1
分类: 网络与安全
2006-09-08 19:29:22
来源:Bug.Center.Team
目录:
一、写在前面
二、总体规划思路
三、细节处理
内容:
一、写在前面:
在当前网络,针对windows主机的攻击层出不穷,就国内而已,windows服务器用户是一个很大的数字.配置一个安全的服务器
无论在什么时候都显得犹其重要.
对windows服务器的配置,比较成熟的方法是先从宏观上去把握,最从再从细节上去处理.
从某种角度上,一个优秀的管理员同时也可能是技术很不错的入侵者.
架设win服务器,首先我们先从大体上做好,再然后,把自己当成一个黑客,想想一下,如果我是一个黑客,这样配置后,我又该
如何去突然,以不同方式去检测,可以像程序里的白盒操作,也可以黑盒。给于自己不同的权限,尽量找出服务器可能存在的bug.
安全是个整体,和所谓的木桶效应一个道理,木桶的容量并不是取决于最长的那块,而是最矮的那个.
该方案更多的是提出维护的思维,有很多细节没有处理好,请自行补充.
二、总体规划
A:来自主机本身的危胁
a.系统安装和优化,补丁问题
b.通过策略,一定程度上保护主机的安全
c.权限问题
d.WEB安全
e.第三方程序
f.WEB安全
g.0day攻击
B:来自外部的危胁
a.嗅探,mac卡与IP的正确绑定与及常见问题
b.钓鱼与社工&账户与密码问题
三、解决来自主机自身的危胁
a.系统安装与优化与补丁问题
首先,对于系统安装与优化这方面我不就多介绍了,因为本文更多的是涉及到安全配置而不是优化性能这个问题.
而对于补丁问题,这个是比较重要的问题.下面我先列出一下,一般服务器需要开的服务,排出第三个程序.见下面
服务列表:
微软的自动 更新功能,另外有一个重要的地方就是,微软的补丁只不是一处,还有很多管理员经常忽略的office
补丁等,几年前的jet溢出,时至今日依然有效.这 不得不提醒一下管理员,想问题从总体上的想,不要只是从某个
细节去想,有个全局观.
b.策略问题
这里包括密码策略,账户策略等等,我们可以自已写VBS或者通过组策略(gedit.msc)来做.
这里对于密码,我们可以采用策略,定期改密码,长度限制,账户改掉默认的组等等.同时采用tcp/ip策略对没有端
口进行限制,还有ipsec对特定端口进行身份验证.
一般情况下,比较好的方法是对外只开两个端口,一个是80端口,一个是代理端口.代理端口加上健壮的密码,对于
FTP,Terminal Service,其它等端口,可以采用,连接上代理后,用SockCap等工具来实现连接.这样可以一定
程度上防范一些来自0day的攻击,诸如Serv-U,Mstsc溢出等.当然,这里所谓的策略并不只是这么几个,灵活利用
系统所能提供的机制,对于防范系统的安全有着很重要的意义.
c.权限问题
一个是目录权限问题,一个是一些系统自带的程序权限设置问题.
目录权限,要注意的是系统盘有些默认是执行权限的,所以需要设置成没有执行权限.程序主要是对cmd.exe,cacls,ftp,net.exe,net1.exe
tftp,tftpd,cscript.exe,echo,dir,ipconfig等等,所以可能用到的东西都进行设置,另外要注意的是,要注意
完整性,例如net.exe,最好用dir /s net*.exe,系统自带的有好多个,如果你只限制一个的话,其它的照样可以
用,这样一来还是会影响到系统的安全.
d.WEB安全问题
常见的攻击,诸如sql inject,暴库这类问题,我们可以采用iis防火墙,
其实我们可以在每个网页写个发邮件的脚本,当有出现500错误时,自动往管理员信箱里放送一封
邮件,这样可以有针对性的寻找对应网页可能存在的漏洞,同时对一些常见的页面,采用屏换的方式,这样一来可以解决一些
来自暴力破解和注射时提供的一些敏感信息.另外不要忽略了默认数据库等这类低级错误.
对于后台最好做身份限制,另外对上传目录做没有执行权限设置,这里要注意的就是不要忽略了其它脚本语言的支持,
对于Access数据库,个人建议,把数据库放在web根目录的上方,这里就浏览不到,即使插了马也没法提交shell.
对于web还有一个比较重要的地方就是对组件的选择性控制,FSO,Wscript.shell,等等组件,可以采用选择性的
删除或改名,或保留,例如FSO,如果不是虚拟机的话,个人认为可以选择删掉.总之,一句话,随机应变.
e.0day的攻击
对于0day的攻击,目前来说,能做的东西很好,不过,我们可以选择采用监控的方式来对系统进行控制,对于日志文件
请不要给于删除的权限,这样可以一定程度的,得到被入侵后的第一手信息,方便以后分析渗透方式.
B:来自外部的危胁
a.ARP Cheate&Defence
ARP(地址转发协议)欺骗,利用协议的不足,在交换网络的混杂模式,通过嗅探可以嗅到一些很重要的数据,诸如明文的
SQL Server密码,http数据包,SMTP,FTP等等.解决这类的问题,通常我们可以采用将MAC卡和IP绑定好,但是在真
实网络环境,有好多管理员并没有把mac卡和ip真正绑定好,详细的可以参考文章.
b.钓鱼与社工
下面采用MBA模式来讲,
有一天有一个人收到了一个信息,说他中了QQ的大奖,将一个QQ号1234567,密码是1234567,然后叫中奖者速修改密码,
从这里,如果我是中奖者一般不会怀疑什么,因为他没有从我身上得到些什么,但,当中奖者把密码改完后,发现自己QQ
被盗了,究其原因,钓鱼者利用了,很多人的一个弱点,就是使用同一个密码的习惯,当中奖者将密码改完后,钓鱼者去官
方去查改后的密码,再用改后的密码去试中奖者的QQ,成功的话,用户的很多隐私被窃取,虚拟财产受侵犯.当然现在的QQ
没法查改后的密码,我这里主要是提出一种思路.转到社工,问问你自己,是否在很多论谈使用差不多相同的ID,是否密码只
有三个以内,你的ID是不是可以被google搜出来,攻击者可以攻入你注册过的站点,收集到你一定的密码档,然后,通过
已收集的资料,做成一个字典,再对你进行暴破.个人建议自己的密码最好能弄进算法,个个密码都做到不同,这样一来,不
只是对自己的隐私起保护作用,同时也保护了站点,域等的安全性.
密码用汉字.DNS不要采用内部.
