。这样WindowsServer2003将检查NTFS文件系统的权限，以确定用户或进程对特定文件或文件夹所具有的访问权限类型。建议在做更改前，先在测试机器上做测试，然后慎重更改。4.5设置NTFS权限NTFS下所有文件默认情况下对所有人26NTFS权限表文件类型建议的NTFS权限CGI文件（.exe、.dll、.cmd、.pl）Everyone（执行）、Administrators（完全控制）、System（完全控制）脚本文件(.asp)Everyone（执行）、Administrators（完全控制）、System（完全控制）包含文件（.inc、.shtm、.shtml）Everyone（执行）、Administrators（完全控制）、System（完全控制）静态内容（.txt、.gif、.jpg、.htm、.html）Everyone（只读）、Administrators（完全控制）、System（完全控制）NTFS权限表文件类型建议的NTFS权限CGI文件Every274.6设置IISWeb站点权限IIS将检查Web站点权限，以确定在Web站点中可能发生的操作类型，例如允许脚本源访问或允许文件夹浏览。应该为Web站点分配权限。Web站点权限可与NTFS权限结合使用。它们可配置给特定的站点、文件夹和文件。与NTFS权限不同，Web站点权限影响试图访问IIS服务器站点的每个人。Web站点权限可以通过使用IIS管理器管理单元生效。4.6设置IISWeb站点权限IIS将检查Web站点权限28Web站点权限表Web站点权限授予的权限读用户可查看目录或文件的内容和属性。在默认情况下，该权限为选中状态。写用户可更改目录或文件的内容和属性。脚本源访问用户可以访问源文件。如果启用“读”权限，则可以读取源文件；如果启用“写”权限，则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限，也不启用“写”权限，则此选项将不可用。要点：启用“脚本源访问”时，用户可以查看敏感信息，例如用户名和密码。他们还可以更改IIS服务器上运行的源代码，从而严重影响服务器的安全性和性能。目录浏览用户可以查看文件列表和集合。日志访问每次访问Web站点都会创建日志条目。索引此资源允许使用索引服务索引资源。这样便可以对资源执行搜索。执行以下选项确定用户运行脚本的级别：“无”—不允许在服务器上运行脚本和可执行文件。“仅限于脚本”—仅允许在服务器上运行脚本。“脚本和可执行文件”—允许在服务器上运行脚本和可执行文件。Web站点权限表Web站点权限授予的权限读用户可查看目录或文294.7配置IIS日志可以为每个站点或应用程序创建单独的日志。IIS可以记录Windows操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。IIS日志可被用来了解那些内容最受欢迎，确定信息瓶颈，或者用作协助攻击事件调查的资源。4.7配置IIS日志可以为每个站点或应用程序创建单独的日志304.8打开审核策略打开安全审核是Win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些（如尝试用户名密码、改变帐户策略、未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多管理员在系统被入侵了几个月都不知道系统遭到了破坏。4.8打开审核策略打开安全审核是Win2000最基本的入侵31安全设置审核策略策略设置审核帐户管理成功，失败审核对象访问成功审核特权使用成功，失败审核系统登录事件成功，失败审核登录事件成功，失败审核策略更改成功，失败审核系统事件成功，失败安全设置审核策略策略设置审核帐户管理成功，失败审核对象访问成32二、安装和配置DNS服务器1.准备工作2.安装DNS服务3.安全配置DNS二、安装和配置DNS服务器1.准备工作331.准备工作你的域名（经过Internic批准）要为其提供名称解析的每台服务器的IP地址和主机名操作系统配置正确已经分配了所有可用的磁盘空间所有现有的磁盘卷都使用NTFS文件系统1.准备工作你的域名（经过Internic批准）342.安装DNS服务打开“Windows组件向导”。为此，请执行下列步骤：单击“开始”，单击“控制面板”，然后单击“添加或删除程序”。单击“添加/删除Windows组件”。在“组件”中，选中“网络服务”复选框，然后单击“详细信息”。在“网络服务子组件”中，选中“域名系统(DNS)”复选框，单击“确定”，然后单击“下一步”。在得到提示时，在“文件复制来源”中键入分发文件的完整路径，然后单击“确定”。2.安装DNS服务打开“Windows组件向导”。为此，请353.安全配置DNS启动“配置你的服务器向导”在“服务器角色”页上，单击“DNS服务器”，然后单击“下一步”在“选择摘要”页上，查看并确认你所选择的选项。然后单击“下一步”在“配置你的服务器”向导中完成对DNS服务器本身的IP地址等参数的配置在“配置DNS服务器向导”中完成对DNS区域、转发器等参数的配置，完成DNS的配置过程3.安全配置DNS启动“配置你的服务器向导”36三、WindowsServer2003中设置FTP服务器1.安装FTP服务2.配置匿名FTP服务3.FTP服务安全配置三、WindowsServer2003中设置FTP服务器1371.安装FTP服务单击“开始”，指向“控制面板”，然后单击“添加或删除程序”。单击“添加/删除Windows组件”。在“组件”列表中，单击“应用程序服务器”，单击“Internet信息服务(IIS)”（但是不要选中或清除复选框），然后单击“详细信息”。单击以选中下列复选框（如果它们尚未被选中）：“公用文件文件传输协议(FTP)服务Internet信息服务管理器”单击以选中你想要安装的任何其他的IIS相关服务或子组件旁边的复选框，然后单击“确定”。单击“下一步”。出现提示时，请将WindowsServer2003CD-ROM插入计算机的CD-ROM或DVD-ROM驱动器，或提供文件所在位置的路径，然后单击“确定”。单击“完成”。1.安装FTP服务单击“开始”，指向“控制面板”，然后单击382.配置匿名FTP服务启动“Internet信息服务管理器”或打开IIS管理单元。展开“服务器名称”，其中服务器名称是该服务器的名称。展开“FTP站点”，右击“默认FTP站点”，然后单击“属性”。单击“安全帐户”选项卡。单击以选中“允许匿名连接”复选框（如果它尚未被选中），然后单击以选中“仅允许匿名连接”复选框。单击“主目录”选项卡。单击以选中“读取”和“日志访问”复选框（如果它们尚未被选中），然后单击以清除“写入”复选框（如果它尚未被清除）。单击“确定”。退出“Internet信息服务管理器”或者关闭IIS管理单元。2.配置匿名FTP服务启动“Internet信息服务管理器393.FTP服务安全配置

3.1限制客户端连接数3.2配置匿名用户或域用户访问权限3.3将访问权限限制到特定计算机3.FTP服务安全配置3.1限制客户端连接数403.1限制客户端连接数单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属性”。单击“FTP站点”选项卡。在“FTP站点连接”下，单击“连接限制为”，然后键入允许同时连接到服务器的最大数量。达到限制值时，IIS将向客户端返回一条错误信息，说明服务器忙。在“连接超时(秒)”框中，键入一个时间长度，指定服务器在用户处于非活动状态多长时间后与该用户断开连接。如果FTP协议不关闭某个连接，此操作可确保在指定的时间段后关闭所有连接。单击“确定”。退出Internet信息服务(IIS)管理器。3.1限制客户端连接数单击“开始”，指向“管理工具”，然后413.2配置匿名用户或域用户访问权限单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击你的FTP站点，然后单击“属性”。单击“安全帐户”选项卡，执行以下操作之一：要允许以匿名方式连接到FTP站点，请单击以选中“允许匿名连接”复选框（如果它尚未被选中）。要将FTP站点配置为要求提供Windows用户名和密码，请单击清除“允许匿名连接”复选框3.2配置匿名用户或域用户访问权限单击“开始”，指向“管理423.3将访问权限限制到特定计算机单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属性”。单击“目录安全性”选项卡。执行下列操作之一：要拒绝访问，请单击“授权访问”，然后单击“添加”。在出现的“拒绝访问”对话框中，指定所需的选项，然后单击“确定”。指定的计算机或者计算机组将被添加到列表中。要授予访问权限，请单击“拒绝访问”，然后单击“添加”。在出现的“授权访问”对话框中，指定所需的选项，然后单击“确定”。你选择的计算机、计算机组或者域将被添加到列表中3.3将访问权限限制到特定计算机单击“开始”，指向“管理工43四、Windows2000中设置FTP服务器4.1安装Internet信息服务4.2配置匿名FTP服务4.3安全配置四、Windows2000中设置FTP服务器4.1安装In444.1安装Internet信息服务单击“开始”，指向“设置”，然后单击“控制面板”。在“控制面板”中，双击“添加/删除程序”。选择“添加/删除Windows组件”。在“Windows组件向导”中，选择“Internet信息服务(IIS)”，然后单击“详细信息”。选择“公用文件、文档、文件传输协议(FTP)服务器”和“Internet信息服务管理单元”，然后单击“确定”。单击“下一步”。如果提示你配置终端服务，则单击“下一步”。如果提示你输入FTP根文件夹的路径，则键入适合的文件夹路径。默认路径为C:\Inetpub\Ftproot。若要获得更多的安全性，推荐使用NTFS驱动器。单击“确定”以继续。得到提示时，插入Windows2000CD或提供这些文件所在位置的路径，然后单击“确定”。单击“完成”。4.1安装Internet信息服务单击“开始”，指向“设置454.2配置匿名FTP服务依次单击“开始、程序和管理工具”，然后单击“Internet服务管理器”。（在Windows2000Professional中，可从“控制面板”访问“管理工具”。）单击服务器名称旁边的加号(+)。右击“默认FTP站点”，然后单击“属性”。单击“安全帐户”选项卡。选择“允许匿名连接”，然后选择“只允许匿名连接”。单击“主目录”选项卡。选择“读取和日志访问”，然后清除“写入”。单击“确定”保存这些设置。4.2配置匿名FTP服务依次单击“开始、程序和管理工具”，464.3安全配置FTP服务取消匿名FTP连接禁止FTP目录写入4.3安全配置FTP服务取消匿名FTP连接47五、设置SMTP安全选项设置操作员权限指派/删除操作员权限要求对传入连接进行身份验证为出站消息配置身份验证要求传输层安全(TLS)加密创建和管理密钥证书为服务器设置TLS加密级别设置对服务器的IP访问限制设置IP地址访问限制从虚拟服务器删除中继限制五、设置SMTP安全选项设置操作员权限48六、MicrosoftSQLServer安全防护确保安装安全：使用安全的密码策略使用安全的帐号策略创建并使用一个低权限的服务帐号清除安装过程中的临时文件打安全补丁设置安全的SQLServer服务器只激活你要在服务器上使用的网络库（netlib）修改默认的1433端口屏蔽对1434端口的探测激活审查事件日志控制权限禁用AdHoc查询设置操作系统访问控制列表ACL清除危险的扩展存储过程在任务相关存储过程上设置严格权限使用SSL来加密数据通信协议六、MicrosoftSQLServer安全防护确保安装49SqlServer的监控和维护更新服务器版本和漏洞补丁执行变化控制基于事件作实时预警控制SqlServer的监控和维护更新服务器版本和漏洞补丁50 谢 谢 谢 谢511、机遇对于有准备的头脑有特别的亲和力。2、不求与人相比，但求超越自己，要哭就哭出激动的泪水，要笑就笑出成长的性格！3、在你内心深处，还有无穷的潜力，有一天当你回首看时，你就会知道这绝对是真的。4、无论你觉得自己多么的了不起，也永远有人比你更强；无论你觉得自己多么的不幸，永远有人比你更加不幸。5、不要浪费你的生命，在你一定会后悔的地方上。6、放弃该放弃的是无奈，放弃不该放弃的是无能；不放弃该放弃的是无知，不放弃不该放弃的是执着。7、不要轻易用过去来衡量生活的幸与不幸！每个人的生命都是可以绽放美丽的，只要你珍惜。8、千万别迷恋网络游戏，要玩就玩好人生这场大游戏。9、过错是暂时的遗憾，而错过则是永远的遗憾！10、人生是个圆，有的人走了一辈子也没有走出命运画出的圆圈，其实，圆上的每一个点都有一条腾飞的切线。11、没有压力的生活就会空虚；没有压力的青春就会枯萎；没有压力的生命就会黯淡。12、我以为挫折、磨难是锻炼意志、增强能力的好机会。——邹韬奋13、你不能左右天气，但可以改变心情。你不能改变容貌，但可以掌握自己。你不能预见明天，但可以珍惜今天。14、我们总是对陌生人太客气，而对亲密的人太苛刻。15、人之所以痛苦，在于追求错误的东西。16、知道自己要干什么，夜深人静，问问自己，将来的打算，并朝着那个方向去实现。而不是无所事事和做一些无谓的事。17、逆境是成长必经的过程，能勇于接受逆境的人，生命就会日渐的茁壮。18、哪里有天才，我是把别人喝咖啡的功夫，都用在工作上的。——鲁迅19、所谓天才，那就是假话，勤奋的工作才是实在的。——爱迪生20、做一个决定，并不难，难的是付诸行动，并且坚持到底。21、不要因为自己还年轻，用健康去换去金钱，等到老了，才明白金钱却换不来健康。22、如果你不给自己烦恼，别人也永远不可能给你烦恼，烦恼都是自己内心制造的。23、命运负责洗牌，但是玩牌的是我们自己！24、再长的路，一步步也能走完，再短的路，不迈开双脚也无法到达。25、成功，往往住在失败的隔壁！26、大多数人想要改造这个世界，但却罕有人想改造自己。27、人生是一场旅行，在乎的不是目的地，是沿途的风景以及看风景的心情。28、伟大的事业不是靠力气、速度和身体的敏捷完成的，而是靠性格、意志和知识的力量完成的。29、人生最大的喜悦是每个人都说你做不到，你却完成它了！30、在实现理想的路途中，必须排除一切干扰，特别是要看清那些美丽的诱惑。31、激情，这是鼓满船帆的风。风有时会把船帆吹断；但没有风，帆船就不能航行。32、滴水穿石不是靠力，而是因为不舍昼夜。33、忍别人所不能忍的痛，吃别人所别人所不能吃的苦，是为了收获得不到的收获。34、时间是个常数，但也是个变数。勤奋的人无穷多，懒惰的人无穷少。——字严35、不同的信念，决定不同的命运！36、只有你学会把自己已有的成绩都归零，才能腾出空间去接纳更多的新东西，如此才能使自己不断的超越自己。37、突破心理障碍，才能超越自己。38、人不怕走在黑夜里，就怕心中没有阳光。9、过错是暂时的遗憾，而错过则是永远的遗憾！10、人生是个圆，有的人走了一辈子也没有走出命运画出的圆圈，其实，圆上的每一个点都有一条腾飞的切线。11、没有压力的生活就会空虚；没有压力的青春就会枯萎；没有压力的生命就会黯淡。12、我以为挫折、磨难是锻炼意志、增强能力的好机会。——邹韬奋13、你不能左右天气，但可以改变心情。你不能改变容貌，但可以掌握自己。你不能预见明天，但可以珍惜今天。14、我们总是对陌生人太客气，而对亲密的人太苛刻。39、生命里最重要的事情是要有个远大的目标，并借助才能与坚毅来完成它。——歌德40、工作中，你要把每一件小事都和远大的固定的目标结合起来。41、大部分人往往对已经失去的机遇捶胸顿足，却对眼前的机遇熟视无睹20、对所学知识内容的兴趣可能成为学习动机。——赞科夫

21、游手好闲地学习，并不比学习游手好闲好。——约翰·贝勒斯

22、读史使人明智，读诗使人灵秀，数学使人周密，自然哲学使人精邃，伦理学使人庄重，逻辑学使人善辩。——培根

23、我们在我们的劳动过程中学习思考，劳动的结果，我们认识了世界的奥妙，于是我们就真正来改变生活了。——高尔基

24、我们要振作精神，下苦功学习。下苦功，三个字，一个叫下，一个叫苦，一个叫功，一定要振作精神，下苦功。——毛泽东

25、我学习了一生，现在我还在学习，而将来，只要我还有精力，我还要学习下去。——别林斯基1、机遇对于有准备的头脑有特别的亲和力。52服务器系统安全维护丁兆锟(dzkad@)服务器系统安全维护丁兆锟53主要内容一、WindowsServer2003IIS服务器二、安装和配置DNS服务器三、WindowsServer2003中设置FTP服务器四、Windows2000中设置FTP服务器五、设置SMTP安全选项六、MicrosoftSQLServer安全防护主要内容一、WindowsServer2003IIS服务54一、WindowsServer2003IIS服务器1.IIS服务器的安全性2.一个IIS远程攻击示例3.确保Web服务的安全4.确保Web站点的安全一、WindowsServer2003IIS服务器1.551.IIS服务器的安全性由于Web站点的发布很多是依靠Microsoft的IIS服务器，疏于防护和无安全配置的IIS服务器往往是黑客攻击的“肉鸡”，这是因为服务器存在着诸如IDA、IDQ、Unicode、.printer、WebDAV等等漏洞，不少可远程获得管理员权限为了向组织Intranet中的Web服务器和应用程序提供全面的安全保护，应该保护每个MicrosoftInternet信息服务(IIS)服务器以及在这些服务器运行的每个Web站点和应用程序不受可与它们连接的客户端计算机的侵害1.IIS服务器的安全性由于Web站点的发布很多是依靠Mi562.一个IIS远程攻击示例WebDAV是HTTP协议的扩展，允许远程编写和管理Web内容微软IIS5.0的WebDAV在处理某些畸形的请求时存在缺陷，当外部提交一恶意超长的SEARCH请求时，远程的WebDav服务会出现缓冲区溢出可使IIS服务重启攻击者可以通过这个漏洞以Web服务器的执行权限执行任意代码，以下几页给出针对Windows2000Server的攻击工程2.一个IIS远程攻击示例WebDAV是HTTP协议的扩展57(1)启用“X-Scan”扫描器(1)启用“X-Scan”扫描器58(2)发现目标主机中“Webdav”漏洞(2)发现目标主机中“Webdav”漏洞59(3)攻击目标主机(3)攻击目标主机60(4)创建管理员用户netlocalgroupadministratorsccc/add

(4)创建管理员用户netlocalgroupadmi61(5)远程桌面完全控制(5)远程桌面完全控制623.确保Web服务的安全3.1仅启用必要的Web服务扩展3.2仅安装必要的IIS组件3.3使用安全工具3.4确保IIS全局的设置安全3.5确保默认Web站点和管理Web站点的安全3.6使FrontPageServerExtension无效3.确保Web服务的安全3.1仅启用必要的Web服务扩展633.1仅启用必要的Web服务扩展启用所有的Web服务扩展可确保与现有应用软件的最大可能的兼容性。仅启用在IIS服务器环境下运行的站点和应用软件所必需的Web服务扩展，通过最大限度精简服务器的功能，可以减少每个IIS服务器的受攻击面，从而增强了安全性。建议不要安装IndexServer、FrontPageServerExtensions、示例WWW站点等功能。3.1仅启用必要的Web服务扩展启用所有的Web服务扩展可643.2仅安装必要的IIS组件除“万维网发布服务”之外，IIS6.0还包括其它的组件和服务，例如FTP和SMTP服务。可以通过双击“控制面板”上的“添加/删除程序”来启动Windows组件向导应用程序服务器，以安装和启用IIS组件和服务。安装IIS之后，必须启用Web站点和应用程序所需的所有必要的IIS组件和服务应该仅启用Web站点和应用程序所需的必要IIS组件和服务。启用不必要的组件和服务会增加IIS服务器的受攻击面3.2仅安装必要的IIS组件除“万维网发布服务”之外，II653.3使用安全工具Microsoft免费提供了一个“IISLockdownWizard”工具来确保IISWeb服务器的安全。它可让管理员通过选用一个模板来选择服务器支持的技术。Microsoft免费提供一个叫“URLScan”的工具，它在MicrosoftInternet信息服务(IIS)接受HTTP请求时对请求进行屏蔽和分析。正确配置后，“URLScan”可有效减少IIS4.0、IIS5.0和IIS5.1遭受来自Internet攻击的危险。3.3使用安全工具Microsoft免费提供了一个“IIS663.4确保IIS全局的设置安全大部分IIS配置设置存储在元库中，但是一些全局设置仍在注册表里。要确保注册表内这些键值按如下设置：HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\AllowSpecialCharsShell。它是允许或组织特定的命令字符作为CGI脚本或可执行文件的参数，应设置为0。HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\LogSuccessfullRequests。它是使IIS日志记录功能启用或禁用的参数，应设置为1。HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\SSIEnableCmdDirective。它是允许或组织使用服务器端的#execcmd指示参数，应设置为0。3.4确保IIS全局的设置安全大部分IIS配置设置存储在元673.4确保IIS全局的设置安全(续)要确保注册表内这些键值按如下设置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\AllowGuestAccess。它是设置是否允许Guest访问Web服务器的参数，0表示禁止访问；1允许。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\EnableSvcLoc。它是允许或组织微软控制台（MMC）管理单元管理IIS服务器的参数，0表示禁止访问；1允许。可根据实际需要设置。HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\Printers\DisableWebPrinting。它是禁止网络打印的参数，应设置为0。3.4确保IIS全局的设置安全(续)要确保注册表内这些键值683.5确保默认Web站点和管理Web站点的安全第一次安全IID时会创建两个站点：默认Web站点和管理Web站点，它们有不少安全隐患，应该禁用。3.5确保默认Web站点和管理Web站点的安全第一次安全I69要删除以下默认Web站点的虚拟目录ScriptsIISHelpIISSamplesPrintersIISAdminIISAdmpwdMSADCPBServerPBSDataRPCCertSrvCertControlCertEnroll要删除以下默认Web站点的虚拟目录Scripts70从系统文件中删除这些目录C:\inetpub\scriptsC:\winnt\help\iishelp\iisC:\inetpub\iissamplesC:\winnt\web\printersC:\winnt\system32\inetsrv\iisadminC:\winnt\system32\inetsrv\iisadmpwd从系统文件中删除这些目录C:\inetpub\script713.6使FrontPageServerExtension无效FPSE提供了方便的远程Web授权特性，但是它却导致了Web服务器遭受攻击面的扩大。如果要完全删除FPSE，首先打开“Internet服务管理器”在每个Web站点上右键点击，选择“AllTasks”，“RemoveServerExtensions”。然后删除_vti或_private目录最后，从主Web站点属性的“ISAPI扩展”标签中删除FPEXED.dll文件。3.6使FrontPageServerExtensio724.确保Web站点的安全4.1Web站点为只读4.2设置WWW属性4.3帐户策略4.4在专用磁盘卷中放置内容4.5设置NTFS权限4.6设置IISWeb站点权限4.7配置IIS日志4.8打开审核策略4.确保Web站点的安全4.1Web站点为只读734.1Web站点为只读在“管理Web站点”上单击鼠标右键，选择“新建站点”。根据提示操作，我们自建的站点说明假设为“Web”，目录为“D:\webroot\”，只给读取权限。4.1Web站点为只读在“管理Web站点”上单击鼠标右键，744.2设置WWW属性在“Web”的属性“主目录”中设置执行许可为“无”，“应用程序设置”、“配置”中删除不必要的IIS扩展名映射4.2设置WWW属性在“Web”的属性“主目录”中设置执行754.3帐户策略清理帐户保护众所周知帐户的安全再增加一个属于管理员组的帐号作管理和备份创建一个帐号陷阱，就是说创建一个Administrator的本地帐号，但权限低密码强定期修改口令对于IIS服务器，建议不要使用帐户锁定策略在“本地策略”的“安全选项”里，把“LanManager身份验证级别”改为“仅发送NTLM响应”，这样即使入侵者借助Sniffer得到口令的hash也很难破解把“匿名连接的额外限制”设置为“没有显示匿名权限就无法访问”启用“在关机时清理虚拟内存交换页面”启用“登录屏幕上不要显示上次登录的用户名”4.3帐户策略清理帐户764.4在专用磁盘卷中放置内容IIS会将默认Web站点的文件存储到<systemroot>\inetpub\wwwroot，其中<systemroot>是安装WindowsServer2003操作系统的驱动器。应该将构成Web站点和应用程序的所有文件和文件夹放置到IIS服务器的专用磁盘卷中。将这些文件和文件夹放置到IIS服务器的一个专用磁盘卷—不包含操作系统的磁盘卷—有助于防止目录遍历攻击。4.4在专用磁盘卷中放置内容IIS会将默认Web站点的文件774.5设置NTFS权限NTFS下所有文件默认情况下对所有人（eneryone）为完全控制权限，如果限制一般用户只有只读权限的话，有可能会导致一些脚本运行不正常，这时需要对这些文件所在的文件夹权限进行更改。这样WindowsServer2003将检查NTFS文件系统的权限，以确定用户或进程对特定文件或文件夹所具有的访问权限类型。建议在做更改前，先在测试机器上做测试，然后慎重更改。4.5设置NTFS权限NTFS下所有文件默认情况下对所有人78NTFS权限表文件类型建议的NTFS权限CGI文件（.exe、.dll、.cmd、.pl）Everyone（执行）、Administrators（完全控制）、System（完全控制）脚本文件(.asp)Everyone（执行）、Administrators（完全控制）、System（完全控制）包含文件（.inc、.shtm、.shtml）Everyone（执行）、Administrators（完全控制）、System（完全控制）静态内容（.txt、.gif、.jpg、.htm、.html）Everyone（只读）、Administrators（完全控制）、System（完全控制）NTFS权限表文件类型建议的NTFS权限CGI文件Every794.6设置IISWeb站点权限IIS将检查Web站点权限，以确定在Web站点中可能发生的操作类型，例如允许脚本源访问或允许文件夹浏览。应该为Web站点分配权限。Web站点权限可与NTFS权限结合使用。它们可配置给特定的站点、文件夹和文件。与NTFS权限不同，Web站点权限影响试图访问IIS服务器站点的每个人。Web站点权限可以通过使用IIS管理器管理单元生效。4.6设置IISWeb站点权限IIS将检查Web站点权限80Web站点权限表Web站点权限授予的权限读用户可查看目录或文件的内容和属性。在默认情况下，该权限为选中状态。写用户可更改目录或文件的内容和属性。脚本源访问用户可以访问源文件。如果启用“读”权限，则可以读取源文件；如果启用“写”权限，则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限，也不启用“写”权限，则此选项将不可用。要点：启用“脚本源访问”时，用户可以查看敏感信息，例如用户名和密码。他们还可以更改IIS服务器上运行的源代码，从而严重影响服务器的安全性和性能。目录浏览用户可以查看文件列表和集合。日志访问每次访问Web站点都会创建日志条目。索引此资源允许使用索引服务索引资源。这样便可以对资源执行搜索。执行以下选项确定用户运行脚本的级别：“无”—不允许在服务器上运行脚本和可执行文件。“仅限于脚本”—仅允许在服务器上运行脚本。“脚本和可执行文件”—允许在服务器上运行脚本和可执行文件。Web站点权限表Web站点权限授予的权限读用户可查看目录或文814.7配置IIS日志可以为每个站点或应用程序创建单独的日志。IIS可以记录Windows操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。IIS日志可被用来了解那些内容最受欢迎，确定信息瓶颈，或者用作协助攻击事件调查的资源。4.7配置IIS日志可以为每个站点或应用程序创建单独的日志824.8打开审核策略打开安全审核是Win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些（如尝试用户名密码、改变帐户策略、未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多管理员在系统被入侵了几个月都不知道系统遭到了破坏。4.8打开审核策略打开安全审核是Win2000最基本的入侵83安全设置审核策略策略设置审核帐户管理成功，失败审核对象访问成功审核特权使用成功，失败审核系统登录事件成功，失败审核登录事件成功，失败审核策略更改成功，失败审核系统事件成功，失败安全设置审核策略策略设置审核帐户管理成功，失败审核对象访问成84二、安装和配置DNS服务器1.准备工作2.安装DNS服务3.安全配置DNS二、安装和配置DNS服务器1.准备工作851.准备工作你的域名（经过Internic批准）要为其提供名称解析的每台服务器的IP地址和主机名操作系统配置正确已经分配了所有可用的磁盘空间所有现有的磁盘卷都使用NTFS文件系统1.准备工作你的域名（经过Internic批准）862.安装DNS服务打开“Windows组件向导”。为此，请执行下列步骤：单击“开始”，单击“控制面板”，然后单击“添加或删除程序”。单击“添加/删除Windows组件”。在“组件”中，选中“网络服务”复选框，然后单击“详细信息”。在“网络服务子组件”中，选中“域名系统(DNS)”复选框，单击“确定”，然后单击“下一步”。在得到提示时，在“文件复制来源”中键入分发文件的完整路径，然后单击“确定”。2.安装DNS服务打开“Windows组件向导”。为此，请873.安全配置DNS启动“配置你的服务器向导”在“服务器角色”页上，单击“DNS服务器”，然后单击“下一步”在“选择摘要”页上，查看并确认你所选择的选项。然后单击“下一步”在“配置你的服务器”向导中完成对DNS服务器本身的IP地址等参数的配置在“配置DNS服务器向导”中完成对DNS区域、转发器等参数的配置，完成DNS的配置过程3.安全配置DNS启动“配置你的服务器向导”88三、WindowsServer2003中设置FTP服务器1.安装FTP服务2.配置匿名FTP服务3.FTP服务安全配置三、WindowsServer2003中设置FTP服务器1891.安装FTP服务单击“开始”，指向“控制面板”，然后单击“添加或删除程序”。单击“添加/删除Windows组件”。在“组件”列表中，单击“应用程序服务器”，单击“Internet信息服务(IIS)”（但是不要选中或清除复选框），然后单击“详细信息”。单击以选中下列复选框（如果它们尚未被选中）：“公用文件文件传输协议(FTP)服务Internet信息服务管理器”单击以选中你想要安装的任何其他的IIS相关服务或子组件旁边的复选框，然后单击“确定”。单击“下一步”。出现提示时，请将WindowsServer2003CD-ROM插入计算机的CD-ROM或DVD-ROM驱动器，或提供文件所在位置的路径，然后单击“确定”。单击“完成”。1.安装FTP服务单击“开始”，指向“控制面板”，然后单击902.配置匿名FTP服务启动“Internet信息服务管理器”或打开IIS管理单元。展开“服务器名称”，其中服务器名称是该服务器的名称。展开“FTP站点”，右击“默认FTP站点”，然后单击“属性”。单击“安全帐户”选项卡。单击以选中“允许匿名连接”复选框（如果它尚未被选中），然后单击以选中“仅允许匿名连接”复选框。单击“主目录”选项卡。单击以选中“读取”和“日志访问”复选框（如果它们尚未被选中），然后单击以清除“写入”复选框（如果它尚未被清除）。单击“确定”。退出“Internet信息服务管理器”或者关闭IIS管理单元。2.配置匿名FTP服务启动“Internet信息服务管理器913.FTP服务安全配置

3.1限制客户端连接数3.2配置匿名用户或域用户访问权限3.3将访问权限限制到特定计算机3.FTP服务安全配置3.1限制客户端连接数923.1限制客户端连接数单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属性”。单击“FTP站点”选项卡。在“FTP站点连接”下，单击“连接限制为”，然后键入允许同时连接到服务器的最大数量。达到限制值时，IIS将向客户端返回一条错误信息，说明服务器忙。在“连接超时(秒)”框中，键入一个时间长度，指定服务器在用户处于非活动状态多长时间后与该用户断开连接。如果FTP协议不关闭某个连接，此操作可确保在指定的时间段后关闭所有连接。单击“确定”。退出Internet信息服务(IIS)管理器。3.1限制客户端连接数单击“开始”，指向“管理工具”，然后933.2配置匿名用户或域用户访问权限单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击你的FTP站点，然后单击“属性”。单击“安全帐户”选项卡，执行以下操作之一：要允许以匿名方式连接到FTP站点，请单击以选中“允许匿名连接”复选框（如果它尚未被选中）。要将FTP站点配置为要求提供Windows用户名和密码，请单击清除“允许匿名连接”复选框3.2配置匿名用户或域用户访问权限单击“开始”，指向“管理943.3将访问权限限制到特定计算机单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属性”。单击“目录安全性”选项卡。执行下列操作之一：要拒绝访问，请单击“授权访问”，然后单击“添加”。在出现的“拒绝访问”对话框中，指定所需的选项，然后单击“确定”。指定的计算机或者计算机组将被添加到列表中。要授予访问权限，请单击“拒绝访问”，然后单击“添加”。在出现的“授权访问”对话框中，指定所需的选项，然后单击“确定”。你选择的计算机、计算机组或者域将被添加到列表中3.3将访问权限限制到特定计算机单击“开始”，指向“管理工95四、Windows2000中设置FTP服务器4.1安装Internet信息服务4.2配置匿名FTP服务4.3安全配置四、Windows2000中设置FTP服务器4.1安装In964.1安装Internet信息服务单击“开始”，指向“设置”，然后单击“控制面板”。在“控制面板”中，双击“添加/删除程序”。选择“添加/删除Windows组件”。在“Windows组件向导”中，选择“Internet信息服务(IIS)”，然后单击“详细信息”。选择“公用文件、文档、文件传输协议(FTP)服务器”和“Internet信息服务管理单元”，然后单击“确定”。单击“下一步”。如果提示你配置终端服务，则单击“下一步”。如果提示你输入FTP根文件夹的路径，则键入适合的文件夹路径。默认路径为C:\Inetpub\Ftproot。若要获得更多的安全性，推荐使用NTFS驱动器。单击“确定”以继续。得到提示时，插入Windows2000CD或提供这些文件所在位置的路径，然后单击“确定”。单击“完成”。4.1安装Internet信息服务单击“开始”，指向“设置974.2配置匿名FTP服务依次单击“开始、程序和管理工具”，然后单击“Internet服务管理器”。（在Windows2000Professional中，可从“控制面板”访问“管理工具”。）单击服务器名称旁边的加号(+)。右击“默认FTP站点”，然后单击“属性”。单击“安全帐户”选项卡。选择“允许匿名连接”，然后选择“只允许匿名连接”。单击“主目录”选项卡。选择“读取和日志访问”，然后清除“写入”。单击“确定”保存这些设置。4.2配置匿名FTP服务依次单击“开始、程序和管理工具”，984.3安全配置FTP服务取消匿名FTP连接禁止FTP目录写入4.3安全配置FTP服务取消匿名FTP连接99五、设置SMTP安全选项设置操作员权限指派/删除操作员权限要求对传入连接进行身份验证为出站消息配置身份验证要求传输层安全(TLS)加密创建和管理密钥证书为服务器设置TLS加密级别设置对服务器的IP访问限制设置IP地址访问限制从虚拟服务器删除中继限制五