还剩3页未读,继续阅读
文本内容:
WindowsInternet效劳器平安配置原理篇效劳器教程电脑资料我们将从入侵者入侵的各个环节来作出对应措施一步步的加固windows系统,一共归于以下几个方面
1.端口限制
2.设置ACL权限
3.关闭效劳或组件
4.包过滤
5.审计我们如今开场从入侵者的第一步开场,对应的开场加固已有的windows系统
1.扫描这是入侵者在刚开场要做的第一步,比方搜索有破绽的效劳对应措施端口限制以下所有规那么,都需要选择镜像,否那么会导致无法连接我们需要作的就是翻开效劳所需要的端口.而将其他的端口一律屏蔽,
2.下载信息这里主要是通过URLSCAN.来过滤一些非法恳求对应措施过滤相应包我们通过平安URLSCAN并且设置urlscan.ini中的DenyExtensions字段来阻止特定结尾的文件的执行
3.上传文件入侵者通过这步上传WEBSHELL、提权软件、运行cmd指令等等对应措施取消相应效劳和功能,设置ACL权限假如有条件可以不使用FSO的通过regsvr32/uc:\windows\system32\scrrun.dll来注销掉相关的DLL,假如需要使用,那就为每个站点建立一个user用户对每个站点相应的目录,只给这个用户读、写、执行权限,给administrators全部权限安装杀毒软件,实时杀除上传上来的恶意代码,个人推荐MCAFEE或者卡巴斯基假如使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进展阻止
4.WebShell入侵者上传文件后,需要利用WebShell来执行可执行程序,或者利用WebShell进展更加方便的文件操作对应措施:取消相应效劳和功能一般WebShell用到以下组件WScript.NetworkWScript.Network.1WScript.ShellWScript.Shell.1Shell.ApplicationShell.Application.1我们在表中将以上键值改名或删除,同时需要注意按照这些键值下的CLSID键的内容,从/HKEYCLASSESROOT/CLSID下面对应的键值删除
5.执行SHELL入侵者获得shell来执行更多指令对应措施设置ACL权限Windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE我们将此文件的ACL修改为某个特定员帐户比方administrator拥有全部权限,其他用户,包括system用户、administrators组等等,一律无权限访问此文件
6.利用已有用户或添加用户入侵者通过利用修改已有用户或者添加Windows正式用户,向获取管理员权限迈进对应措施设置ACL权限、修改用户将除管理员外所有用户的终端访问权限去掉,限制CMD.EXE的访问权限,限制SQLSERVER内的XPCMDSHELL
7.登陆图形终端入侵者登陆TERMINALSERVER或者RADMIN等等图形终端,获取许多图形程序的运行权限由于WINDOWS系统下绝大局部应用程序都是GUI的,所以这步是每个入侵WINDOWS的入侵者都希望获得的对应措施端口限制入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问我们在第一步的端口限制中,对所有从内到外的访问一律屏蔽也就是为了防止反弹木马,所以在端口限制中,由本地访问外部网络的端口越少越好假如不是作为MAILSERVER,可以不用加任何由内向外的端口,阻断所有的反弹木马
8.擦除脚印入侵者在获得了一台机器的完全管理员权限后,就是擦除脚印来隐藏自身对应措施审计首先我们要确定在windows日志中翻开足够的审计工程,假如审计工程缺乏,入侵者甚至都无需去删除windows事件其次我们可以用自己的cmd.exe以及.exe来交换系统自带的将运行的指令保存下来,理解入侵者的行动对于windows日志,我们可以通过将日志发送到远程日志效劳器的方式来保证记录的完好性evtsys工具s://engineering.purdue/E/Resources/Documents提供将windows日志转换成syslog格式并且发送到远程效劳器上的功能,使用此用具,并且在远程效劳器上开放syslogd,假如远程效劳器是windows系统,推荐使用kiwisyslogdeamon我们要到达的目的就是不让入侵者扫描到主机弱点,即使扫描到了也不能上传文件,即使上传文件了不能操作其他目录的文件,即使操作了其他目录的文件也不能执行shell,即使执行了shell也不能添加用户,即使添加用户了也不能登陆图形终端,即使登陆了图形终端、拥有系统控制权,他的所作所为还是会被记录下来额外措施我们可以通过增加一些设备和措施来进一步加强系统平安性
1.代理型防火墙,如ISAxx代理型防火墙可以对进出的包进展内容过滤,设置对REQUEST内的requeststring或者form内容进展过滤,将SELECT、DROP、DELETE、INSERT等都过滤掉,因为这些关键词在客户提交的表单或者内容中是不可能出现的过滤了以后可以说从根本杜绝了SQL注入
2.用SNORT建立IDS用另一台效劳器建立个SNORT,对于所有进出效劳器的包都进展分析和记录,特别是FTP上传的指令以及对ASP文件的恳求,可以特别关注一下本文提到的局部软件在提供下载的RAR中包含包括命令行执行记录URLSCAN
2.5以及配置好的配置文件IPSEC导出的端口规那么evtsys一些表加固的表项模板内容仅供参考 。