重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
1.打开控制面板,点击windows 防火墙
创新互联公司公司2013年成立,是专业互联网技术服务公司,拥有项目网站设计、做网站网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元广南做网站,已为上家服务,为广南各地企业和个人服务,联系电话:13518219792
2.防火墙的主页面里列出防火寺的基本状态。点击“启用或关闭windows防火墙”可以配置防火墙选项
3.在常规菜单里可以开户或关闭windows防火墙。启用防火墙下有个“阻止所有传入连接”设置如果打上勾,是在使用的网络不确定安全时启用.
4.接着配置例外选项,所谓例外指的是防火墙对这些例外的应用程序使用的端口或者自行添加的端口不进行阻止,直接放行,适合于已知安全的应用。
5.点击“添加程序”,系统列出已安装的应用程序,选择需要添加成例外的应用程序,点击确认即可添加成windows防火墙例外程序。“更改范围”选项里可以设置更具体的选项。
6.点击例外菜单下“添加端口”可添加自己所需要放行的端口,如tomcat运行时默认8080端口,可以填入tomcat及端口号8080,那么系统将对8080端口进行放行
7.点击高级菜单,这里可以配置防火墙保护哪些网卡通讯的数据。
接下来按此设置:
策略 安全设置
DCOM: 安全描述符定义语言(SDDL)语法中的计算机访问限制 没有定义
DCOM: 安全描述符定义语言(SDDL)语法中的计算机启动限制 没有定义
Microsoft 网络服务器: 当登录时间用完时自动注销用户 已启用
Microsoft 网络服务器: 数字签字的通信(若客户同意) 已停用
Microsoft 网络服务器: 数字签字的通信(总是) 已停用
Microsoft 网络服务器: 在挂起会话之前所需的空闲时间 15 分钟
Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。 已停用
Microsoft 网络客户: 数字签字的通信(若服务器同意) 已启用
Microsoft 网络客户: 数字签字的通信(总是) 已停用
故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问 已停用
故障恢复控制台: 允许自动系统管理级登录 已停用
关机: 清理虚拟内存页面文件 已停用
关机: 允许在未登录前关机 已启用
交互式登录: 不显示上次的用户名 已停用
交互式登录: 不需要按 CTRL+ALT+DEL 没有定义
交互式登录: 可被缓冲保存的前次登录个数 (在域控制器不可用的情况下) 10 次登录
交互式登录: 要求域控制器身份验证以脱离工作站 已停用
交互式登录: 要求智能卡 没有定义
交互式登录: 用户试图登录时消息标题 没有定义
交互式登录: 用户试图登录时消息文字
交互式登录: 在密码到期前提示用户更改密码 14 天
交互式登录: 智能卡移除操作 无操作
设备: 防止用户安装打印机驱动程序 已停用
设备: 未签名驱动程序的安装操作 默认继续
设备: 允许不登录脱离 已启用
设备: 允许格式化和弹出可移动媒体 Administrators
设备: 只有本地登录的用户才能访问 CD-ROM 已停用
设备: 只有本地登录的用户才能访问软盘 已停用
审计: 对备份和还原权限的使用进行审计 已停用
审计: 对全局系统对象的访问进行审计 已停用
审计: 如果无法纪录安全审计则立即关闭系统 已停用
网络安全: LAN Manager 身份验证级别 发送 LM NTLM 响应
网络安全: LDAP 客户签名要求 协商签名
网络安全: 不要在下次更改密码时存储 LAN Manager 的 Hash 值 已停用
网络安全: 在超过登录时间后强制注销 已停用
网络安全设置: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全 没有最小
网络安全设置: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全 没有最小
网络访问: 本地帐户的共享和安全模式 经典 - 本地用户以自己的身份验证
网络访问: 不允许 SAM 帐户的匿名枚举 已启用
网络访问: 不允许 SAM 帐户和共享的匿名枚举 已启用
网络访问: 不允许为网络身份验证储存凭据或 .NET Passports 已停用
网络访问: 可匿名访问的共享 COMCFG,DFS$
网络访问: 可匿名访问的命名管道 COMNAP,COMNODE,SQL\QUERY,SPOOLSS,LLSRPC,browser
网络访问: 可远程访问的注册表路径 System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control\Print\Printers,System\CurrentControlSet\Control\Server Applications,System\CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server,Software\Microsoft\Windows NT\CurrentVersion,System\CurrentControlSet\Control\ContentIndex,System\CurrentControlSet\Control\Terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
网络访问: 让“每个人”权限应用于匿名用户 已停用
网络访问: 允许匿名 SID/名称 转换 已停用
系统对象: 对非 Windows 子系统不要求区分大小写 已启用
系统对象: 由 Administrators 组成员所创建的对象默认所有者 Object creator
系统对象: 增强内部系统对象的默认权限 (例如 Symbolic Links) 已启用
系统加密: 使用 FIPS 兼容的算法来加密,散列和签名 已停用
域成员: 对安全通道数据进行数字加密 (如果可能) 已启用
域成员: 对安全通道数据进行数字加密或签名 (总是) 已启用
域成员: 对安全通道数据进行数字签名 (如果可能) 已启用
域成员: 需要强 (Windows 2000 或以上版本) 会话密钥 已停用
域控制器: LDAP 服务器签名要求 没有定义
域控制器: 禁用更改机器帐户密码 已停用
域控制器: 拒绝更改机器帐户密码 没有定义
域控制器: 允许服务器操作员计划任务 没有定义
域控制器: 最长机器帐户密码寿命 30 天
帐户: 管理员帐户状态 已启用
帐户: 来宾帐户状态 已停用
帐户: 使用空白密码的本地帐户只允许进行控制台登录 已启用
帐户: 重命名来宾帐户 Guest
帐户: 重命名系统管理员帐户 Administrator
阿江的Windows 2000服务器安全设置教程
前言
其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(组)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个组里,然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和组,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。
改名或卸载不安全组件
不安全组件不惊人
我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,
regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全了。
改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_ajiang
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的`那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="1.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOTShell.Application_ajiang]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]
@="Shell.Application_ajiang.1"
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
防止列出用户组和系统进程
我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:
【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。
防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
利用ASP漏洞攻击的常见方法及防范
一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。