服務(wù)器系統(tǒng)安全運(yùn)行維護(hù)

1、服務(wù)器系統(tǒng)安全運(yùn)行維護(hù)主要內(nèi)容一、Windows Server2003 IIS服務(wù)器二、安裝和配置DNS服務(wù)器三、Windows Server2003中設(shè)置FTP服務(wù)器四、Windows2000中設(shè)置FTP服務(wù)器五、設(shè)置SMTP安全選項(xiàng)六、Microsoft SQL Server安全防護(hù)一、Windows Server2003 IIS服務(wù)器n1. IIS服務(wù)器的安全性n2. 一個(gè)IIS遠(yuǎn)程攻擊示例n3. 確保Web服務(wù)的安全n4. 確保Web站點(diǎn)的安全1. IIS服務(wù)器的安全性n由于Web站點(diǎn)的發(fā)布很多是依靠Microsoft的IIS服務(wù)器，疏于防護(hù)和無安全配置的IIS服務(wù)器往往是黑客攻擊的“

2、肉雞”，這是因?yàn)榉?wù)器存在著諸如IDA、IDQ、Unicode、.printer、WebDAV等等漏洞，不少可遠(yuǎn)程獲得管理員權(quán)限n為了向組織Intranet中的Web服務(wù)器和應(yīng)用程序提供全面的安全保護(hù)，應(yīng)該保護(hù)每個(gè)Microsoft Internet信息服務(wù)(IIS)服務(wù)器以及在這些服務(wù)器運(yùn)行的每個(gè)Web站點(diǎn)和應(yīng)用程序不受可與它們連接的客戶端計(jì)算機(jī)的侵害2. 一個(gè)IIS遠(yuǎn)程攻擊示例nWebDAV是HTTP協(xié)議的擴(kuò)展，允許遠(yuǎn)程編寫和管理Web內(nèi)容n微軟IIS5.0的WebDAV在處理某些畸形的請(qǐng)求時(shí)存在缺陷，當(dāng)外部提交一惡意超長(zhǎng)的SEARCH請(qǐng)求時(shí)，遠(yuǎn)程的WebDav服務(wù)會(huì)出現(xiàn)緩沖區(qū)溢出可使II

3、S服務(wù)重啟n攻擊者可以通過這個(gè)漏洞以Web服務(wù)器的執(zhí)行權(quán)限執(zhí)行任意代碼，以下幾頁給出針對(duì)Windows 2000Server的攻擊工程(1) 啟用“X-Scan”掃描器(2) 發(fā)現(xiàn)目標(biāo)主機(jī)中“Webdav”漏洞 (3) 攻擊目標(biāo)主機(jī)(4) 創(chuàng)建管理員用戶nnet localgroup administrators ccc /add (5) 遠(yuǎn)程桌面完全控制3. 確保Web服務(wù)的安全n3.1 僅啟用必要的Web服務(wù)擴(kuò)展n3.2 僅安裝必要的IIS組件 n3.3 使用安全工具n3.4 確保IIS全局的設(shè)置安全n3.5 確保默認(rèn)Web站點(diǎn)和管理Web站點(diǎn)的安全 n3.6 使FrontPage Ser

4、ver Extension無效 3.1 僅啟用必要的Web服務(wù)擴(kuò)展n啟用所有的Web服務(wù)擴(kuò)展可確保與現(xiàn)有應(yīng)用軟件的最大可能的兼容性。n僅啟用在IIS服務(wù)器環(huán)境下運(yùn)行的站點(diǎn)和應(yīng)用軟件所必需的Web服務(wù)擴(kuò)展，通過最大限度精簡(jiǎn)服務(wù)器的功能，可以減少每個(gè)IIS服務(wù)器的受攻擊面，從而增強(qiáng)了安全性。建議不要安裝Index Server、FrontPage Server Extensions、示例WWW站點(diǎn)等功能。 3.2 僅安裝必要的IIS組件n除“萬維網(wǎng)發(fā)布服務(wù)”之外，IIS6.0還包括其它的組件和服務(wù)，例如FTP和SMTP服務(wù)?？梢酝ㄟ^雙擊“控制面板”上的“添加/刪除程序”來啟動(dòng)Windows組件向?qū)?/p>

5、應(yīng)用程序服務(wù)器，以安裝和啟用IIS組件和服務(wù)。安裝IIS之后，必須啟用Web站點(diǎn)和應(yīng)用程序所需的所有必要的IIS組件和服務(wù)n應(yīng)該僅啟用Web站點(diǎn)和應(yīng)用程序所需的必要IIS組件和服務(wù)。啟用不必要的組件和服務(wù)會(huì)增加IIS服務(wù)器的受攻擊面3.3 使用安全工具nMicrosoft免費(fèi)提供了一個(gè)“IISLockdown Wizard”工具來確保IIS Web服務(wù)器的安全。它可讓管理員通過選用一個(gè)模板來選擇服務(wù)器支持的技術(shù)。nMicrosoft免費(fèi)提供一個(gè)叫“URLScan”的工具，它在Microsoft Internet信息服務(wù)(IIS)接受HTTP請(qǐng)求時(shí)對(duì)請(qǐng)求進(jìn)行屏蔽和分析。正確配置后，“URLSca

6、n”可有效減少IIS4.0、IIS5.0和IIS5.1遭受來自Internet攻擊的危險(xiǎn)。 3.4 確保IIS全局的設(shè)置安全n大部分IIS配置設(shè)置存儲(chǔ)在元庫中，但是一些全局設(shè)置仍在注冊(cè)表里。n要確保注冊(cè)表內(nèi)這些鍵值按如下設(shè)置：qHKLMSYSTEMCurrentControlSetservicesW3SVCParametersAllowSpecialCharsShell。它是允許或組織特定的命令字符作為CGI腳本或可執(zhí)行文件的參數(shù)，應(yīng)設(shè)置為0。qHKLMSYSTEMCurrentControlSetservicesW3SVCParametersLogSuccessfullRequests。它是

7、使IIS日志記錄功能啟用或禁用的參數(shù)，應(yīng)設(shè)置為1。qHKLMSYSTEMCurrentControlSetservicesW3SVCParametersSSIEnableCmdDirective。它是允許或組織使用服務(wù)器端的#execcmd指示參數(shù)，應(yīng)設(shè)置為0。 3.4 確保IIS全局的設(shè)置安全(續(xù))n要確保注冊(cè)表內(nèi)這些鍵值按如下設(shè)置： qHKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesW3SVCParametersAllowGuestAccess。它是設(shè)置是否允許Guest訪問Web服務(wù)器的參數(shù)，0表示禁止訪問；1允許。qHKEY_LOCAL

8、_MACHINESYSTEMCurrentControlSetservicesW3SVCParametersEnableSvcLoc。它是允許或組織微軟控制臺(tái)（MMC）管理單元管理IIS服務(wù)器的參數(shù)，0表示禁止訪問；1允許。可根據(jù)實(shí)際需要設(shè)置。qHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNTPrintersDisableWebPrinting。它是禁止網(wǎng)絡(luò)打印的參數(shù)，應(yīng)設(shè)置為0。3.5 確保默認(rèn)Web站點(diǎn)和管理Web站點(diǎn)的安全n第一次安全I(xiàn)ID時(shí)會(huì)創(chuàng)建兩個(gè)站點(diǎn)：默認(rèn)Web站點(diǎn)和管理Web站點(diǎn)，它們有不少安全隱患，應(yīng)該禁用。 要?jiǎng)h除以下默

9、認(rèn)Web站點(diǎn)的虛擬目錄 nScriptsnIISHelpnIISSamplesnPrintersnIISAdminnIISAdmpwdnMSADCnPBServernPBSDatanRPCnCertSrvnCertControlnCertEnroll從系統(tǒng)文件中刪除這些目錄 nC:inetpubscriptsnC:winnthelpiishelpiisnC:inetpubiissamplesnC:winntwebprintersnC:winntsystem32inetsrviisadminnC:winntsystem32inetsrviisadmpwd3.6 使FrontPage Server

10、 Extension無效nFPSE提供了方便的遠(yuǎn)程Web授權(quán)特性，但是它卻導(dǎo)致了Web服務(wù)器遭受攻擊面的擴(kuò)大。n如果要完全刪除FPSE，q首先打開“Internet服務(wù)管理器”q在每個(gè)Web站點(diǎn)上右鍵點(diǎn)擊，選擇“All Tasks”，“Remove Server Extensions”。然后刪除_vti或_private目錄q最后，從主Web站點(diǎn)屬性的“ISAPI擴(kuò)展”標(biāo)簽中刪除FPEXED.dll文件。4. 確保Web站點(diǎn)的安全n4.1 Web站點(diǎn)為只讀n4.2 設(shè)置WWW屬性n4.3 帳戶策略n4.4 在專用磁盤卷中放置內(nèi)容 n4.5 設(shè)置NTFS權(quán)限n4.6 設(shè)置IIS Web站點(diǎn)權(quán)限n

11、4.7 配置IIS日志n4.8 打開審核策略4.1 Web站點(diǎn)為只讀n在“管理Web站點(diǎn)”上單擊鼠標(biāo)右鍵，選擇“新建站點(diǎn)”。n根據(jù)提示操作，我們自建的站點(diǎn)說明假設(shè)為“Web”，目錄為“D:webroot”，只給讀取權(quán)限。4.2 設(shè)置WWW屬性n在“Web”的屬性“主目錄”中設(shè)置執(zhí)行許可為“無”，“應(yīng)用程序設(shè)置”、“配置”中刪除不必要的IIS擴(kuò)展名映射 4.3 帳戶策略n清理帳戶n保護(hù)眾所周知帳戶的安全n再增加一個(gè)屬于管理員組的帳號(hào)作管理和備份n創(chuàng)建一個(gè)帳號(hào)陷阱，就是說創(chuàng)建一個(gè)Administrator的本地帳號(hào)，但權(quán)限低密碼強(qiáng)n定期修改口令n對(duì)于IIS服務(wù)器，建議不要使用帳戶鎖定策略n在“本地

12、策略”的“安全選項(xiàng)”里，把“LanManager身份驗(yàn)證級(jí)別”改為“僅發(fā)送NTLM響應(yīng)”，這樣即使入侵者借助Sniffer得到口令的hash也很難破解n把“匿名連接的額外限制”設(shè)置為“沒有顯示匿名權(quán)限就無法訪問”n啟用“在關(guān)機(jī)時(shí)清理虛擬內(nèi)存交換頁面”n啟用“登錄屏幕上不要顯示上次登錄的用戶名”4.4 在專用磁盤卷中放置內(nèi)容nIIS會(huì)將默認(rèn)Web站點(diǎn)的文件存儲(chǔ)到inetpubwwwroot，其中是安裝Windows Server2003操作系統(tǒng)的驅(qū)動(dòng)器。 n應(yīng)該將構(gòu)成Web站點(diǎn)和應(yīng)用程序的所有文件和文件夾放置到IIS服務(wù)器的專用磁盤卷中。將這些文件和文件夾放置到IIS服務(wù)器的一個(gè)專用磁盤卷不包含

13、操作系統(tǒng)的磁盤卷有助于防止目錄遍歷攻擊。 4.5 設(shè)置NTFS權(quán)限nNTFS下所有文件默認(rèn)情況下對(duì)所有人（eneryone）為完全控制權(quán)限，如果限制一般用戶只有只讀權(quán)限的話，有可能會(huì)導(dǎo)致一些腳本運(yùn)行不正常，這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改。這樣Windows Server2003將檢查NTFS文件系統(tǒng)的權(quán)限，以確定用戶或進(jìn)程對(duì)特定文件或文件夾所具有的訪問權(quán)限類型。n建議在做更改前，先在測(cè)試機(jī)器上做測(cè)試，然后慎重更改。NTFS權(quán)限表文件類型建議的NTFS權(quán)限CGI文件（.exe、.dll、.cmd、.pl）Everyone（執(zhí)行）、Administrators（完全控制）、System

14、（完全控制）腳本文件(.asp)Everyone（執(zhí)行）、Administrators（完全控制）、System（完全控制）包含文件（.inc、.shtm、.shtml）Everyone（執(zhí)行）、Administrators（完全控制）、System（完全控制）靜態(tài)內(nèi)容（.txt、.gif、.jpg、.htm、.html）Everyone（只讀）、Administrators（完全控制）、System（完全控制）4.6 設(shè)置IIS Web站點(diǎn)權(quán)限nIIS將檢查Web站點(diǎn)權(quán)限，以確定在Web站點(diǎn)中可能發(fā)生的操作類型，例如允許腳本源訪問或允許文件夾瀏覽。應(yīng)該為Web站點(diǎn)分配權(quán)限。nWeb站點(diǎn)權(quán)限可

15、與NTFS權(quán)限結(jié)合使用。它們可配置給特定的站點(diǎn)、文件夾和文件。與NTFS權(quán)限不同，Web站點(diǎn)權(quán)限影響試圖訪問IIS服務(wù)器站點(diǎn)的每個(gè)人。Web站點(diǎn)權(quán)限可以通過使用IIS管理器管理單元生效。Web站點(diǎn)權(quán)限表Web站點(diǎn)權(quán)限授予的權(quán)限讀用戶可查看目錄或文件的內(nèi)容和屬性。在默認(rèn)情況下，該權(quán)限為選中狀態(tài)。寫用戶可更改目錄或文件的內(nèi)容和屬性。腳本源訪問用戶可以訪問源文件。如果啟用“讀”權(quán)限，則可以讀取源文件；如果啟用“寫”權(quán)限，則可以更改腳本源代碼。腳本源訪問包括腳本的源代碼。如果既不啟用“讀”權(quán)限，也不啟用“寫”權(quán)限，則此選項(xiàng)將不可用。要點(diǎn)：?jiǎn)⒂谩澳_本源訪問”時(shí)，用戶可以查看敏感信息，例如用戶名和密碼。他

16、們還可以更改IIS服務(wù)器上運(yùn)行的源代碼，從而嚴(yán)重影響服務(wù)器的安全性和性能。目錄瀏覽用戶可以查看文件列表和集合。日志訪問每次訪問Web站點(diǎn)都會(huì)創(chuàng)建日志條目。索引此資源允許使用索引服務(wù)索引資源。這樣便可以對(duì)資源執(zhí)行搜索。執(zhí)行以下選項(xiàng)確定用戶運(yùn)行腳本的級(jí)別：“無”不允許在服務(wù)器上運(yùn)行腳本和可執(zhí)行文件?！皟H限于腳本”僅允許在服務(wù)器上運(yùn)行腳本。“腳本和可執(zhí)行文件”允許在服務(wù)器上運(yùn)行腳本和可執(zhí)行文件。4.7 配置IIS日志n可以為每個(gè)站點(diǎn)或應(yīng)用程序創(chuàng)建單獨(dú)的日志。IIS可以記錄Windows操作系統(tǒng)提供的事件日志或性能監(jiān)視功能所記錄信息范圍之外的信息。IIS日志可記錄諸如誰訪問過站點(diǎn)、訪客瀏覽過哪些內(nèi)容、

17、以及最后一次訪問的時(shí)間等信息。IIS日志可被用來了解那些內(nèi)容最受歡迎，確定信息瓶頸，或者用作協(xié)助攻擊事件調(diào)查的資源。4.8 打開審核策略n打開安全審核是Win2000最基本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)你的系統(tǒng)進(jìn)行某些（如嘗試用戶名密碼、改變帳戶策略、未經(jīng)許可的文件訪問等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來。很多管理員在系統(tǒng)被入侵了幾個(gè)月都不知道系統(tǒng)遭到了破壞。 安全設(shè)置審核策略策略設(shè)置審核帳戶管理成功，失敗審核對(duì)象訪問成功審核特權(quán)使用成功，失敗審核系統(tǒng)登錄事件成功，失敗審核登錄事件成功，失敗審核策略更改成功，失敗審核系統(tǒng)事件成功，失敗二、安裝和配置DNS服務(wù)器n1. 準(zhǔn)備工作n2. 安裝DN

18、S服務(wù)n3. 安全配置DNS1. 準(zhǔn)備工作n你的域名（經(jīng)過Internic批準(zhǔn)）n要為其提供名稱解析的每臺(tái)服務(wù)器的IP地址和主機(jī)名n操作系統(tǒng)配置正確n已經(jīng)分配了所有可用的磁盤空間n所有現(xiàn)有的磁盤卷都使用NTFS文件系統(tǒng)2. 安裝DNS服務(wù)n打開“Windows組件向?qū)А?。為此，?qǐng)執(zhí)行下列步驟：q單擊“開始”，單擊“控制面板”，然后單擊“添加或刪除程序”。q單擊“添加/刪除Windows組件”。n在“組件”中，選中“網(wǎng)絡(luò)服務(wù)”復(fù)選框，然后單擊“詳細(xì)信息”。n在“網(wǎng)絡(luò)服務(wù)子組件”中，選中“域名系統(tǒng)(DNS)”復(fù)選框，單擊“確定”，然后單擊“下一步”。n在得到提示時(shí)，在“文件復(fù)制來源”中鍵入分發(fā)文件

19、的完整路徑，然后單擊“確定”。3. 安全配置DNSn啟動(dòng)“配置你的服務(wù)器向?qū)А?n在“服務(wù)器角色”頁上，單擊“DNS服務(wù)器”，然后單擊“下一步” n在“選擇摘要”頁上，查看并確認(rèn)你所選擇的選項(xiàng)。然后單擊“下一步” n在“配置你的服務(wù)器”向?qū)е型瓿蓪?duì)DNS服務(wù)器本身的IP地址等參數(shù)的配置n在“配置DNS服務(wù)器向?qū)А?中完成對(duì)DNS區(qū)域、轉(zhuǎn)發(fā)器等參數(shù)的配置，完成DNS的配置過程三、Windows Server2003中設(shè)置FTP服務(wù)器n1. 安裝FTP服務(wù)n2. 配置匿名FTP服務(wù) n3. FTP服務(wù)安全配置 1. 安裝FTP服務(wù)n單擊“開始”，指向“控制面板”，然后單擊“添加或刪除程序”。n單擊

20、“添加/刪除Windows組件”。在“組件”列表中，單擊“應(yīng)用程序服務(wù)器”，單擊“Internet信息服務(wù)(IIS)”（但是不要選中或清除復(fù)選框），然后單擊“詳細(xì)信息”。n單擊以選中下列復(fù)選框（如果它們尚未被選中）：“公用文件文件傳輸協(xié)議(FTP)服務(wù)Internet信息服務(wù)管理器”n單擊以選中你想要安裝的任何其他的IIS相關(guān)服務(wù)或子組件旁邊的復(fù)選框，然后單擊“確定”。n單擊“下一步”。出現(xiàn)提示時(shí)，請(qǐng)將Windows Server2003 CD-ROM插入計(jì)算機(jī)的CD-ROM或DVD-ROM驅(qū)動(dòng)器，或提供文件所在位置的路徑，然后單擊“確定”。n單擊“完成”。2. 配置匿名FTP服務(wù)n啟動(dòng)“In

21、ternet信息服務(wù)管理器”或打開IIS管理單元。n展開“服務(wù)器名稱”，其中服務(wù)器名稱是該服務(wù)器的名稱。n展開“FTP站點(diǎn)”，右擊“默認(rèn)FTP站點(diǎn)”，然后單擊“屬性”。n單擊“安全帳戶”選項(xiàng)卡。n單擊以選中“允許匿名連接”復(fù)選框（如果它尚未被選中），然后單擊以選中“僅允許匿名連接”復(fù)選框。單擊“主目錄”選項(xiàng)卡。n單擊以選中“讀取”和“日志訪問”復(fù)選框（如果它們尚未被選中），然后單擊以清除“寫入”復(fù)選框（如果它尚未被清除）。n單擊“確定”。退出“Internet信息服務(wù)管理器”或者關(guān)閉IIS管理單元。3. FTP服務(wù)安全配置 n3.1 限制客戶端連接數(shù)n3.2 配置匿名用戶或域用戶訪問權(quán)限n3.

22、3 將訪問權(quán)限限制到特定計(jì)算機(jī) 3.1 限制客戶端連接數(shù)n單擊“開始”，指向“管理工具”，然后單擊“Internet信息服務(wù)(IIS)管理器”。n在控制臺(tái)樹中，展開“ServerName”（其中ServerName是服務(wù)器的名稱），展開“FTP站點(diǎn)”，右鍵單擊FTP站點(diǎn)，然后單擊“屬性”。n單擊“FTP站點(diǎn)”選項(xiàng)卡。n在“FTP站點(diǎn)連接”下，單擊“連接限制為”，然后鍵入允許同時(shí)連接到服務(wù)器的最大數(shù)量。達(dá)到限制值時(shí)，IIS將向客戶端返回一條錯(cuò)誤信息，說明服務(wù)器忙。n在“連接超時(shí)(秒)”框中，鍵入一個(gè)時(shí)間長(zhǎng)度，指定服務(wù)器在用戶處于非活動(dòng)狀態(tài)多長(zhǎng)時(shí)間后與該用戶斷開連接。如果FTP協(xié)議不關(guān)閉某個(gè)連接，

23、此操作可確保在指定的時(shí)間段后關(guān)閉所有連接。n單擊“確定”。退出Internet信息服務(wù)(IIS)管理器。3.2 配置匿名用戶或域用戶訪問權(quán)限n單擊“開始”，指向“管理工具”，然后單擊“Internet信息服務(wù)(IIS)管理器”。n在控制臺(tái)樹中，展開“ServerName”（其中ServerName是服務(wù)器的名稱），展開“FTP站點(diǎn)”，右鍵單擊你的FTP站點(diǎn)，然后單擊“屬性”。單擊“安全帳戶”選項(xiàng)卡，執(zhí)行以下操作之一：q要允許以匿名方式連接到FTP站點(diǎn)，請(qǐng)單擊以選中“允許匿名連接”復(fù)選框（如果它尚未被選中）。q要將FTP站點(diǎn)配置為要求提供Windows用戶名和密碼，請(qǐng)單擊清除“允許匿名連接”復(fù)選

24、框 3.3 將訪問權(quán)限限制到特定計(jì)算機(jī)n單擊“開始”，指向“管理工具”，然后單擊“Internet信息服務(wù)(IIS)管理器”。n在控制臺(tái)樹中，展開“ServerName”（其中ServerName是服務(wù)器的名稱），展開“FTP站點(diǎn)”，右鍵單擊FTP站點(diǎn)，然后單擊“屬性”。n單擊“目錄安全性”選項(xiàng)卡。執(zhí)行下列操作之一：q要拒絕訪問，請(qǐng)單擊“授權(quán)訪問”，然后單擊“添加”。在出現(xiàn)的“拒絕訪問”對(duì)話框中，指定所需的選項(xiàng)，然后單擊“確定”。指定的計(jì)算機(jī)或者計(jì)算機(jī)組將被添加到列表中。q要授予訪問權(quán)限，請(qǐng)單擊“拒絕訪問”，然后單擊“添加”。在出現(xiàn)的“授權(quán)訪問”對(duì)話框中，指定所需的選項(xiàng)，然后單擊“確定”。你選擇的計(jì)算機(jī)、計(jì)算機(jī)組或者域?qū)⒈惶砑拥搅斜碇?四、Windows2000中設(shè)置FTP服務(wù)器n4.1 安裝Internet信息服務(wù) n4.2 配置匿名FTP服務(wù)n4.3 安全配置4.1 安裝Internet信息服務(wù)n單擊“開始”，指向“設(shè)置”，然后單擊“控制面板”。在“控制面板”中，雙擊“添加/刪除程序”。n選擇“添加/刪除Windows組件”。在“Windows組件向?qū)А敝?，選擇“Internet信息服務(wù)(IIS)”，然后單擊“詳細(xì)信息”。n選擇“公用文件、文檔、文件傳輸協(xié)議(FTP)服務(wù)器”和“Internet信息服務(wù)管理單元”，然后單擊“確定”。n單擊“下一步”。n如果提示你配置終端服務(wù)