Windows Server可以被配置為多種角色，Windows Server 2003 可以被配置為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。而且服務(wù)器可以被設(shè)置為幾種角色的綜合。

鐵通數(shù)據(jù)中心機(jī)房存在多臺不同角色的服務(wù)器，例如：備份服務(wù)器，終端服務(wù)器，Web服務(wù)器等，大部分是集各種角色于一身的服務(wù)器，所以有必要制作一份完整的安全方案文檔以供參考，綜合了部分虛擬主機(jī)公司的方案以及網(wǎng)絡(luò)整理的資料和個人的一些經(jīng)驗(yàn)，制作此方案。

總的來說，做為一個集各種角色為一身的服務(wù)器，主要是從以下幾個方面進(jìn)行安全加固設(shè)置：組件安全、端口安全、Windows常見自帶程序的安全設(shè)置、遠(yuǎn)程終端安全、第三方軟件的安全設(shè)置、木馬病毒的防范設(shè)置、系統(tǒng)服務(wù)設(shè)置、帳號安全問題、日志安全設(shè)置、MSSQL安全設(shè)置、常見危險協(xié)議的刪除、日常服務(wù)器安全檢測、目錄權(quán)限設(shè)置、DDOS攻擊的設(shè)置、MYSQL安全設(shè)置、php安全設(shè)置。

注意：下面的策略是本著安全最大化的目的來執(zhí)行的，實(shí)際操作中，要本著服務(wù)器正常應(yīng)用與安全盡量化兩者同時兼并的標(biāo)準(zhǔn)來進(jìn)行。

組件安全：

一、禁止使用FileSystemObject組件

FileSystemObject可以對文件進(jìn)行常規(guī)操作以及進(jìn)行各種存在安全隱患的操作,可以通過修改注冊表，將此組件改名，來防止利用FSO組件的ASP木馬的危害。

步驟1：HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 名為其它的名字，如：改為 FileSystemObject_ChangeName，如果ASP程序必須使用這個組件，那么在代碼中改相應(yīng)的名稱

步驟2：將clsid值也改一下，HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項(xiàng)目的值，也可以將其刪除，來防止此類木馬的危害。

步驟3：將此組件注銷：RegSVR32 /u C:\WINDOWS\SYSTEM32\scrrun.dll

步驟4：禁止Guest用戶使用FSO組件文件：scrrun.dll，命令：cacls C:\WINDOWS\system32\scrrun.dll /e /d guests

注意：部分流行網(wǎng)站程序中的功能可能會用到FSO組件，在一般情況下，請修改ASP程序文件中對應(yīng)的FSO名和clsid值為修改過后的服務(wù)器中的值。

(注：此組件的注銷可能會影響到很多asp網(wǎng)站程序中部分功能的使用，例如上傳等，如果必要，那么利用命令RegSVR32 C:\WINDOWS\SYSTEM32\scrrun.dll重新注冊。)

二、禁止使用WScript.Shell組件

WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令，可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

步驟1：HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName，自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

步驟2：將clsid值也改一下HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項(xiàng)目的值和HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項(xiàng)目的值也可以將其刪除，來防止此類木馬的危害。

注意：一般情況下，這個組件很少被網(wǎng)站程序應(yīng)用到，但是如果要用，請修改ASP程序文件中對應(yīng)的WSH名和clsid值為修改過后的服務(wù)器中的值。

三、禁止使用Shell.Application組件

Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令，可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

步驟1：HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName，自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

步驟2：也要將clsid值也改一下，HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值和HKEY_CLASSES_ROOT\Shell.Application\CLSID\項(xiàng)目的值，也可以將其刪除，來防止此類木馬的危害。

步驟3：注銷Shell.Application組件文件：regsvr32/u C:\WINDOWS\system32\shell32.dll

步驟4：禁止Guest用戶使用shell32.dll來防止調(diào)用此組件：cacls C:\WINDOWS\system32\shell32.dll /e /d guests。

以上設(shè)置做完之后，重新啟動服務(wù)器。幾個危險組件就徹底禁止掉了。核對下它們是否禁止成功，可以用ASP探針aspcheck.asp來探測下組件安全性。可以看到禁止掉的幾個組件是叉號表示。

防范了大部分主流的ASP木馬，當(dāng)然一些偏門的asp木馬仍然需要注意，這些偏門的ASP木馬：例如利用adodb.stream的木馬等，這些基本上利用下面要講解到的安全措施進(jìn)行防范。

#p#

端口安全：

可以使用TCP/IP的過濾或者Windows 2003自帶防火墻來實(shí)現(xiàn)端口的安全，下面逐個講解。

一、Windows 自帶防火墻（Windows Firewall/Internet Connection Sharing (ICS)）

步驟1：網(wǎng)上鄰居—>（右鍵）屬性—>本地連接—>（右鍵）屬性—>高級—>（選中）Internet 連接防火墻—>設(shè)置 服務(wù)器上面要用到的服務(wù)端口選中

例如：一臺WEB服務(wù)器，要提供WEB（80）、FTP（21）服務(wù)及遠(yuǎn)程桌面管理（3389）在“FTP 服務(wù)器”、“WEB服務(wù)器（HTTP）”、“遠(yuǎn)程桌面”、“安全WEB服務(wù)器”前面打上對號

如果你要提供服務(wù)的端口不在里面，你也可以點(diǎn)擊“添加”銨鈕來添加，SMTP和POP3根據(jù)需要打開

具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。

步驟2：然后點(diǎn)擊確定。注意：如果是遠(yuǎn)程管理這臺服務(wù)器，請先確定遠(yuǎn)程管理的端口是否選中或添加。

一般需要打開的端口有：21、 25、 80、 110、 443、 3389、 等，根據(jù)需要開放需要的端口。注意將TCP/IP端口里面的10001-10005（需要用算法計(jì)算，下面會講解到此算法）設(shè)置進(jìn)去，因?yàn)檫@是設(shè)置Serv-U的PASV模式使用的端口，當(dāng)然也可以使用別的。

二、WindowsTCP/IP的過濾

桌面上右擊網(wǎng)上鄰居--屬性--雙擊打開外網(wǎng)網(wǎng)卡，選擇Internet 協(xié)議（TCP/IP）--高級--切換到“高級TCP/IP設(shè)置”中的選項(xiàng)標(biāo)簽下，選擇“TCP/IP篩選”，這里有三個過濾器，分別為：TCP端口、UDP端口和IP 協(xié)議，我們用TCP端口，將常用的端口添加進(jìn)去。除了常見的服務(wù)程序應(yīng)用端口外，仍然需要注意的是Serv-u的隨機(jī)端口的設(shè)置。這個設(shè)置直接關(guān)系到用戶訪問FTP時是否會出現(xiàn)Socket錯誤。這里需要計(jì)算Serv-u的隨機(jī)端口列表。參看下面“注意”中的隨機(jī)端口計(jì)算。

注意：關(guān)于客戶端軟件出現(xiàn)Socket錯誤的幾種可能的解決辦法：

1、   將客戶端軟件的傳輸方式改為PASV方式

2、   根據(jù)Serv-u隨機(jī)端口的算法，將計(jì)算出的隨機(jī)端口列表添加到TCP/IP篩選中。例如：

客戶端設(shè)置成被動方式，鏈接FTP服務(wù)器，會由于隨機(jī)端口沒有設(shè)置而出錯，從軟件中的出錯信息中找到類似這樣227 Entering Passive Mode (60,195,253,118,3,52)（格式：IP，m,n）找到它，我們利用公式計(jì)算出如果客戶端用被動方式登錄服務(wù)器時，服務(wù)器要動態(tài)開放的第一個端口值。公式為m*256+n,上例中應(yīng)該是3*256+52=820，所以把隨機(jī)端口列表820-830添加進(jìn)去。注意：不要和已知存在的應(yīng)用程序的端口沖突，例如mssql，mysql，termservice等端口。

3、   南北互聯(lián)問題，這個問題的幾率不大，沒確切憑據(jù)。

三、端口與列表的進(jìn)程關(guān)聯(lián)查看

經(jīng)常使用Activex Ports，psport， TCPView等小工具查看服務(wù)器端口對應(yīng)的進(jìn)程，可以防止一些低級別的木馬后門植入。

同時也要檢查常見的啟動項(xiàng)，低級別的木馬也喜歡在這些地方加載達(dá)到隨機(jī)啟動，可以利用小工具msconfig查看。

#p#

Windows常見自帶程序的安全設(shè)置：

1、Tftp文件的修改

入侵者在權(quán)限允許的情況下可能會使用小型文件傳輸協(xié)議進(jìn)行后門木馬等危險程序的上傳，所以需要徹底禁止掉TFTP服務(wù)，服務(wù)器一般很少用到這個服務(wù)。

操作：用文本編輯工具打開%systemroot%\system32\drivers\etc下的service文件找到對應(yīng)的tftp那一行，將 69/udp 替換成 0/udp。保存退出

2、禁用Guests組用戶調(diào)用cmd.exe

2003使用命令：cacls C:\WINDOWS\system32\Cmd.exe /e /d guests，同理，將上面的命令應(yīng)用到如下進(jìn)程：

net1.exet   
 
 
cmd.exe   
 
 
tftp.exe   
 
 
netstat.exe   
 
 
regedit.exe   
 
 
at.exe   
 
 
attrib.exe   
 
 
cacls.exe   
 
 
format.com   
 
 
netsh.exe（千萬要注意這個程序，它可以修改網(wǎng)絡(luò)屬性以及windows自帶防火墻設(shè)置，安全隱患大）   
 

3、徹底禁止telnet的的登陸   

在c:\windows\system32目錄下有個login.cmd文件，將其用記事本打開，在文件末尾另取一行，加入exit保存。這樣用戶在登陸telnet時，便會立即自動退出.

遠(yuǎn)程終端安全：

Termservices是Windows自帶的遠(yuǎn)程管理程序，經(jīng)常被入侵者利用。所以在這部分的安全設(shè)置要尤其注重。主要從端口，審核，日志，策略3個方面來加強(qiáng)它的安全

1、端口值：

將默認(rèn)的3389改掉，改成一個很大的值，越大越好，因?yàn)槿肭终呖赡芾媚承┕ぞ咛綔y終端端口，例如tsscan，設(shè)置的越大，越能起到拖延的作用。

修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，這兩個分支下的portnumber鍵值改為你想要的端口，例如65511

如果感覺手工修改注冊表麻煩，可以用下面這個小工具代勞。

2、用戶審核設(shè)置：

設(shè)置完端口之后，有必要對每次終端登陸的日志進(jìn)行記錄，以方便日常安全檢查。

為遠(yuǎn)程登錄啟動日志記錄：開始-程序-管理工具-終端服務(wù)配置-連接-rdp/tcp-右鍵-屬性-權(quán)限-添加administrators組-高級-審核-添加everyone組，選擇審核的項(xiàng)目為登錄和注銷。

3、批處理記錄遠(yuǎn)程終端連接IP日志

步驟1：將下面的代碼保存在記事本中保存為3389.bat，

@echo off

date /t >> E:\server\3389.txt

attrib +s +h E:\server\3389.bat

attrib +s +h E:\server\3389.txt

time /t >> E:\server\3389.txt

netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt

（注：date和time是用于獲取系統(tǒng)時間的， “attrib +s +h E:\server\3389.bat”和“attrib +s +h E:\server\3389.txt”這兩個命令是用來隱藏3389.bat和3389.txt這兩個文件的， “netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt”這個命令則是記錄通過終端的連結(jié)狀況的。）

步驟2：打開注冊表，展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon，找到“Userinit”這個鍵值，這個鍵值默認(rèn)為c:\WINDOWS\system32\userinit.exe，在它的逗號后面寫上E:\server\3389.bat批處理的路徑，同時末尾以逗號結(jié)尾，完整的路徑是：“

c:\WINDOWS\system32\userinit.exe, E:\server\3389.bat,“（注意結(jié)尾的逗號），這樣每次用戶只要是通過遠(yuǎn)程端口連接進(jìn)入服務(wù)器，則會自動記錄它的IP地址并保存在E:\server\3389.txt中。

4、遠(yuǎn)程登陸名請勿使用administrator這個用戶名，因?yàn)镃AIN這款功能強(qiáng)大嗅探工具在某些條件具備的情況下，可以嗅探并得到administrator登陸的明文密碼，而其他名稱的用戶登陸則使CAIN無能為力。雖然RDP協(xié)議是128位加密，但是CAIN可以嗅探并破解。

5、利用安全策略指定遠(yuǎn)程終端登陸的IP范圍，這是最對于Termserivce安全最牢固的方法，可以防止端口復(fù)用（例如：httptunnel）等入侵手段。具體操作如下：

222.41.

#p#

第三方軟件的安全設(shè)置：

常見的第三方服務(wù)軟件，例如Serv-u，pcAnywhere，radmin等需要特別注意，它們經(jīng)常被入侵者做為服務(wù)器提權(quán)的主要手段之一。

1、Serv-u：Serv-u默認(rèn)的目錄權(quán)限以及內(nèi)置的超級管理員權(quán)限經(jīng)常被利用提權(quán)。安全設(shè)措施如下：首先在Services.msc中停掉Serv-U服務(wù)，然后用Ultraedit打開ServUDaemon.exe

查找 Ascii：LocalAdministrator 和 #l@$ak#.lk;0@P，修改成等長度的其它字符就可以了，注意：同時也要將ServUAdmin.exe一樣處理。

設(shè)置Serv-U所在的文件夾的權(quán)限，不要讓IIS匿名用戶有讀取的權(quán)限，否則入侵者可能會通過腳本shell將ServUDaemon.exe下載到本地后，同樣用Ultraedit可以分析出修改過后的超級管理員用戶和密碼，然后修改溢出提權(quán)程序，同樣達(dá)到提權(quán)。

以下是一個Serv-u提權(quán)程序的應(yīng)用范例，很容易利用未修改的Serv-u的管理員用戶和密碼來執(zhí)行系統(tǒng)操作。

2、ftp連接軟件的權(quán)限設(shè)置

由于ftp連接軟件（例如flashfxp）里面保存有ftp記錄的歷史信息文件，如果被入侵者通過腳本shell下載到本地后，它只需要覆蓋到本機(jī)器上的同版本FTP軟件中，那么那些曾經(jīng)的歷史記錄就會出現(xiàn)，入侵者可能會利用星號密碼查看器之類的東西查看得到FTP密碼。所以必須對ftp軟件安裝的目錄進(jìn)行權(quán)限設(shè)置，只允許Administrators組訪問，其他組一概禁止訪問。

3、PcAnywhere密碼安全

PcAnywhere是常見的遠(yuǎn)程管理軟件，默認(rèn)生成的密碼文件（.cif文件后綴）會在C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\目錄下產(chǎn)生，而這個目錄默認(rèn)權(quán)限是允許user組查看并讀取，所以入侵者可能會利用腳本shell在這里將密碼文件下載到本地后，然后利用PCAnywhere PassView類似的顯密碼工具得到管理密碼。

所以對這個目錄必須進(jìn)行除administrators組外的所有用戶和組的限制。同時盡量使用最新版本的PcAnywhere 11版本以上（11版本以后的密碼強(qiáng)度很難破解，也沒有相關(guān)的破解工具發(fā)布），目前流行的pcAnywhere密碼破解軟件無法破解最新版的密碼。當(dāng)然最安全的設(shè)置是采用Symantec Packagerd 的SecurID 雙重認(rèn)證機(jī)制。默認(rèn)情況下，不推薦使用此工具管理服務(wù)器，因?yàn)樗赡芘c終端服務(wù)產(chǎn)生沖突，導(dǎo)致遠(yuǎn)程終端服務(wù)因?yàn)镚INA問題無法登陸。

4、Radmin密碼安全

Radmin也是類似PcAnywhere的一款遠(yuǎn)程管理軟件，它的密碼文件會默認(rèn)產(chǎn)生在注冊表中，如果在權(quán)限允許的情況下，入侵者可以替換掉相關(guān)的radmin注冊表鍵值，從而可以使用修改過的密碼進(jìn)行登陸服務(wù)器。發(fā)現(xiàn)部分托管服務(wù)器用戶喜歡使用Radmin管理服務(wù)器，建議一般情況下不推薦使用此軟件進(jìn)行遠(yuǎn)程管理。

#p#

木馬病毒的防范設(shè)置：

入侵者一般習(xí)慣在服務(wù)器上安裝內(nèi)核心級后門或木馬，例如灰鴿子，黑洞，黑客之門等，這些后門在修改之后，很難用基本的殺毒軟件和端口查看軟件發(fā)現(xiàn)，所以推薦使用F-Secure BlackLight+ICESWOR +一款主流殺毒軟件（Mcafee或NOD32），基本上可以使修改過的或未公開的內(nèi)核級后門無法隱藏。

1、F-Secure BlackLight+ICESWOR可以有效的查出內(nèi)核級后門以及目前非常泛濫的后門灰鴿子和黑洞等線程插入式后門。使用時最好配合一般的進(jìn)程查看工具，然后將兩者的掃描結(jié)果進(jìn)行對照，即可發(fā)現(xiàn)內(nèi)核可疑之處。

注：

ICESWOR：它適用于Windows 2000/XP/2003操作系統(tǒng)，用于查探系統(tǒng)中的幕后黑手(木馬后門)并作出處理，當(dāng)然使用它需要用戶有一些操作系統(tǒng)的知識。

在對軟件做講解之前，首先說明第一注意事項(xiàng)：此程序運(yùn)行時不要激活內(nèi)核調(diào)試器(如softice)，否則系統(tǒng)可能即刻崩潰。另外使用前請保存好您的數(shù)據(jù)，以防萬一未知的Bug帶來損失。IceSword目前只為使用32位的x86兼容CPU的系統(tǒng)設(shè)計(jì)，另外運(yùn)行IceSword需要管理員權(quán)限。

F-Secure BlackLight：可以偵測并清除活動著的Rootkit，而許多傳統(tǒng)的病毒掃描無法偵測出活動著的Rootkit,是對付Rootkit系病毒的利器。

2、用Mcafee建立新的安全策略。禁止向系統(tǒng)目錄寫入dll和exe文件。這樣可以有效的防范病毒感染。同時制定每天的定時殺毒計(jì)劃。同時給Mcafee加上密碼訪問，防止惡意關(guān)閉。

常見安全策略制定：

1、打開組策略編輯器，依次展開“計(jì)算機(jī)配置→Windows 設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑”，然后在打開的窗口中，將可遠(yuǎn)程訪問的注冊表路徑和子路徑內(nèi)容全部設(shè)置為空即可。

2、關(guān)閉自動播放功能不僅對光驅(qū)起作用，而且對其它驅(qū)動器也起作用，這樣很容易被入侵者利用給文件夾目錄中寫入auto.inf文件執(zhí)行自動執(zhí)行黑客程序。打開組策略編輯器，依次展開“計(jì)算機(jī)配置→管理模板→系統(tǒng)”，在右側(cè)窗口中找到“關(guān)閉自動播放”選項(xiàng)并雙擊，在打開的對話框中選擇“已啟用”，然后在“關(guān)閉自動播放”后面的下拉菜單中選擇“所有驅(qū)動器”，按“確定”即可生效。

3、安全策略->本地策略->審核策略，打開以下內(nèi)容：

審核策略更改 成功,失敗

審核系統(tǒng)事件 成功,失敗

審核帳戶登陸事件 成功,失敗

審核帳戶管理 成功,失敗

4、計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)→交互式登陸（不顯示上次的用戶名）

5、計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)→帳戶：重命名系統(tǒng)管理員帳戶

#p#

帳號安全問題：

1、禁用Guest賬號

在計(jì)算機(jī)管理的用戶里面把Guest賬號禁用。為了保險起見，最好給Guest加一個復(fù)雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為Guest用戶的密碼拷進(jìn)去。

2、限制不必要的用戶

去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。

3、把系統(tǒng)Administrator賬號改名

4、建一個陷阱用戶

什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。

5把共享文件的權(quán)限從Everyone組改成授權(quán)用戶

5、不讓系統(tǒng)顯示上次登錄的用戶名

默認(rèn)情況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為：打開注冊表編輯器并找到注冊表項(xiàng)“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的鍵值改成1。或者直接在組策略里修改。

6、密碼安全設(shè)置

一些公司的管理員創(chuàng)建賬號的時候往往用公司名、計(jì)算機(jī)名做用戶名，然后又把這些用戶的密碼設(shè)置得太簡單，比如“welcome”等等。因此，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼。 同時建議托管用戶在第一時間內(nèi)修改掉默認(rèn)上架密碼bizctt，這樣可以防止同一交換機(jī)下的攻擊，例如arpsniffer等。

7、陌生帳號處理

發(fā)現(xiàn)服務(wù)器中的陌生帳號之后，極可能是被入侵者添加的，一般情況下要首先對其進(jìn)行過的操作進(jìn)行取證，主要方法是修改這個陌生帳號的密碼后，用其帳戶進(jìn)行登陸，然后查看帳號對應(yīng)下的最近操作記錄，在C:\Documents and Settings\用戶名\Recent下，同時分析IE記錄，并通過搜索功能查找自帳號建立時間起內(nèi)進(jìn)行修改的文件的查找工作，這樣可以短時間內(nèi)確定陌生帳號在服務(wù)器上進(jìn)行的操作。

#p#

日志安全設(shè)置：

日志是記錄服務(wù)器性能，安全的最重要的東西，入侵者在成功入侵服務(wù)器后，會對日志部分進(jìn)行多次擦寫以掩蓋自己的行徑，所以保護(hù)服務(wù)器日志是服務(wù)器在被入侵后的重要取證之一。我們需要做的是將日志轉(zhuǎn)移到一個新的目錄下，同時對目錄進(jìn)行權(quán)限劃分，使入侵者在離開服務(wù)器之前無法清除自己的痕跡。

系統(tǒng)安裝完成后，日志文件存放在%systemroot%\system32\config，有“應(yīng)用程序日志”、“安全日志”及“系統(tǒng)日志”，分別對應(yīng)的文件是：appevent.evt、secevent.evt、sysevent.evt 如果你裝有其他的服務(wù)，如DNS 等，還有對應(yīng)的日志。這些文件受event log 服務(wù)的保護(hù)而不可刪除，但卻可以清空里面的數(shù)據(jù)。GUI 下清除日志的相信大家都知道可以通過“事件查看器”來清除日志，而“命令提示符”下清除日志的后門工具也很多，常用的工具有

elsave 等。只要在權(quán)限允許的情況下，運(yùn)行后門清除工具即可將日志清除。我們通過下面的步驟進(jìn)行日志的安全設(shè)置。

1、修改日志文件的存放位置必須在注冊表里面修改，打開注冊表并找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog 有沒有看到application、security、system 幾個子鍵，分別對應(yīng)“應(yīng)用程序日志”、“安全日志”、“系統(tǒng)日志”這幾個鍵下面還有很多子鍵，都是一些對應(yīng)的信息，我們先來看看application 子鍵，F(xiàn)ile 項(xiàng)的值就是“應(yīng)用程序日志”文件存放的位置，我們將它改改，就將它放在D:\systemlog文件夾下，所以File 的值也就成了D:\systemlog\Appevent.evt。

2、在D盤下新建一個systemlog文件夾，打開CMD命令行，輸入命令copy Appevent.evt D:\systemlog,即將日志文件轉(zhuǎn)移到新的目錄下。

3、查看新目錄systemlog的權(quán)限，給予system 組除“完全控制”和“修改”之外的所有權(quán)限，然后只給everyone 組只讀的權(quán)限。

這樣一般情況下，就算得到了administrator權(quán)限，而不在圖形界面下的話，那么入侵者也無法清除日志記錄。

MSSQL安全設(shè)置：

網(wǎng)絡(luò)上關(guān)于MSSQL的文章多不勝數(shù)，這里主要說下幾個常見的設(shè)置：

1、必須刪除MSSQL里的危險存儲過程和擴(kuò)展，這些存儲擴(kuò)展可以使用戶在MSSQL應(yīng)用的網(wǎng)站上實(shí)施SQL injection的語句提交攻擊，刪除語句如下：

use master  
EXEC sp_dropextendedproc 'xp_cmdshell'  
EXEC sp_dropextendedproc 'Sp_OACreate'  
EXEC sp_dropextendedproc 'Sp_OADestroy'  
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'  
EXEC sp_dropextendedproc 'Sp_OAGetProperty'  
EXEC sp_dropextendedproc 'Sp_OAMethod'  
EXEC sp_dropextendedproc 'Sp_OASetProperty'  
EXEC sp_dropextendedproc 'Sp_OAStop'  
EXEC sp_dropextendedproc 'Xp_regaddmultistring'  
EXEC sp_dropextendedproc 'Xp_regdeletekey'  
EXEC sp_dropextendedproc 'Xp_regdeletevalue'  
EXEC sp_dropextendedproc 'Xp_regenumvalues'  
EXEC sp_dropextendedproc 'Xp_regread'  
EXEC sp_dropextendedproc 'Xp_regremovemultistring'  
EXEC sp_dropextendedproc 'Xp_regwrite'  
drop procedure sp_makewebtask  

2、在查詢分析器中執(zhí)行上面的語句即可刪除。

同時為了防止某些特殊情況下入侵者恢復(fù)這些存儲過程，可以將部分危險存儲對應(yīng)的dll文件改名：xpstar.dll（主要是關(guān)于注冊表的操作），xplog70.dll（關(guān)于DOS命令的操作），以后在使用MSSQL中如果需要使用到某些進(jìn)程，再將其改回原名。(注：odsole70.dll這個文件也關(guān)聯(lián)一些危險存儲過程，但是一般情況下不要刪除，它關(guān)乎一些sql事務(wù)。)

SQL補(bǔ)丁務(wù)必打上最新的SP4補(bǔ)丁以及對SQL數(shù)據(jù)進(jìn)行定時備份。

#p#

常見危險協(xié)議的刪除：

1、NetBIOS協(xié)議刪除

“開始菜單—設(shè)置—網(wǎng)絡(luò)與撥號連接”，選擇代表互聯(lián)網(wǎng)連接的對象，不管是通過防火墻還是直接連接。 點(diǎn)擊“屬性”按鈕打開對話框，進(jìn)入“互聯(lián)網(wǎng)協(xié)議（TCP/IP）屬性”頁面。 點(diǎn)擊底部右邊的“高級”按鈕進(jìn)入WINS面板。 在WINS面板的下半部分是這個TCP/IP連接的TCP/IP 上的NetBIOS選項(xiàng)（它正好是直接與互聯(lián)網(wǎng)連接，可能使用靜態(tài)IP地址）。在它的默認(rèn)設(shè)置中，它允許TCP/IP連接到端口139（攻擊者最喜愛的端口）的NetBIOS。NetBIOS自由分配許多與IP、域名和用戶名有關(guān)的信息。

點(diǎn)擊“禁用TCP/IP 上的NetBIOS”按鈕，然后點(diǎn)擊OK。這一設(shè)置立即生效。

2、禁用 SMB

在“開始”菜單中，指向“設(shè)置”，然后單擊“網(wǎng)絡(luò)和撥號連接”。右鍵單擊“Internet 連接”，然后單擊“屬性”。選擇“Microsoft 網(wǎng)絡(luò)客戶端”，然后單擊“卸載”。完成卸載步驟。

選擇“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”，然后單擊“卸載”。完成卸載步驟。

日常服務(wù)器安全檢測：

1、用MBSA基準(zhǔn)分析器或retina定期分析服務(wù)器安全，并進(jìn)行相應(yīng)的防范設(shè)置。

注意MBSA掃描結(jié)果中以下面幾種符合開始的各種結(jié)果項(xiàng)目，它們分別代表不同級別的漏洞警告圖標(biāo)。其中紅色叉號最為嚴(yán)重，MSBA同樣給出了漏洞解決辦法，點(diǎn)擊How to correct this即可查看到。其中綠色的勾號表示不存在任何漏洞。

注：

Microsoft Baseline Security Analyzer（MBSA）工具允許用戶掃描一臺或多臺基于 Windows 的計(jì)算機(jī)，以發(fā)現(xiàn)常見的安全方面的配置錯誤。MBSA 將掃描基于 Windows 的計(jì)算機(jī)，并檢查操作系統(tǒng)和已安裝的其他組件（如：Internet Information Services（IIS）和 SQL Server），以發(fā)現(xiàn)安全方面的配置錯誤，并及時通過推薦的安全更新進(jìn)行修補(bǔ)。

eEye Digital Security所出的 Retina Network Security Scanner 網(wǎng)絡(luò)安全軟件。它可以幫你掃描網(wǎng)絡(luò)上計(jì)算機(jī)的安全性漏洞問題所在，是大型滲透方案中經(jīng)常用到的工具之一。

2、及時關(guān)注流行應(yīng)用漏洞公告，并對用戶進(jìn)行及時通知更新相關(guān)補(bǔ)丁。常見的漏洞公告地址：

http://www.nsfocus.com/，http://www.ccert.edu.cn/notice/index.php，http://www.venustech.com.cn/tech/day/

如果感覺手工打Windows補(bǔ)丁麻煩，可以用小工具：瑞星系統(tǒng)漏洞掃描器來自動操作。

3、定期對服務(wù)器進(jìn)行滲透測試，保證漏洞及時發(fā)現(xiàn)。

4、經(jīng)常關(guān)注動網(wǎng)，動易，phpwind，discuz，風(fēng)訊等熱門網(wǎng)站程序官方新聞，及時更新漏洞補(bǔ)丁以及通知用戶。

目錄權(quán)限設(shè)置：

目錄權(quán)限的設(shè)置對于虛擬主機(jī)安全非常重要，要在本著系統(tǒng)正常運(yùn)行以及安全兩者兼得的情況下進(jìn)行設(shè)置。下面是標(biāo)準(zhǔn)的目錄權(quán)限設(shè)置方案，已經(jīng)在一臺服務(wù)器上成功分布權(quán)限。

1、   C盤只給Administrators和system的全部權(quán)限，這樣當(dāng)入侵者通過網(wǎng)站程序漏洞得到webshell之后，它無法瀏覽到C盤系統(tǒng)目錄中。

2、其他的盤進(jìn)行同樣的權(quán)限設(shè)置：只給Administrators和system的全部權(quán)限。

3、將mysql和mssql，serv-u等常見服務(wù)器應(yīng)用程序全部安裝到D盤中，并嚴(yán)格控制權(quán)限，一般情況下，只給Administrators和system的全部權(quán)限。

4、在D盤新建一個webroot目錄，只給administrators組和system組權(quán)限，每一個web建立一個對方的IIS匿名用戶，將其用戶加到guests組。

在對應(yīng)的web目錄上設(shè)置其權(quán)限： 僅 給讀取和寫入 和權(quán)限

再打開IIS的目錄安全性中，將匿名用戶加入進(jìn)去，填寫的密碼是剛才設(shè)置的IUSR的密碼（機(jī)房的大部分WEB服務(wù)器就是采用這種設(shè)置）。

5、C:\Documents and Settings不會繼承C盤剛才設(shè)置的只允許administrators和system，所以必須對起進(jìn)行設(shè)置。把a(bǔ)dministrators組和system組留下其他的組刪除。

同樣c:\Documents and Settings\All Users\「開始」菜單\程序\啟動也需要注意權(quán)限的設(shè)置。

6、同樣還有很多深層目錄沒有繼承剛才的C盤跟目錄的權(quán)限設(shè)置，所以必須依次進(jìn)行權(quán)限設(shè)置。

C:\Program Files 目錄 設(shè)置權(quán)限為 只留administrators組和system組留下。

但是把其中的C:\Program Files\Common Files的權(quán)限多加一個everyone一個讀取和運(yùn)行的權(quán)限 和列出 文件目錄。這樣保證了asp的正常使用。

如果安裝php和cgi，那么對于默認(rèn)的目錄c:\php,c:\prel產(chǎn)生的權(quán)限要重新劃分。服務(wù)器如果安裝了java，那么對C:\Program Files\Java Web Start\這個目錄也要嚴(yán)格控制權(quán)限，方式寫入jsp木馬。

7、C:\WINDOWS\ 開放Everyone默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個權(quán)限。

C:\WINNT\Temp 加上Guests的讀寫兩個權(quán)限 其他的取消。

如果造成asp程序運(yùn)行錯誤，那么開放Everyone 修改、讀取及運(yùn)行、列出文件目錄、讀取、寫入權(quán)限(注：基本上服務(wù)器不需要設(shè)置此權(quán)限)

如果上面的設(shè)置做完之后，導(dǎo)致ASP和ASPX等應(yīng)用程序就無法運(yùn)行，那么Windows目錄要加上給users的默認(rèn)權(quán)限。(注：基本上服務(wù)器不需要設(shè)置此權(quán)限)

8、C:\Documents and Settings\All Users\Application Data\Network Associates

C:\Documents and Settings\All Users\Application Data\Microsoft

C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help

#p#

基本上常見可能被入侵者利用的目錄如下：

C:\perl  
C:\temp\  
C:\Mysql\  
c:\php\  
C:\autorun.inf  
C:\Documents and setting\  
C:\Documents and Settings\All Users\「開始」菜單\程序\  
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動  
C:\Documents and Settings\All Users\Documents\  
C:\Documents and Settings\All Users\Application Data\Symantec\  
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere  
C:\WINNT\system32\config\  
C:\winnt\system32\inetsrv\data\  
C:\WINDOWS\system32\inetsrv\data\  
C:\Program Files\  
C:\Program Files\Serv-U\  
c:\Program Files\KV2004\  
c:\Program Files\Rising\RAV  
C:\Program Files\RealServer\  
C:\Program Files\Microsoft SQL server\  
C:\Program Files\Java Web Start\  

需要嚴(yán)格控制它們的權(quán)限

基本上上面的設(shè)置完成后,下面的不用設(shè)置了。

注：部分服務(wù)器在設(shè)置完成后，可能還會出現(xiàn)asp運(yùn)行錯誤，如果出現(xiàn)，屬于特殊情況，那么則按照下面的這個目錄和文件權(quán)限進(jìn)行添加設(shè)置：

C:\Program Files\Common Files Guests 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個權(quán)限

C:\WINNT\system32\inetsrv Guests 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個權(quán)限

C:\WINNT\Temp Guests 讀寫兩個權(quán)限

C:\WINDOWS\system32\*.tlb Guests 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個權(quán)限

C:\WINDOWS\system32\*.exe IWAM_*** 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個權(quán)限

C:\WINDOWS\system32\*.dll IUSR_*** 默認(rèn)的讀取及運(yùn)行 列出文件目錄 讀取三個權(quán)限

注意：上面的目錄安全完全做好之后，運(yùn)行ASP網(wǎng)站，可能會出現(xiàn)：請求的資源在使用中 錯誤，這是由于打開單機(jī)版殺毒的腳本監(jiān)控會時IIS6.0不正常。運(yùn)行regsvr32 jscript.dll和regsvr32 vbscript.dll重新注冊JAVA腳本和VB腳本的動態(tài)鏈接庫后一切正常。有時在設(shè)置權(quán)限時，一些必要的文件夾權(quán)限給的太低也會造成這種情況。一般情況下利用上面的兩個注冊明令就可以。

這種情況我遇到過很多次，當(dāng)然并不是單一的都是殺毒軟件造成的，有時在設(shè)置權(quán)限時，一些必要的文件夾權(quán)限給的太低也會造成這種情況。重新給了權(quán)限后需要重啟服務(wù)器。

DDOS攻擊的設(shè)置：

修改注冊表可以防范輕量的DDOS攻擊，將safe.reg文件導(dǎo)入注冊表即可，作用是可抵御DDOS攻擊2-3萬包，提高服務(wù)器TCP-IP整體安全性能（效果等于軟件防火墻，節(jié)約了系統(tǒng)資源）。

這一項(xiàng)的設(shè)置基本上在最后再進(jìn)行，因?yàn)檫@里的部分服務(wù)如果禁用，前面安裝一些服務(wù)器軟件的時候會報錯主要是將將如下服務(wù)全部禁止，啟動防止改為手動（注意：是手動，不是禁用），列表：

系統(tǒng)服務(wù)設(shè)置：

Computer Browser  
Distributed File System  
Help and Support  
Print Spooler  
Remote Registry  
Task Scheduler  
TCP/IP NetBIOS Helper  
Telnet  

Server（注意：此服務(wù)關(guān)系到微軟基準(zhǔn)分析器是否能正常使用，平時為了服務(wù)器安全性，要將其改為手動，當(dāng)需要使用微軟基準(zhǔn)分析器時，將此服務(wù)啟動后即可正常使用微軟基準(zhǔn)分析器）

Workstation（注意：如果在安裝Mssql服務(wù)之前停止掉此工作站服務(wù)，那么安裝時會出錯，所以在未安裝mssql之前，不要將其關(guān)閉），

同時管理員要定期查找服務(wù)名，以防可以服務(wù)名出現(xiàn)，例如radmin或vnc之類的遠(yuǎn)程管理軟件經(jīng)常被入侵者修改掉服務(wù)名來藏匿之后做為后門使用，殺毒軟件對這些軟件認(rèn)為是合法軟件。

Win2003網(wǎng)絡(luò)服務(wù)器的安全配置策略本文講解的相當(dāng)詳細(xì)，希望讀者能夠仔細(xì)閱讀，從中有所收獲。

【編輯推薦】

1. 網(wǎng)絡(luò)服務(wù)器防止被黑安全經(jīng)驗(yàn)談
2. 輕松搭建屬于自己的網(wǎng)絡(luò)服務(wù)器
3. TurboLinux系統(tǒng)的網(wǎng)絡(luò)服務(wù)器配置 
4. 安全經(jīng)驗(yàn)談之網(wǎng)絡(luò)服務(wù)器如何防止被黑
5. 終解使用驗(yàn)證工具解決服務(wù)器網(wǎng)絡(luò)問題？