阿江的Windows 2000服务器安全设置教程
前言
其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(组)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个组里,然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和组,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。
改名或卸载不安全组件
不安全组件不惊人
我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,
regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全了。
改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_ajiang
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的`那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="1.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOTShell.Application_ajiang]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]
@="Shell.Application_ajiang.1"
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
防止列出用户组和系统进程
我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:
【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。
防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
利用ASP漏洞攻击的常见方法及防范
一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。
windows server有2000 .2003.2008 主要作为服务器的,与xp有区别但是区别不大。也不需要学好久。主要要会配置服务器,你做网站的也需要学习下,对你是没什么坏处的服务器操作系统,又名网络操作系统。相比个人版操作系统,在一个具体的网络中,服务器操作系统要承担额外的管理、配置、稳定、安全等功能,处于每个网络中的心脏部位,其网络操作系统的别称也由此而来。WINDOWS服务器操作系统大家应该都不会陌生,这是全球最大的操作系统开发商——Microsoft公司开发的。其服务器操作系统重要版本WINNT 4.0 Server、Win2000/Advanced Server、Win2003/Advanced Server,也支撑起目前市面上应用最多的服务器操作系统——Windows服务器操作系统派应用.
Windows Server 2003系列沿用了Windows 2000 Server的先进技术并且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。
客户需要的所有对业务至关重要的功能,Windows Server 2003中全部包括,如安全性、可靠性、可用性和可伸缩性。此外,Microsoft已经改进和扩展了Windows服务器操作系统,使贵单位能够体验到Microsoft .NET(用于连接信息、人、系统和设备的软件)的好处。
一、Windows Server 2003是一个多任务操作系统,它能够按照您的需要,以集中或分布的方式处理各种服务器角色。其中的一些服务器角色包括:
文件和打印服务器。
Web服务器和Web应用程序服务器。
邮件服务器。
终端服务器。
远程访问/虚拟专用网络(VPN)服务器。
目录服务器、域名系统(DNS)、动态主机配置协议(DHCP)服务器和Windows Internet命名服务(WINS)。
流媒体服务器。
二、Windows Server 2003核心技术
Windows Server 2003包含了基于Windows 2000 Server构建的核心技术,从而提供了经济划算的优质服务器操作系统。了解使Windows Server 2003在任意规模的单位里都能成为理想的服务器平台的那些新功能和新技术。了解这一可靠的服务器操作系统如何使得机构和员工工作效率更高并且更好地沟通。
1、可靠
Windows Server 2003具有可靠性、可用性、可伸缩性和安全性,这使其成为高度可靠的平台。
可用性:Windows Server 2003系列增强了群集支持,从而提高了其可用性。对于部署业务关键的应用程序、电子商务应用程序和各种业务应用程序的单位而言,群集服务是必不可少的,因为这些服务大大改进了单位的可用性、可伸缩性和易管理性。在Windows Server 2003中,群集安装和设置更容易也更可靠,而该产品的增强网络功能提供了更强的故障转移能力和更长的系统运行时间。
Windows Server 2003系列支持多达8个节点的服务器群集。如果群集中某个节点由于故障或者维护而不能使用,另一节点会立即提供服务,这一过程即为故障转移。Windows Server 2003还支持网络负载平衡(NLB),它在群集中各个结点之间平衡传入的Internet协议(IP)通讯。
可伸缩性:Windows Server 2003系列通过由对称多处理技术(SMP)支持的向上扩展和由群集支持的向外扩展来提供可伸缩性。内部测试表明,与Windows 2000 Server相比,Windows Server 2003在文件系统方面提供了更高的性能(提高了140%),其他功能(包括Microsoft Active Directory服务、Web服务器和终端服务器组件以及网络服务)的性能也显著提高。Windows Server 2003是从单处理器解决方案一直扩展到32路系统的。它同时支持32位和64位处理器。
安全性:通过将Intranet、Extranet和Internet站点结合起来,各公司超越了传统的局域网(LAN)。因此,系统安全问题比以往任何时候都更为严峻。作为Microsoft对可信赖、安全和可靠的计算的承诺的一部分,公司认真审查了Windows Server 2003系列,以弄清楚可能存在的错误和缺陷。Windows Server 2003在安全性方面提供了许多重要的新功能和改进,包括:
公共语言运行库:本软件引擎是Windows Server 2003的关键部分,它提高了可靠性并有助于保证计算环境的安全。它降低了错误数量,并减少了由常见的编程错误引起的安全漏洞。因此,攻击者能够利用的弱点就更少了。公共语言运行库还验证应用程序是否可以无错误运行,并检查适当的安全性权限,以确保代码只执行适当的操作。
Internet Information Services 6.0:为了增强Web服务器的安全性,Internet Information Services (IIS) 6.0在交付时的配置可获得最大安全性。(默认安装“已锁定”。)IIS 6.0和Windows Server 2003提供了最可靠、最高效、连接最通畅以及集成度最高的Web服务器解决方案,该方案具有容错性、请求队列、应用程序状态监控、自动应用程序循环、高速缓存以及其他更多功能。这些功能是IIS 6.0中许多新功能的一部分,它们使您得以在Web上安全地执行业务。
2、高效
Windows Server 2003在许多方面都具有使机构和雇员提高工作效率的能力,包括:
文件和打印服务器:任何IT机构的核心都是要求对文件和打印资源进行有效地管理,同时又允许用户安全地使用。随着网络的扩展,位于站点上、远程位置或甚至合伙公司中用户的增加,IT管理员面临着不断增长的沉重负担。Windows Server 2003系列提供了智能的文件和打印服务,其性能和功能性都得到提高,从而使您得以降低TCO。
Active Directory:Active Directory是Windows Server 2003系列的目录服务。它存储了有关网络上对象的信息,并且通过提供目录信息的逻辑分层组织,使管理员和用户易于找到该信息。Windows Server 2003对Active Directory作了不少改进,使其使用起来更通用、更可靠,也更经济。在Windows Server 2003中,Active Directory提供了增强的性能和可伸缩性。它允许您更加灵活地设计、部署和管理单位的目录。
管理服务:随着桌面计算机、便携式计算机和便携式设备上计算量的激增,维护分布式个人计算机网络的实际成本也显著增加了。通过自动化来减少日常维护是降低操作成本的关键。Windows Server 2003新增了几套重要的自动管理工具来帮助实现自动部署,包括Microsoft软件更新服务(SUS)和服务器配置向导。新的组策略管理控制台(GPMC)使得管理组策略更加容易,从而使更多的机构能够更好地利用Active Directory服务及其强大的管理功能。此外,命令行工具使管理员可以从命令控制台执行大多数任务。GPMC拟在Windows Server 2003发行之前作为一个独立的组件出售。
存储服务:Windows Server 2003在存储管理方面引入了新的增强功能,这使得管理及维护磁盘和卷、备份和恢复数据以及连接存储区域网络(SAN)更为简易和可靠。
终端服务器:Microsoft Windows Server 2003的终端服务组件构建在Windows 2000终端组件中可靠的应用服务器模式之上。终端服务使您可以将基于Windows的应用程序或Windows桌面本身传送到几乎任何类型的计算设备上-包括那些不能运行Windows的设备。
3、联网
Windows Server 2003包含许多新功能和改进,以确保您的组织和用户保持连接状态:
XML Web服务:IIS 6.0是Windows Server 2003系列的重要组件。管理员和Web应用程序开发人员需要一个快速、可靠的Web平台,并且它是可扩展的和安全的。IIS中的重大结构改进包括一个新的进程模型,它极大地提高了可靠性、可伸缩性和性能。默认情况下,IIS以锁定状态安装。安全性得到了提高,因为系统管理员根据应用程序要求来启用或禁用系统功能。此外,对直接编辑XML元数据库的支持改善了管理能力。
联网和通讯:对于面临全球市场竞争挑战的单位来说,联网和通讯是现在的当务之急。员工需要在任何地点、使用任何设备接入网络。合作伙伴、供应商和网络外的其他机构需要与关键资源进行高效地交互,而且,安全性比以往任何时候都重要。Windows Server 2003系列的联网改进和新增功能扩展了网络结构的多功能性、可管理性和可靠性。
Enterprise UDDI服务:Windows Server 2003包括Enterprise UDDI服务,它是XML Web服务的动态而灵活的结构。这种基于标准的解决方案使公司能够运行他们自己的内部UDDI服务,以供Intranet和Extranet使用。开发人员能够轻松而快速地找到并重用单位内可用的Web服务。IT管理员能够编录并管理他们网络中的可编程资源。利用Enterprise UDDI服务,公司能够生成和部署更智能、更可靠的应用程序。
Windows媒体服务:Windows Server 2003包括业内最强大的数字流媒体服务。这些服务是Microsoft Windows Media?技术平台下一个版本的一部分,该平台还包括新版的Windows媒体播放器、Windows媒体编辑器、音频/视频编码解码器以及Windows媒体软件开发工具包。
4、最经济
由于PC技术提供了最经济的芯片平台,仅依靠PC就可完成任务已成为采用Windows Server 2003的重要经济动机。而对Windows Server 2003在成本控制方面适合扩大或缩小规模来说,这只是开始。使用Windows .NET Server中自带的许多重要服务和组件,各机构可以迅速利用这个易于部署、管理和使用的集成平台。
当您采用了Windows .NET Server时,您就成为了帮助使Windows平台更高效的全球网络中的一员。
这种提供全球服务和支持的网络有如下优点:
最大数量的ISV:Microsoft软件拥有遍及世界各地的大量的独立软件供应商(ISV),他们支持Microsoft应用程序并在Windows上生成已认证的自定义应用程序。
全球服务:Microsoft受世界上450,000多名Microsoft认证系统工程师(MCSE)以及供应商和合作伙伴的支持。
培训选项:Microsoft提供各种IT培训,使得IT人员只需交付适当的费用就可以继续扩展他们的技能。
经过认证的解决方案:第三方ISV为Windows提供了数千个经过认证的硬件驱动程序和软件应用程序,使它便于添加新设备和应用程序。另外,Microsoft Solutions Offerings (MSO)可帮助各机构创建能解决业务难题并经得起考验的解决方案。
这种经济的产品和服务系统的获得成本低,从而帮助机构获得更高的生产效率。
XML Web服务和.NET
Microsoft .NET已与Windows Server 2003系列紧密集成。它使用XML Web服务使软件集成程度达到了前所未有的水平:分散、组块化的应用程序通过Internet互相连接并与其他大型应用程序相连接。
通过集成到构成Microsoft平台的产品中,.NET提供了通过XML Web服务迅速可靠地构建、托管、部署和使用安全的联网解决方案的能力。Microsoft平台提供了一套联网所需的开发人员工具、客户端应用程序、XML Web服务和服务器。
这些XML Web服务提供了基于行业标准构建的可再次使用的组件,这些组件调用其他应用程序的功能,调用的方法独立于创建应用程序,操作系统、平台或设备用于访问它们的方法。
利用XML Web服务,开发人员可以在企业内部集成应用程序,并跨网络连接合作伙伴和客户。这种先进的软件技术使联合合作成为可能,并且所带来的更有效的商业到商业和商业到用户服务可以对企业收入产生潜在的重要影响。数百万其它用户可以以各种组合使用这些组件,获得高度个性化、智能化的计算体验。
Windows Server 2003系列的其他.NET优点有助于开发人员:
利用现有的投资。现有用于Windows Server的基于Windows的应用程序将可以继续运行在Windows Server 2003上,并且可被简便地重新包装为XML Web服务。
减少代码的编写工作量,使用已经掌握了的编程语言和工具。实现这一点要归功于Windows Server 2003内置的应用程序服务,如ASP.NET、事务监视、消息队列和数据访问。
进程监视、循环、内置指令用于为应用程序可提供可靠性、可用性和可伸缩性。
所有这些益处都在改进的内核Windows服务器结构中实现并构成了.NET的基础。
分为Windows Server 2003 企业版,Windows Server 2003 标准版,Windows Server 2003 Datacenter 版,Windows Server 2003 Web 版.对以上版本再分别介绍
再列出Windows Server 2003 各个突出的技术介绍 就OK了
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)