鸿 网 互 联 www.68idc.cn

WIN2003服务器安全配置终极技巧图(上)

来源:互联网 作者:佚名 时间:2015-06-14 08:32
网上流传的很多关于windows server 系统的安全配置 但是仔细分析下发现很多都不全面 并且很多仍然配置的不够合理 并且有很大的安全隐患 今天我决定仔细做下极端BT的 服务器的安全配置 让更多的网管朋友高枕无忧 我们配置的服务器需要提供支持的组件如下 (AS

  网上流传的很多关于windows server 系统的安全配置但是仔细分析下发现很多都不全面并且很多仍然配置的不够合理并且有很大的安全隐患今天我决定仔细做下极端BT的服务器的安全配置让更多的网管朋友高枕无忧
  
  我们配置的服务器需要提供支持的组件如下(ASPASPXCGIPHPFSOJMAILMySqlSMTPPOPFTP终端服务远程桌面Web连接管理服务等)这里前提是已经安装好了系统IIS包括FTP服务器邮件服务器等这些具体配置方法的就不再重复了现在我们着重主要阐述下关于安全方面的配置
  
  关于常规的如安全的安装系统设置和管理帐户关闭多余的服务审核策略修改终端管理端口 以及配置MSSQL删除危险的存储过程用最低权限的public帐户连接等等都不说了
  
  先说关于系统的NTFS磁盘权限设置大家可能看得都多了但是服务器有些细节地方需要注意的我看很多文章都没写完全
  
  C盘只给administrators 和system权限其他的权限不给其他的盘也可以这样设置这里给的system权限也不一定需要给只是由于某些第三方应用程序是以服务形式启动的需要加上这个用户否则造成启动不了
  
 

  Windows目录要加上给users的默认权限否则ASP和ASPX等应用程序就无法运行以前有朋友单独设置Instsrv和temp等目录权限其实没有这个必要的
  
 

  另外在c:/Documents and Settings/这里相当重要后面的目录里的权限根本不会继承从前的设置如果仅仅只是设置了C盘给administrators权限而在All Users/Application Data目录下会 出现everyone用户有完全控制权限这样入侵这可以跳转到这个目录写入脚本或只文件再结合其他漏洞来提升权限譬如利用servu的本地溢出提升权限或系统遗漏有补丁数据库的弱点甚至社会工程学等等N多方法从前不是有牛人发飑说只要给我一个webshell我就能拿到system这也的确是有可能的在用做web/ftp服务器的系统里建议是将这些目录都设置的锁死其他每个盘的目录都按照这样设置没个盘都只给adinistrators权限
  
 

  另外还将netexecmdexetftpexenetstatexeregeditexeatexeattribexecaclsexe这些文件都设置只允许administrators访问
  
  把不必要的服务都禁止掉尽管这些不一定能被攻击者利用得上但是按照安全规则和标准上来说多余的东西就没必要开启减少一份隐患
  
  在网络连接把不需要的协议和服务都删掉这里只安装了基本的Internet协议(TCP/IP)由于要控制带宽流量服务额外安装了Qos数据包计划程序在高级tcp/ip设置里NetBIOS设置禁用tcp/IP上的NetBIOS(S)在高级选项里使用Internet连接防火墙这是windows 自带的防火墙系统里没有的功能虽然没什么功能但可以屏蔽端口这样已经基本达到了一个IPSec的功能
  
 

  
 

  
 

  
 

  这里我们按照所需要的服务开放响应的端口系统里不推荐用TCP/IP筛选里的端口过滤功能譬如在使用FTP服务器的时候如果仅仅只开放端口由于FTP协议的特殊性在进行FTP传输的时候由于FTP 特有的Port模式和Passive模式在进行数据传输的时候需要动态的打开高端口所以在使用TCP/IP过滤的情况下经常会出现连接上后无法列出目录和数据传输的问题所以在系统上增加的windows连接防火墙能很好的解决这个问题所以都不推荐使用网卡的TCP/IP过滤功能
  
 

  SERVU FTP 服务器的设置
  
  一般来说不推荐使用srevu做ftp服务器主要是漏洞出现的太频繁了但是也正是因为其操作简单功能强大过于流行关注的人也多才被发掘出bug来换做其他的ftp服务器软件也一样不见得安全到哪儿去
  
  当然这里也有款功能跟servu同样强大比较安全的ftp软件Ability FTP Server
  
  下载地址?NewsID=
  
  设置也很简单不过我们这里还是要迎合大众胃口说说关于servu的安全设置
  
  首先比从前x版本的多了个修改本地LocalAdministrtaor的密码功能其实在x版本里可以用ultraedit等编辑器修改servu程序体进行修改密码端口修补了这个隐患单独拿出来方便了大家不过修改了管理密码的servu是一样有安全隐患的两个月前臭要饭的就写了新的采用本地sniff方法获取servu的管理密码的exploit正在网上火卖着不过这种sniff的方法同样是在获得webshell的条件后还得有个能在目录里有执行的权限并且需要管理员再次登陆运行servu administrator的时候才能成功所以我们的管理员要尽量避上以上几点因素也是可以防护的
  
 

  另外servu的几点常规安全需要设置下
  
  选中Block FTP_bounceattack and FXP什么是FXP呢?通常当使用FTP协议进行文件传输时客户端首先向FTP服务器发出一个PORT命令该命令中包含此用户的IP地址和将被用来进行数据传输的端口号服务器收到后利用命令所提供的用户地址信息建立与用户的连接大多数情况下上述过程不会出现任何问题但当客户端是一名恶意用户时可能会通过在PORT命令中加入特定的地址信息使FTP服务器与其它非客户端的机器建立连接虽然这名恶意用户可能本身无权直接访问某一特定机器但是如果FTP服务器有权访问该机器的话那么恶意用户就可以通过FTP服务器作为中介仍然能够最终实现与目标服务器的连接这就是FXP也称跨服务器攻击选中后就可以防止发生此种情况
  
 

  另外在Block anti timeout schemes也可以选中其次Advanced选项卡中检查 Enable security是否被选中如果没有选择它们
网友评论
<