Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3178760
  • 博文数量: 797
  • 博客积分: 10134
  • 博客等级: 上将
  • 技术积分: 9335
  • 用 户 组: 普通用户
  • 注册时间: 2006-06-22 22:57
个人简介

1

文章分类

全部博文(797)

文章存档

2022年(1)

2021年(2)

2017年(2)

2016年(1)

2015年(4)

2014年(1)

2013年(6)

2012年(6)

2011年(10)

2010年(26)

2009年(63)

2008年(61)

2007年(51)

2006年(563)

我的朋友

分类: 网络与安全

2006-09-08 19:29:22

来源:Bug.Center.Team

目录:
一、写在前面

二、总体规划思路

三、细节处理

内容:

一、写在前面:
             在当前网络,针对windows主机的攻击层出不穷,就国内而已,windows服务器用户是一个很大的数字.配置一个安全的服务器
无论在什么时候都显得犹其重要.
            对windows服务器的配置,比较成熟的方法是先从宏观上去把握,最从再从细节上去处理.
           从某种角度上,一个优秀的管理员同时也可能是技术很不错的入侵者.
           架设win服务器,首先我们先从大体上做好,再然后,把自己当成一个黑客,想想一下,如果我是一个黑客,这样配置后,我又该
如何去突然,以不同方式去检测,可以像程序里的白盒操作,也可以黑盒。给于自己不同的权限,尽量找出服务器可能存在的bug.
          安全是个整体,和所谓的木桶效应一个道理,木桶的容量并不是取决于最长的那块,而是最矮的那个.
         该方案更多的是提出维护的思维,有很多细节没有处理好,请自行补充.

二、总体规划
   A:来自主机本身的危胁
a.系统安装和优化,补丁问题
b.通过策略,一定程度上保护主机的安全
c.权限问题
d.WEB安全
e.第三方程序
f.WEB安全
g.0day攻击
      B:来自外部的危胁
a.嗅探,mac卡与IP的正确绑定与及常见问题
b.钓鱼与社工&账户与密码问题

三、解决来自主机自身的危胁
   a.系统安装与优化与补丁问题
         首先,对于系统安装与优化这方面我不就多介绍了,因为本文更多的是涉及到安全配置而不是优化性能这个问题.
         而对于补丁问题,这个是比较重要的问题.下面我先列出一下,一般服务器需要开的服务,排出第三个程序.见下面
         服务列表:

         微软的自动 更新功能,另外有一个重要的地方就是,微软的补丁只不是一处,还有很多管理员经常忽略的office
         补丁等,几年前的jet溢出,时至今日依然有效.这 不得不提醒一下管理员,想问题从总体上的想,不要只是从某个
         细节去想,有个全局观.

   b.策略问题
        这里包括密码策略,账户策略等等,我们可以自已写VBS或者通过组策略(gedit.msc)来做.
        这里对于密码,我们可以采用策略,定期改密码,长度限制,账户改掉默认的组等等.同时采用tcp/ip策略对没有端
        口进行限制,还有ipsec对特定端口进行身份验证.
        一般情况下,比较好的方法是对外只开两个端口,一个是80端口,一个是代理端口.代理端口加上健壮的密码,对于
   FTP,Terminal Service,其它等端口,可以采用,连接上代理后,用SockCap等工具来实现连接.这样可以一定
        程度上防范一些来自0day的攻击,诸如Serv-U,Mstsc溢出等.当然,这里所谓的策略并不只是这么几个,灵活利用
        系统所能提供的机制,对于防范系统的安全有着很重要的意义.
    c.权限问题
        一个是目录权限问题,一个是一些系统自带的程序权限设置问题.
        目录权限,要注意的是系统盘有些默认是执行权限的,所以需要设置成没有执行权限.程序主要是对cmd.exe,cacls,ftp,net.exe,net1.exe
   tftp,tftpd,cscript.exe,echo,dir,ipconfig等等,所以可能用到的东西都进行设置,另外要注意的是,要注意
        完整性,例如net.exe,最好用dir /s net*.exe,系统自带的有好多个,如果你只限制一个的话,其它的照样可以
        用,这样一来还是会影响到系统的安全.

   d.WEB安全问题
        常见的攻击,诸如sql inject,暴库这类问题,我们可以采用iis防火墙,
        其实我们可以在每个网页写个发邮件的脚本,当有出现500错误时,自动往管理员信箱里放送一封
        邮件,这样可以有针对性的寻找对应网页可能存在的漏洞,同时对一些常见的页面,采用屏换的方式,这样一来可以解决一些
        来自暴力破解和注射时提供的一些敏感信息.另外不要忽略了默认数据库等这类低级错误.
        对于后台最好做身份限制,另外对上传目录做没有执行权限设置,这里要注意的就是不要忽略了其它脚本语言的支持,
        对于Access数据库,个人建议,把数据库放在web根目录的上方,这里就浏览不到,即使插了马也没法提交shell.
        对于web还有一个比较重要的地方就是对组件的选择性控制,FSO,Wscript.shell,等等组件,可以采用选择性的
        删除或改名,或保留,例如FSO,如果不是虚拟机的话,个人认为可以选择删掉.总之,一句话,随机应变.
    e.0day的攻击
        对于0day的攻击,目前来说,能做的东西很好,不过,我们可以选择采用监控的方式来对系统进行控制,对于日志文件
        请不要给于删除的权限,这样可以一定程度的,得到被入侵后的第一手信息,方便以后分析渗透方式.


   B:来自外部的危胁
   a.ARP Cheate&Defence
   ARP(地址转发协议)欺骗,利用协议的不足,在交换网络的混杂模式,通过嗅探可以嗅到一些很重要的数据,诸如明文的
   SQL Server密码,http数据包,SMTP,FTP等等.解决这类的问题,通常我们可以采用将MAC卡和IP绑定好,但是在真
        实网络环境,有好多管理员并没有把mac卡和ip真正绑定好,详细的可以参考文章.

   b.钓鱼与社工
        下面采用MBA模式来讲,
        有一天有一个人收到了一个信息,说他中了QQ的大奖,将一个QQ号1234567,密码是1234567,然后叫中奖者速修改密码,
        从这里,如果我是中奖者一般不会怀疑什么,因为他没有从我身上得到些什么,但,当中奖者把密码改完后,发现自己QQ
        被盗了,究其原因,钓鱼者利用了,很多人的一个弱点,就是使用同一个密码的习惯,当中奖者将密码改完后,钓鱼者去官
       方去查改后的密码,再用改后的密码去试中奖者的QQ,成功的话,用户的很多隐私被窃取,虚拟财产受侵犯.当然现在的QQ
       没法查改后的密码,我这里主要是提出一种思路.转到社工,问问你自己,是否在很多论谈使用差不多相同的ID,是否密码只
       有三个以内,你的ID是不是可以被google搜出来,攻击者可以攻入你注册过的站点,收集到你一定的密码档,然后,通过
       已收集的资料,做成一个字典,再对你进行暴破.个人建议自己的密码最好能弄进算法,个个密码都做到不同,这样一来,不
      只是对自己的隐私起保护作用,同时也保护了站点,域等的安全性.


密码用汉字.DNS不要采用内部.

阅读(1709) | 评论(0) | 转发(0) |
0

上一篇:网管命令

下一篇:测试你的脑年龄

给主人留下些什么吧!~~