服务器系统安全维护

服务器系统安全维护丁兆锟(dzkad@hotmail.com)主要内容一、WindowsServer2003IIS服务器二、安装和配置DNS服务器三、WindowsServer2003中设置FTP服务器四、Windows2000中设置FTP服务器五、设置SMTP安全选项六、MicrosoftSQLServer安全防护一、WindowsServer2003IIS服务器1.IIS服务器的安全性2.一个IIS远程攻击示例3.确保Web服务的安全4.确保Web站点的安全1.IIS服务器的安全性由于Web站点的发布很多是依靠Microsoft的IIS服务器，疏于防护和无安全配置的IIS服务器往往是黑客攻击的“肉鸡”，这是因为服务器存在着诸如IDA、IDQ、Unicode、.printer、WebDAV等等漏洞，不少可远程获得管理员权限为了向组织Intranet中的Web服务器和应用程序提供全面的安全保护，应该保护每个MicrosoftInternet信息服务(IIS)服务器以及在这些服务器运行的每个Web站点和应用程序不受可与它们连接的客户端计算机的侵害2.一个IIS远程攻击示例WebDAV是HTTP协议的扩展，允许远程编写和管理Web内容微软IIS5.0的WebDAV在处理某些畸形的请求时存在缺陷，当外部提交一恶意超长的SEARCH请求时，远程的WebDav服务会出现缓冲区溢出可使IIS服务重启攻击者可以通过这个漏洞以Web服务器的执行权限执行任意代码，以下几页给出针对Windows2000Server的攻击工程(1)启用“X-Scan”扫描器(2)发现目标主机中“Webdav”漏洞(3)攻击目标主机(4)创建管理员用户netlocalgroupadministratorsccc/add(5)远程桌面完全控制3.确保Web服务的安全3.1仅启用必要的Web服务扩展3.2仅安装必要的IIS组件3.3使用安全工具3.4确保IIS全局的设置安全3.5确保默认Web站点和管理Web站点的安全3.6使FrontPageServerExtension无效3.1仅启用必要的Web服务扩展启用所有的Web服务扩展可确保与现有应用软件的最大可能的兼容性。仅启用在IIS服务器环境下运行的站点和应用软件所必需的Web服务扩展，通过最大限度精简服务器的功能，可以减少每个IIS服务器的受攻击面，从而增强了安全性。建议不要安装IndexServer、FrontPageServerExtensions、示例站点等功能。3.2仅安装必要的IIS组件除“万维网发布服务”之外，IIS6.0还包括其它的组件和服务，例如FTP和SMTP服务。可以通过双击“控制面板”上的“添加/删除程序”来启动Windows组件向导应用程序服务器，以安装和启用IIS组件和服务。安装IIS之后，必须启用Web站点和应用程序所需的所有必要的IIS组件和服务应该仅启用Web站点和应用程序所需的必要IIS组件和服务。启用不必要的组件和服务会增加IIS服务器的受攻击面3.3使用安全工具Microsoft免费提供了一个“IISLockdownWizard”工具来确保IISWeb服务器的安全。它可让管理员通过选用一个模板来选择服务器支持的技术。Microsoft免费提供一个叫“URLScan”的工具，它在MicrosoftInternet信息服务(IIS)接受HTTP请求时对请求进行屏蔽和分析。正确配置后，“URLScan”可有效减少IIS4.0、IIS5.0和IIS5.1遭受来自Internet攻击的危险。3.4确保IIS全局的设置安全大部分IIS配置设置存储在元库中，但是一些全局设置仍在注册表里。要确保注册表内这些键值按如下设置：HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\AllowSpecialCharsShell。它是允许或组织特定的命令字符作为CGI脚本或可执行文件的参数，应设置为0。HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\LogSuccessfullRequests。它是使IIS日志记录功能启用或禁用的参数，应设置为1。HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\SSIEnableCmdDirective。它是允许或组织使用服务器端的#execcmd指示参数，应设置为0。3.4确保IIS全局的设置安全(续)要确保注册表内这些键值按如下设置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\AllowGuestAccess。它是设置是否允许Guest访问Web服务器的参数，0表示禁止访问；1允许。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\EnableSvcLoc。它是允许或组织微软控制台（MMC）管理单元管理IIS服务器的参数，0表示禁止访问；1允许。可根据实际需要设置。HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\Printers\DisableWebPrinting。它是禁止网络打印的参数，应设置为0。3.5确保默认Web站点和管理Web站点的安全第一次安全IID时会创建两个站点：默认Web站点和管理Web站点，它们有不少安全隐患，应该禁用。要删除以下默认Web站点的虚拟目录ScriptsIISHelpIISSamplesPrintersIISAdminIISAdmpwdMSADCPBServerPBSDataRPCCertSrvCertControlCertEnroll从系统文件中删除这些目录C:\inetpub\scriptsC:\winnt\help\iishelp\iisC:\inetpub\iissamplesC:\winnt\web\printersC:\winnt\system32\inetsrv\iisadminC:\winnt\system32\inetsrv\iisadmpwd3.6使FrontPageServerExtension无效FPSE提供了方便的远程Web授权特性，但是它却导致了Web服务器遭受攻击面的扩大。如果要完全删除FPSE，首先打开“Internet服务管理器”在每个Web站点上右键点击，选择“AllTasks”，“RemoveServerExtensions”。然后删除_vti或_private目录最后，从主Web站点属性的“ISAPI扩展”标签中删除FPEXED.dll文件。4.确保Web站点的安全4.1Web站点为只读4.2设置属性4.3帐户策略4.4在专用磁盘卷中放置内容4.5设置NTFS权限4.6设置IISWeb站点权限4.7配置IIS日志4.8打开审核策略4.1Web站点为只读在“管理Web站点”上单击鼠标右键，选择“新建站点”。根据提示操作，我们自建的站点说明假设为“Web”，目录为“D:\webroot\”，只给读取权限。4.2设置属性在“Web”的属性“主目录”中设置执行许可为“无”，“应用程序设置”、“配置”中删除不必要的IIS扩展名映射4.3帐户策略清理帐户保护众所周知帐户的安全再增加一个属于管理员组的帐号作管理和备份创建一个帐号陷阱，就是说创建一个Administrator的本地帐号，但权限低密码强定期修改口令对于IIS服务器，建议不要使用帐户锁定策略在“本地策略”的“安全选项”里，把“LanManager身份验证级别”改为“仅发送NTLM响应”，这样即使入侵者借助Sniffer得到口令的hash也很难破解把“匿名连接的额外限制”设置为“没有显示匿名权限就无法访问”启用“在关机时清理虚拟内存交换页面”启用“登录屏幕上不要显示上次登录的用户名”4.4在专用磁盘卷中放置内容IIS会将默认Web站点的文件存储到systemroot\inetpub\，其中systemroot是安装WindowsServer2003操作系统的驱动器。应该将构成Web站点和应用程序的所有文件和文件夹放置到IIS服务器的专用磁盘卷中。将这些文件和文件夹放置到IIS服务器的一个专用磁盘卷—不包含操作系统的磁盘卷—有助于防止目录遍历攻击。4.5设置NTFS权限NTFS下所有文件默认情况下对所有人（eneryone）为完全控制权限，如果限制一般用户只有只读权限的话，有可能会导致一些脚本运行不正常，这时需要对这些文件所在的文件夹权限进行更改。这样WindowsServer2003将检查NTFS文件系统的权限，以确定用户或进程对特定文件或文件夹所具有的访问权限类型。建议在做更改前，先在测试机器上做测试，然后慎重更改。NTFS权限表文件类型建议的NTFS权限CGI文件（.exe、.dll、.cmd、.pl）Everyone（执行）、Administrators（完全控制）、System（完全控制）脚本文件(.asp)Everyone（执行）、Administrators（完全控制）、System（完全控制）包含文件（.inc、.shtm、.shtml）Everyone（执行）、Administrators（完全控制）、System（完全控制）静态内容（.txt、.gif、.jpg、.htm、.html）Everyone（只读）、Administrators（完全控制）、System（完全控制）4.6设置IISWeb站点权限IIS将检查Web站点权限，以确定在Web站点中可能发生的操作类型，例如允许脚本源访问或允许文件夹浏览。应该为Web站点分配权限。Web站点权限可与NTFS权限结合使用。它们可配置给特定的站点、文件夹和文件。与NTFS权限不同，Web站点权限影响试图访问IIS服务器站点的每个人。Web站点权限可以通过使用IIS管理器管理单元生效。Web站点权限表Web站点权限授予的权限读用户可查看目录或文件的内容和属性。在默认情况下，该权限为选中状态。写用户可更改目录或文件的内容和属性。脚本源访问用户可以访问源文件。如果启用“读”权限，则可以读取源文件；如果启用“写”权限，则可以更改脚本源代码。脚本源访问包括脚本的源代码。如果既不启用“读”权限，也不启用“写”权限，则此选项将不可用。要点：启用“脚本源访问”时，用户可以查看敏感信息，例如用户名和密码。他们还可以更改IIS服务器上运行的源代码，从而严重影响服务器的安全性和性能。目录浏览用户可以查看文件列表和集合。日志访问每次访问Web站点都会创建日志条目。索引此资源允许使用索引服务索引资源。这样便可以对资源执行搜索。执行以下选项确定用户运行脚本的级别：“无”—不允许在服务器上运行脚本和可执行文件。“仅限于脚本”—仅允许在服务器上运行脚本。“脚本和可执行文件”—允许在服务器上运行脚本和可执行文件。4.7配置IIS日志可以为每个站点或应用程序创建单独的日志。IIS可以记录Windows操作系统提供的事件日志或性能监视功能所记录信息范围之外的信息。IIS日志可记录诸如谁访问过站点、访客浏览过哪些内容、以及最后一次访问的时间等信息。IIS日志可被用来了解那些内容最受欢迎，确定信息瓶颈，或者用作协助攻击事件调查的资源。4.8打开审核策略打开安全审核是Win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些（如尝试用户名密码、改变帐户策略、未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多管理员在系统被入侵了几个月都不知道系统遭到了破