网上流传的很多关于windows server 系统的安全配置 但是仔细分析下发现很多都不全面 并且很多仍然配置的不够合理 并且有很大的安全隐患 今天我决定仔细做下极端BT的 服务器的安全配置 让更多的网管朋友高枕无忧 我们配置的服务器需要提供支持的组件如下 (AS
网上流传的很多关于windows server
系统的安全配置
但是仔细分析下发现很多都不全面
并且很多仍然配置的不够合理
并且有很大的安全隐患
今天我决定仔细做下极端BT的
服务器的安全配置
让更多的网管朋友高枕无忧
我们配置的服务器需要提供支持的组件如下
(ASP
ASPX
CGI
PHP
FSO
JMAIL
MySql
SMTP
POP
FTP
终端服务
远程桌面Web连接管理服务等)
这里前提是已经安装好了系统
IIS
包括FTP服务器
邮件服务器等
这些具体配置方法的就不再重复了
现在我们着重主要阐述下关于安全方面的配置
关于常规的如安全的安装系统
设置和管理帐户
关闭多余的服务
审核策略
修改终端管理端口
以及配置MS
SQL
删除危险的存储过程
用最低权限的public帐户连接等等
都不说了
先说关于系统的NTFS磁盘权限设置
大家可能看得都多了
但是
服务器有些细节地方需要注意的
我看很多文章都没写完全
C盘只给administrators 和system权限
其他的权限不给
其他的盘也可以这样设置
这里给的system权限也不一定需要给
只是由于某些第三方应用程序是以服务形式启动的
需要加上这个用户
否则造成启动不了
Windows目录要加上给users的默认权限
否则ASP和ASPX等应用程序就无法运行
以前有朋友单独设置Instsrv和temp等目录权限
其实没有这个必要的
另外在c:/Documents and Settings/这里相当重要
后面的目录里的权限根本不会继承从前的设置
如果仅仅只是设置了C盘给administrators权限
而在All Users/Application Data目录下会 出现everyone用户有完全控制权限
这样入侵这可以跳转到这个目录
写入脚本或只文件
再结合其他漏洞来提升权限
譬如利用serv
u的本地溢出提升权限
或系统遗漏有补丁
数据库的弱点
甚至社会工程学等等N多方法
从前不是有牛人发飑说
只要给我一个webshell
我就能拿到system
这也的确是有可能的
在用做web/ftp服务器的系统里
建议是将这些目录都设置的锁死
其他每个盘的目录都按照这样设置
没个盘都只给adinistrators权限
另外
还将
net
exe
cmd
exe
tftp
exe
netstat
exe
regedit
exe
at
exe
attrib
exe
cacls
exe
这些文件都设置只允许administrators访问
把不必要的服务都禁止掉
尽管这些不一定能被攻击者利用得上
但是按照安全规则和标准上来说
多余的东西就没必要开启
减少一份隐患
在
网络连接
里
把不需要的协议和服务都删掉
这里只安装了基本的Internet协议(TCP/IP)
由于要控制带宽流量服务
额外安装了Qos数据包计划程序
在高级tcp/ip设置里
NetBIOS
设置
禁用tcp/IP上的NetBIOS(S)
在高级选项里
使用
Internet连接防火墙
这是windows
自带的防火墙
在
系统里没有的功能
虽然没什么功能
但可以屏蔽端口
这样已经基本达到了一个IPSec的功能
这里我们按照所需要的服务开放响应的端口
在
系统里
不推荐用TCP/IP筛选里的端口过滤功能
譬如在使用FTP服务器的时候
如果仅仅只开放
端口
由于FTP协议的特殊性
在进行FTP传输的时候
由于FTP 特有的Port模式和Passive模式
在进行数据传输的时候
需要动态的打开高端口
所以在使用TCP/IP过滤的情况下
经常会出现连接上后无法列出目录和数据传输的问题
所以在
系统上增加的windows连接防火墙能很好的解决这个问题
所以都不推荐使用网卡的TCP/IP过滤功能
SERVU FTP 服务器的设置 一般来说
不推荐使用srev
u做ftp服务器
主要是漏洞出现的太频繁了
但是也正是因为其操作简单
功能强大
过于流行
关注的人也多
才被发掘出bug来
换做其他的ftp服务器软件也一样不见得安全到哪儿去
当然
这里也有款功能跟serv
u同样强大
比较安全的ftp软件
Ability FTP Server
下载地址
?NewsID=
设置也很简单
不过我们这里还是要迎合大众胃口
说说关于serv
u的安全设置
首先
比从前
x版本的多了个修改本地LocalAdministrtaor的密码功能
其实在
x版本里可以用ultraedit
等编辑器修改serv
u程序体进行修改密码端口
修补了这个隐患
单独拿出来方便了大家
不过修改了管理密码的serv
u是一样有安全隐患的
两个月前臭要饭的就写了新的采用本地sniff方法获取serv
u的管理密码的exploit
正在网上火卖着
不过这种sniff的方法
同样是在获得webshell的条件后还得有个能在目录里有
执行
的权限
并且需要管理员再次登陆运行serv
u administrator的时候才能成功
所以我们的管理员要尽量避上以上几点因素
也是可以防护的
另外serv
u的几点常规安全需要设置下
选中
Block
FTP_bounce
attack and FXP
什么是FXP呢?通常
当使用FTP协议进行文件传输时
客户端首先向FTP服务器发出一个
PORT
命令
该命令中包含此用户的IP地址和将被用来进行数据传输的端口号
服务器收到后
利用命令所提供的用户地址信息建立与用户的连接
大多数情况下
上述过程不会出现任何问题
但当客户端是一名恶意用户时
可能会通过在PORT命令中加入特定的地址信息
使FTP服务器与其它非客户端的机器建立连接
虽然这名恶意用户可能本身无权直接访问某一特定机器
但是如果FTP服务器有权访问该机器的话
那么恶意用户就可以通过FTP服务器作为中介
仍然能够最终实现与目标服务器的连接
这就是FXP
也称跨服务器攻击
选中后就可以防止发生此种情况
另外在
Block anti time
out schemes
也可以选中
其次
在
Advanced
选项卡中
检查
Enable security
是否被选中
如果没有
选择它们
