高校網(wǎng)站服務(wù)器安全研究

高校網(wǎng)站服務(wù)器安全研究

0b網(wǎng)站服務(wù)器由于網(wǎng)絡(luò)體系結(jié)構(gòu)的開放性和計(jì)算機(jī)軟件固有缺陷的存在，網(wǎng)絡(luò)入侵和攻擊是不可避免的，也非常常見。大學(xué)的web站點(diǎn)服務(wù)器作為大學(xué)和外部互動(dòng)的平臺(tái)，是網(wǎng)絡(luò)入侵的第一個(gè)目標(biāo)。高校Web服務(wù)器大多采取WindowsServer2003網(wǎng)絡(luò)操作系統(tǒng),利用IIS進(jìn)行部署,后臺(tái)數(shù)據(jù)庫(kù)為SQL或者oracle。為了提高Web服務(wù)器的安全性,必須對(duì)服務(wù)器進(jìn)行安全防護(hù),主要采取的防護(hù)策略包括服務(wù)器安全、IIS安全、數(shù)據(jù)庫(kù)安全和防護(hù)安全隱患等。1dows處理工具服務(wù)器安全是最基礎(chǔ)也是最重要的,雖然WindowsServer2003的安全性較以前的版本有了很大的提高,但是不能依靠默認(rèn)的安全設(shè)置,要根據(jù)服務(wù)器的性質(zhì)進(jìn)行安全配置。1.1及時(shí)安裝安全漏洞補(bǔ)丁程序殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量的木馬和后門程序,這樣,黑客使用的有名的木馬就沒有用武之地了,并且要經(jīng)常升級(jí)病毒庫(kù)。要及時(shí)給系統(tǒng)安裝安全漏洞補(bǔ)丁程序。漏洞是指操作系統(tǒng)或應(yīng)用程序在邏輯設(shè)計(jì)上的缺陷或在編寫時(shí)產(chǎn)生的錯(cuò)誤,這個(gè)缺陷或錯(cuò)誤可以被黑客利用,通過植入木馬、病毒等方式來(lái)攻擊網(wǎng)絡(luò)上的服務(wù)器,從而竊取網(wǎng)絡(luò)中的重要資料和信息,甚至破壞網(wǎng)絡(luò)系統(tǒng)。因此,及時(shí)安裝最新的補(bǔ)丁是防范攻擊的重要方法?？梢允褂肳indows自帶的漏洞修補(bǔ)程序或者第三方漏洞修補(bǔ)程序,如360安全衛(wèi)士進(jìn)行漏洞修復(fù)。1.2攔截pc安全技術(shù)WindowsServer2003自身帶有網(wǎng)絡(luò)防火墻,并可進(jìn)行端口的改變。Internet連接防火墻可以有效地?cái)r截對(duì)Windows2003服務(wù)器的非法入侵,防止非法遠(yuǎn)程主機(jī)對(duì)服務(wù)器的掃描,提高Windows2003服務(wù)器的安全性。同時(shí),也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒,如沖擊波等蠕蟲病毒。如果在用Windows2003構(gòu)造的虛擬路由器上啟用此防火墻功能,能夠?qū)φ麄€(gè)內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。1.3控制主機(jī)的接口很多入侵都是基于端口的,一些看似不必要的端口,卻可以向黑客透露許多操作系統(tǒng)的敏感信息。對(duì)端口的進(jìn)一步訪問,還可以返回服務(wù)器上軟件及其版本的一些信息,這些對(duì)黑客的入侵都提供了很大的幫助,所以,在配置服務(wù)器安全時(shí),只開放需要的端口。在管理網(wǎng)站服務(wù)器的端口安全策略時(shí),可以采取先關(guān)閉所有端口,再逐一打開所啟動(dòng)服務(wù)的端口,以減少攻擊的可能性,把安全隱患降到最低。如果網(wǎng)站服務(wù)器不提供FTP服務(wù)器功能,就關(guān)閉21端口。如果網(wǎng)站服務(wù)器使用SQLServer數(shù)據(jù)庫(kù),可以將遠(yuǎn)程訪問3389端口禁止,如果必須要開啟該端口,可以修改成其它數(shù)值,以迷惑入侵者。管理員要養(yǎng)成定期查看端口連接的情況,可以使用命令netstat–na進(jìn)行查看端口連接狀態(tài)。1.4不需要就關(guān)閉把不必要的服務(wù)都禁止掉,這些服務(wù)很可能會(huì)成為攻擊者入侵的通道,因此盡量關(guān)閉多余的服務(wù),減少一些安全隱患。如以下一些服務(wù),不需要就關(guān)閉。ComputerBrowser、Taskscheduler、RoutingandRemoteAccess、Removablestorage、RemoteRegistryService、PrintSpooler、IPSECPolicyAgent、DistributedLinkTrackingClient、Telnet等。1.5系統(tǒng)文件的共享Windows系統(tǒng)默認(rèn)安裝完成之后,系統(tǒng)中所有分區(qū)以及系統(tǒng)文件夾其實(shí)都已經(jīng)自動(dòng)共享了,稱為默認(rèn)共享,這些共享文件夾都是隱藏的。對(duì)系統(tǒng)會(huì)造成很大的安全隱患,要?jiǎng)h除默認(rèn)共享,防范入侵。1.5.1表分離器設(shè)置(1)在“開始”|“程序”|“運(yùn)行”中輸入命令regedit,打開注冊(cè)表編輯器。(2)在注冊(cè)表編輯器中展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters分支,將右側(cè)窗口中的DOWRD值“AutoShareServer”設(shè)置為“0”。(3)重新啟動(dòng)計(jì)算機(jī)系統(tǒng)。1.5.2服務(wù)器的執(zhí)行如果使用命令刪除默認(rèn)共享,在服務(wù)器重啟時(shí)又會(huì)還原,每次都執(zhí)行刪除命令比較麻煩,可以編寫成一個(gè)批處理文件,添加到組策略中,每次服務(wù)器開機(jī)會(huì)自動(dòng)執(zhí)行。(1)在記事本中編寫刪除默認(rèn)共享命令:將文件保存為delete.bat。(2)在“運(yùn)行”中輸入gpedit.msc,打開組策略編輯器,選擇“用戶配置”|“windows設(shè)置”|“腳本(登錄/注銷)”|“登錄”的屬性對(duì)話框,單擊“添加”,選擇自己編寫的腳本文件后確定。(3)重新啟動(dòng)系統(tǒng)。1.6本地“狀態(tài)”目的是防治黑客的病毒軟件通過遠(yuǎn)程賬戶和共享途徑破解計(jì)算機(jī)密碼及各類權(quán)限的獲取。具體方法是:在“運(yùn)行”對(duì)話框中輸入“secpol.msc”,打開本地安全設(shè)置,展開本地安全設(shè)置左側(cè)欄中的“安全選項(xiàng)”,在右窗格中找到“網(wǎng)絡(luò)訪問”:不允許SAM賬戶和共享的匿名連接兩項(xiàng)服務(wù),雙擊它,在“狀態(tài)”中點(diǎn)擊“已啟用”。1.7根據(jù)審核項(xiàng)目的確定處置系統(tǒng)審核功能的目的是達(dá)到對(duì)系統(tǒng)的變動(dòng)和訪問進(jìn)行管理和掌握。具體的方法是打開“開始”|“程序”|“管理工具”|“本地安全策略”|“審核策略”窗口進(jìn)行設(shè)置。在創(chuàng)建審核項(xiàng)目時(shí)需要注意的是如果審核的項(xiàng)目太多,生成的事件也就越多,那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會(huì)影響你發(fā)現(xiàn)嚴(yán)重的事件,管理者需要根據(jù)情況在這二者之間做出選擇。一般推薦審核成功和失敗的事項(xiàng)包括登錄事件、賬戶登錄事件、系統(tǒng)事件、策略更改。審核失敗的事項(xiàng)是對(duì)象訪問和目錄服務(wù)訪問。管理員要養(yǎng)成定期查看日志文件的習(xí)慣,雖然日志服務(wù)不能阻止黑客的入侵,但是它可以記錄黑客的行蹤,可以通過分析日志文件分析出入侵者在服務(wù)器上做過什么樣的破壞,給系統(tǒng)造成了哪些影響,以及在服務(wù)器上留下了什么后門等。1.8基于tor的高權(quán)限系統(tǒng)的賬戶管理將管理員賬戶Administrator設(shè)置強(qiáng)密碼,重新命名保護(hù)起來(lái),再將來(lái)賓賬戶guest命名為Administrator,設(shè)置復(fù)雜的密碼,給黑客設(shè)置一個(gè)“蜜罐”。設(shè)置兩個(gè)普通賬戶,其中一個(gè)賬戶進(jìn)行日常工作管理,如收發(fā)信件等,另一個(gè)賬戶擁有Administrators組的權(quán)限,在執(zhí)行高權(quán)限系統(tǒng)操作時(shí),可以以“RunAs”的方式進(jìn)行管理。修改本地安全策略,設(shè)置密碼最小長(zhǎng)度、鎖定閾值等信息,并且將“從遠(yuǎn)端強(qiáng)制關(guān)機(jī)”等設(shè)置成只允許管理員組進(jìn)行操作,以防范黑客重啟服務(wù)器。2ios安全2.1訪問網(wǎng)站的后臺(tái)，并確認(rèn)是否正確管理員要定期訪問網(wǎng)站,每天至少早晨和晚上要進(jìn)行一次訪問,及時(shí)發(fā)現(xiàn)威脅,因?yàn)楹诳腿肭执蠖喟l(fā)生在夜間。2.2增強(qiáng)系統(tǒng)的安全性刪除默認(rèn)建立的站點(diǎn)的虛擬目錄,停止默認(rèn)Web站點(diǎn),刪除對(duì)應(yīng)的文件目錄c:\inetpub,配置所有站點(diǎn)的公共設(shè)置,設(shè)置好相關(guān)的連接數(shù)限制,帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射,刪除所有不必要的應(yīng)用程序擴(kuò)展,只保留asp,php,cgi,pl,aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi,推薦使用isapi方式解析,用exe解析對(duì)安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給用戶。對(duì)于數(shù)據(jù)庫(kù),盡量采用mdb后綴,不需要更改為asp,可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射,將這個(gè)映射使用一個(gè)無(wú)關(guān)的dll文件如C:\WINNT\system32\inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置IIS的日志保存目錄,調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁(yè)面,將其轉(zhuǎn)向到其他頁(yè),可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。3windows2003中安全隱患的防護(hù)盡管Windows2003的功能在不斷增強(qiáng),但是由于系統(tǒng)設(shè)計(jì)的原因,它還存在不少安全隱患,要是不對(duì)這些隱患進(jìn)行防護(hù),可能會(huì)給整個(gè)系統(tǒng)帶來(lái)不必要的麻煩,下面筆者就介紹Windows2003中不常見的安全隱患的防護(hù)方法。3.1w病毒以及在細(xì)胞中自動(dòng)保存調(diào)試信息的方法Windows2003操作系統(tǒng)在調(diào)用應(yīng)用程序出錯(cuò)時(shí),系統(tǒng)中的Dr.Watson會(huì)自動(dòng)將一些重要的調(diào)試信息保存起來(lái),以便日后維護(hù)系統(tǒng)時(shí)查看,不過這些信息很有可能被黑客利用,這樣各種重要的調(diào)試信息就會(huì)暴露無(wú)疑,防護(hù)Dr.Watson自動(dòng)保存調(diào)試信息的方法是:(1)在注冊(cè)表編輯器中展開HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在對(duì)應(yīng)AeDebug鍵值的右邊子窗口中,用鼠標(biāo)雙擊Auto值,在彈出的參數(shù)設(shè)置窗口中,將其數(shù)值重新設(shè)置為“0”。(2)打開系統(tǒng)的Windows資源管理器窗口,并在其中依次展開DocumentsandSettings文件夾、AllUsers文件夾、SharedDocuments文件夾、DrWatson文件夾,最后將對(duì)應(yīng)DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。(3)重新啟動(dòng)系統(tǒng)。3.2系統(tǒng)的不安全性分析為了給局域網(wǎng)用戶相互之間傳輸信息帶來(lái)方便,WindowsServer2003系統(tǒng)提供了文件和打印共享功能,不過該功能向黑客們敞開了不少漏洞,給服務(wù)器系統(tǒng)造成了很大的不安全性;所以,在用完文件或打印共享功能時(shí),要隨時(shí)將功能關(guān)閉,防護(hù)資源共享隱患,具體方法是:打開“網(wǎng)絡(luò)連接”|“屬性”|“本地連接”|“屬性”“Internet協(xié)議(TCP/IP)”的屬性設(shè)置對(duì)話框,取消“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”選項(xiàng),本地計(jì)算機(jī)就沒有辦法對(duì)外提供文件與打印共享服務(wù)了,這樣黑客自然也就少了攻擊系統(tǒng)的“通道”。3.3直接的常規(guī)的結(jié)合在Windows2003系統(tǒng)下,要進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問連接時(shí),該系統(tǒng)下的遠(yuǎn)程桌面功能可以將進(jìn)行網(wǎng)絡(luò)連接時(shí)輸入的用戶名以及密碼,通過普通明文內(nèi)容方式傳輸給對(duì)應(yīng)連接端的客戶端程序;在明文賬號(hào)傳輸過程中,黑客使用各種嗅探工具,很容易截獲明文賬號(hào)。為了防護(hù)這種安全隱患,要關(guān)閉遠(yuǎn)程服務(wù),具體方法是:打開“我的電腦”|“屬性”|“遠(yuǎn)程”對(duì)話框,將“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”選項(xiàng)取消掉,這樣就可以將遠(yuǎn)程訪問連接功能屏蔽掉,從而防護(hù)遠(yuǎn)程訪問隱患了。3.4快速“切換”時(shí)Windows2003系統(tǒng)提供了快速用戶切換功能,利用該功能可以很輕松地登錄到系統(tǒng)中,但我們要是執(zhí)行系統(tǒng)“開始”菜單中的“注銷”命令來(lái),快速“切換用戶”時(shí),再用傳統(tǒng)的方式來(lái)登錄系統(tǒng)的話,系統(tǒng)很有可能會(huì)將本次登錄,錯(cuò)誤地當(dāng)作是對(duì)計(jì)算機(jī)系統(tǒng)的一次暴力“襲擊”,這樣Windows2003系統(tǒng)就可能將當(dāng)前登錄的賬號(hào)當(dāng)作非法賬號(hào),將它鎖定起來(lái),防護(hù)用戶切換隱患,具體方法是:打開“開始”|“程序”|“管理工具”|“計(jì)算機(jī)管理”|“用戶和組”|“用戶賬戶”窗口,將“允使用快速用戶切換”選項(xiàng)取消掉,這樣就可以防護(hù)用戶切換隱患了。3.5系統(tǒng)無(wú)法產(chǎn)生的頁(yè)面文件全部刪除Windows2003操作系統(tǒng)中的頁(yè)面交換文件中,隱藏了不少重要隱私信息,這些信息都是在動(dòng)態(tài)中產(chǎn)生的,要是不及時(shí)將它們清除,就很有可能成為黑客的入侵突破口,為此,在Windows2003操作系統(tǒng)在關(guān)閉系統(tǒng)時(shí),自動(dòng)將系統(tǒng)工作時(shí)產(chǎn)生的頁(yè)面文件全部刪除掉,具體方法是:(1)在注