Windows服务器安全方案汇总.docx
《Windows服务器安全方案汇总.docx》由会员分享,可在线阅读,更多相关《Windows服务器安全方案汇总.docx(84页珍藏版)》请在冰点文库上搜索。
Windows服务器安全方案汇总
Windows2008服务器安全加固方案
来源:
中国红盟时间:
2010-1-279:
09:
00点击:
201今日评论:
0条Windows2008服务器安全加固方案
(一)
因为IIS(即InternetInformationServer)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。
但是,IIS的安全性却一直令人担忧。
如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。
要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows2003和IIS的双重安全,因为IIS的用户同时也是Windows2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。
我们通过以下几个方面对您的系统进行安全加固:
1.系统的安全加固:
我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。
2.IIS手工加固:
手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。
3.系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。
系统的安全加固:
1.目录权限的配置:
1.1除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
1.2系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。
1.3因为服务器只有管理员有本地登录权限,所在要配置DocumentsandSettings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。
另外还有一个隐藏目录也需要同样操作。
因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。
1.4配置Programfiles目录,为CommonFiles目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
1.5配置Windows目录,其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的,不过还是应该进入SYSTEM32目录下,将cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。
1.6审核MetBase.bin,C:
\WINNT\system32\inetsrv目录只有administrator只允许Administrator用户读写。
2.组策略配置:
在用户权利指派下,从通过网络访问此计算机中删除PowerUsers和BackupOperators;
启用不允许匿名访问SAM帐号和共享;
启用不允许为网络验证存储凭据或Passport;
从文件共享中删除允许匿名登录的DFS$和COMCFG;
启用交互登录:
不显示上次的用户名;
启用在下一次密码变更时不存储LANMAN哈希值;
禁止IIS匿名用户在本地登录;
3.本地安全策略设置:
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问失败
审核过程跟踪 无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
注:
在设置审核登陆事件时选择记失败,这样在事件查看器里的安全日志就会记录登陆失败的信息。
B、本地策略——>用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:
加入Guests、User组
通过终端服务允许登陆:
只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:
不显示上次的用户名 启用
网络访问:
不允许SAM帐户和共享的匿名枚举启用
网络访问:
不允许为网络身份验证储存凭证 启用
网络访问:
可匿名访问的共享 全部删除
网络访问:
可匿名访问的命全部删除
网络访问:
可远程访问的注册表路径全部删除
网络访问:
可远程访问的注册表路径和子路径全部删除
帐户:
重命名来宾帐户重命名一个帐户
帐户:
重命名系统管理员帐户 重命名一个帐户
******************************************************************
WindowsServer2008用户权限管理
来源:
中国红盟时间:
2010-12-2610:
46:
00点击:
2今日评论:
0条几十年来,大型机和服务器一直使用“超级用户”和“用户”这种用户控制方案。
这种方案存在一个明显的安全问题:
它需要防止普通用户获取非法访问权限。
在DOS电脑以及随后的Windows操作系统中,访问控制模式更加复杂。
早期的Windows操作系统不能在同一台机器上设置不同的用户权限;所有的行动都需要超级用户执行。
但是,WindowsNT系统最终定义了管理员角色和用户角色,尽管在实际情况中大多数用户还是需要超级用户的访问权限来执行他们平时的操作。
今天,许多企业的业务模式都要求大范围(地理位置上的)的联合操作,WindowsNT中简单的特权/非特权用户管理功能已经不够用了。
意识到这一趋势之后,微软在2009年开发了WindowsServer2008,该系统具有以多级权限属性系统为基础的多层次管理模式。
该模式可以限制标准用户,让他们只能用非特权的形式运行应用程序软件,只留给他们操作所需要的最小管理权限,从而改进了微软Windows的安全性。
比如,服务台用户只能改变其他用户的密码。
通过这种方式,大型企业中的用户管理权限可以受到限制,操作中的超级用户数量减少。
在本文中,我们将讨论一下如何使用WindowsServer2008对权限分配进行控制。
域上的权限管理
在WindowsServer2008环境中,有两种政策:
活动目录(AD)全局域政策以及本地服务器安全帐户管理器(SAM)注册表政策。
AD利用它的目录架构来控制任何给定Windows服务器域(支持通用安全政策的一组服务器)的组权限。
这使得AD可以对域中的所有用户帐户执行公共帐户权限管理。
当有新的Windows服务器添加进来时,他们会连接到活动目录,活动目录会检查所有的组政策对象(GroupPolicyObjects,GPO)——用户能够执行的应用程序和服务——并把这些权限链接到该目录下的ActiveDirectoryUsersandComputers(活动目录用户和计算机)分支中的域根用户。
然后AD把这些定义的、默认的权限传递到新服务器上,开始管理其用户。
AD目录下的组织单元(OrganizationUnit,OU)分支也可以定义,人们可以用OU为计算机创建本地帐户政策。
比如,服务台OU可以定义一系列全局政策,帮助服务台人员执行具有公共权限的活动。
WindowsServer2008的活动目录还引进了一个新的功能,叫做多元密码政策(Fine-GrainedPasswordPolicy),其中包括一个锁定政策。
有了这个新功能后,公司可以在同一个域中对不同的用户使用不同的密码和锁定政策。
这个功能出现之前,整个域中只有一个政策。
为了充分利用这个功能,活动目录管理员必须创建一个新的对象,名为密码设置对象(PasswordSettingsObject,PSO)。
他或她可以在PSO中设定同样的密码最长期限、复杂度要求、锁定阈值,等等。
然后,PSO会连接到一个活动目录组:
组的范围为全局(Global)(不是本地(Local或者通用(Univeral)),组的类型为安全(Security)(不是分布(Distribution))。
所有的组成员都会继承链接到该组的PSO中定义的密码和锁定政策。
本地多级控制
域上的全局政策配置完成以后,人们就可以在单独的WindowsServer2008系统中通过用户权利分配(UserRightsAssignment,URA)功能定义本地权限。
用户权利能够控制用户在计算机上执行哪些任务。
这些权利包括登录权限和特权。
登录权限控制哪些人有权登录到计算机上,以及他们如何登录:
通过网络还是本地,作为批处理工作还是作为服务登录。
特权则控制计算机和域资源的访问,并可以覆盖特定对象上设定的权限,比如备份文件和目录、创建全局对象、调试程序等等。
这些特权由系统URA对象下的组政策(GroupPolicy)进行管理,而且两种用户权利都是由管理员分配到组或者单独用户,作为系统安全设置的一部分。
请注意,管理员应该尽可能地通过分组来管理本地权利,确保与企业政策的一致性以及最小化单独系统中权限管理的困难程度。
为了访问本地URA对象,添加、删除或者修改权限,管理员必须在WindowsServer2008中用Windows控制面板打开本地安全设置(LocalSecuritySettings)。
他或她可以在左边看见一个树状目录。
点击本地政策(LocalPolicies),然后选择用户权利分配(UserRightsAssignment),就能够编辑所有的39个登录权利和权限了。
确保适当的权限
WindowsServer2008中有九个审计政策,分成两个子类,它们可以确保Windows管理员正确设置用户权限。
安全团队可以在计算机中打开本地安全政策(LocalSecurityPolicy)控制台,进入SecuritySettings\LocalPolicies\AuditPolicy目录,查看系统审计政策设置。
下文简要地描述了每个政策,以及它们的用法:
审计帐户登录事件——跟踪所有试图用域用户帐户登录的活动,不管这种尝试源自何处。
开启这项政策以后,工作站或者成员服务器会记录所有使用计算机SAM中存储的本地帐户的登录尝试。
审计帐户管理——用来监视用户帐户和组的变化,对管理员和服务台工作人员的审计活动有参考价值。
该政策记录密码重置、新创建的帐户以及组成员和ActiveDirectory控制器的变化。
该政策还记录域用户、域分组以及计算机帐户的变化。
审计目录服务访问——提供ActiveDirectory中对象变化的低级别审计跟踪。
该政策跟踪的活动与审计帐户管理事件中跟踪的相同,但是级别低很多。
使用这个政策可以识别用户帐户的哪些领域或者任何其他ActiveDirectory对象被访问过。
审计帐户管理事件可以提供更好的用户帐户和组的监视维护信息,但是审计目录服务访问是跟踪OU和GPO变化的唯一途径,这对于变化控制来说很重要。
审计登录事件——记录本地计算机上的登录尝试,无论使用域帐户还是本地帐户登录。
在ActiveDirectory域控制器中,该政策只记录访问域控制器的尝试。
审计对象访问——处理ActiveDirectory之外所有对象的访问审计。
该政策可以用来审计任何类型的Windows对象访问,包括注册表键值、打印机、以及服务。
(注意:
如果服务器的对象太多,该政策可能会大大影响该服务器的性能。
)
审计政策变化——提供本地系统中重要安全政策的变化通知,比如系统审计政策的变化;当本地系统是一个ActiveDirectory域控制器时,该政策会提供信任关系的变化。
审计权限使用---跟踪SecuritySettings\LocalPolicies\UserRightAssignment目录下本地安全政策(LocalSecurityPolicy)的用户权利活动
审计过程跟踪——跟踪每一个被执行的程序,不管该程序是由系统还是最终用户执行的。
它还可以决定程序运行的时间。
结合该政策,加上审计登录事件和审计对象访问事件,以及在这些不同的事件描述中使用LogonID,ProcessID和HandleID等,我们就可以详细地描绘出用户活动了。
审计系统事件——与安全相关的系统事件综合,包括系统启动和关闭。
Windows的安全基础设施是模块化设计,可以利用微软和第三方供应商提供的新型、插件安全功能。
这些插件可以是认证软件包、合法登录进程或者通知软件包。
因为这些插件是值得信赖的扩展操作系统的代码模块,Windows加载每个插件时都会做记录,使用从这个分类中的事件。
(注意:
不推荐在这个层面上管理审计政策,因为这样会产生很多噪声,应该使用子类型。
)
即使有些用户偶尔得到了不必要的权限,这些政策也可以让公司的安全人员核实这些用户是否利用管理权限做伤害公司的事情,不管是有意的还是无意的。
企业应该尽可能多的启用这些审计政策,但是请记住,加载所有的政策可能会影响Windows系统的性能。
当启用这些政策时,企业有多种选择:
可以让它们产生成功事件,失败事件或者两者都产生,这取决于公司政策。
所有九个审计政策都可以产生成功事件,某些政策可以产生失败事件,作为一种最佳实践,企业不该忽略成功事件(会产生大量的安全日志)而只开启失败事件。
一个常见的误解是:
只有失败事件审计政策才能警告安全团队注意所有的可疑活动。
实际上,安全日志中许多最重要的事件是成功事件,比如关键用户帐户和组的变化、帐户锁定的变化,以及安全设置的变化等等。
总结
随着WindowsServer2008的发布,微软最终提供了权限管理功能,能够创建复杂的用户权限分组,却不需要复杂的管理技术。
但是复杂的权限分组可能会引起权限的错误配置,不能识别某个人的错误。
所以,了解与该功能相关的审计服务同样重要。
归功于适当的考虑和规划,WindowsServer2008最终赋予企业期待已久的功能:
成功地匹配了用户的能力和权限。
这不仅满足业务需求和信任要求,而且验证了他们的方法是正确的。
Web专用网站服务器的安全设置
(1)
来源:
中国红盟时间:
2010-12-2610:
50:
00点击:
2今日评论:
0条IIS的相关设置:
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:
inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。
配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。
对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。
用户程序调试设置发送文本错误信息给客户。
对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:
WINNTsystem32inetsrvssinc.dll来防止数据库被下载。
设置IIS的日志保存目录,调整日志记录信息。
设置为发送文本错误信息。
修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。
另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。
如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。
因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。
方法
用户从脚本提升权限:
ASP的安全设置:
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/uC:
\WINNT\System32\wshom.ocx
delC:
\WINNT\System32\wshom.ocx
regsvr32/uC:
\WINNT\system32\shell32.dll
delC:
\WINNT\system32\shell32.dll
即可将WScript.Shell,Shell.application,WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。
另法:
可取消以上文件的users用户的权限,重新启动IIS即可生效。
但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。
可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:
winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。
重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
PHP的安全设置:
默认安装的php需要有以下几个注意的问题:
C:
\winnt\php.ini只给予users读权限即可。
在php.ini里需要做如下设置:
Safe_mode=on
register_globals=Off
allow_url_fopen=Off
display_errors=Off
magic_quotes_gpc=On[默认是on,但需检查一遍]
open_basedir=web目录
disable_functions=passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom=true修改为false[修改前要取消掉前面的;]
MySQL安全设置:
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。
赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。
检查mysql.user表,取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。
可以为mysql设置一个启动用户,该用户只对mysql目录有权限。
设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。
对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。
修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:
包括检查匿名密码,禁用反超时调度,拦截“FTPbounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。
域中的设置为:
要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:
在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。
将servu的安装目录给予该用户完全控制权限。
建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。
另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530Notloggedin,homedirectorydoesnotexist。
比如在测试的时候ftp根目录为d:
soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。
而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
数据库服务器的安全设置
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。
对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:
Sp_OAcreateSp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
Sp_OAMethodSp_OASetPropertySp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalue
Xp_regenumvaluesXp_regreadXp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshellxp_dirtreexp_dropwebtasksp_addsrvrolemember
xp_makewebtaskxp_runwebtaskxp_subdirssp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。
选择隐藏SQLServer实例可防止对1434端口的探测,可修改默认使用的1433端口。
除去数据库的guest账户把未经认可的使用者据之在外。
例外情况是master和tempdb数据库,因为对他们guest帐户是必需的。
另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。
在程序中不要用sa用户去连接任何数据库。
网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
Web专用网站服务器的安全设置
(2)
来源:
中国红盟时间:
2010-12-2610:
52:
00点击:
3今日评论:
0条第二部分入侵检测和数据备份
1.1入侵检测工作
作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。
系统的安全性遵循木桶原理,木桶原理指的是:
一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。
应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方,这些地方是日常的安全检测的重点所在。
日常的安全检测
日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:
1.查看服务器状态:
打开进程管理器,查看服务器性能,观察CPU和内存使用状况。
查看是否有CPU和内存占用过高等异常情况。
2.检查当前进程情况
切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。
用进程管理器查看进程时里面会有一项taskm
升级会员 