建議設定
昨天的伺服器被黑的事件中,我自己也是有一些責任,因為平時懶得對伺服器安全進行設定,有些設定其實幾分鐘就可以設定完成,可就是懶惰,結果萬一伺服器被惡意破壞,就需要花費更多的時間恢復資料,因此伺服器安全設定早期打好基礎,危難時期就會減少很多無謂的損失。
下面我就結合自己的經驗和教訓總結一下伺服器安全設定的一些技巧和方法。
極限測試
在”網路連線”裡,把不需要的協議和服務都刪掉,這裡只安裝了基本的Internet協議(TCP/IP),由於要控制頻寬流量服務,額外安裝了Qos資料包計劃程式。
在高階tcp/ip設定裡--"NetBIOS"設定"禁用tcp/IP上的NetBIOS(S)"。
在2003系統裡,不推薦用TCP/IP篩選裡的埠過濾功能,譬如在使用FTP伺服器的時候,如果僅僅只開放21埠,由於FTP協議的特殊性,在進行FTP傳輸的時候,由於FTP 特有的Port模式和Passive模式,在進行資料傳輸的時候,需要動態的開啟高階口,所以在使用TCP/IP過濾的情況下,經常會出現連線上後無法列出目錄和資料傳輸的問題。所以在2003系統上增加的windows連線防火牆能很好的解決這個問題,所以都不推薦使用網絡卡的TCP/IP過濾功能。
防火牆設定
在高階選項裡,使用”Internet連線防火牆”,這是windows 2003 自帶的防火牆,在2000系統裡沒有的功能,雖然沒什麼功能,但可以遮蔽埠,這樣已經基本達到了一個IPSec的功能。
放開使用到的埠,如果修改了遠端桌面的埠,別忘記新增上。如果有郵件伺服器的話還要放開SMTP伺服器埠25 POP3伺服器埠110。對外提供服務的埠都要加上,不然無法訪問服務。
修改ICMP設定,建議全部啟用,便於網路測試ping等
許可權設定
許可權的設定所有磁碟分割槽的根目錄只給Administrators組和SYSTEM 的完全控制權限,注意系統盤不要替換子目錄的許可權。windows目錄和Program Files目錄等一些目錄並沒有繼承父目錄許可權,這些目錄還需要其它一些許可權才能執行。 C:\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限,並應用到子物件的專案替代所有子物件的許可權專案。 系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限。這裡給的system許可權也不一定需要給,只是由於某些第三方應用程式是以服務形式啟動的,需要加上這個使用者,否則造成啟動不了。
c:/Documents and Settings/這裡要注意,後面的目錄裡的許可權根本不會繼承從前的設定,如果僅僅只是設定了C盤給administrators許可權,而在All Users/Application Data目錄下會 出現everyone使用者有完全控制權限,這樣入侵這可以跳轉到這個目錄,寫入指令碼或只檔案,再結合其他漏洞來提升許可權;譬如利用serv-u的本地溢位提升許可權,或系統遺漏有補丁,資料庫的弱點等等。在用做web/ftp伺服器的系統裡,建議設定。
Windows目錄要加上給users的預設許可權,否則ASP和ASPX等應用程式就無法執行。如果修改的話,不要應用到子物件的專案替代所有子物件的許可權專案。系統目錄許可權拿不準的話就不要動了,一般做好根目錄和Documents and Settings就比較安全了,asp程式訪問不了根目錄就訪問不了子目錄。
另外Documents and Settings目錄增加Users使用者組的讀取執行許可權,可以避免出現LoadUserProfile失敗,需要注意的是一但有users組讀取許可權,asp木馬就能訪問這個目錄。為了安全需要接受一些錯誤日誌。(2009年1月13日備註:貌似是沒有system完全就出現LoadUserProfile,與users無關。)
系統盤下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 檔案只給 Administrators 組和SYSTEM 的完全控制權限。可查詢一下統一設定,或者編輯一份批處理,使用cacls命令處理。
最後設定完善
【管理工具-本地安全設定 secpol.msc】 帳戶策略→帳戶鎖定策略 使用者鎖定閾值 3次無效登入 置復位帳戶鎖定計數器 30分鐘之後 帳戶鎖定時間 30分鐘 本地策略→稽核策略 稽核策略更改 成功 失敗 稽核登入事件 成功 失敗 稽核物件訪問 失敗 稽核過程跟蹤 無稽核 稽核目錄服務訪問 失敗 稽核特權使用 失敗 稽核系統事件 成功 失敗 稽核賬戶登入事件 成功 失敗 稽核賬戶管理 成功 失敗 本地策略→使用者許可權分配 關閉系統:只有Administrators組、其它全部刪除。 通過終端服務允許登陸:只加入Administrators,Remote Desktop Users組,其他全部刪除 本地策略→安全選項 互動式登陸:不顯示上次的使用者名稱 啟用 網路訪問:不允許SAM帳戶和共享的匿名列舉 啟用 網路訪問:不允許為網路身份驗證儲存憑證 啟用 網路訪問:可匿名訪問的共享 全部刪除 網路訪問:可匿名訪問的命 全部刪除 網路訪問:可遠端訪問的登錄檔路徑 全部刪除 網路訪問:可遠端訪問的登錄檔路徑和子路徑 全部刪除 帳戶:重新命名來賓帳戶 重新命名一個帳戶 帳戶:重命名系統管理員帳戶 重新命名一個帳戶【禁用不必要的服務 開始-執行-services.msc】 Computer Browser :維護網路上計算機的最新列表以及提供這個列表 Distributed File System :區域網管理共享檔案,不需要可禁用 Distributed Link Tracking Client :用於區域網更新連線資訊,不需要可禁用 Error Reporting Service :禁止傳送錯誤報告 Messenger :傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務訊息 Microsoft Serch :提供快速的單詞搜尋,不需要可禁用 NT LM Security Support Provider :telnet服務和Microsoft Serch用的,不需要可禁用 Print Spooler :如果沒有印表機可禁用 Remote Desktop Help Session Manager :禁止遠端協助 Remote Registry:禁止遠端修改登錄檔 Server :支援此計算機通過網路的檔案、列印、和命名管道共享 Task scheduler :允許程式在指定時間執行 TCP/IPNetBIOS Helper :提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支援而使使用者能夠共享文 Workstation :關閉的話遠端NET命令列不出使用者組 以上是在Windows Server 2003 系統上面預設啟動的服務中禁用的,預設禁用的服務如沒特別需要的話不要啟動。【解除安裝最不安全的元件】 最簡單的辦法是直接解除安裝後刪除相應的程式檔案。 將下面的程式碼儲存為一個.BAT檔案,( 以下以win2003為例系統資料夾應該是 C:\WINDOWS\ ) regsvr32 /u C:\WINDOWS\system32\wshom.ocx regsvr32 /u C:\windows\system32\wshext.dll regsvr32 /u C:\WINDOWS\system32\shell32.dll 如果有可能刪除這些元件 del C:\WINDOWS\system32\shell32.dll del C:\WINDOWS\system32\wshom.ocx del C:\windows\system32\wshext.dll 然後執行一下,WScript.Shell, Shell.application, WScript.Network就會被解除安裝了。 去下載阿江的探針檢視相關安全設定情況。 可能會提示無法刪除檔案,不用管它,重啟一下伺服器,你會發現這三個都提示“×安全”了。 恢復的話,去掉/u就行了
FSO(FileSystemObject)是微軟ASP的一個對檔案操作的控制元件,該控制元件可以對伺服器進行讀取、新建、修改、刪除目錄以及檔案的操作。是ASP程式設計中非常有用的一個控制元件。但是因為許可權控制的問題,很多虛擬主機伺服器的FSO反而成為這臺伺服器的一個公開的後門,因為客戶可以在自己的ASP網頁裡面直接就對該控制元件程式設計,從而控制該伺服器甚至刪除伺服器上的檔案。因此不少業界的虛擬主機提供商都乾脆關掉了這個控制元件,讓客戶少了很多靈活性。我們公司的W2K虛擬主機伺服器具有高安全性,可以讓客戶在自己的網站空間中任意使用卻有沒有辦法危害系統或者妨礙其他客戶網站的正常執行。
FSO的新增 1、首先在系統盤中查詢scrrun.dll,如果存在這個檔案,請跳到第三步,如果沒有,請執行第二步。 2、在安裝檔案目錄i386中找到scrrun.dl_,用winrar解壓縮後scrrun.dll複製到系統盤:\windows\system32\目錄。 3、執行regsvr32 scrrun.dll即可。 FSO刪除 regsvr32 /u scrrun.dll 建議保留 解除安裝stream物件 在cmd下執行: regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 恢復的話,去掉/u就行了,建議保留
修改遠端桌面連線的3389埠為9874,十六進位制2692等於十進位制9874,根據需要修改成合適的埠。將下面的內容儲存為.reg檔案,匯入登錄檔即可。(非必需)
複製程式碼程式碼如下:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:00002692[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]"PortNumber"=dword:00002692
伺服器防毒軟體這裡介紹MCAFEE 8.5i 中文企業版因為這個版本對於國內的許多惡意程式碼和木馬都能夠及時的更新. 比如已經能夠檢測到海陽頂端2006 而且能夠殺除IMAIL等SMTP軟體使用的佇列中MIME編碼的病毒檔案而很多人喜歡安裝諾頓企業版.而諾頓企業版,對於WEBSHELL.基本都是沒有反應的. 而且無法對於MIME編碼的檔案進行防毒.在MCAFEE中.我們還能夠加入規則.阻止在windows目錄建立和修改EXE.DLL檔案等我們在軟體中加入對WEB目錄的防毒計劃. 每天執行一次並且開啟實時監控.注意:安裝一些防毒軟體會影響ASP地執行,是因為禁用了jscript.dll和vbscript.dll元件在dos方式下執行 regsvr32 jscript.dll, regsvr32 vbscript.dll解除限制即可比如出現請求的資源在使用中regsvr32 %windir%\system32\jscript.dllregsvr32 %windir%\system32\vbscript.dll關掉防毒軟體裡的script scan