加固基于Windows 2003平臺的WEB服務(wù)器

   基于Windows平臺下IIS運行的網(wǎng)站總給人一種感覺(jué)就是脆弱。早期的IIS確實(shí)存在很多問(wèn)題，不過(guò)我個(gè)人認為自從Windows Server 2003發(fā)布后，IIS6及Windows Server 2003新的安全特性、更加完善的管理功能和系統的穩定性都有很大的增強。雖然從Windows Server 2003上可以看到微軟不準備再發(fā)展ASP，特別是不再對Access數據庫的完好支持，但是面對它的那些優(yōu)勢迫使我不得不舍棄Windows 2000 Server。況且我也不需要運行太多的ASP+Access，因為我的程序都是PHP+MySQL（說(shuō)實(shí)話(huà)我不喜歡微軟的ASP和ASPNET），而且我確實(shí)信賴(lài)Windows Server 2003！

   服務(wù)器、網(wǎng)站，看到這些詞大家都會(huì )想到什么，不只是性能更加關(guān)注的是它的安全問(wèn)題。很多人都無(wú)法做到非常完美的安全加固，因為大部分的資料都來(lái)源互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)的資料總不是那么詳盡，畢竟每個(gè)服務(wù)器的應用環(huán)境及運行程序不同。

   我從事互聯(lián)網(wǎng)這個(gè)行業(yè)只有2年時(shí)間，其間遇到了很多問(wèn)題，我所管理的服務(wù)器部分是開(kāi)放式（PUBLIC）的，它是向互聯(lián)網(wǎng)的用戶(hù)敞開(kāi)的，所以我所面臨的問(wèn)題就更加的多！安全性首當其要，其次是系統的穩定性，最后才是性能。要知道服務(wù)器上存在很多格式各樣的應用程序，有些程序本身就有缺陷，輕者造成服務(wù)器當機，嚴重的會(huì )危及到服務(wù)器的整個(gè)數據安全。

   舉個(gè)例子，有一臺運行著(zhù)300多個(gè)網(wǎng)站的Windows 2000 Server，一段時(shí)間里它經(jīng)常Down機，發(fā)現內存泄漏特別快，幾分鐘時(shí)間內存使用立刻飆升到900M甚至高達1.2G，這個(gè)時(shí)候通過(guò)遠程是無(wú)法訪(fǎng)問(wèn)服務(wù)器了，但是服務(wù)器系統本身卻還在運行著(zhù)。這個(gè)問(wèn)題著(zhù)實(shí)讓我頭疼了很長(cháng)一段時(shí)間，因為如果要排查故障就要從這些網(wǎng)站入手，而網(wǎng)站的數量阻礙了我的解決進(jìn)度。后來(lái)通過(guò)Filemon監控文件讀取來(lái)縮小排查范圍，之后對可疑網(wǎng)站進(jìn)行隔離，最終找到故障點(diǎn)并解決。要知道一段小小的代碼就可以讓運行IIS5的Windows 2000 Server 掛掉！而在Windows Server 2003下，應用程序的級別低中高級變更為了程序池，這樣我們就可以對一個(gè)池進(jìn)行設置對內存和CPU進(jìn)行保護。它的這一特性讓我減輕了很多的工作量并且系統也穩定了很多。

   另外嚴重的就是安全性的問(wèn)題了，無(wú)論任何文章都有一個(gè)宗旨就是盡量在服務(wù)器少開(kāi)放端口，并開(kāi)放必要的服務(wù)，禁止安裝與服務(wù)器無(wú)關(guān)的應用程序。在Windows 2000 Server中，目錄權限都是Everyone，很多服務(wù)都是以SYSTEM權限來(lái)運行的，如Serv-U FTP 這款出色的FTP服務(wù)器平臺曾經(jīng)害苦了不少人，它的溢出漏洞可以使入侵者輕松的獲取系統完全控制權，如果做到呢？就是因為Serv-U FTP服務(wù)使用SYSTEM權限來(lái)運行，SYSTEM的權利比Administrator的權利可大的多，注冊表SAM項它是可以直接訪(fǎng)問(wèn)和修改的，這樣入侵者便利用這一特性輕松在注冊表中克隆一個(gè)超級管理員賬號并獲取對系統的完全控制權限。

   我的目標：加固WEB服務(wù)器系統，使之提高并完善其穩定性及安全性。

   系統環(huán)境：Windows Server 2003 Enterprise Edition With Service Pack 1（以下簡(jiǎn)稱(chēng)W2k3SP1），WEB平臺為IIS6，FTP平臺為Serv-U FTP Server

·安裝配置操作系統

安裝操作系統，在安裝前先要先去調整服務(wù)器的BIOS設置，關(guān)閉不需要的I/O，這樣節省資源又可以避免一些硬件驅動(dòng)問(wèn)題。務(wù)必斷開(kāi)服務(wù)器與網(wǎng)絡(luò )的連接，在系統沒(méi)有完成安全配置前不要將它接入網(wǎng)絡(luò )。在安裝過(guò)程中如果網(wǎng)卡是PNP類(lèi)型的，那么應當為其網(wǎng)絡(luò )屬性只配置允許使用TCP/IP協(xié)議，并關(guān)閉在TCP/IP上的NETBIOS，為了提供更安全的保證，應該啟用TCP/IP篩選，并不開(kāi)放任何TCP端口。完成操作系統的安裝后，首次啟動(dòng)W2K3SP1，會(huì )彈出安全警告界面，主要是讓你立刻在線(xiàn)升級系統更新補丁，并配置自動(dòng)更新功能，這個(gè)人性化的功能是W2K3SP1所獨有的，在沒(méi)有關(guān)閉這個(gè)警告窗口前，系統是一個(gè)安全運行的狀態(tài)，這時(shí)我們應當盡快完成系統的在線(xiàn)更新。
修改Administrator和Guest這兩個(gè)賬號的密碼使其口令變的復雜，并通過(guò)組策略工具為這兩個(gè)敏感賬號更名。修改位置在組策略中Computer Configuration-Windows Settings-Security Setting-Local Policies-Security Options下，這樣做可以避免入侵者馬上發(fā)動(dòng)對此賬號的密碼窮舉攻擊。
服務(wù)器通常都是通過(guò)遠程進(jìn)行管理的，所以我使用系統自帶的組件“遠程桌面”來(lái)對系統進(jìn)行遠程管理。之所以選擇它，因為它是系統自帶的組件缺省安裝只需要去啟用它就可以使用，支持驅動(dòng)器映射、剪切板映射等應用，并且只要客戶(hù)端是WindowsXP PRO都會(huì )自帶連接組件非常方便，最主要還有一點(diǎn)它是免費的。當然第三方優(yōu)秀的軟件也有如：PCAnyWhere，使用它可以解決Remote Desktop無(wú)法在本地環(huán)境模式下工作的缺點(diǎn)。為了防止入侵者輕易地發(fā)現此服務(wù)并使用窮舉攻擊手段，可以修改遠程桌面的監聽(tīng)端口：

1. 運行 Regedt32 并轉到此項：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

注意：上面的注冊表項是一個(gè)路徑；它已換行以便于閱讀。

2. 找到“PortNumber”子項，您會(huì )看到值 00000D3D，它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數值修改此端口號，并保存新值。

要更改終端服務(wù)器上某個(gè)特定連接的端口，請按照下列步驟操作：• 運行 Regedt32 并轉到此項：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection

注意：上面的注冊表項是一個(gè)路徑；它已換行以便于閱讀。

3. 找到“PortNumber”子項，您會(huì )看到值 00000D3D，它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數值修改此端口號，并保存新值。

注意：由于在終端服務(wù)器 4.0 版中尚未完全實(shí)現備用端口功能，因此只是“在合理的限度內盡量”提供支持，如果出現任何問(wèn)題，Microsoft 可能要求您將端口重設為 3389。

原文來(lái)源：微軟知識庫KB187623。當然為了達到更加安全的訪(fǎng)問(wèn)，還可以采用IPSec來(lái)保護遠程桌面的連接訪(fǎng)問(wèn)。

禁用不必要的服務(wù)不但可以降低服務(wù)器的資源占用減輕負擔，而且可以增強安全性。下面列出了可以禁用的服務(wù)：

·Application Experience Lookup Service

·Automatic Updates

·BITS

·Computer Browser

·DHCP Client

·Error Reporting Service

·Help and Support

·Network Location Awareness

·Print Spooler

·Remote Registry

·Secondary Logon

·Server

·Smartcard

·TCP/IP NetBIOS Helper

·Workstation

·Windows Audio

·Windows Time

·Wireless Configuration

打開(kāi)服務(wù)器本地計算機策略（gpedit.msc），參考以下選擇和修改對服務(wù)器進(jìn)行加固：

1．  設置賬號鎖定閥值為5次無(wú)效登錄，鎖定時(shí)間為30分鐘；

2．從通過(guò)網(wǎng)絡(luò )訪(fǎng)問(wèn)此計算機中刪除Everyone組；

3．  在用戶(hù)權利指派下，從通過(guò)網(wǎng)絡(luò )訪(fǎng)問(wèn)此計算機中刪除Power Users和Backup Operators；

4．  為交互登錄啟動(dòng)消息文本。

5．  啟用不允許匿名訪(fǎng)問(wèn)SAM賬號和共享；

6．  啟用不允許為網(wǎng)絡(luò )驗證存儲憑據或Passport；

7．  啟用在下一次密碼變更時(shí)不存儲LANMAN哈希值；

8．  啟用清除虛擬內存頁(yè)面文件；

9．  禁止IIS匿名用戶(hù)在本地登錄；

10．             啟用交互登錄：不顯示上次的用戶(hù)名；

11．             從文件共享中刪除允許匿名登錄的DFS$和COMCFG；

12．             禁用活動(dòng)桌面。

強化TCP協(xié)議棧：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"SynAttackProtect"=dword:00000001

"EnablePMTUDiscovery"=dword:00000000

"NoNameReleaseOnDemand"=dword:00000001

"EnableDeadGWDetect"=dword:00000000

"KeepAliveTime"=dword:00300000

"PerformRouterDiscovery"=dword:00000000

"TcpMaxConnectResponseRetransmissions"=dword:00000003

"TcpMaxHalfOpen"=dword:00000100

"TcpMaxHalfOpenRetried"=dword:00000080

"TcpMaxPortsExhausted"=dword:00000005

·安裝和配置IIS

進(jìn)入Windows組件安裝，找到應用程序服務(wù)器，進(jìn)入詳細信息，勾選ASP.NET后，IIS必須的組件就會(huì )被自動(dòng)選擇，如果你的服務(wù)器需要運行ASP腳本，那么還需要進(jìn)入Internet信息服務(wù)（IIS）-萬(wàn)維網(wǎng)服務(wù)下勾選Active Server Pages。完成安裝后，應當在其他邏輯分區上單獨建立一個(gè)目錄用來(lái)存儲WEB網(wǎng)站程序及數據。

一臺WEB服務(wù)器上都運行著(zhù)多個(gè)網(wǎng)站，他們之間可能互不相干，所以為了起到隔離和提高安全性，需要建立一個(gè)匿名WEB用戶(hù)組，為每一個(gè)站點(diǎn)創(chuàng )建一個(gè)匿名訪(fǎng)問(wèn)賬號，將這些匿名賬號添加到之前建立的匿名WEB用戶(hù)組中，并在本地計算機策略中禁止此組有本地登錄權限。

最后優(yōu)化IIS6應用程序池設置：

1．  禁用缺省應用程序池的空閑超時(shí)；

2．  禁用緩存ISAPI擴展；

3．  將應用程序池標識從NetworlService改為LocalService；

4．  禁用快速失敗保護；

5．  將關(guān)機時(shí)間限制從90秒改為10秒；

6．  內存回收下最大使用的內存改為300M；

注：應根據當前服務(wù)器運營(yíng)的業(yè)務(wù)進(jìn)行評估并對某些網(wǎng)站配置應用程序池，這樣可以降低當機率，并且也保證網(wǎng)站的可訪(fǎng)問(wèn)率，同時(shí)在出現故障時(shí)可以方便的排查。

·安裝和配置Serv-U FTP Server

這里之所以要將Serv-U FTP Server作為部署案例，是因為Serv-U使用者之多，操作及管理方便。并且從Serv-U的配置上大家應該能夠理解到我開(kāi)頭說(shuō)提到的服務(wù)運行權限。Serv-U的安裝不再復述，很多人在安裝后就開(kāi)始直接使用，自從Serv-U的溢出漏洞出現使我開(kāi)始重新認識和思考關(guān)于服務(wù)的運行權限問(wèn)題，通常Serv-U是以SYSTEM權限來(lái)運行服務(wù)的，這樣的好處是我們可以輕松的訪(fǎng)問(wèn)系統任何一個(gè)角落，包括注冊表（在Serv-U溢出后，可以直接訪(fǎng)問(wèn)注冊表中賬號存儲設定的關(guān)鍵項SAM），但是后果也是非?？膳碌?，所以分析了目前的服務(wù)器情況，為了方便起見(jiàn)我創(chuàng )建了一個(gè)具有管理員身份的賬號來(lái)運行Serv-U，這樣做是為了不需要重復的去設置目錄權限，同時(shí)解決低級權限所可能造成的兼容性問(wèn)題。但是為了保證這個(gè)賬號的安全，需要禁止它具有遠程桌面訪(fǎng)問(wèn)權利，禁止有本地登錄的權利。

·TCP/IP端口篩選 vs IPSec策略

在確定我們所要開(kāi)放的服務(wù)之后就要去配置端口，是使用TCP/IP篩選還是 IPSec？其實(shí)我很少用到IPSec，因為它是IP安全設置，除了我要禁止一個(gè)用戶(hù)來(lái)訪(fǎng)問(wèn)我或配置一個(gè)特定的連接訪(fǎng)問(wèn)我幾乎不去用IPSec。也去是因為我太懶了，只會(huì )記得要開(kāi)放什么端口。

在我看來(lái)，TCP/IP端口篩選和IPSec是相輔相成的，普通的應用我認為還是用端口來(lái)的方便，畢竟它可以做到只開(kāi)放哪些端口，之后針對其中特定的端口用IPSec作安全加固，這樣我倒是認為更好。一些朋友喜歡在事先做好一個(gè)IPSec模板，之后將其應用在其他服務(wù)器上，這樣做我認為真的不對，畢竟每臺服務(wù)器的應用都不會(huì )完全相同，這樣做只會(huì )造成更多的故障，我就經(jīng)常遇到這樣的問(wèn)題，一些客戶(hù)總是抱怨他們的服務(wù)器出現莫名其妙的問(wèn)題，最后通過(guò)我的排查分析發(fā)現很多問(wèn)題都是因為同時(shí)使用TCP/IP端口篩選和IPSec造成的，而罪魁禍首則是那些好心人發(fā)布的IPSec模板，我沒(méi)有惡意詆毀他們這些好心人的意思，而最終是要痛斥那些不作自身評估，技術(shù)意識貧乏的服務(wù)器管理員們，我曾經(jīng)就讓這些朋友們搞得哭笑不得，并開(kāi)始厭惡我當前的工作。在當前案例中，我開(kāi)放的端口是：TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4020。開(kāi)放4000~4020是為了支持Serv-U的PASV模式（同時(shí)需要在Serv-U中設置這段被動(dòng)端口范圍），當然你也可以用其他端口，沒(méi)有特殊要求，記得我之前部署的一臺服務(wù)器開(kāi)放的就是這個(gè)端口范圍，一個(gè)自稱(chēng)黑客的朋友聯(lián)系了我所在的公司經(jīng)理，并在其QQ上友情提示了服務(wù)器的這個(gè)所謂的端口漏洞，記得好像是這么說(shuō)的：“你們的服務(wù)器不堪一擊，在服務(wù)器上還開(kāi)放了QQ和它的端口。”后來(lái)好像還提到如果公司愿意付費可以幫助解決安全問(wèn)題，現在想起來(lái)心里都在暗笑，不過(guò)我接到警告信息都會(huì )非常重視，因為我明白一個(gè)道理：沒(méi)有絕對的安全?。?！不過(guò)后來(lái)服務(wù)器確實(shí)受到了攻擊，不是被入侵而是被那個(gè)黑客小小的DDos了一下。這種一種非常有效的攻擊方式，提高TCP/IP協(xié)議棧，甚至使用軟件、硬件防火墻也只是在相對情況下可以抵御它，所以請各位遵守網(wǎng)絡(luò )公德，不要使用DDos?。?！

·目錄權限的分配

1．  除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權，之后再對其下的子目錄作單獨的目錄權限，如果WEB站點(diǎn)目錄，你要為其目錄權限分配一個(gè)與之對應的匿名訪(fǎng)問(wèn)賬號并賦予它有修改權限，如果你想使網(wǎng)站堅固，可以分配只讀權限并對特殊的目錄作可寫(xiě)權限，作為一個(gè)開(kāi)放式的服務(wù)器，這樣的工作量是非常巨大的，所以我認為將威脅控制縮小到在這個(gè)網(wǎng)站中就已經(jīng)夠了。

2．  系統所在分區下的根目錄都要設置為不繼承父權限，之后為該分區只賦予Administrators和SYSTEM有完全控制權。

3．  因為服務(wù)器只有管理員有本地登錄權限，所在要配置Documents and Settings這個(gè)目錄權限只保留Administrators和SYSTEM有完全控制權，其下的子目錄同樣。另外別忘記還有一個(gè)隱藏目錄也需要同樣操作。因為如果你安裝有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調取這個(gè)配置文件，那么你的系統就為黑客敞開(kāi)了大門(mén)。

4．  配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權。

5．  配置Windows目錄，其實(shí)這一塊主要是根據自身的情況如果使用默認的安全設置也是可行的，不過(guò)還是應該進(jìn)入SYSTEM32目錄下，將cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名賬號拒絕訪(fǎng)問(wèn)。

OK！該做得都做了，好像沒(méi)有遺漏什么，如果真有也許是我故意的，也許是我太累了。不知不覺(jué)，寫(xiě)了幾個(gè)小時(shí)才寫(xiě)完，效率真的是非常低下，并且明白其中一定有錯誤和語(yǔ)句不同的地方，總之自己是盡力了

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

加固基于Windows 2003平臺的WEB服務(wù)器