建站
咨詢(xún)
售后
建站咨詢(xún)
新聞中心
1.掃描
這是入侵者在剛開(kāi)始要做的第一步.比如搜索有漏洞的服務(wù).
對(duì)應(yīng)措施:端口限制
以下所有規(guī)則.都需要選擇鏡像,否則會(huì)導(dǎo)致無(wú)法連接
我們需要作的就是打開(kāi)服務(wù)所需要的端口.而將其他的端口一律屏蔽
2.下載信息
這里主要是通過(guò)URL SCAN.來(lái)過(guò)濾一些非法請(qǐng)求
對(duì)應(yīng)措施:過(guò)濾相應(yīng)包
我們通過(guò)安全URL SCAN并且設(shè)置urlscan.ini中的DenyExtensions字段
來(lái)阻止特定結(jié)尾的文件的執(zhí)行
3.上傳文件
入侵者通過(guò)這步上傳WEBSHELL,提權(quán)軟件,運(yùn)行cmd指令等等.
對(duì)應(yīng)措施:取消相應(yīng)服務(wù)和功能,設(shè)置ACL權(quán)限
如果有條件可以不使用FSO的.
通過(guò) regsvr32 /u c:\windows\system32\scrrun.dll來(lái)注銷(xiāo)掉相關(guān)的DLL.
如果需要使用.
那就為每個(gè)站點(diǎn)建立一個(gè)user用戶(hù)
對(duì)每個(gè)站點(diǎn)相應(yīng)的目錄.只給這個(gè)用戶(hù)讀,寫(xiě),執(zhí)行權(quán)限,給administrators全部權(quán)限
安裝殺毒軟件.實(shí)時(shí)殺除上傳上來(lái)的惡意代碼.
個(gè)人推薦MCAFEE或者卡巴斯基
如果使用MCAFEE.對(duì)WINDOWS目錄所有添加與修改文件的行為進(jìn)行阻止.
4.WebShell
入侵者上傳文件后.需要利用WebShell來(lái)執(zhí)行可執(zhí)行程序.或者利用WebShell進(jìn)行更加方便的文件操作.
對(duì)應(yīng)措施:取消相應(yīng)服務(wù)和功能
一般WebShell用到以下組件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我們?cè)谧?cè)表中將以上鍵值改名或刪除
同時(shí)需要注意按照這些鍵值下的CLSID鍵的內(nèi)容
從/HKEY_CLASSES_ROOT/CLSID下面對(duì)應(yīng)的鍵值刪除
5.執(zhí)行SHELL
入侵者獲得shell來(lái)執(zhí)行更多指令
對(duì)應(yīng)措施:設(shè)置ACL權(quán)限
windows的命令行控制臺(tái)位于\WINDOWS\SYSTEM32\CMD.EXE
我們將此文件的ACL修改為
某個(gè)特定管理員帳戶(hù)(比如administrator)擁有全部權(quán)限.
其他用戶(hù).包括system用戶(hù),administrators組等等.一律無(wú)權(quán)限訪問(wèn)此文件.
6.利用已有用戶(hù)或添加用戶(hù)
入侵者通過(guò)利用修改已有用戶(hù)或者添加windows正式用戶(hù).向獲取管理員權(quán)限邁進(jìn)
對(duì)應(yīng)措施:設(shè)置ACL權(quán)限.修改用戶(hù)
將除管理員外所有用戶(hù)的終端訪問(wèn)權(quán)限去掉.
限制CMD.EXE的訪問(wèn)權(quán)限.
限制SQL SERVER內(nèi)的XP_CMDSHELL
7.登陸圖形終端
入侵者登陸TERMINAL SERVER或者RADMIN等等圖形終端,
獲取許多圖形程序的運(yùn)行權(quán)限.由于WINDOWS系統(tǒng)下絕大部分應(yīng)用程序都是GUI的.
所以這步是每個(gè)入侵WINDOWS的入侵者都希望獲得的
對(duì)應(yīng)措施:端口限制
入侵者可能利用3389或者其他的木馬之類(lèi)的獲取對(duì)于圖形界面的訪問(wèn).
我們?cè)诘谝徊降亩丝谙拗浦?對(duì)所有從內(nèi)到外的訪問(wèn)一律屏蔽也就是為了防止反彈木馬.
所以在端口限制中.由本地訪問(wèn)外部網(wǎng)絡(luò)的端口越少越好.
如果不是作為MAIL SERVER.可以不用加任何由內(nèi)向外的端口.
阻斷所有的反彈木馬.
8.擦除腳印
入侵者在獲得了一臺(tái)機(jī)器的完全管理員權(quán)限后
就是擦除腳印來(lái)隱藏自身.
對(duì)應(yīng)措施:審計(jì)
首先我們要確定在windows日志中打開(kāi)足夠的審計(jì)項(xiàng)目.
如果審計(jì)項(xiàng)目不足.入侵者甚至都無(wú)需去刪除windows事件.
其次我們可以用自己的cmd.exe以及net.exe來(lái)替換系統(tǒng)自帶的.
將運(yùn)行的指令保存下來(lái).了解入侵者的行動(dòng).
對(duì)于windows日志
我們可以通過(guò)將日志發(fā)送到遠(yuǎn)程日志服務(wù)器的方式來(lái)保證記錄的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供將windows日志轉(zhuǎn)換成syslog格式并且發(fā)送到遠(yuǎn)程服務(wù)器上的功能.
使用此用具.并且在遠(yuǎn)程服務(wù)器上開(kāi)放syslogd,如果遠(yuǎn)程服務(wù)器是windows系統(tǒng).
推薦使用kiwi syslog deamon.
我們要達(dá)到的目的就是
不讓入侵者掃描到主機(jī)弱點(diǎn)
即使掃描到了也不能上傳文件
即使上傳文件了不能操作其他目錄的文件
即使操作了其他目錄的文件也不能執(zhí)行shell
即使執(zhí)行了shell也不能添加用戶(hù)
即使添加用戶(hù)了也不能登陸圖形終端
即使登陸了圖形終端.擁有系統(tǒng)控制權(quán).他的所作所為還是會(huì)被記錄下來(lái).
額外措施:
我們可以通過(guò)增加一些設(shè)備和措施來(lái)進(jìn)一步加強(qiáng)系統(tǒng)安全性.
1.代理型防火墻.如ISA2004
代理型防火墻可以對(duì)進(jìn)出的包進(jìn)行內(nèi)容過(guò)濾.
設(shè)置對(duì)HTTP REQUEST內(nèi)的request string或者form內(nèi)容進(jìn)行過(guò)濾
將SELECT.DROP.DELETE.INSERT等都過(guò)濾掉.
因?yàn)檫@些關(guān)鍵詞在客戶(hù)提交的表單或者內(nèi)容中是不可能出現(xiàn)的.
過(guò)濾了以后可以說(shuō)從根本杜絕了SQL 注入
2.用SNORT建立IDS
用另一臺(tái)服務(wù)器建立個(gè)SNORT.
對(duì)于所有進(jìn)出服務(wù)器的包都進(jìn)行分析和記錄
特別是FTP上傳的指令以及HTTP對(duì)ASP文件的請(qǐng)求
windows的命令行控制臺(tái)位于\WINDOWS\SYSTEM32\CMD.EXE
我們將此文件的ACL修改為
某個(gè)特定管理員帳戶(hù)(比如administrator)擁有全部權(quán)限.
其他用戶(hù).包括system用戶(hù),administrators組等等.一律無(wú)權(quán)限訪問(wèn)此文件.
6.利用已有用戶(hù)或添加用戶(hù)
入侵者通過(guò)利用修改已有用戶(hù)或者添加windows正式用戶(hù).向獲取管理員權(quán)限邁進(jìn)
對(duì)應(yīng)措施:設(shè)置ACL權(quán)限.修改用戶(hù)
將除管理員外所有用戶(hù)的終端訪問(wèn)權(quán)限去掉.
限制CMD.EXE的訪問(wèn)權(quán)限.
限制SQL SERVER內(nèi)的XP_CMDSHELL
7.登陸圖形終端
入侵者登陸TERMINAL SERVER或者RADMIN等等圖形終端,
獲取許多圖形程序的運(yùn)行權(quán)限.由于WINDOWS系統(tǒng)下絕大部分應(yīng)用程序都是GUI的.
所以這步是每個(gè)入侵WINDOWS的入侵者都希望獲得的
對(duì)應(yīng)措施:端口限制
入侵者可能利用3389或者其他的木馬之類(lèi)的獲取對(duì)于圖形界面的訪問(wèn).
我們?cè)诘谝徊降亩丝谙拗浦?對(duì)所有從內(nèi)到外的訪問(wèn)一律屏蔽也就是為了防止反彈木馬.
所以在端口限制中.由本地訪問(wèn)外部網(wǎng)絡(luò)的端口越少越好.
如果不是作為MAIL SERVER.可以不用加任何由內(nèi)向外的端口.
阻斷所有的反彈木馬.
8.擦除腳印
入侵者在獲得了一臺(tái)機(jī)器的完全管理員權(quán)限后
就是擦除腳印來(lái)隱藏自身.
對(duì)應(yīng)措施:審計(jì)
首先我們要確定在windows日志中打開(kāi)足夠的審計(jì)項(xiàng)目.
如果審計(jì)項(xiàng)目不足.入侵者甚至都無(wú)需去刪除windows事件.
其次我們可以用自己的cmd.exe以及net.exe來(lái)替換系統(tǒng)自帶的.
將運(yùn)行的指令保存下來(lái).了解入侵者的行動(dòng).
對(duì)于windows日志
我們可以通過(guò)將日志發(fā)送到遠(yuǎn)程日志服務(wù)器的方式來(lái)保證記錄的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供將windows日志轉(zhuǎn)換成syslog格式并且發(fā)送到遠(yuǎn)程服務(wù)器上的功能.
使用此用具.并且在遠(yuǎn)程服務(wù)器上開(kāi)放syslogd,如果遠(yuǎn)程服務(wù)器是windows系統(tǒng).
推薦使用kiwi syslog deamon.
我們要達(dá)到的目的就是
不讓入侵者掃描到主機(jī)弱點(diǎn)
即使掃描到了也不能上傳文件
即使上傳文件了不能操作其他目錄的文件
即使操作了其他目錄的文件也不能執(zhí)行shell
即使執(zhí)行了shell也不能添加用戶(hù)
即使添加用戶(hù)了也不能登陸圖形終端
即使登陸了圖形終端.擁有系統(tǒng)控制權(quán).他的所作所為還是會(huì)被記錄下來(lái).
額外措施:
我們可以通過(guò)增加一些設(shè)備和措施來(lái)進(jìn)一步加強(qiáng)系統(tǒng)安全性.
1.代理型防火墻.如ISA2004
代理型防火墻可以對(duì)進(jìn)出的包進(jìn)行內(nèi)容過(guò)濾.
設(shè)置對(duì)HTTP REQUEST內(nèi)的request string或者form內(nèi)容進(jìn)行過(guò)濾
將SELECT.DROP.DELETE.INSERT等都過(guò)濾掉.
因?yàn)檫@些關(guān)鍵詞在客戶(hù)提交的表單或者內(nèi)容中是不可能出現(xiàn)的.
過(guò)濾了以后可以說(shuō)從根本杜絕了SQL 注入
2.用SNORT建立IDS
用另一臺(tái)服務(wù)器建立個(gè)SNORT.
對(duì)于所有進(jìn)出服務(wù)器的包都進(jìn)行分析和記錄
特別是FTP上傳的指令以及HTTP對(duì)ASP文件的請(qǐng)求
可以特別關(guān)注一下.
當(dāng)前1/2頁(yè)
12下一頁(yè)
本文名稱(chēng):WindowsInternet服務(wù)器安全配置指南原理篇第1/2頁(yè)
路徑分享:http://www.5511xx.com/article/dhpjoci.html
