WindowsInternet服務(wù)器安全配置指南原理篇

我們現(xiàn)在開(kāi)始從入侵者的第一步開(kāi)始.對(duì)應(yīng)的開(kāi)始加固已有的windows系統(tǒng).

1.掃描

這是入侵者在剛開(kāi)始要做的第一步.比如搜索有漏洞的服務(wù).

對(duì)應(yīng)措施:端口限制

以下所有規(guī)則.都需要選擇鏡像,否則會(huì)導(dǎo)致無(wú)法連接

我們需要作的就是打開(kāi)服務(wù)所需要的端口.而將其他的端口一律屏蔽

2.下載信息

這里主要是通過(guò)URLSCAN.來(lái)過(guò)濾一些非法請(qǐng)求

對(duì)應(yīng)措施:過(guò)濾相應(yīng)包

我們通過(guò)安全URLSCAN并且設(shè)置urlscan.ini中的DenyExtensions字段

來(lái)阻止特定結(jié)尾的文件的執(zhí)行

3.上傳文件

入侵者通過(guò)這步上傳WEBSHELL,提權(quán)軟件,運(yùn)行cmd指令等等.

對(duì)應(yīng)措施:取消相應(yīng)服務(wù)和功能,設(shè)置ACL權(quán)限

如果有條件可以不使用FSO的.

通過(guò)regsvr32/uc:\windows\system32\scrrun.dll來(lái)注銷(xiāo)掉相關(guān)的DLL.

如果需要使用.

那就為每個(gè)站點(diǎn)建立一個(gè)user用戶(hù)

對(duì)每個(gè)站點(diǎn)相應(yīng)的目錄.只給這個(gè)用戶(hù)讀,寫(xiě),執(zhí)行權(quán)限,給administrators全部權(quán)限

安裝殺毒軟件.實(shí)時(shí)殺除上傳上來(lái)的惡意代碼.

個(gè)人推薦MCAFEE或者卡巴斯基

如果使用MCAFEE.對(duì)WINDOWS目錄所有添加與修改文件的行為進(jìn)行阻止.

4.WebShell

入侵者上傳文件后.需要利用WebShell來(lái)執(zhí)行可執(zhí)行程序.或者利用WebShell進(jìn)行更加方便的文件操作.

對(duì)應(yīng)措施:取消相應(yīng)服務(wù)和功能

一般WebShell用到以下組件

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

我們?cè)谧?cè)表中將以上鍵值改名或刪除

同時(shí)需要注意按照這些鍵值下的CLSID鍵的內(nèi)容

從/HKEY_CLASSES_ROOT/CLSID下面對(duì)應(yīng)的鍵值刪除

5.執(zhí)行SHELL

入侵者獲得shell來(lái)執(zhí)行更多指令

對(duì)應(yīng)措施:設(shè)置ACL權(quán)限

windows的命令行控制臺(tái)位于\WINDOWS\SYSTEM32\CMD.EXE

我們將此文件的ACL修改為

某個(gè)特定管理員帳戶(hù)(比如administrator)擁有全部權(quán)限.

其他用戶(hù).包括system用戶(hù),administrators組等等.一律無(wú)權(quán)限訪問(wèn)此文件.

6.利用已有用戶(hù)或添加用戶(hù)

入侵者通過(guò)利用修改已有用戶(hù)或者添加windows正式用戶(hù).向獲取管理員權(quán)限邁進(jìn)

對(duì)應(yīng)措施:設(shè)置ACL權(quán)限.修改用戶(hù)

將除管理員外所有用戶(hù)的終端訪問(wèn)權(quán)限去掉.

限制CMD.EXE的訪問(wèn)權(quán)限.

限制SQLSERVER內(nèi)的XP_CMDSHELL

7.登陸圖形終端

入侵者登陸TERMINALSERVER或者RADMIN等等圖形終端,

獲取許多圖形程序的運(yùn)行權(quán)限.由于WINDOWS系統(tǒng)下絕大部分應(yīng)用程序都是GUI的.

所以這步是每個(gè)入侵WINDOWS的入侵者都希望獲得的

對(duì)應(yīng)措施:端口限制

入侵者可能利用3389或者其他的木馬之類(lèi)的獲取對(duì)于圖形界面的訪問(wèn).

我們?cè)诘谝徊降亩丝谙拗浦?對(duì)所有從內(nèi)到外的訪問(wèn)一律屏蔽也就是為了防止反彈木馬.

所以在端口限制中.由本地訪問(wèn)外部網(wǎng)絡(luò)的端口越少越好.

如果不是作為MAILSERVER.可以不用加任何由內(nèi)向外的端口.

阻斷所有的反彈木馬.

8.擦除腳印

入侵者在獲得了一臺(tái)機(jī)器的完全管理員權(quán)限后

就是擦除腳印來(lái)隱藏自身.

對(duì)應(yīng)措施:審計(jì)

首先我們要確定在windows日志中打開(kāi)足夠的審計(jì)項(xiàng)目.

如果審計(jì)項(xiàng)目不足.入侵者甚至都無(wú)需去刪除windows事件.

其次我們可以用自己的cmd.exe以及net.exe來(lái)替換系統(tǒng)自帶的.

將運(yùn)行的指令保存下來(lái).了解入侵者的行動(dòng).

對(duì)于windows日志

我們可以通過(guò)將日志發(fā)送到遠(yuǎn)程日志服務(wù)器的方式來(lái)保證記錄的完整性.

evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)

提供將windows日志轉(zhuǎn)換成syslog格式并且發(fā)送到遠(yuǎn)程服務(wù)器上的功能.

使用此用具.并且在遠(yuǎn)程服務(wù)器上開(kāi)放syslogd,如果遠(yuǎn)程服務(wù)器是windows系統(tǒng).

推薦使用kiwisyslogdeamon.

我們要達(dá)到的目的就是

不讓入侵者掃描到主機(jī)弱點(diǎn)

即使掃描到了也不能上傳文件

即使上傳文件了不能操作其他目錄的文件

即使操作了其他目錄的文件也不能執(zhí)行shell

即使執(zhí)行了shell也不能添加用戶(hù)

即使添加用戶(hù)了也不能登陸圖形終端

即使登陸了圖形終端.擁有系統(tǒng)控制權(quán).他的所作所為還是會(huì)被記錄下來(lái).

額外措施:

我們可以通過(guò)增加一些設(shè)備和措施來(lái)進(jìn)一步加強(qiáng)系統(tǒng)安全性.

1.代理型防火墻.如ISA2004

代理型防火墻可以對(duì)進(jìn)出的包進(jìn)行內(nèi)容過(guò)濾.

設(shè)置對(duì)HTTPREQUEST內(nèi)的requeststring或者form內(nèi)容進(jìn)行過(guò)濾

將SELECT.DROP.DELETE.INSERT等都過(guò)濾掉.

因?yàn)檫@些關(guān)鍵詞在客戶(hù)提交的表單或者內(nèi)容中是不可能出現(xiàn)的.

過(guò)濾了以后可以說(shuō)從根本杜絕了SQL注入

2.用SNORT建立IDS

用另一臺(tái)服務(wù)器建立個(gè)SNORT.

對(duì)于所有進(jìn)出服務(wù)器的包都進(jìn)行分析和記錄

特別是FTP上傳的指令以及HTTP對(duì)ASP文件的請(qǐng)求

可以特別關(guān)注一下.

本文提到的部分軟件在提供下載的RAR中包含

包括COM命令行執(zhí)行記錄

URLSCAN2.5以及配置好的配置文件

IPSEC導(dǎo)出的端口規(guī)則

evtsys

一些注冊(cè)表加固的注冊(cè)表項(xiàng).

實(shí)踐篇

下面我用的例子.將是一臺(tái)標(biāo)準(zhǔn)的虛擬主機(jī).

系統(tǒng):windows2003

服務(wù):[IIS][SERV-U][IMAIL][SQLSERVER2000][PHP][MYSQL]

描述:為了演示,綁定了最多的服務(wù).大家可以根據(jù)實(shí)際情況做篩減

1.WINDOWS本地安全策略端口限制

A.對(duì)于我們的例子來(lái)說(shuō).需要開(kāi)通以下端口

外->本地80

外->本地20

外->本地21

外->本地PASV所用到的一些端口

外->本地25

外->本地110

外->本地3389

然后按照具體情況.打開(kāi)SQLSERVER和MYSQL的端口

外->本地1433

外->本地3306

B.接著是開(kāi)放從內(nèi)部往外需要開(kāi)放的端口

按照實(shí)際情況,如果無(wú)需郵件服務(wù),則不要打開(kāi)以下兩條規(guī)則

本地->外53TCP,UDP

本地->外25

按照具體情況.如果無(wú)需在服務(wù)器上訪問(wèn)網(wǎng)頁(yè).盡量不要開(kāi)以下端口

本地->外80

C.除了明確允許的一律阻止.這個(gè)是安全規(guī)則的關(guān)鍵.

外->本地所有協(xié)議阻止

2.用戶(hù)帳號(hào)

a.將administrator改名,例子中改為root

b.取消所有除管理員root外所有用戶(hù)屬性中的

遠(yuǎn)程控制->啟用遠(yuǎn)程控制以及

終端服務(wù)配置文件->允許登陸到終端服務(wù)器

c.將guest改名為administrator并且修改密碼

d.除了管理員root,IUSER以及IWAM以及ASPNET用戶(hù)外.禁用其他一切用戶(hù).包括SQLDEBUG以及TERMINALUSER等等

3.目錄權(quán)限

將所有盤(pán)符的權(quán)限,全部改為只有

administrators組全部權(quán)限

system全部權(quán)限

將C盤(pán)的所有子目錄和子文件繼承C盤(pán)的administrator(組或用戶(hù))和SYSTEM所有權(quán)限的兩個(gè)權(quán)限

然后做如下修改

C:\ProgramFiles\CommonFiles開(kāi)放Everyone　默認(rèn)的讀取及運(yùn)行列出文件目錄讀取三個(gè)權(quán)限

C:\WINDOWS\開(kāi)放Everyone　默認(rèn)的讀取及運(yùn)行列出文件目錄讀取三個(gè)權(quán)限

C:\WINDOWS\Temp開(kāi)放Everyone修改,讀取及運(yùn)行,列出文件目錄,讀取,寫(xiě)入權(quán)限

現(xiàn)在WebShell就無(wú)法在系統(tǒng)目錄內(nèi)寫(xiě)入文件了.

當(dāng)然也可以使用更嚴(yán)格的權(quán)限.

在WINDOWS下分別目錄設(shè)置權(quán)限.

可是比較復(fù)雜.效果也并不明顯.

4.IIS

在IIS6下.應(yīng)用程序擴(kuò)展內(nèi)的文件類(lèi)型對(duì)應(yīng)ISAPI的類(lèi)型已經(jīng)去掉了IDQ,PRINT等等危險(xiǎn)的腳本類(lèi)型,

在IIS5下我們需要把除了ASP以及ASA以外所有類(lèi)型刪除.

安裝URLSCAN

在[DenyExtensions]中

一般加入以下內(nèi)容

.cer

.cdx

.mdb

.bat

.cmd

.com

.htw

.ida

.idq

.htr

.idc

.shtm

.shtml

.stm

.printer

這樣入侵者就無(wú)法下載.mdb數(shù)據(jù)庫(kù).這種方法比外面一些在文件頭加入特殊字符的方法更加徹底.

因?yàn)榧幢阄募^加入特殊字符.還是可以通過(guò)編碼構(gòu)造出來(lái)的

5.WEB目錄權(quán)限

作為虛擬主機(jī).會(huì)有許多獨(dú)立客戶(hù)

比較保險(xiǎn)的做法就是為每個(gè)客戶(hù),建立一個(gè)windows用戶(hù)

然后在IIS的響應(yīng)的站點(diǎn)項(xiàng)內(nèi)

把IIS執(zhí)行的匿名用戶(hù).綁定成這個(gè)用戶(hù)

并且把他指向的目錄

權(quán)限變更為

administrators全部權(quán)限

system全部權(quán)限

單獨(dú)建立的用戶(hù)(或者IUSER)選擇高級(jí)->打開(kāi)除完全控制,遍歷文件夾/運(yùn)行程序,取得所有權(quán)3個(gè)外的其他權(quán)限.

如果服務(wù)器上站點(diǎn)不多.并且有論壇

我們可以把每個(gè)論壇的上傳目錄

去掉此用戶(hù)的執(zhí)行權(quán)限.

只有讀寫(xiě)權(quán)限

這樣入侵者即便繞過(guò)論壇文件類(lèi)型檢測(cè)上傳了webshell

也是無(wú)法運(yùn)行的.

6.MSSQLSERVER2000

使用系統(tǒng)帳戶(hù)登陸查詢(xún)分析器

運(yùn)行以下腳本

usemaster

execsp_dropextendedproc'xp_cmdshell'

execsp_dropextendedproc'xp_dirtree'

execsp_dropextendedproc'xp_enumgroups'

execsp_dropextendedproc'xp_fixeddrives'

execsp_dropextendedproc'xp_loginconfig'

execsp_dropextendedproc'xp_enumerrorlogs'

execsp_dropextendedproc'xp_getfiledetails'

execsp_dropextendedproc'Sp_OACreate'

execsp_dropextendedproc'Sp_OADestroy'

execsp_dropextendedproc'Sp_OAGetErrorInfo'

execsp_dropextendedproc'Sp_OAGetProperty'

execsp_dropextendedproc'Sp_OAMethod'

execsp_dropextendedproc'Sp_OASetProperty'

execsp_dropextendedproc'Sp_OAStop'

execsp_dropextendedproc'Xp_regaddmultistring'

execsp_dropextendedproc'Xp_regdeletekey'

execsp_dropextendedproc'Xp_regdeletevalue'

execsp_dropextendedproc'Xp_regenumvalues'

execsp_dropextendedproc'Xp_regread'

execsp_dropextendedproc'Xp_regremovemultistring'

execsp_dropextendedproc'Xp_regwrite'

dropproceduresp_makeweBTask

go

刪除所有危險(xiǎn)的擴(kuò)展.

7.修改CMD.EXE以及NET.EXE權(quán)限

將兩個(gè)文件的權(quán)限.修改到特定管理員才能訪問(wèn),比如本例中.我們?nèi)缦滦薷?/p>

cmd.exeroot用戶(hù)所有權(quán)限

net.exeroot用戶(hù)所有權(quán)現(xiàn)

這樣就能防止非法訪問(wèn).

還可以使用例子中提供的comlog程序

將com.exe改名_com.exe,然后替換com文件.這樣可以記錄所有執(zhí)行的命令行指令

8.備份

使用ntbackup軟件.備份系統(tǒng)狀態(tài).

使用reg.exe備份系統(tǒng)關(guān)鍵數(shù)據(jù)

如regexportHKLM\SOFTWARE\ODBCe:\backup\system\odbc.reg/y

來(lái)備份系統(tǒng)的ODBC

9.殺毒

這里介紹MCAFEE8i中文企業(yè)版

因?yàn)檫@個(gè)版本對(duì)于國(guó)內(nèi)的許多惡意代碼和木馬都能夠及時(shí)的更新.

比如已經(jīng)能夠檢測(cè)到海陽(yáng)頂端2006

而且能夠殺除IMAIL等SMTP軟件使用的隊(duì)列中MIME編碼的病毒文件

而很多人喜歡安裝諾頓企業(yè)版.而諾頓企業(yè)版,對(duì)于WEBSHELL.基本都是沒(méi)有反應(yīng)的.

而且無(wú)法對(duì)于MIME編碼的文件進(jìn)行殺毒.

在MCAFEE中.

我們還能夠加入規(guī)則.阻止在windows目錄建立和修改EXE.DLL文件等

我們?cè)谲浖屑尤雽?duì)WEB目錄的殺毒計(jì)劃.

每天執(zhí)行一次

并且打開(kāi)實(shí)時(shí)監(jiān)控.

10.關(guān)閉無(wú)用的服務(wù)

我們一般關(guān)閉如下服務(wù)

ComputerBrowser

HelpandSupport

Messenger

PrintSpooler

RemoteRegistry

TCP/IPNetBIOSHelper

如果服務(wù)器不用作域控,我們也可以禁用

Workstation

11.取消危險(xiǎn)組件

如果服務(wù)器不需要FSO

regsvr32/uc:\windows\system32\scrrun.dll

注銷(xiāo)組件

使用regedit

將/HKEY_CLASSES_ROOT下的

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

鍵值改名或刪除

將這些鍵值下CLSID中包含的字串

如{72C24DD5-D70A-438B-8A42-98424B88AFB8}

到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值

全部刪除

12.審計(jì)

本地安全策略->本地策略->審核策略

打開(kāi)以下內(nèi)容

審核策略更改成功,失敗

審核系統(tǒng)事件成功,失敗

審核帳戶(hù)登陸事件成功,失敗

審核帳戶(hù)管理成功,失敗

新聞名稱(chēng)：WindowsInternet服務(wù)器安全配置指南原理篇
網(wǎng)頁(yè)路徑：http://www.bm7419.com/news0/202600.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開(kāi)發(fā)、全網(wǎng)營(yíng)銷(xiāo)推廣、自適應(yīng)網(wǎng)站、面包屑導(dǎo)航、網(wǎng)站收錄、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)