|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 目前,WIN2000 SERVER是比較流行的服務(wù)器操作系統(tǒng)之一,但是要想安全的配置微軟的這個(gè)操作系統(tǒng),卻不是一件容易的事。本文試圖對(duì)win2000 SERVER的安全配置進(jìn)行初步的探討。 一、 定制自己的WIN2000 SERVER; 1. 版本的選擇:WIN2000有各種語(yǔ)言的版本,對(duì)于我們來(lái)說(shuō),可以選擇英文版或簡(jiǎn)體中文版,我強(qiáng)烈建議:在語(yǔ)言不成為障礙的情況下,請(qǐng)一定使用英文版。要知道,微軟的產(chǎn)品是以Bug & Patch而著稱的,中文版的Bug遠(yuǎn)遠(yuǎn)多于英文版,而補(bǔ)丁一般還會(huì)遲至少半個(gè)月(也就是說(shuō)一般微軟公布了漏洞后你的機(jī)子還會(huì)有半個(gè)月處于無(wú)保護(hù)狀況) 2. 組件的定制:win2000在默認(rèn)情況下會(huì)安裝一些常用的組件,但是正是這個(gè)默認(rèn)安裝是極度危險(xiǎn)的(米特尼科說(shuō)過(guò),他可以進(jìn)入任何一臺(tái)默認(rèn)安裝的服務(wù)器,我雖然不敢這么說(shuō),不過(guò)如果你的主機(jī)是WIN2000 SERVER的默認(rèn)安裝,我可以告訴你,你死定了)你應(yīng)該確切的知道你需要哪些服務(wù),而且僅僅安裝你確實(shí)需要的服務(wù),根據(jù)安全原則,最少的服務(wù)+最小的權(quán)限=最大的安全。典型的WEB服務(wù)器需要的最小組件選擇是:只安裝IIS的Com Files,IIS Snap-In,WWW Server組件。如果你確實(shí)需要安裝其他組件,請(qǐng)慎重,特別是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個(gè)危險(xiǎn)服務(wù)。 3. 管理應(yīng)用程序的選擇 選擇一個(gè)好的遠(yuǎn)程管理軟件是非常重要的事,這不僅僅是安全方面的要求,也是應(yīng)用方面的需要。Win2000的Terminal Service是基于RDP(遠(yuǎn)程桌面協(xié)議)的遠(yuǎn)程控制軟件,他的速度快,操作方便,比較適合用來(lái)進(jìn)行常規(guī)操作。但是,Terminal Service也有其不足之處,由于它使用的是虛擬桌面,再加上微軟編程的不嚴(yán)謹(jǐn),當(dāng)你使用Terminal Service進(jìn)行安裝軟件或重起服務(wù)器等與真實(shí)桌面交互的操作時(shí),往往會(huì)出現(xiàn)哭笑不得的現(xiàn)象,例如:使用Terminal Service重起微軟的認(rèn)證服務(wù)器(Compaq, IBM等)可能會(huì)直接關(guān)機(jī)。所以,為了安全起見(jiàn),我建議你再配備一個(gè)遠(yuǎn)程控制軟件作為輔助,和Terminal Service互補(bǔ),象PcAnyWhere就是一個(gè)不錯(cuò)的選擇。 二、 正確安裝WIN2000 SERVER 1.分區(qū)和邏輯盤的分配,有一些朋友為了省事,將硬盤僅僅分為一個(gè)邏輯盤,所有的軟件都裝在C驅(qū)上,這是很不好的,建議最少建立兩個(gè)分區(qū),一個(gè)系統(tǒng)分區(qū),一個(gè)應(yīng)用程序分區(qū),這是因?yàn)椋④浀腎IS經(jīng)常會(huì)有泄漏源碼/溢出的漏洞,如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。推薦的安全配置是建立三個(gè)邏輯驅(qū)動(dòng)器,第一個(gè)大于2G,用來(lái)裝系統(tǒng)和重要的日志文件,第二個(gè)放IIS,第三個(gè)放FTP,這樣無(wú)論IIS或FTP出了安全漏洞都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件。要知道,IIS和FTP是對(duì)外服務(wù)的,比較容易出問(wèn)題。而把IIS和FTP分開(kāi)主要是為了防止入侵者上傳程序并從IIS中運(yùn)行。(這個(gè)可能會(huì)導(dǎo)致程序開(kāi)發(fā)人員和編輯的苦惱,管他呢,反正你是管理員J) 2.安裝順序的選擇:不要覺(jué)得:順序有什么重要?只要安裝好了,怎么裝都可以的。錯(cuò)!win2000在安裝中有幾個(gè)順序是一定要注意的: 首先,何時(shí)接入網(wǎng)絡(luò):Win2000在安裝時(shí)有一個(gè)漏洞,在你輸入Administrator密碼后,系統(tǒng)就建立了ADMIN$的共享,但是并沒(méi)有用你剛剛輸入的密碼來(lái)保護(hù)它,這種情況一直持續(xù)到你再次啟動(dòng)后,在此期間,任何人都可以通過(guò)ADMIN$進(jìn)入你的機(jī)器;同時(shí),只要安裝一完成,各種服務(wù)就會(huì)自動(dòng)運(yùn)行,而這時(shí)的服務(wù)器是滿身漏洞,非常容易進(jìn)入的,因此,在完全安裝并配置好win2000 SERVER之前,一定不要把主機(jī)接入網(wǎng)絡(luò)。 其次,補(bǔ)丁的安裝:補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后,因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝 下面我們將仔細(xì)探討如何配置windows 2000. [page_break]三、 安全配置WIN2000 SERVER 即使正確的安裝了WIN2000 SERVER,系統(tǒng)還是有很多的漏洞,還需要進(jìn)一步進(jìn)行細(xì)致地配置。 1.端口:端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口,也是計(jì)算機(jī)的第一道屏障,端口配置正確與否直接影響到主機(jī)的安全,一般來(lái)說(shuō),僅打開(kāi)你需要使用的端口會(huì)比較安全,配置的方法是在網(wǎng)卡屬性-TCP/IP-高級(jí)-選項(xiàng)-TCP/IP篩選中啟用TCP/IP篩選,不過(guò)對(duì)于win2000的端口過(guò)濾來(lái)說(shuō),有一個(gè)不好的特性:只能規(guī)定開(kāi)哪些端口,不能規(guī)定關(guān)閉哪些端口,這樣對(duì)于需要開(kāi)大量端口的用戶就比較痛苦。另外,建議停止綁定的Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享。方法:網(wǎng)絡(luò)和撥號(hào)連接-高級(jí)-高級(jí)設(shè)置-適配器和綁定- Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享。 2.IIS:IIS是微軟的組件中漏洞最多的一個(gè),平均兩三個(gè)月就要出一個(gè)漏洞,而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維,所以IIS的配置是我們的重點(diǎn),現(xiàn)在大家跟著我一起來(lái): 首先,把C盤那個(gè)什么Inetpub目錄徹底刪掉,在D盤建一個(gè)Inetpub(要是你不放心用默認(rèn)目錄名也可以改一個(gè)名字,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub; 其次,那個(gè)IIS安裝時(shí)默認(rèn)的什么scripts等虛擬目錄一概刪除(罪惡之源呀,忘了http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了?我們雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來(lái)了,但是還是小心為上),如果你需要什么權(quán)限的目錄可以自己慢慢建,需要什么權(quán)限開(kāi)什么。(特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限,沒(méi)有絕對(duì)的必要千萬(wàn)不要給) 第三,應(yīng)用程序配置:在IIS管理器中刪除必須之外的任何無(wú)用映射,必須指的是ASP, ASA和其他你確實(shí)需要用到的文件類型,例如你用到stml等(使用server side include),實(shí)際上90%的主機(jī)有了上面兩個(gè)映射就夠了,其余的映射幾乎每個(gè)都有一個(gè)凄慘的故事:htw, htr, idq, ida……想知道這些故事?去查以前的漏洞列表吧。什么?找不到在哪里刪?在IIS管理器中右擊主機(jī)->屬性->WWW服務(wù) 編輯->主目錄 配置->應(yīng)用程序映射,然后就開(kāi)始一個(gè)個(gè)刪吧(里面沒(méi)有全選的,嘿嘿)。接著在剛剛那個(gè)窗口的應(yīng)用程序調(diào)試書(shū)簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本(除非你想ASP出錯(cuò)的時(shí)候用戶知道你的程序/網(wǎng)絡(luò)/數(shù)據(jù)庫(kù)結(jié)構(gòu))錯(cuò)誤文本寫(xiě)什么?隨便你喜歡,自己看著辦。點(diǎn)擊確定退出時(shí)別忘了讓虛擬站點(diǎn)繼承你設(shè)定的屬性。 為了對(duì)付日益增多的cgi漏洞掃描器,還有一個(gè)小技巧可以參考,在IIS中將HTTP404 Object Not Found出錯(cuò)頁(yè)面通過(guò)URL重定向到一個(gè)定制HTM文件,可以讓目前絕大多數(shù)CGI漏洞掃描器失靈。其實(shí)原因很簡(jiǎn)單,大多數(shù)CGI掃描器在編寫(xiě)時(shí)為了方便,都是通過(guò)查看返回頁(yè)面的HTTP代碼來(lái)判斷漏洞是否存在的,例如,著名的IDQ漏洞一般都是通過(guò)取1.idq來(lái)檢驗(yàn),如果返回HTTP200,就認(rèn)為是有這個(gè)漏洞,反之如果返回HTTP404就認(rèn)為沒(méi)有,如果你通過(guò)URL將HTTP404出錯(cuò)信息重定向到HTTP404.htm文件,那么所有的掃描無(wú)論存不存在漏洞都會(huì)返回HTTP200,90%的CGI掃描器會(huì)認(rèn)為你什么漏洞都有,結(jié)果反而掩蓋了你真正的漏洞,讓入侵者茫然無(wú)處下手(武俠小說(shuō)中常說(shuō)全身漏洞反而無(wú)懈可擊,難道說(shuō)的就是這個(gè)境界?)不過(guò)從個(gè)人角度來(lái)說(shuō),我還是認(rèn)為扎扎實(shí)實(shí)做好安全設(shè)置比這樣的小技巧重要的多。 最后,為了保險(xiǎn)起見(jiàn),你可以使用IIS的備份功能,將剛剛的設(shè)定全部備份下來(lái),這樣就可以隨時(shí)恢復(fù)IIS的安全配置。還有,如果你怕IIS負(fù)荷過(guò)高導(dǎo)致服務(wù)器滿負(fù)荷死機(jī),也可以在性能中打開(kāi)CPU限制,例如將IIS的最大CPU使用率限制在70%。 3.賬號(hào)安全: Win2000的賬號(hào)安全是另一個(gè)重點(diǎn),首先,Win2000的默認(rèn)安裝允許任何用戶通過(guò)空用戶得到系統(tǒng)所有賬號(hào)/共享列表,這個(gè)本來(lái)是為了方便局域網(wǎng)用戶共享文件的,但是一個(gè)遠(yuǎn)程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。很多朋友都知道可以通過(guò)更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止139空連接,實(shí)際上win2000的本地安全策略(如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中)就有這樣的選項(xiàng)RestrictAnonymous(匿名連接的額外限制),這個(gè)選項(xiàng)有三個(gè)值: 0:None. Rely on default permissions(無(wú),取決于默認(rèn)的權(quán)限) 1:Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM帳號(hào)和共享) 2:No access without explicit anonymous permissions(沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn)) 0這個(gè)值是系統(tǒng)默認(rèn)的,什么限制都沒(méi)有,遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum等等,對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)。 1這個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息。 2這個(gè)值是在win2000中才支持的,需要注意的是,如果你一旦使用了這個(gè)值,你的共享估計(jì)就全部完蛋了,所以我推薦你還是設(shè)為1比較好。 好了,入侵者現(xiàn)在沒(méi)有辦法拿到我們的用戶列表,我們的賬戶安全了……慢著,至少還有一個(gè)賬戶是可以跑密碼的,這就是系統(tǒng)內(nèi)建的administrator,怎么辦?我改改改,在計(jì)算機(jī)管理->用戶賬號(hào)中右擊administrator然后改名,改成什么隨便你,只要能記得就行了。 不對(duì)不對(duì),我都已經(jīng)改了用戶名了,怎么還是有人跑我管理員的密碼?幸好我的密碼夠長(zhǎng),但是這也不是辦法呀?嗯,那肯定是在本地或者Terminal Service的登錄界面看到的,好吧,我們?cè)賮?lái)把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon項(xiàng)中的Don’t Display Last User Name串?dāng)?shù)據(jù)改成1,這樣系統(tǒng)不會(huì)自動(dòng)顯示上次的登錄用戶名。 將服務(wù)器注冊(cè)表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon項(xiàng)中的Don't Display Last User Name串?dāng)?shù)據(jù)修改為1,隱藏上次登陸控制臺(tái)的用戶名。(哇,世界清靜了) 5.安全日志:我遇到過(guò)這樣的情況,一臺(tái)主機(jī)被別人入侵了,系統(tǒng)管理員請(qǐng)我去追查兇手,我登錄進(jìn)去一看:安全日志是空的,倒,請(qǐng)記住:Win2000的默認(rèn)安裝是不開(kāi)任何安全審核的!那么請(qǐng)你到本地安全策略->審核策略中打開(kāi)相應(yīng)的審核,推薦的審核是: 賬戶管理 成功 失敗 登錄事件 成功 失敗 對(duì)象訪問(wèn) 失敗 策略更改 成功 失敗 特權(quán)使用 失敗 系統(tǒng)事件 成功 失敗 目錄服務(wù)訪問(wèn) 失敗 賬戶登錄事件 成功 失敗 審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍;審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看,這樣就失去了審核的意義。 與之相關(guān)的是: 在賬戶策略->密碼策略中設(shè)定: 密碼復(fù)雜性要求 啟用 密碼長(zhǎng)度最小值 6位 強(qiáng)制密碼歷史 5次 最長(zhǎng)存留期 30天 在賬戶策略->賬戶鎖定策略中設(shè)定: 賬戶鎖定 3次錯(cuò)誤登錄 鎖定時(shí)間 20分鐘 復(fù)位鎖定計(jì)數(shù) 20分鐘 同樣,Terminal Service的安全日志默認(rèn)也是不開(kāi)的,我們可以在Terminal Service Configration(遠(yuǎn)程服務(wù)配置)-權(quán)限-高級(jí)中配置安全審核,一般來(lái)說(shuō)只要記錄登錄、注銷事件就可以了。 7.目錄和文件權(quán)限: 為了控制好服務(wù)器上用戶的權(quán)限,同時(shí)也為了預(yù)防以后可能的入侵和溢出,我們還必須非常小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限,NT的訪問(wèn)權(quán)限分為:讀取、寫(xiě)入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下,大多數(shù)的文件夾對(duì)所有用戶(Everyone這個(gè)組)是完全敞開(kāi)的(Full Control),你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。 在進(jìn)行權(quán)限控制時(shí),請(qǐng)記住以下幾個(gè)原則: 1>限是累計(jì)的:如果一個(gè)用戶同時(shí)屬于兩個(gè)組,那么他就有了這兩個(gè)組所允許的所有權(quán)限; 2>拒絕的權(quán)限要比允許的權(quán)限高(拒絕策略會(huì)先執(zhí)行)如果一個(gè)用戶屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組,那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限,他也一定不能訪問(wèn)這個(gè)資源。所以請(qǐng)非常小心地使用拒絕,任何一個(gè)不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無(wú)法正常運(yùn)行; 3>文件權(quán)限比文件夾權(quán)限高(這個(gè)不用解釋了吧?) 4>利用用戶組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一; 5>僅給用戶真正需要的權(quán)限,權(quán)限的最小化原則是安全的重要保障; 8.預(yù)防DoS: 在注冊(cè)表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防御一定強(qiáng)度的DoS攻擊 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 ICMP攻擊:ICMP的風(fēng)暴攻擊和碎片攻擊也是NT主機(jī)比較頭疼的攻擊方法,其實(shí)應(yīng)付的方法也很簡(jiǎn)單,win2000自帶一個(gè)Routing & Remote Access工具,這個(gè)工具初具路由器的雛形(微軟真是的,什么都要做?聽(tīng)說(shuō)最近又要做防火墻了)在這個(gè)工具中,我們可以輕易的定義輸入輸出包過(guò)濾器,例如,設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來(lái)ICMP報(bào)文(讓你炸?我丟、丟、丟) 9.停止危險(xiǎn)和不必要的服務(wù),如: 1> 停止server服務(wù),該服務(wù)提供 RPC 支持、文件、打印以及命名管道共享。(net stop server,在"開(kāi)始"-"管理工具"-"服務(wù)"中 把server服務(wù)停止并改為手動(dòng)或禁止),單獨(dú)刪除共享的方法:net share ipc$ /delete,加上共享的方法。 2> 用net share命令確認(rèn)默認(rèn)的共享(ipc$,c$,d$...admin$,system$)已經(jīng)刪除,查看手工設(shè)置的共享,刪除不需要的共享,最好全部刪除。 3> 停止TCP/IP Services服務(wù),該服務(wù)支持以下 TCP/IP 服務(wù):Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。,它對(duì)應(yīng)多個(gè)端口,如7,9,17等,可能導(dǎo)致DOS攻擊。 4> 用net start命令查看啟動(dòng)的服務(wù),確認(rèn)停止所有不必要的服務(wù),特別是:停止telnet,ftp服務(wù)等。 各種服務(wù)的配置需要自己根據(jù)情況進(jìn)行不同配置,要在不斷探索中完善。 四、 需要注意的一些事: 實(shí)際上,安全和應(yīng)用在很多時(shí)候是矛盾的,因此,你需要在其中找到平衡點(diǎn),畢竟服務(wù)器是給用戶用而不是做OPEN HACK的,如果安全原則妨礙了系統(tǒng)應(yīng)用,那么這個(gè)安全原則也不是一個(gè)好的原則。 網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程,它不僅有空間的跨度,還有時(shí)間的跨度。很多朋友(包括部分系統(tǒng)管理員)認(rèn)為進(jìn)行了安全配置的主機(jī)就是安全的,其實(shí)這其中有個(gè)誤區(qū):我們只能說(shuō)一臺(tái)主機(jī)在一定的情況一定的時(shí)間上是安全的,隨著網(wǎng)絡(luò)結(jié)構(gòu)的變化、新的漏洞的發(fā)現(xiàn),管理員/用戶的操作,主機(jī)的安全狀況是隨時(shí)隨地變化著的,只有讓安全意識(shí)和安全制度貫穿整個(gè)過(guò)程才能做到真正的安全。 網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個(gè)人學(xué)習(xí)測(cè)試使用,請(qǐng)?jiān)谙螺d后24小時(shí)內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請(qǐng)支持購(gòu)買微軟正版軟件!
本站所有資源全部來(lái)自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請(qǐng)及時(shí)通知我們(),我們會(huì)及時(shí)處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機(jī)站 關(guān)于本站
