当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows服务器安全设置经验详谈

Windows服务器
Windows 2000系统下关闭端口的方法与思路
Windows2000系统如何找回丢失的管理员密码
如何在Windows 2000上安装配置防火墙
Windows 2000安全配置工具
针对Windows 2000优化Web服务器性能
Windows 2000超级技巧十则
如何修改Windows 2K远程终端默认端口
Windows 2000 SP4八大热点问题
Windows 2000中“NTLDR is missing”故障的解决
Windows 2000操作系统中ADSL的共享办法
Windows 2000开机耗内存40M秘技大公开
Windows 2000 常用系统进程列表
Windows 2000的一些Privilege
Win2000/XP与Win98互访
Windows 2000安装光盘的妙用
Win 2000/XP上网重启解决办法
深入改造Win2000“位置条”
在Win2000下“复活”老网卡
加快Win2000浏览网上邻居的速度
防患于未然 轻松做好Windows 2000安全策略

Windows服务器安全设置经验详谈


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 36 ::
收藏到网摘: n/a

 

  前言

  其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。

  本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。

  基本的服务器安全设置

  安装补丁

  安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows update,安装所有的关键更新。

  安装杀毒软件

  虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。

  不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

  设置端口保护和防火墙、删除默认共享

  都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以找出来看看,晚些时候我或者会复制一些到我的网站上。

  权限设置

  阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。

  权限设置的原理

  WINDOWS用户,在WINNT系统中大多数时候把权限按用户(?M)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

  NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。

  IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫"IIS匿名用户"),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个"IIS匿名用户"所具有的权限。

  权限设置的思路

  要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。

  在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

  设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。

  这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。

  我的设置方法

  我是先创建一个用户组,以后所有的站点的用户都建在这个?M里,然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。

  因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和?M,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很可能还会配上图片。

  改名或卸载不安全组件

  不安全组件不惊人

  我在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。

  其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。

  最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

  卸载最不安全的组件

  最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ )

  Quoted from Unkown:

  regsvr32/u C:\WINNT\System32\wshom.ocx

  del C:\WINNT\System32\wshom.ocx

  regsvr32/u C:\WINNT\system32\shell32.dll

  del C:\WINNT\system32\shell32.dll

  然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示"×安全"了。

  改名不安全组件

  需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。

  打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.