Windows Internet服务器安全配置指南原理篇第1/2页

我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.

1.扫描 
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务. 
对应措施:端口限制 
以下所有规则.都需要选择镜像,否则会导致无法连接 
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽

2.下载信息 
这里主要是通过URL SCAN.来过滤一些非法请求 
对应措施:过滤相应包 
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段 
来阻止特定结尾的文件的执行

3.上传文件 
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等. 
对应措施:取消相应服务和功能,设置ACL权限 
如果有条件可以不使用FSO的. 
通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL. 
如果需要使用. 
那就为每个站点建立一个user用户 
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限 
安装杀毒软件.实时杀除上传上来的恶意代码. 
个人推荐MCAFEE或者卡巴斯基 
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.

4.WebShell 
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作. 
对应措施:取消相应服务和功能 
一般WebShell用到以下组件 
WScript.Network 
WScript.Network.1 
WScript.Shell 
WScript.Shell.1 
Shell.Application 
Shell.Application.1 
我们在注册表中将以上键值改名或删除 
同时需要注意按照这些键值下的CLSID键的内容 
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除

5.执行SHELL 
入侵者获得shell来执行更多指令 
对应措施:设置ACL权限 
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE 
我们将此文件的ACL修改为 
某个特定管理员帐户(比如administrator)拥有全部权限. 
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.

6.利用已有用户或添加用户 
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进 
对应措施:设置ACL权限.修改用户 
将除管理员外所有用户的终端访问权限去掉. 
限制CMD.EXE的访问权限. 
限制SQL SERVER内的XP_CMDSHELL

7.登陆图形终端 
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端, 
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的. 
所以这步是每个入侵WINDOWS的入侵者都希望获得的 
对应措施:端口限制 
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问. 
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马. 
所以在端口限制中.由本地访问外部网络的端口越少越好. 
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口. 
阻断所有的反弹木马.

8.擦除脚印 
入侵者在获得了一台机器的完全管理员权限后 
就是擦除脚印来隐藏自身. 
对应措施:审计 
首先我们要确定在windows日志中打开足够的审计项目. 
如果审计项目不足.入侵者甚至都无需去删除windows事件. 
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的. 
将运行的指令保存下来.了解入侵者的行动. 
对于windows日志 
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性. 
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents) 
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能. 
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统. 
推荐使用kiwi syslog deamon.

我们要达到的目的就是 
不让入侵者扫描到主机弱点 
即使扫描到了也不能上传文件 
即使上传文件了不能操作其他目录的文件 
即使操作了其他目录的文件也不能执行shell 
即使执行了shell也不能添加用户 
即使添加用户了也不能登陆图形终端 
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.

额外措施: 
我们可以通过增加一些设备和措施来进一步加强系统安全性. 
1.代理型防火墙.如ISA2004 
代理型防火墙可以对进出的包进行内容过滤. 
设置对HTTP REQUEST内的request string或者form内容进行过滤 
将SELECT.DROP.DELETE.INSERT等都过滤掉. 
因为这些关键词在客户提交的表单或者内容中是不可能出现的. 
过滤了以后可以说从根本杜绝了SQL 注入 
2.用SNORT建立IDS 
用另一台服务器建立个SNORT. 
对于所有进出服务器的包都进行分析和记录 
特别是FTP上传的指令以及HTTP对ASP文件的请求 
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE 
我们将此文件的ACL修改为 
某个特定管理员帐户(比如administrator)拥有全部权限. 
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.

6.利用已有用户或添加用户 
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进 
对应措施:设置ACL权限.修改用户 
将除管理员外所有用户的终端访问权限去掉. 
限制CMD.EXE的访问权限. 
限制SQL SERVER内的XP_CMDSHELL

7.登陆图形终端 
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端, 
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的. 
所以这步是每个入侵WINDOWS的入侵者都希望获得的 
对应措施:端口限制 
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问. 
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马. 
所以在端口限制中.由本地访问外部网络的端口越少越好. 
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口. 
阻断所有的反弹木马.

8.擦除脚印 
入侵者在获得了一台机器的完全管理员权限后 
就是擦除脚印来隐藏自身. 
对应措施:审计 
首先我们要确定在windows日志中打开足够的审计项目. 
如果审计项目不足.入侵者甚至都无需去删除windows事件. 
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的. 
将运行的指令保存下来.了解入侵者的行动. 
对于windows日志 
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性. 
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents) 
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能. 
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统. 
推荐使用kiwi syslog deamon.

我们要达到的目的就是 
不让入侵者扫描到主机弱点 
即使扫描到了也不能上传文件 
即使上传文件了不能操作其他目录的文件 
即使操作了其他目录的文件也不能执行shell 
即使执行了shell也不能添加用户 
即使添加用户了也不能登陆图形终端 
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.

额外措施: 
我们可以通过增加一些设备和措施来进一步加强系统安全性. 
1.代理型防火墙.如ISA2004 
代理型防火墙可以对进出的包进行内容过滤. 
设置对HTTP REQUEST内的request string或者form内容进行过滤 
将SELECT.DROP.DELETE.INSERT等都过滤掉. 
因为这些关键词在客户提交的表单或者内容中是不可能出现的. 
过滤了以后可以说从根本杜绝了SQL 注入 
2.用SNORT建立IDS 
用另一台服务器建立个SNORT. 
对于所有进出服务器的包都进行分析和记录 
特别是FTP上传的指令以及HTTP对ASP文件的请求 
可以特别关注一下.

当前1/2页 12下一页阅读全文

(0)

相关推荐

  • [推荐]Win2003 Server安全配置完整篇第1/3页

    本文详细介绍了Windows Server 2003中的安全配置问题,包括端口.审核.默认共享.磁盘管理以及防火墙和数据库等方面,相信会让你有所收获. 一.先关闭不需要的端口 我比较小心,先关了端口.只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把

  • Windows Server 2003 虚拟主机的安全配置

    本人上次工作于某家网络公司.负责服务器的维护工作.现失业. 经过一段时间的了解.自认为在构件Windows服务器平台上有所经验. 鉴于现在很多朋友都开始谋划属于自己的虚拟主机.并且呢. 网上相关文章都是很老的那种.所以自己冒昧准备写一系列.  希望各位多多指点.有问题有错误多多斧正.谢谢. 开头很严肃吧.呵呵.那下面就轻松点.哎.才跟GF去吃午饭了.撑的我.哎.老打嗝. 这人跟机器就一样.快的确是挺好.但是要稳定.服务器的稳定就好比谈恋爱的稳定. 否则一天三顿吵.外加吃个消夜.那就甭想好点工作了

  • Win2003 Server安全配置完整篇 端口关闭第1/3页

    一.先关闭不需要的端口 我比较小心,先关了端口.只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可.PS一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法: Windows Registry Edito

  • Windows Internet服务器安全配置指南原理篇第1/2页

    我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统. 1.扫描  这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.  对应措施:端口限制  以下所有规则.都需要选择镜像,否则会导致无法连接  我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽 2.下载信息  这里主要是通过URL SCAN.来过滤一些非法请求  对应措施:过滤相应包  我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段  来阻止特定结尾的文件的执行

  • Windows Internet服务器安全配置

    Windows Internet服务器安全配置 原理篇 我们将从入侵者入侵的各个环节来作出对应措施 一步步的加固windows系统. 加固windows系统.一共归于几个方面 1.端口限制 2.设置ACL权限 3.关闭服务或组件 4.包过滤 5.审计 我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统. 1.扫描 这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务. 对应措施:端口限制 以下所有规则.都需要选择镜像,否则会导致无法连接 我们需要作的就是打开服务所需要的端口

  • Windows 2003服务器安全配置终极技巧 图文教程

    网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端BT的2003服务器的安全配置,让更多的网管朋友高枕无忧. 我们配置的服务器需要提供支持的组件如下:(ASP.ASPX.CGI.PHP.FSO.JMAIL.MySql.SMTP.POP3.FTP.3389终端服务.远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配

  • windows环境下memcache配置方法 详细篇

    将memcache服务器安装包解压到C:\memcached文件夹后,使用cmd命令窗口安装. 1>开始>运行:CMD(确定) 2>cd C:\memcached(回车) 3>memcached -d install(回车 这步执行安装) 4>memcached -d start(回车 这步执行启动memcache服务器,默认分配64M内存,使用11211端口) 此时memcache服务器已经可以正常使用了. 在服务端运行: # ./memcached -d -m 2048

  • Windows rsync服务器备份配置实例

    command:rsync -vzrtopg --progress --delete --exclude=*.txt rsync@192.168.1.9::test /cygdrive/f/a 服务器端rsyncd.conf实例: 服务器端软件下载地址http://www.jb51.net/softs/16780.html use chroot = no #strict modes = false hosts allow = * log file = rsyncd.log pid file =

  • Windows服务器安全配置

    服务器安全配置(只针对WIN系统) 一. 原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁 修改3389 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d,这个是16进制,就是3389啦,我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们

  • windows server 2008安装配置DNS服务器

    目录 DNS服务器安装 配置DNS服务器 配置正向查找 配置反向查找 DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器.DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名. 域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置).域名是由一串用点分隔的名字组成的,通常包

  • Windows下用Nginx配置https服务器及反向代理的问题

    请求逻辑 前端 --> https方式请求nginx nginx --> 通过http请求后端服务 安装OpenSSL 下载地址 然后配置环境变量.在系统环境变量中添加环境变量: 变量名:OPENSSL_HOME 变量值:F:\OpenSSL-Win64\bin; (变量值为OPENSSL安装位置下的bin目录) 生成证书 用命令行随便打开一个目录, 使用如下命令生成证书 # 创建私钥 # test文件名是自己随便起即可, 这个命令会让你设置两次rsa的密码, 请务必记住该密码, 后续需要使用

  • Windows Server 2016服务器IIS配置的详细步骤(图文)

    本文主要记录 Windows Server 2016 环境下,安装配置 IIS 的详细步骤.需要说明的是,在选择“功能”或“角色服务”时不建议将所有的都勾选上,因为这样会添加很多不必要的功能和服务,占用服务器的磁盘空间和运行速度,应该是根据自己需要进行选择配置. 多余的话就不说了,配置Windows Server 2016服务器具体如下图 到此就配置完了,打开本地网址127.0.0.1即可. 到此这篇关于Windows Server 2016服务器IIS配置的详细步骤(图文)的文章就介绍到这了,

  • Windows Server 2019 WEB和FTP服务器的配置方法

    Windows Server 2019 WEB和FTP服务器配置 1:添加新角色:WEB.FTP服务 步骤2:添加网站 步骤3:访问网站进行测试 步骤4:添加FTP站点 步骤5:添加FTP站点测试 完成! 到此这篇关于Windows Server 2019 WEB和FTP服务器的配置方法的文章就介绍到这了,更多相关win2019 WEB和FTP服务器内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

随机推荐