網(wǎng)絡(luò)服務(wù)器安全配置方案如下所述：

下面我用的例子，將是一臺標準的虛擬主機。

系統(tǒng)：Windows2003

服務(wù)：[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]

描述：為了演示，綁定了最多的服務(wù)，大家可以根據(jù)實際情況做篩減

1. WINDOWS本地安全策略 端口限制

A. 對于我們的例子來說，需要開通以下端口

外->本地 80

外->本地 20

外->本地 21

外->本地 PASV所用到的一些端口

外->本地 25

外->本地 110

外->本地 3389

然后按照具體情況，打開SQL SERVER和MYSQL的端口

外->本地 1433

外->本地 3306

B. 接著是開放從內(nèi)部往外需要開放的端口

按照實際情況，如果無需郵件服務(wù)，則不要打開以下兩條規(guī)則

本地->外 53 TCP，UDP

本地->外 25

按照具體情況，如果無需在服務(wù)器上訪問網(wǎng)頁，盡量不要開以下端口

本地->外 80

C. 除了明確允許的一律阻止，這個是安全規(guī)則的關(guān)鍵

外->本地 所有協(xié)議 阻止

2. 用戶帳號

A. 將administrator改名，例子中改為root

B. 取消所有除管理員root外所有用戶屬性中的

遠程控制->啟用遠程控制 以及

終端服務(wù)配置文件->允許登陸到終端服務(wù)器

C. 將guest改名為administrator并且修改密碼

D. 除了管理員root、IUSER以及IWAM以及ASPNET用戶外，禁用其他一切用戶，包括SQL DEBUG以及TERMINAL USER等等

3. 目錄權(quán)限

將所有盤符的權(quán)限，全部改為只有

administrators組 全部權(quán)限

ystem 全部權(quán)限

將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權(quán)限的兩個權(quán)限

然后做如下修改

C:Program FilesCommon Files 開放Everyone默認的讀取及運行 列出文件目錄 讀取三個權(quán)限

C:WINDOWS 開放Everyone默認的讀取及運行 列出文件目錄 讀取三個權(quán)限

C:WINDOWSTemp 開放Everyone 修改、讀取及運行、列出文件目錄、讀取、寫入權(quán)限

現(xiàn)在WebShell就無法在系統(tǒng)目錄內(nèi)寫入文件了。當然也可以使用更嚴格的權(quán)限，在WINDOWS下分別目錄設(shè)置權(quán)限。可是比較復(fù)雜，效果也并不明顯。

4. IIS

在IIS 6下，應(yīng)用程序擴展內(nèi)的文件類型對應(yīng)ISAPI的類型已經(jīng)去掉了IDQ、PRINT等等危險的腳本類型，

在IIS 5下我們需要把除了ASP以及ASA以外所有類型刪除。

安裝URLSCAN

在[DenyExtensions]中一般加入以下內(nèi)容 .cer

.cdx

.mdb

.bat

.cmd

.com

.htw

.ida

.idq

.htr

.idc

.shtm

.shtml

.stm

.printer

這樣入侵者就無法下載.mdb數(shù)據(jù)庫，這種方法比外面一些在文件頭加入特殊字符的方法更加徹底。

因為即便文件頭加入特殊字符，還是可以通過編碼構(gòu)造出來的

5. WEB目錄權(quán)限

作為虛擬主機，會有許多獨立客戶。比較保險的做法就是為每個客戶建立一個Windows用戶，然后在IIS的響應(yīng)的站點項內(nèi)把IIS執(zhí)行的匿名用戶，綁定成這個用戶并且把他指向的目錄，權(quán)限變更為administrators 全部權(quán)限

system 全部權(quán)限

單獨建立的用戶(或者IUSER) 選擇高級->打開除 完全控制、遍歷文件夾/運行程序、取得所有權(quán) 3個外的其他權(quán)限

如果服務(wù)器上站點不多，并且有論壇，我們可以把每個論壇的上傳目錄去掉此用戶的執(zhí)行權(quán)限，只有讀寫權(quán)限這樣入侵者即便繞過論壇文件類型檢測上傳了webshell也是無法運行的。

6. MS SQL SERVER2000

使用系統(tǒng)帳戶登陸查詢分析器運行以下腳本 use master

exec sp_dropextendedproc 'xp_cmdshell'

exec sp_dropextendedproc 'xp_dirtree'

exec sp_dropextendedproc 'xp_enumgroups'

exec sp_dropextendedproc 'xp_fixeddrives'

exec sp_dropextendedproc 'xp_loginconfig'

exec sp_dropextendedproc 'xp_enumerrorlogs'

exec sp_dropextendedproc 'xp_getfiledetails'

exec sp_dropextendedproc 'Sp_OACreate'

exec sp_dropextendedproc 'Sp_OADestroy'

exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

exec sp_dropextendedproc 'Sp_OAGetProperty'

exec sp_dropextendedproc 'Sp_OAMethod'

exec sp_dropextendedproc 'Sp_OASetProperty'

exec sp_dropextendedproc 'Sp_OAStop'

exec sp_dropextendedproc 'Xp_regaddmultistring'

exec sp_dropextendedproc 'Xp_regdeletekey'

exec sp_dropextendedproc 'Xp_regdeletevalue'

exec sp_dropextendedproc 'Xp_regenumvalues'

exec sp_dropextendedproc 'Xp_regread'

exec sp_dropextendedproc 'Xp_regremovemultistring'

exec sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

go 刪除所有危險的擴展

7. 修改CMD.EXE以及NET.EXE權(quán)限

將兩個文件的權(quán)限修改到特定管理員才能訪問，比如本例中，我們?nèi)缦滦薷?/p>

cmd.exe root用戶 所有權(quán)限

et.exe root用戶 所有權(quán)現(xiàn)

這樣就能防止非法訪問

還可以使用例子中提供的comlog程序?qū)om.exe改名_com.exe，然后替換com文件，這樣可以記錄所有執(zhí)行的命令行指令

網(wǎng)絡(luò)服務(wù)器安全配置方案這么文章希望能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 服務(wù)器整合到底是什么
2. 個人web服務(wù)器的安裝
3. Linux服務(wù)器安全初始化Shell腳本
4. 故障排除：服務(wù)器無法成為輔助域控制器
5. Win2003網(wǎng)絡(luò)服務(wù)器的安全配置策略之詳述