一 local安全
1 权限设置
1>文件权限设置
在NTFS格式下,用户可以对不同的文件夹和文件设置不同的的权限,由此增强服务器的安全性.但是并不一定每个管理员都有耐心做好文件权限设置!为了加固安全:
·在每个根目录下设置文件夹权限,为SYSTEM和"特定管理员帐号"有完全权限,其余的都删除,并应用于该文件夹和子文件夹.
·为站点文件夹贴加Internet 来宾帐户的访问权限,并设置成只读,并应用于该文件夹和子文件夹.
·为用户文件夹贴加用户的访问权限,设置成除特权外的完全权限,并应用于该文件夹和子文件夹.
·由于NTFS权限的优先级是文件权限优先,所以对"重要文件",有必要个别设置文件访问权限.
2>帐号设置
仅给用户真正需要的权限,权限的最小化原则是安全的重要保障.
·慎重开通管理员组的帐号,设置2个管理员帐号,留1个做为备用帐号,并确保帐号不易被猜解并确保密码的强度,并为administrator改名.
·帐号的开放不易过多,确保一定的密码复杂度,禁用并删除不使用的帐号.
·加强管理,设置好每个帐号的权限,不轻易给特殊权限.
·检查是否有帐号被克隆.
·并设置好密码规则,所有帐户密码最好是8位以上,密码最好是特殊符号、数字、大小写字母的搭配.
·定期更改密码,密码最好熟记在脑中,不要在其他地方做记录;另外,如果发现日志中有连续尝试登陆的帐户,要立即更改其帐户名及口令.
2 安全策略
1>网络设置
·只保留TCP/IP协议,其他全部删除.
·禁用TCP/IP上的NetBIOS.
·只允许一些必要的端口(在TCP/IP筛选中实现)
如:
21 TCP FTP
80 TCP HTTP
3389 TCP TERMINAL SERVICES
5631 TCP PCANYWHERE
·删除没有必要的共享,包括默认共享.(具体见下文)
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters下增加一值
Name: AutoShareServer
Type:REG-DWORD
Value:0
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa 下增加一值
Name:restrictanonymous
Type:REG_DWORD
Value:0
2>服务
最少的服务可换来更大的安全,应该禁用没有必要的服务.
需要停掉的服务,如:
Alerter
Automatic Updates
Background Intelligent Transfer Service
ClipBook
Computer Browser
DHCP Client,Distributed File System
Error Reporting
Help and Support
Intersite Messaging
Kerberos Key Distribution Center
NTLM Security Support Provider
Network Location Awareness
Performance Logs and Alerts
Remote Registry Service
Routing and Remote Access,Server
TCP/IP NetBIOS Helper Service
Terminal Services,Windows Installer
Windows Management Instrumentation Driver Extensions
WMI Performance Adapter
等等.
3>需要在注册表中修改的内容
·禁止C$、D$、ADMIN$一类的缺省共享(server版)
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters
AutoShareServer、REG_DWORD、0x0
·禁止C$、D$、ADMIN$一类的缺省共享(pro版)
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters
AutoShareWks、REG_DWORD、0x0
·限制IPC$缺省共享
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表,可禁止139空连接
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
修改数据包的生存时间(TTL)值
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
·防止SYN洪水攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0)
·禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
·防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
·不支持IGMP协议
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
·设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services:/Tcpip/Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
·禁止死网关监测技术
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services:/Tcpip/Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
·不支持路由功能
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services:/Tcpip/Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
4>组策略部分
组策略可以组建一个强大的防火墙,以下只是针对关键的几处进行修改!
·在本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义.:
·在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
·在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
·本地安全策略->安全选项中
重命名系统管理员帐号
不允许SAM帐户的匿名枚举 启用
·本地安全策略->用户权限分配中设定
允许本地登陆 //个别管理员帐号
拒绝本地登陆 guests,users,IIS_WPG,Debugger Users
拒绝从网络访问此计算机 匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户
通过终端服务允许登陆 //个别帐号
通过终端服务拒绝登陆 guests
5>其他
除此之外,还有必要将<systemroot>/System32/cmd.exe和command.com文件转移到其他目录或更名,定期手工更新,加强数据备份,日志分析(包括系统日志,审核日志,IIS日志,FTP日志...)等等.
二 internet安全
1 IIS部分
·将IIS目录和数据与系统磁盘分开,保存在专用磁盘空间内.
·只安装管理器、公共文档和WWW服务.
·在IIS管理器中删除必须之外的任何没有用到的映射(保留.asp .asa等必要映射即可)
·Web目录需要IUSR读写权限,IIS中只开放读取权限.关于执行,只仅限于脚本
·在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件.
·使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志.(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control).
·程序安全:
·涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
·需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面.
·防止ASP主页.inc文件泄露问题;
·防止UE等编辑器生成some.asp.bak文件泄露问题.
·为.mdb应用解析,选个可执行文件,并限制动作,以此防止ACCESS数据库被下载.
·能执行脚本的地方不允许写入文件,能写入文件的地方不允许运行教本.以此防止网页木马.
2 FTP部分
禁止对FTP的匿名访问.
注意用户权限的开放度.
关注FTP服务器漏洞信息,及时最好软件更新.
关注服务器的访问日志,对可疑的访问进行记录.
3 SQL部分
针对MS SQL SERVER的安全防御方案
1>防御MS SQL SERVER服务本身的漏洞解决方案
·使用网络防火墙过滤非本地对MS SQL SERVER的服务请求.
最简单的方法就是在MS SQL SERVER本地主机上安全如天网之类的个人防火墙,添加下面的规则群:
规则一:允许本机访问本地的TCP1433与UDP1434端口
规则二:阻止所有地址访问本机的TCP1433与UDP1434端口
注:规则一的优先执行级别必须比规则二高.
这样就可以了.
·定期使用MBSA扫描MS SQL SERVER的服务器,并确保MS SQL SERVER的补丁版本为最新版.(MBSA的使用可访问http://demonalex.nease.net/mbsa/index.html)
·检查是否存在弱口令问题.
2>防止SQL注入脚本攻击的解决方案
·修改IIS目录的默认设置路径.
·使用SecureIIS过滤特殊字符/字符串.
特殊字符/字符串包括:
有可能被攻击者利用的SQL语句:
select、having、group、from、where、update、insert、create、exec、execute
有可能被攻击利用的扩展存储过程:
xp_、sp_
一些特殊的符号:
@、%、;、'、"、!、--、1=1
·在IIS中设置特殊的出错信息,保证攻击者不能在出错信息中得到任何他们想需要得到的信息.
具体操作如下:
打开IIS中WEB服务的"属性"->"主目录"一栏->"配置..."按钮->"应用程序调试"一栏->选定"发送文本错误消息给客户"->"确定"
·在调用数据库时尽可能不使用操作员(dbo)或sa帐号,以减低被入侵的风险性.
·保证网站所使用的脚本源码是保密的.
·加强管理员入口路径的强壮度.
3>SQL服务器安全加固
·MDAC升级
安装最新的MDAC(http://www.microsoft.com/data/download.htm)
·密码策略
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号.新建立一个拥有与sa一样权限的超级用户来管理数据库.同时养成定期修改密码的好习惯.数据库管理员应该定期查看是否有不符合密码要求的帐号.比如使用下面的SQL语句:
Use master
Select name,Password from syslogins where password is null
·数据库日志的记录
核数据库登录事件的"失败和成功",在实例属性中选择"安全性",将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件.
·管理扩展存储过程
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门.请把它去掉.使用这个SQL语句:
use master
sp_dropextendedproc 'xp_cmdshell'
如果你需要这个存储过程,请用这个语句也可以恢复过来.
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
·防TCP/IP端口探测
在实例属性中选择TCP/IP协议的属性.选择隐藏 SQL Server 实例.
请在上一步配置的基础上,更改原默认的1433端口.
在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server.
·对网络连接进行IP限制
使用操作系统自己的IPSec可以实现IP数据包的安全性.请对IP连接进行限制,保证只有自己的IP能够访问,拒绝其他IP进行的端口连接.也可利用软件防火墙设置.
4.网页代码部分
·添加SQL防注入代码,修补目前存在的SQL注入漏洞.
·关注所使用的源代码(如IPB论坛或留言本等)的漏洞信息,及时加固站点安全.
·网页代码的安全性很重要!出于本人在此领域研究还比较浮浅,这个问题还得留给编程人员去考虑!
总结:
以上使本人对服务器安全配置的研究+实践,只能算业余,难免有疏漏的地方,欢迎指正~~~