服务器系统安全维护.ppt

服务器系统安全维护,主要内容,一、WindowsServer2003IIS服务器二、安装和配置DNS服务器三、WindowsServer2003中设置FTP服务器四、Windows2000中设置FTP服务器五、设置SMTP安全选项六、MicrosoftSQLServer安全防护,一、WindowsServer2003IIS服务器,1.IIS服务器的安全性2.一个IIS远程攻击示例3.确保Web服务的安全4.确保Web站点的安全,1.IIS服务器的安全性,由于Web站点的发布很多是依靠Microsoft的IIS服务器，疏于防护和无安全配置的IIS服务器往往是黑客攻击的“肉鸡”，这是因为服务器存在着诸如IDA、IDQ、Unicode、.printer、WebDAV等等漏洞，不少可远程获得管理员权限为了向组织Intranet中的Web服务器和应用程序提供全面的安全保护，应该保护每个MicrosoftInternet信息服务(IIS)服务器以及在这些服务器运行的每个Web站点和应用程序不受可与它们连接的客户端计算机的侵害,2.一个IIS远程攻击示例,WebDAV是HTTP协议的扩展，允许远程编写和管理Web内容微软IIS5.0的WebDAV在处理某些畸形的请求时存在缺陷，当外部提交一恶意超长的SEARCH请求时，远程的WebDav服务会出现缓冲区溢出可使IIS服务重启攻击者可以通过这个漏洞以Web服务器的执行权限执行任意代码，以下几页给出针对Windows2000Server的攻击工程,(1)启用“X-Scan”扫描器,(2)发现目标主机中“Webdav”漏洞,(3)攻击目标主机,(4)创建管理员用户,netlocalgroupadministratorsccc/add,(5)远程桌面完全控制,3.确保Web服务的安全,3.1仅启用必要的Web服务扩展3.2仅安装必要的IIS组件3.3使用安全工具3.4确保IIS全局的设置安全3.5确保默认Web站点和管理Web站点的安全3.6使FrontPageServerExtension无效,3.1仅启用必要的Web服务扩展,启用所有的Web服务扩展可确保与现有应用软件的最大可能的兼容性。仅启用在IIS服务器环境下运行的站点和应用软件所必需的Web服务扩展，通过最大限度精简服务器的功能，可以减少每个IIS服务器的受攻击面，从而增强了安全性。建议不要安装IndexServer、FrontPageServerExtensions、示例WWW站点等功能。,3.2仅安装必要的IIS组件,除“万维网发布服务”之外，IIS6.0还包括其它的组件和服务，例如FTP和SMTP服务。可以通过双击“控制面板”上的“添加/删除程序”来启动Windows组件向导应用程序服务器，以安装和启用IIS组件和服务。安装IIS之后，必须启用Web站点和应用程序所需的所有必要的IIS组件和服务应该仅启用Web站点和应用程序所需的必要IIS组件和服务。启用不必要的组件和服务会增加IIS服务器的受攻击面,3.3使用安全工具,Microsoft免费提供了一个“IISLockdownWizard”工具来确保IISWeb服务器的安全。它可让管理员通过选用一个模板来选择服务器支持的技术。Microsoft免费提供一个叫“URLScan”的工具，它在MicrosoftInternet信息服务(IIS)接受HTTP请求时对请求进行屏蔽和分析。正确配置后，“URLScan”可有效减少IIS4.0、IIS5.0和IIS5.1遭受来自Internet攻击的危险。,3.4确保IIS全局的设置安全,大部分IIS配置设置存储在元库中，但是一些全局设置仍在注册表里。要确保注册表内这些键值按如下设置：HKLMSYSTEMCurrentControlSetservicesW3SVCParametersAllowSpecialCharsShell。它是允许或组织特定的命令字符作为CGI脚本或可执行文件的参数，应设置为0。HKLMSYSTEMCurrentControlSetservicesW3SVCParametersLogSuccessfullRequests。它是使IIS日志记录功能启用或禁用的参数，应设置为1。HKLMSYSTEMCurrentControlSetservicesW3SVCParametersSSIEnableCmdDirective。它是允许或组织使用服务器端的#execcmd指示参数，应设置为0。,3.4确保IIS全局的设置安全(续),要确保注册表内这些键值按如下设置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesW3SVCParametersAllowGuestAccess。它是设置是否允许Guest访问Web服务器的参数，0表示禁止访问；1允许。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesW3SVCParametersEnableSvcLoc。它是允许或组织微软控制台（MMC）管理单元管理IIS服务器的参数，0表示禁止访问；1允许。可根据实际需要设置。HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNTPrintersDisableWebPrinting。它是禁止网络打印的参数，应设置为0。,3.5确保默认Web站点和管理Web站点的安全,第一次安全IID时会创建两个站点：默认Web站点和管理Web站点，它们有不少安全隐患，应该禁用。,要删除以下默认Web站点的虚拟目录,ScriptsIISHelpIISSamplesPrintersIISAdminIISAdmpwdMSADCPBServerPBSDataRPCCertSrvCertControlCertEnroll,从系统文件中删除这些目录,C:inetpubscriptsC:winnthelpiishelpiisC:inetpubiissamplesC:winntwebprintersC:winntsystem32inetsrviisadminC:winntsystem32inetsrviisadmpwd,3.6使FrontPageServerExtension无效,FPSE提供了方便的远程Web授权特性，但是它却导致了Web服务器遭受攻击面的扩大。如果要完全删除FPSE，首先打开“Internet服务管理器”在每个Web站点上右键点击，选择“AllTasks”，“RemoveServerExtensions”。然后删除_vti或_private目录最后，从主Web站点属性的“ISAPI扩展”标签中删除FPEXED.dll文件。,4.确保Web站点的安全,4.1Web站点为只读4.2设置WWW属性4.3帐户策略4.4在专用磁盘卷中放置内容4.5设置NTFS权限4.6设置IISWeb站点权限4.7配置IIS日志4.8打开审核策略,4.1Web站点为只读,在“管理Web站点”上单击鼠标右键，选择“新建站点”。根据提示操作，我们自建的站点说明假设为“Web”，目录为“D:webroot”，只给读取权限。,4.2设置WWW属性,在“Web”的属性“主目录”中设置执行许可为“无”，“应用程序设置”、“配置”中删除不必要的IIS扩展名映射,4.3帐户策略,清理帐户保护众所周知帐户的安全再增加一个属于管理员组的帐号作管理和备份创建一个帐号陷阱，就是说创建一个Administrator的本地帐号，但权限低密码强定期修改口令对于IIS服务器，建议不要使用帐户锁定策略在“本地策略”的“安全选项”里，把“LanManager身份验证级别”改为“仅发送NTLM响应”，这样即使入侵者借助Sniffer得到口令的hash也很难破解把“匿名连接的额外限制”设置为“没有显示匿名权限就无法访问”启用“在关机时清理虚拟内存交换页面”启用“登录屏幕上不要显示上次登录的用户名”,4.4在专用磁盘卷中放置内容,IIS会将默认Web站点的文件存储到inetpubwwwroot，其中是安装WindowsServer2003操作系统的驱动器。应该将构成Web站点和应用程序的所有文件和文件夹放置到IIS服务器的专用磁盘卷中。将这些文件和文件夹放置到IIS服务器的一个专用磁盘卷不包含操作系统的磁盘卷有助于防止目录遍历攻击。,4.5设置NTFS权限,NTFS下所有文件默认情况下对所有人（eneryone）为完全控制权限，如果限制一般用户只有只读权限的话，有可能会导致一些脚本运行不正常，这时需要对这些文件所在的文件夹权限进行更改。这样WindowsServer2003将检查NTFS文件系统的权限，以确定用户或进程对特定文件或文件夹所具有的访问权限类型。建议在做更改前，先在测试机器上做测试，然后慎重更改。,NTFS权限表,4.6设置IISWeb站点权限,IIS将检查Web站点权限，以确定在Web站点中可能发生的操作类型，例如允许脚本源访问或允许文件夹浏览。应该为Web站点分配权限。Web站点权限可与NTFS权限结合使用。它们可配置给特定的站点、文件夹和文件。与NTFS权限不同，Web站点权限影响试图访问IIS服务器站点的每个人。Web站点权限可以通过使用IIS管理器管理单元生效。,Web站点权限表,4.7配置IIS日志,可以为每个站点或应用程序创建单独的日志。IIS可以记录Windows操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。IIS日志可被用来了解那些内容最受欢迎，确定信息瓶颈，或者用作协助攻击事件调查的资源。,4.8打开审核策略,打开安全审核是Win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些（如尝试用户名密码、改变帐户策略、未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多管理员在系统被入侵了几个月都不知道系统遭到了破坏。,安全设置审核策略,二、安装和配置DNS服务器,1.准备工作2.安装DNS服务3.安全配置DNS,1.准备工作,你的域名（经过Internic批准）要为其提供名称解析的每台服务器的IP地址和主机名操作系统配置正确已经分配了所有可用的磁盘空间所有现有的磁盘卷都使用NTFS文件系统,2.安装DNS服务,打开“Windows组件向导”。为此，请执行下列步骤：单击“开始”，单击“控制面板”，然后单击“添加或删除程序”。单击“添加/删除Windows组件”。在“组件”中，选中“网络服务”复选框，然后单击“详细信息”。在“网络服务子组件”中，选中“域名系统(DNS)”复选框，单击“确定”，然后单击“下一步”。在得到提示时，在“文件复制来源”中键入分发文件的完整路径，然后单击“确定”。,3.安全配置DNS,启动“配置你的服务器向导”在“服务器角色”页上，单击“DNS服务器”，然后单击“下一步”在“选择摘要”页上，查看并确认你所选择的选项。然后单击“下一步”在“配置你的服务器”向导中完成对DNS服务器本身的IP地址等参数的配置在“配置DNS服务器向导”中完成对DNS区域、转发器等参数的配置，完成DNS的配置过程,三、WindowsServer2003中设置FTP服务器,1.安装FTP服务2.配置匿名FTP服务3.FTP服务安全配置,1.安装FTP服务,单击“开始”，指向“控制面板”，然后单击“添加或删除程序”。单击“添加/删除Windows组件”。在“组件”列表中，单击“应用程序服务器”，单击“Internet信息服务(IIS)”（但是不要选中或清除复选框），然后单击“详细信息”。单击以选中下列复选框（如果它们尚未被选中）：“公用文件文件传输协议(FTP)服务Internet信息服务管理器”单击以选中你想要安装的任何其他的IIS相关服务或子组件旁边的复选框，然后单击“确定”。单击“下一步”。出现提示时，请将WindowsServer2003CD-ROM插入计算机的CD-ROM或DVD-ROM驱动器，或提供文件所在位置的路径，然后单击“确定”。单击“完成”。,2.配置匿名FTP服务,启动“Internet信息服务管理器”或打开IIS管理单元。展开“服务器名称”，其中服务器名称是该服务器的名称。展开“FTP站点”，右击“默认FTP站点”，然后单击“属性”。单击“安全帐户”选项卡。单击以选中“允许匿名连接”复选框（如果它尚未被选中），然后单击以选中“仅允许匿名连接”复选框。单击“主目录”选项卡。单击以选中“读取”和“日志访问”复选框（如果它们尚未被选中），然后单击以清除“写入”复选框（如果它尚未被清除）。单击“确定”。退出“Internet信息服务管理器”或者关闭IIS管理单元。,3.FTP服务安全配置,3.1限制客户端连接数3.2配置匿名用户或域用户访问权限3.3将访问权限限制到特定计算机,3.1限制客户端连接数,单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属性”。单击“FTP站点”选项卡。在“FTP站点连接”下，单击“连接限制为”，然后键入允许同时连接到服务器的最大数量。达到限制值时，IIS将向客户端返回一条错误信息，说明服务器忙。在“连接超时(秒)”框中，键入一个时间长度，指定服务器在用户处于非活动状态多长时间后与该用户断开连接。如果FTP协议不关闭某个连接，此操作可确保在指定的时间段后关闭所有连接。单击“确定”。退出Internet信息服务(IIS)管理器。,3.2配置匿名用户或域用户访问权限,单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击你的FTP站点，然后单击“属性”。单击“安全帐户”选项卡，执行以下操作之一：要允许以匿名方式连接到FTP站点，请单击以选中“允许匿名连接”复选框（如果它尚未被选中）。要将FTP站点配置为要求提供Windows用户名和密码，请单击清除“允许匿名连接”复选框,3.3将访问权限限制到特定计算机,单击“开始”，指向“管理工具”，然后单击“Internet信息服务(IIS)管理器”。在控制台树中，展开“ServerName”（其中ServerName是服务器的名称），展开“FTP站点”，右键单击FTP站点，然后单击“属性”。单击“目录安全性”选项卡。执行下列操作之一：要拒绝访问，请单击“授权访问”，然后单击“添加”。在出现的“拒绝访问”对话框中，指定所需的选项，然后单击“确定”。指定的计算机或者计算机组将被添加到列表中。要授予访问权限，请单击“拒绝访问”，然后单击“添加”。在出现的“授权访问”对话框中，指定所需的选项，然后单击“确定”。你选择的计算机、计算机组或者域将被添加到列表中,四、Windows2000中设置FTP服务器,4.1安装Internet信息服务4.2配置匿名FTP服务4.3安全配置,4.1安装Internet信息服务,单击“开始”，指向“设置”，然后单击“控制面板”。在“控制面板”中，双击“添加/删除程序”。选择“添加/删除Windows组件”。在“Windows组件向导”中，选择“Internet信息服务(IIS)”，然后单击“详细信息”。选择“公用文件、文档、文件传输协议(FTP)服务器”和“Internet信息服务管理单元”，然后单击“确定”。单击“下一步”。如果提示你配置终端服务，则单击“下一步”。如果提示你输入FTP根文件夹的路径，则键入适合的文件夹路径。默认路径为C:InetpubFtproot。若要获得更多的安全性，推荐使用NTFS驱动器。单击“确定”以继续。得到提示时，插入Windows2000CD或提供这些文件所在位置的路径，然后单击“确定”。单击“完成”。,4.2配置匿名FTP服务,依次单击“开始、程序和管理工具”，然后单击“Internet服务管理器”。（在Windows2000Professional中，可从“控制面板”访问“管理工具”。）单击服务器名称旁边的加号(+)。右击“默认FTP站点”，然后单击“属性”。单击“安全帐户”选项卡。选择“允许匿名连接”，然后选择“只允许匿名连接”。单击“主目录”选项卡。选择“读取和日志访问”，然后清除“写入”。单击“确定”保存这些设置。,4.3安全配置FTP服务,取消匿名FTP连接禁止FTP目录写入,五、设置SMTP安全选项,设置操作员权限指派/删除操作员权限要求对传入连接进行身份验证为出站消息配置身份验证要求传输层安全(TLS)加密创建和管理密钥证书为服务器设置TLS加密级别设置对服务器的IP访问限制设置IP地址访问限制从虚拟服务器删除中继限制,六、MicrosoftSQLServer安全防护,确保安装安全：使用安全的密码策略使用安全的帐号策略创建并使用一个低权限的服务帐号清除安装过程中的临时文件打安全补丁设置安全的SQLServer服务器只激活你要在服务器上使用的网络库（netlib）修改默认的1433端口屏蔽对1434端口的探测激活审查事件日志控制权限禁用AdHoc查询设置操作系统访问控制列表ACL清除危险的扩展存储过程在任务相关存储过程上设置严格权限使用SSL来加密数据通信协议,SqlServer的监控和维护,更新服务器版本和漏洞补丁执行变化控制基于事件作实时预警控制,谢谢,