24小时网维服务:18962710000            电信站工单系统域名白名单IP黑名单查询  
  ID:  密码:   
销售-1 网维-1 备案-1
QQ在线聊天,你可以加我为好友,QQ号码:97039189 QQ在线聊天,你可以加我为好友,QQ号码:97039188 QQ在线聊天,你可以加我为好友,QQ号码:97039185
销售-2 网维-2 主管-1
QQ在线聊天,你可以加我为好友,QQ号码:97039184 QQ在线聊天,你可以加我为好友,QQ号码:97039182 QQ在线聊天,你可以加我为好友,QQ号码:233111
我的知识库
IDC业务相关
服务器相关问题
IDC相关问题
空间相关问题
域名相关问题
邮局相关问题
付款相关问题
相关文本合同
企业相关资质
常用软件下载
域名备案专题



首页 >> 我的知识库 >> >> Windows Internet服务器安全配置原理篇  
Windows Internet服务器安全配置原理篇
[ 作者:  | 文章来源: 云南设计港 | 点击数: 805 | 更新时间: 2007-10-13 17:36:56 ]

我们将从入侵者入侵的各个环节来作出对应措施一步步的加固windows系统,一共归于以下几个方面: Www^Spdns^com

1. 端口限制

Spdns

2. 设置ACL权限

Spdns@com

3. 关闭服务或组件

中.国.南通服务器网

4. 包过滤

[南通服务器网]

5. 审计

南通服务器网

我们现在开始从入侵者的第一步开始,对应的开始加固已有的windows系统:

Spdns@com

1. 扫描 Spdns_com

这是入侵者在刚开始要做的第一步,比如搜索有漏洞的服务 中.国南通服务器网

对应措施:端口限制 Spdns@com

以下所有规则,都需要选择镜像,否则会导致无法连接我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽。

南通服务器网

2. 下载信息

中国南通服务器网

这里主要是通过URL SCAN.来过滤一些非法请求

Www.Spdns.com

对应措施:过滤相应包

中国南通服务器网

我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段来阻止特定结尾的文件的执行 中.国南通服务器网

3. 上传文件 中国.南通服务器网

入侵者通过这步上传WEBSHELL、提权软件、运行cmd指令等等 南通服务器网

对应措施:取消相应服务和功能,设置ACL权限 中国南通服务器网

如果有条件可以不使用FSO的 南通服务器网

通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL,如果需要使用,那就为每个南通服务器网

4. WebShell Spdns^com

入侵者上传文件后,需要利用WebShell来执行可执行程序,或者利用WebShell进行更加方便的文件操作。 [南通服务器网]

对应措施:取消相应服务和功能 Spdns^com

一般WebShell用到以下组件

中国南通服务器网

  WScript.Network
  
  WScript.Network.1
  
  WScript.Shell
  
  WScript.Shell.1
  
  Shell.Application
  
  Shell.Application.1
  
  我们在注册表中将以上键值改名或删除,同时需要注意按照这些键值下的CLSID键的内容,从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除。

Spdns~com

5. 执行SHELL

南通服务器网

入侵者获得shell来执行更多指令

Spdns~com

对应措施:设置ACL权限

南通服务器网

Windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE 南通服务器网

我们将此文件的ACL修改为某个特定管理员帐户(比如administrator)拥有全部权限。 中国南通服务器网

其他用户,包括system用户、administrators组等等,一律无权限访问此文件。 [南通服务器网]

6. 利用已有用户或添加用户

中国.南通服务器网

入侵者通过利用修改已有用户或者添加Windows正式用户,向获取管理员权限迈进。

中国.南通服务器网

对应措施:设置ACL权限、修改用户 中国南通服务器网

将除管理员外所有用户的终端访问权限去掉,限制CMD.EXE的访问权限,限制SQL SERVER内的XP_CMDSHELL 中.国.南通服务器网

7. 登陆图形终端 中.国南通服务器网

入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,获取许多图形程序的运行权限。由于WINDOWS系统下绝大部分应用程序都是GUI的,所以这步是每个入侵WINDOWS的入侵者都希望获得的。 [南通服务器网]

对应措施:端口限制

Spdns.com

入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问。我们在第一步的端口限制中,对所有从内到外的访问一律屏蔽也就是为了防止反弹木马,所以在端口限制中,由本地访问外部网络的端口越少越好。如果不是作为MAIL SERVER,可以不用加任何由内向外的端口,阻断所有的反弹木马。 中.国南通服务器网

8. 擦除脚印

中国南通服务器网,为中文网南通服务器网

代理型防火墙可以对进出的包进行内容过滤,设置对HTTP REQUEST内的request string或者form内容进行过滤,将SELECT、DROP、DELETE、INSERT等都过滤掉,因为这些关键词在客户提交的表单或者内容中是不可能出现的。过滤了以后可以说从根本杜绝了SQL 注入。

Www~Spdns~com

2. 用SNORT建立IDS

Www.Spdns.com

用另一台服务器建立个SNORT,对于所有进出服务器的包都进行分析和记录,特别是FTP上传的指令以及HTTP对ASP文件的请求,可以特别关注一下。本文提到的部分软件在提供下载的RAR中包含:

Spdns^com

包括COM命令行执行记录

中国.南通服务器网

URLSCAN 2.5以及配置好的配置文件 中国.南通服务器网

IPSEC导出的端口规则

Www~Spdns~com

evtsys 中国南通服务器网,为中文网站提供动力

一些注册表加固的注册表项

中.国.南通服务器网

0
Tags:Windows Internet 服务器 安全 原理
责任编辑:阿小



评论
收藏
推荐
打印
关闭
字体:+ -
纠错


  付款方式  |  价格总览  |  咨询反馈  |  参观机房  |  关于我们  |  企业资质  |  联系我们  |  客户案例 24小时全国统一热线:400-678-0331
Copyright © 1999-2012 诚信 合法 规范的欧网 www.spdns.com 始建于1996
南通欧网网络科技有限公司 公司地址:江苏省南通市崇川区桃园路8号中南世纪14幢1009室 企业法人营业执照 电信增值业务经营许可证(ICP) 电信增值业务经营许可证(ISP)
中华人民共和国电信增值业务经营许可证 (ICP):苏B2-20090207 (ISP):苏B2-20090195
中华人民共和国企业注册号:320600000226624
CNIDC认证商家