Windows2003 服务器 安全设置 攻略 (二)
日志安全设置:
日志是记录服务器性能,安全的最重要的东西,入侵者在成功入侵服务器后,会对日志部分进行多次擦写以掩盖自己的行径,所以保护服务器日志是服务器在被入侵后的重要取证之一。我们需要做的是将日志转移到一个新的目录下,同时对目录进行权限划分,使入侵者在离开服务器之前无法清除自己的痕迹。
系统安装完成后,日志文件存放在%systemroot%\system32\config,有“应用程序日志”、“安全日志”及“系统日志”,分别对应的文件是:appevent.evt、secevent.evt、sysevent.evt 如果你装有其他的服务,如DNS 等,还有对应的日志。这些文件受event log 服务的保护而不可删除,但却可以清空里面的数据。GUI 下清除日志的相信大家都知道可以通过“事件查看器”来清除日志,而“命令提示符”下清除日志的后门工具也很多,常用的工具有
elsave 等。只要在权限允许的情况下,运行后门清除工具即可将日志清除。我们通过下面的步骤进行日志的安全设置。
1、修改日志文件的存放位置必须在注册表里面修改,打开注册表并找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog 有没有看到application、security、system 几个子键,分别对应“应用程序日志”、“安全日志”、“系统日志”这几个键下面还有很多子键,都是一些对应的信息,我们先来看看application 子键,File 项的值就是“应用程序日志”文件存放的位置,我们将它改改,就将它放在D:\systemlog文件夹下,所以File 的值也就成了D:\systemlog\Appevent.evt。
2、在D盘下新建一个systemlog文件夹,打开CMD命令行,输入命令copy Appevent.evt D:\systemlog,即将日志文件转移到新的目录下。
3、查看新目录systemlog的权限,给予system 组除“完全控制”和“修改”之外的所有权限,然后只给everyone 组只读的权限。
这样一般情况下,就算得到了administrator权限,而不在图形界面下的话,那么入侵者也无法清除日志记录。
MSSQL安全设置:
网络上关于MSSQL的文章多不胜数,这里主要说下几个常见的设置:
1、必须删除MSSQL里的危险存储过程和扩展,这些存储扩展可以使用户在MSSQL应用的网站上实施SQL injection的语句提交攻击,删除语句如下:
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
2、在查询分析器中执行上面的语句即可删除。
同时为了防止某些特殊情况下入侵者恢复这些存储过程,可以将部分危险存储对应的dll文件改名:xpstar.dll(主要是关于注册表的操作),xplog70.dll(关于DOS命令的操作),以后在使用MSSQL中如果需要使用到某些进程,再将其改回原名。(注:odsole70.dll这个文件也关联一些危险存储过程,但是一般情况下不要删除,它关乎一些sql事务。)
SQL补丁务必打上最新的SP4补丁以及对SQL数据进行定时备份。
常见危险协议的删除:
1、NetBIOS协议删除
“开始菜单—设置—网络与拨号连接”,选择代表互联网连接的对象,不管是通过防火墙还是直接连接。 点击“属性”按钮打开对话框,进入“互联网协议(TCP/IP)属性”页面。 点击底部右边的“高级”按钮进入WINS面板。 在WINS面板的下半部分是这个TCP/IP连接的TCP/IP 上的NetBIOS选项(它正好是直接与互联网连接,可能使用静态IP地址)。在它的默认设置中,它允许TCP/IP连接到端口139(攻击者最喜爱的端口)的NetBIOS。NetBIOS自由分配许多与IP、域名和用户名有关的信息。
点击“禁用TCP/IP 上的NetBIOS”按钮,然后点击OK。这一设置立即生效。
2、禁用 SMB
在“开始”菜单中,指向“设置”,然后单击“网络和拨号连接”。右键单击“Internet 连接”,然后单击“属性”。选择“Microsoft 网络客户端”,然后单击“卸载”。完成卸载步骤。
选择“Microsoft 网络的文件和打印机共享”,然后单击“卸载”。完成卸载步骤。
日常服务器安全检测:
1、用MBSA基准分析器或retina定期分析服务器安全,并进行相应的防范设置。
注意MBSA扫描结果中以下面几种符合开始的各种结果项目,它们分别代表不同级别的漏洞警告图标。其中红色叉号最为严重,MSBA同样给出了漏洞解决办法,点击How to correct this即可查看到。其中绿色的勾号表示不存在任何漏洞。
注:
Microsoft Baseline Security Analyzer(MBSA)工具允许用户扫描一台或多台基于 Windows 的计算机,以发现常见的安全方面的配置错误。MBSA 将扫描基于 Windows 的计算机,并检查操作系统和已安装的其他组件(如:Internet Information Services(IIS)和 SQL Server),以发现安全方面的配置错误,并及时通过推荐的安全更新进行修补。
eEye Digital Security所出的 Retina Network Security Scanner 网络安全软件。它可以帮你扫描网络上计算机的安全性漏洞问题所在,是大型渗透方案中经常用到的工具之一。
2、及时关注流行应用漏洞公告,并对用户进行及时通知更新相关补丁。常见的漏洞公告地址:
http://www.nsfocus.com/,http://www.ccert.edu.cn/notice/index.php,http://www.venustech.com.cn/tech/day/
如果感觉手工打Windows补丁麻烦,可以用小工具:瑞星系统漏洞扫描器来自动操作。
3、定期对服务器进行渗透测试,保证漏洞及时发现。
4、经常关注动网,动易,phpwind,discuz,风讯等热门网站程序官方新闻,及时更新漏洞补丁以及通知用户。
目录权限设置:
目录权限的设置对于虚拟主机安全非常重要,要在本着系统正常运行以及安全两者兼得的情况下进行设置。下面是标准的目录权限设置方案,已经在一台服务器上成功分布权限。
1、 C盘只给Administrators和system的全部权限,这样当入侵者通过网站程序漏洞得到webshell之后,它无法浏览到C盘系统目录中。
2、其他的盘进行同样的权限设置:只给Administrators和system的全部权限。
3、将mysql和mssql,serv-u等常见服务器应用程序全部安装到D盘中,并严格控制权限,一般情况下,只给Administrators和system的全部权限。
4、在D盘新建一个webroot目录,只给administrators组和system组权限,每一个web建立一个对方的IIS匿名用户,将其用户加到guests组。
在对应的web目录上设置其权限: 仅 给读取和写入 和权限
再打开IIS的目录安全性中,将匿名用户加入进去,填写的密码是刚才设置的IUSR的密码(机房的大部分WEB服务器就是采用这种设置)。
5、C:\Documents and Settings不会继承C盘刚才设置的只允许administrators和system,所以必须对起进行设置。把administrators组和system组留下其他的组删除。
同样c:\Documents and Settings\All Users\「开始」菜单\程序\启动也需要注意权限的设置。
6、同样还有很多深层目录没有继承刚才的C盘跟目录的权限设置,所以必须依次进行权限设置。
C:\Program Files 目录 设置权限为 只留administrators组和system组留下。
但是把其中的C:\Program Files\Common Files的权限多加一个everyone一个读取和运行的权限 和列出 文件目录。这样保证了asp的正常使用。
如果安装php和cgi,那么对于默认的目录c:\php,c:\prel产生的权限要重新划分。服务器如果安装了java,那么对C:\Program Files\Java Web Start\这个目录也要严格控制权限,方式写入jsp木马。
7、C:\WINDOWS\ 开放Everyone默认的读取及运行 列出文件目录 读取三个权限。
C:\WINNT\Temp 加上Guests的读写两个权限 其他的取消。
如果造成asp程序运行错误,那么开放Everyone 修改、读取及运行、列出文件目录、读取、写入权限(注:基本上服务器不需要设置此权限)
如果上面的设置做完之后,导致ASP和ASPX等应用程序就无法运行,那么Windows目录要加上给users的默认权限。(注:基本上服务器不需要设置此权限)
8、C:\Documents and Settings\All Users\Application Data\Network Associates
C:\Documents and Settings\All Users\Application Data\Microsoft
C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
基本上常见可能被入侵者利用的目录如下:
C:\perl
C:\temp\
C:\Mysql\
c:\php\
C:\autorun.inf
C:\Documents and setting\
C:\Documents and Settings\All Users\「开始」菜单\程序\
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\Documents\
C:\Documents and Settings\All Users\Application Data\Symantec\
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere
C:\WINNT\system32\config\
C:\winnt\system32\inetsrv\data\
C:\WINDOWS\system32\inetsrv\data\
C:\Program Files\
C:\Program Files\Serv-U\
c:\Program Files\KV2004\
c:\Program Files\Rising\RAV
C:\Program Files\RealServer\
C:\Program Files\Microsoft SQL server\
C:\Program Files\Java Web Start\
需要严格控制它们的权限
基本上上面的设置完成后,下面的不用设置了。
注:部分服务器在设置完成后,可能还会出现asp运行错误,如果出现,属于特殊情况,那么则按照下面的这个目录和文件权限进行添加设置:
C:\Program Files\Common Files Guests 默认的读取及运行 列出文件目录 读取三个权限
C:\WINNT\system32\inetsrv Guests 默认的读取及运行 列出文件目录 读取三个权限
C:\WINNT\Temp Guests 读写两个权限
C:\WINDOWS\system32\*.tlb Guests 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\system32\*.exe IWAM_*** 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\system32\*.dll IUSR_*** 默认的读取及运行 列出文件目录 读取三个权限
注意:上面的目录安全完全做好之后,运行ASP网站,可能会出现:请求的资源在使用中 错误,这是由于打开单机版杀毒的脚本监控会时IIS6.0不正常。运行regsvr32 jscript.dll和regsvr32 vbscript.dll重新注册JAVA脚本和VB脚本的动态链接库后一切正常。有时在设置权限时,一些必要的文件夹权限给的太低也会造成这种情况。一般情况下利用上面的两个注册明令就可以。
这种情况我遇到过很多次,当然并不是单一的都是杀毒软件造成的,有时在设置权限时,一些必要的文件夹权限给的太低也会造成这种情况。重新给了权限后需要重启服务器。
DDOS攻击的设置:
修改注册表可以防范轻量的DDOS攻击,将safe.reg文件导入注册表即可,作用是可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源)。
系统服务设置:
这一项的设置基本上在最后再进行,因为这里的部分服务如果禁用,前面安装一些服务器软件的时候会报错主要是将将如下服务全部禁止,启动防止改为手动(注意:是手动,不是禁用),列表:
Computer Browser
Distributed File System
Help and Support
Print Spooler
Remote Registry
Task Scheduler
TCP/IP NetBIOS Helper
Telnet
Server(注意:此服务关系到微软基准分析器是否能正常使用,平时为了服务器安全性,要将其改为手动,当需要使用微软基准分析器时,将此服务启动后即可正常使用微软基准分析器)
Workstation(注意:如果在安装Mssql服务之前停止掉此工作站服务,那么安装时会出错,所以在未安装mssql之前,不要将其关闭),
同时管理员要定期查找服务名,以防可以服务名出现,例如radmin或vnc之类的远程管理软件经常被入侵者修改掉服务名来藏匿之后做为后门使用,杀毒软件对这些软件认为是合法软件。
转自:http://www.huweishen.com/help/zatan/968.html