第5讲企业服务器安全配置技术

网络安全基础第5章企业服务器安全配置技术信息中心曾派兴内容提要企业服务器安全概述基于Windows系统服务器的安全配置基于UNIX/Linux系统服务器的安全配置5.1企业服务器安全概述安全的网络信息系统对于现代企事业单位来说是日常办公和业务应用的支撑体系。很多企事业单位都曾饱尝过网络信息系统遭受黑客攻击的痛苦，都意识到了确保网络信息系统安全的重要性。企事业单位的网络信息系统一旦受到攻击，就可能使整个网络无法正常工作，服务器系统瘫痪，甚至所有的网络数据毁坏或丢失，其损失可能是灾难性的。作为网络信息系统的管理者，应当根据当前安全形式认清网络信息系统中可能存在的安全隐患，加强网络信息系统的安全，确保网络信息系统中服务器的安全。5.1企业服务器安全概述当前，网络信息系统的管理者们虽然都认识到了网络信息系统服务器的安全是至关重要的，但实际上，他们中的大多数往往都以维持服务器稳定、高效地运行作为他们的工作目标，对于服务器的安全性往往考虑得较少（至少对于某些管理员来说是这样的），网络信息系统的安全隐患并没有得到解决。正因为如此，在当前复杂多变的网络信息系统中，确保服务器的安全已经成为网络信息系统管理者的首要任务之一。5.1企业服务器安全概述近十多年来，网络安全产品从简单的防火墙发展到具备报警、预警、分析、审计、监测等功能的网络安全系统，在技术已经取得了巨大的进步，也为政府和企事业在构建网络安全体系方面提供了更加多样化的安全防范策略。但是，网络信息系统面临的威胁却并没有随着技术的进步而有所抑制，反而更加突出，从层出不穷的网络犯罪到日益猖獗的黑客攻击，似乎网络世界正面临着前所未有的挑战。本章从确保服务器安全的角度出发，分别介绍基于Windows和UNIX/Linux环境下的Web和FTP服务器的安全配置。5.2基于Windows系统的服务器安全配置5.2.1系统安全加固在配置服务器之前，应当首先对系统加固。加固除了运用服务包和安全补丁来修复已知的漏洞之外，还应删除不使用的操作系统的特性及其服务。对系统保护的目标是使系统很难被攻破，使攻击者尝试的成本和努力要大于他可能获得的收获。因此，在加固系统的过程中，应对操作系统的功能、服务、账号及访问权限进行限制，使系统在能够有效运行的前提下获得最高的安全级别，在安全级别和系统可用性之间找到最佳平衡点。5.2.1系统安全加固（1）停止或禁用所有不需要的服务；（2）建立安全的账号和密码服务；（3）修改默认的IIS服务环境，禁用或删除所有不必要的系统内容；（4）修改Windows的其他设置，减少已知的和理论的安全漏洞。5.2.1系统安全加固在Windows2000Server系统中一般来说，需要禁用的服务包括Alterter、ClIPBookServer、ComputerBrowser、DHCPClient、DirectoryReplicator、FTPPublishingService、LicenseLoggingService、Netlogon、NetworkDDE、NetworkDDEDSDM、NetworkMonitor、PlugandPlay（disableafterallhardwareconfiguration）、RemoteAccessServer、RemoteProcedureCall（RPC）Locator、Schedule、Server、SimpleService、Spooler、TCP/IPNetbiosHelper、TelephoneService，在必要时需要禁止的服务包括SNMPService、SNMPtrap、UPS，需要设置为自启动的服务包括Eventlog、NTLMSecurityProvider，RPCService、、Workstation、MSDTC。5.2.1系统安全加固1．最小权限设置以Web服务器权限设置为例，进行最小权限设置。（1）目录权限设置①C:\根目录，给system和administrator用户完全控制权限，将权限继承下去；②C:\programfiles\vcommonfiles\system，给users组读取、列目录、执行权限；③C:\winnt\temp，给users组读取、写入权限；④C:\winnt\system32、inetsrv下的除MetaBase.bin外所有文件（不包含目录），给users组列目录、读取、执行权限；⑤C:\winnt\system32下的所有非.exe、.com、.msc文件（注意是文件，不包含目录），给users组读取、执行权限；⑥C:\winnt\system32\dllhost.exe，给users组读取、执行权限。经过上述设置后，只有C:\winnt\temp目录有写入权限。5.2.1系统安全加固1．最小权限设置（2）文件权限设置：去除部分危险命令的system权限，以防止缓冲区溢出等引发安全问题。①将cacls设置为拒绝任何人访问；②取消下列命令的system访问权限：at，cmd，cscript，ftp，net，net1，netstat，runas，telnet，tftp，tlntadmn，wscript。5.2.1系统安全加固2．设置TCP/IP筛选TCP只开放80、20、21、25、110、1433端口，这些端口分别对应的服务为：Web服务——80端口；FTP主动模式——20端口；FTP服务——21端口；SMTP（Mail服务）——25端口；POP3（Mail服务）——110端口；MSSQL服务——1433端口。5.2.1系统安全加固3．设置IP筛选策略IP策略的相关设置如下：（1）允许的策略允许所有IP连接本服务器策略设置和TCP/IP筛选一致。除此之外，可开放本机对外的ICMP。（2）拒绝的策略。禁止任何IP与本服务器（除TCP、UDP外的所有协议）的连接；禁止本服务器与任何IP（除TCP、UDP和ICMP外的所有协议）的连接。另外，还需禁止任何IP对本服务器的TCP135、137、138、139、445、3389端口的访问，禁止UDP69端口的访问。5.2.1系统安全加固4．修改黑客常用的文件类型的打开方式具体方法是：单击资源管理器“工具”→“文件夹选项”菜单，在“文件类型”中将bat、vbs、vbe、reg文件类型修改为默认使用“notepad”打开。5.2.1系统安全加固5．关闭无用的服务应关闭的服务有ComputerBrowser、HelpandSupport、Messenger、PrintSpooler、RemoteRegistry、TCP/IPNetBIOSHelper。5.2.1系统安全加固6．取消危险组件使用regedit将/HKEY_CLASSES_ROOT下的WScript.Network、WScript.Network.1、WScript.Shell.1、Shell.Application、Shell.Application.1键值改名或删除。在Microsoft公司网站上有关于Windows服务器的安全配置指南文件，见。5.2.2基于Windows系统的Web服务器安全配置一般来说，IIS的默认安装存在许多安全漏洞，为了对付目录遍历工具，需要将Web站点内容的根目录放到一个不同于包含该服务器的操作系统或逻辑分区上，若运行多个Web站点，那么应当为每一个Web站点使用一个不同的磁盘或分区。通常，IIS安装时会配置一个默认的Web站点，为了确保Web站点的安全，建议用户不要使用默认的站点，而应当创建一个新的Web站点。5.2.2基于Windows系统的Web服务器安全配置在IIS默认的安装中，系统自动安装以下不必要的文件和目录，比如IIS\printers、IIS\Samples、IISSDK、AdminScript、MSDAC、IISHelp，这些目录和文件都可以删除。父路径是Windows系统的一个特性，父路径允许命令行指令和程序使用“..”来代替子目录。这一特性虽然为系统管理员和程序员提供了一种便利的方法来遍历一个目录结构，但是从安全的角度来看，这个特性也让黑客能够通过编写自动化的代码来遍历磁盘分区的根目录，然后将其他资源改为攻击目标，因此需要禁用父路径。5.2.2基于Windows系统的Web服务器安全配置日志是系统安全策略的一个重要方面，IIS带有日志功能。IIS日志文件属性与Windows2000Server日志文件有相似之处，但IIS能够控制日志文件的精确属性，能够记录所有的用户请求。在当前的一些Web服务的入侵中，大多数都是利用网站程序所存在的漏洞来获取WebShell，然后进入主机的内部进行入侵。这时，可以利用Windows的IIS日志记录黑客入侵的方法和相关操作。5.2.2基于Windows系统的Web服务器安全配置IIS日志的默认目录是%systemroot%\system32\logfiles\，日志文件名是按照日期进行记录的，记录格式采用W3C标准（包括日期/时间/IP地址/访问动作（GetorPost）/被访问地址/访问端口/来访IP地址等）记录。通过访问状态可以知道黑客入侵的情况，例如200～299表示访问成功；300～399表示需要客户端的反应来满足请求；400～499表示客户端及服务器出错（如404和403就是通常所见的资源无法找到和访问被限制）。5.2.2基于Windows系统的Web服务器安全配置由此可知，确保日志的安全能有效提高系统的整体安全性能，但保护日志的安全与审核和检查日志同等重要。另外，还需要保证只有管理员才有权查看这些文件，其他用户不能查看和篡改系统的日志文件。为了保证日志文件的安全，应采取以下措施：5.2.2基于Windows系统的Web服务器安全配置（1）权限设置日志是为了让管理员了解系统安全状况而设计的，因此其他用户没有必要访问，应将日志保存在NTFS分区上，设置为只有管理员和Administrator账户才能访问。5.2.2基于Windows系统的Web服务器安全配置（2）更改存放位置IIS日志默认是保存在%systemroot%\system32\logfiles\下，这对Web站点日志的安全是很不利的，因此最好修改其存放路径在空间相对较大的文件夹中，最好不要放在系统文件夹中。除了日志文件可以进行安全检查之外，还可以通过设置警告进行实时监控和检测。这可以通过Windows2000Server性能监控器的计数器功能，定制监控操作系统事件或Web服务事件的自定义规则。当预定义提交满足，这些规则就会触发预定义的动作比如发送一条消息。在日志记录中添加一条记录，启动性能数据日志或允许某个特定程序，故能够标记可能存在的黑客攻击企图。此外，大量登录失败事件，常常暗示着网络攻击的存在，因此可以设置登录失败阈值（比如15次），当登录次数超过这个阈值时，系统就会发出报警。5.2.2基于Windows系统的Web服务器安全配置下面介绍以Windows2000Server和IIS6.0为基础的Web服务器的安全配置。（1）建立新的Web站点①关闭Web站点②创建一个新的Web站点（2）禁用父路径（3）删除不必要的文件目录（4）更改IIS日志文件属性（5）设置Windows2000Server和IIS警告5.2.3基于Windows系统的FTP服务器安全配置配置FTP站点属性可分为3级：主站点（master）级、站点（site）级和虚拟目录（virtualdirectory）级。对主站点上的设置会被站点上的所有新建的FTP站点所继承。关于FTP站点的安全配置措施主要包括用户账号认证、匿名访问控制以及IP地址限制（有些方法和Web站