跳至主要内容

IIS安全配置原理


IIS安全配置原理


从入侵者入侵的各个环节来作出对应措施加固windows系统



1. 端口限制

2. 设置ACL权限

3. 关闭服务或组件

4. 包过滤

5. 审计





1. 扫描


这是入侵者在刚开始要做的第一步,比如搜索有漏洞的服务

对应措施:端口限制

打开服务所需要的端口.而将其他的端口一律屏蔽。

2. 下载信息


这里主要是通过URL SCAN.来过滤一些非法请求

对应措施:过滤相应包

我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段来阻止特定结尾的文件的执行

3. 上传文件


入侵者通过这步上传WEBSHELL、提权软件、运行cmd指令等等

对应措施:取消相应服务和功能,设置ACL权限

如果有条件可以不使用FSO的

通过 regsvr32 /u c:windowssystem32scrrun.dll来注销掉相关的DLL,如果需要使用,那就为每个站点建立一个user(guests)用户对每个站点相应的目录,只给这个用户读、写、执行(根据需要设置权限,基本的权限读就够了,除非特别需要给予执行权限)权限,给administrators全部权限。安装杀毒软件,实时杀除上传上来的恶意代码,个人推荐MCAFEE或者卡巴斯基。如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止。

4. WebShell


入侵者上传文件后,需要利用WebShell来执行可执行程序,或者利用WebShell进行更加方便的文件操作。

对应措施:取消相应服务和功能

一般WebShell用到以下组件

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

我们在注册表中将以上键值改名或删除,同时需要注意按照这些键值下的CLSID键的内容,从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除

5. 执行SHELL


入侵者获得shell来执行更多指令

对应措施:设置ACL权限

Windows的命令行控制台位于WINDOWSSYSTEM32CMD.EXE(众多执行程序,比如net.exe)

我们将此文件的ACL修改为某个特定管理员帐户(比如administrator)拥有全部权限。

其他用户,包括system用户、administrators组等等,一律无权限访问此文件。

6. 利用已有用户或添加用户


入侵者通过利用修改已有用户或者添加Windows正式用户,向获取管理员权限迈进

对应措施:设置ACL权限、修改用户

将除管理员外所有用户的终端访问权限去掉,限制CMD.EXE的访问权限,限制(最好删除这些不安全的存储过程)SQL SERVER内的XP_CMDSHELL

7. 登陆图形终端


入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,获取许多图形程序的运行权限。由于WINDOWS系统下绝大部分应用程序都是GUI的,所以这步是每个入侵WINDOWS的入侵者都希望获得的

对应措施:端口限制

入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问。我们在第一步的端口限制中,对所有从内到外的访问一律屏蔽也就是为了防止 反弹木马,所以在端口限制中,由本地访问外部网络的端口越少越好。如果不是作为MAIL SERVER,可以不用加任何由内向外的端口,阻断所有的反弹木马。

8. 擦除脚印


入侵者在获得了一台机器的完全管理员权限后,就是擦除脚印来隐藏自身

对应措施:审计

首先我们要确定在windows日志中打开足够的审计项目,如果审计项目不足,入侵者甚至都无需去删除windows事件。其次我们可以用自己 的cmd.exe以及net.exe来替换系统自带的将运行的指令保存下来,了解入侵者的行动。对于windows日志,我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性。evtsys工具(https://engineering.purdue.edu/ECN/Resources /Documents)提供将windows日志转换成syslog格式并且发送到远程服务器上的功能,使用此用具,并且在远程服务器上开放 syslogd,如果远程服务器是windows系统,推荐使用kiwi syslog deamon。我们要达到的目的就是不让入侵者扫描到主机弱点,即使扫描到了也不能上传文件,即使上传文件了不能操作其他目录的文件,即使操作了其他目录 的文件也不能执行shell,即使执行了shell也不能添加用户,即使添加用户了也不能登陆图形终端,即使登陆了图形终端、拥有系统控制权,他的所作所 为还是会被记录下来。

额外措施:我们可以通过增加一些设备和措施来进一步加强系统安全性。


1. 代理型防火墙,如ISA2004


代理型防火墙可以对进出的包进行内容过滤,设置对HTTP REQUEST内的request string或者form内容进行过滤,将SELECT、DROP、DELETE、INSERT等都过滤掉,因为这些关键词在客户提交的表单或者内容中是 不可能出现的。过滤了以后可以说从根本杜绝了SQL 注入。

2. 用SNORT建立IDS


用另一台服务器建立个SNORT,对于所有进出服务器的包都进行分析和记录,特别是FTP上传的指令以及HTTP对ASP文件的请求,可以特别关注一下。

IIS安全配置原理 ( http://log-by-me.blogspot.com/2008/08/iis.html )

IIS安全配置原理 ( http://knol.google.com/k/hi-clin003/-/jtjj0so2jjck/37#view )




评论

此博客中的热门博文

前员工称社区网络是Google最大弱点

北京时间3月7日消息,Google员工近日掀起了离职创业之风,并且主要的创业领域为社区网络。有前Google员工指出,社区网络正是Google最大的弱点。以下是今天美国科技博客的主要内容。   Bits:分析师称移动运营商之间将出现价格战   Sanford Bernstein分析师Craig Moffett日前在一份报告中称,由于手机普及率已经很高,因此移动运营商将很难继续实现增长,而运营商之间将出现价格战。来自美国各主要运营商的最新数据显示,用户增长的速度正在大幅放缓。08年美国手机用户数仅同比增长5.9%,而09年可能进一步下降至3%。而一旦出现价格战,运营商的营收增长也将趋于停滞。Moffett甚至表示,整个移动通信产业即将崩溃。移动运营商目前将希望寄托在智能手机上,智能手机用户通常会更多的使用数据业务。   WebProNews:员工称Google最大弱点在社区网络   前Google员工Bindu Reddy和Arvind Sundararajan近日创立了一家社会化网站Likaholix,这是前Google员工近期创立的数家网站之一。分析认为,导致Google员工离职创业的原因有二。首先,Google目前的规模太庞大,因此很难将一些好的创意引入核心业务中。其次,在网页搜索领域对Google发起挑战是愚蠢的,Google最大的弱点在于社区网络和实时搜索。Reddy认为,Google未来最大的威胁来自Facebook和Twitter,而不是微软和雅虎。   Search Engine Land:AdSense发行商起诉Google获胜   AdSense广告平台的一名用户近日对Google提起诉讼并获得胜利。Google此前关闭了该用户的AdSense帐号,理由是该帐号"对广告主造成威胁",但Google并未具体指出这一威胁是什么。该用户随后起诉Google,并要求Google赔偿721美元。尽管Google的法律代表声称Google有权终止用户帐号,并且已经向该用户支付了721美元,但法庭最终判决结果仍然要求Google支付这笔钱,以及40美元的庭审费用。这一诉讼或许将成为其他AdSense发行商未来起诉Google的依据。   VentureBeat:全部iPhone应用程序总售价超7万美元   尽管RIM、微软和Palm等公司均推...

奥运会开模式上的蓝屏靓照

鸟巢的灯光和投影显示系统 使用了上百台Windows XP Embedded系统的服务器产品 此次北京奥运会开幕式共使用了120台HES Axon Media Servers服务器,这也是历届盛会之最。所有的灯光效果以及放映机移动控制都由Axon Media Servers实时处理并通过三台Wholehog 3灯光控制台操纵完成。 位于鸟巢的Axon Media Servers,有关Axon Media Servers的更多信息可参考 这里 。 在开幕式主火炬点火的关键时刻,其中一台投影服务器正巧出现了 奥运开模式上的蓝屏靓照 这幅图来自 gizmodo.com (both Li Ning and the BSOD :-) ) 没有错,正当李宁在空中跑道大步迈进的时候,蓝屏就在他的身旁。 下面的图片 据说 拍摄于H区3层顶棚。 拍摄于H区3层顶棚,2008.8.8,持续了开幕式的一半时间... Windows Blue Screen on the Olympics Openning Ceremony of Beijing 2008 照片上沿的那块蓝色,不过里边的字看不清了,其实从开幕式刚开始没多久,我就注意到顶棚有这么一块蓝色;不过因为是横过来的,所以没发觉是蓝屏;后来坐在我右边的一位老兄提醒了一下,我才反应过来,这时开幕式都快结束了。 李宁点完火炬降下来时,就经过瑞士国旗的左边,而这个蓝屏也就在李宁的左边,可惜我敏感度不高,当时没照下来。 相关链接: 奥运会开幕式上的Windows蓝屏 Blue Screen of Death Strikes Bird's Nest During Opening Ceremonies Torch Lighting 奥运会开幕式后台控制揭秘 XPe是功臣 Windows XP Embedded? 一样会蓝屏 奥运开幕式上的Windows蓝屏新照 奥运开模式上的蓝屏靓照 2008北京奥运会开模式上的蓝屏靓照

Google和雅虎签约加入英国定向广告规则

北京时间3月4日消息,据国外媒体报道,Google、雅虎已经签约加入英国的定向广告规则,以便向消费者提供更好的隐私保护。   定向广告去年成为了英国的热门话题,当时广告技术公司Phorm宣布与英国电信、维京传媒(Virgin Media)等互联网服务供应商合作,一些人士警告说消费者的隐私将受到威胁,互联网广告局英国部门在与Google、AOL、雅虎、微软等公司商讨后制订了若干原则。   互联网广告局监管官员尼克-斯特林格(Nick Stringer)表示:"定向广告占到了网上显示广告的20%,如果这一领域要发展,就必须赢得消费者的信任。"   按照这些原则,所有定向广告平台在获得数据之前都必须明确通知消费者,必须提供一种方式让消费者可以拒绝定向广告,最好能征求消费者的同意。(编译:搜狐IT Unifytruth) ------------------ 洛阳生活信息点评网:http://luoyanglife.com/ 洛阳生活信息,我爱打折论坛:http://bbs.luoyanglife.com/ 河南招生考试网:http://www.edu-ha.com/