广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1601 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] Win2003伺服器安全配置技巧 (一)
Win2003伺服器安全配置技巧

我们配置的伺服器需要提供支援的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、 3389终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP伺服器,邮件伺服器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。
  关于常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低许可权的public帐户连接等等,都不说了
  先说关于系统的NTFS磁片许可权设置,大家可能看得都多了,但是2003伺服器有些细节地方需要注意的,我看很多文章都没写完全。
  C盘只给administrators 和system许可权,其他的许可权不给,其他的盘也可以这样设置,这里给的system许可权也不一定需要给,只是由于某些第三方应用程式是以服务形式启动的,需要加上这个用户,否则造成启动不了。

  Windows目录要加上给users的默认许可权,否则ASP和ASPX等应用程式就无法运行。以前有朋友单独设置Instsrv和temp等目录许可权,其实没有这个必要的。

  另外在c:/Documents and Settings/这里相当重要,后面的目录里的许可权根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators许可权,而在All Users/Application Data目录下会出现everyone用户有完全控制许可权,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升许可权;譬如利用serv-u的本地溢出提升许可权,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就能拿到 system",这也的确是有可能的。在用做web/ftp伺服器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,没个盘都只给adinistrators许可权。

  另外,还将:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。
  把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
  在"网路连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了 Qos数据包计划程式。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用 "Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以遮罩端口,这样已经基本达到了一个IPSec的功能。



  这里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP伺服器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-06 03:08 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.052408 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言