1.安裝補丁程序
安裝Service Pack和最新的修補程序;;安裝SQL和IIS系列修補程序。
2.分區內容規劃
1)操作系統、Web home目錄和日誌安裝在不同的分區。
2)關閉任何分區的自動操作功能:
可以使用TweakUI等工具進行修改。以防有人把Autorun程序放進去實現惡意代碼自動加載。
3.協議管理
卸載不必要的協議,如IPX/SPX、NetBIOS;
在連接屬性對話框的TCP/IP屬性的高級選項卡中,選擇WINS並選擇禁用TCP/IP上的NETBIOS。
4.關閉以下所有不必要的服務。
以下僅供參考,視服務器上運行的應用而定!特別要註意服務之間的存儲關系,因為個性可能會導致壹些功能異常,甚至服務器無法工作!建議壹次只選擇兩三個項目,重新開始測試後再設置其他項目!
*警報器(禁用)
*剪貼簿服務器(禁用)
*計算機瀏覽器(禁用)
* DHCP客戶端(禁用)
*目錄復制器(禁用)
* FTP發布服務(禁用)
*許可證記錄服務(禁用)
*信使(禁用)
* Netlogon(禁用)
*網絡DDE(禁用)
*網絡DDE DSDM(禁用)
*網絡監視器(禁用)
****即插即用(完成所有硬件配置後禁用)****
*遠程訪問服務器(禁用)
*遠程過程調用(RPC)定位器(禁用)
*日程安排(禁用)
*服務器(禁用)
*簡單服務(禁用)
*假脫機程序(禁用)
* TCP/IP Netbios助手(禁用)
****電話服務(禁用)* * * *
必要時,禁止下列服務:
* SNMP服務(可選)
* SNMP陷阱(可選)
* UPS(可選
將下列服務設置為自動啟動:
*事件日誌(必需)
* NT LM安全提供程序(必需)
* RPC服務(必需)
* WWW(必需)
*工作站(保持服務開啟:將在文檔的後面被禁用。
* MSDTC(必需)
*受保護的存儲(必需)
替換服務器上的其他實用程序
瀏覽器建議使用FireFox,避免最新漏洞對IE造成的危害。平時盡量不要在服務器上上網。
13.設置陷阱腳本
我們不僅要阻止人們啟用Telnet服務,還要考慮被入侵時的對策。
除了Telnet服務之外,在System32目錄中設置文件(如Telsrv.exe)的訪問權限;密切相關的服務;然後編輯文件System32\login.cmd,並在其中添加腳本,目的是造成對方登錄後出現異常,無法正常連接和工作。劇本內容可以自由播放,前提是屏蔽對方操作。
14.取消壹些危險的文件擴展名。
如reg VBS VBE JS等。
三。IIS安全設置
1.關閉並刪除默認網站
默認FTP站點
默認網站
管理網站
2.建立自己的站點,不要和系統在壹個分區裏。
例如:d: \ wwwroot 3。建立E:\Logfiles目錄,以後建立站點時,日誌文件將位於該目錄下。確保此目錄。
上的訪問控制權限是:管理員系統。
3.刪除IIS的壹些目錄
IISHelp C:\winnt\help\iishelp
IIS admin C:\ system32 \ inetsrv \ IIS admin
MSADC C:\程序文件\公共文件\系統\msadc\
刪除C:\\inetpub
4.刪除不必要的IIS映射和擴展。
IIS被預先配置為支持常見的文件擴展名,如。asp和。shtm文件。IIS收到了這些類型的文件。
當請求時,調用由DLL處理。如果您不使用這些擴展或功能,您應該刪除映射,如下所示:
打開Internet服務管理器:
選擇計算機名,單擊鼠標右鍵,然後選擇屬性:
然後選擇編輯。
然後選擇主目錄並單擊配置。
選擇擴展\ "。htw \ ",\ "HTR \ ",\ "IDC \ ",\ "伊達\ ",\ "idq”,然後單擊刪除。
如果不使用服務器端包含,請刪除\ "。shtm\" \ "stm\ "和\ "。shtml\ "。
5.禁用父路徑(這可能會導致壹些使用相對路徑的子頁無法打開)。
“父路徑”選項允許您使用“..”在對MapPath等函數的調用中。默認情況下,此選項
它已被啟用,應該被禁用。
要禁用該選項,請按照下列步驟操作:
右擊網站的根目錄,並從上下文菜單中選擇屬性。
單擊主目錄選項卡。
點擊“配置”。
單擊應用程序選項選項卡。
取消選中啟用父路徑復選框。
6.設置虛擬目錄的訪問控制權限。
主頁中使用的文件應根據文件類型使用不同的訪問控制列表:
CGI(。exe,。dll,。cmd,。pl)
每個人(X)
管理員(完全控制)
系統(完全控制)
腳本文件(。asp)
每個人(X)
管理員(完全控制)
系統(完全控制)
包含文件(。公司。shtm,。shtml)
每個人(X)
管理員(完全控制)
系統(完全控制)
靜態內容(。txt,。gif,。jpg,。html)
每個人
管理員(完全控制)
系統(完全控制)
創建網站時,沒有必要對每個文件都設置訪問控制權限,但是應該為每種文件類型都創建壹個訪問控制權限。
新目錄,然後在每個目錄上設置訪問控制權限,允許將訪問控制權限傳遞給各種文件。
例如,目錄結構可以采用以下形式:
D:\wwwroot\myserver\static(。html)
D:\wwwroot\myserver\include(。inc)
D:\wwwroot\myserver \script(。asp)
D:\wwwroot\myserver \executable(。dll)
D:\wwwroot\myserver \images(。gif,。jpeg)
7.啟用日誌記錄
1)日誌的審計配置
在確定服務器是否受到攻擊時,日誌記錄極其重要。
W3C應該用於擴展日誌格式,如下所示:
打開Internet服務管理器:
右鍵單擊該站點,並從上下文菜單中選擇屬性。
單擊網站選項卡。
選中啟用日誌記錄復選框。
從“活動日誌格式”下拉列表中選擇W3C擴展日誌文件格式。
單擊“屬性”。
單擊擴展屬性選項卡,然後設置以下屬性:
*客戶IP地址
*用戶名
*方法
* URI資源公司
* HTTP狀態
* Win32狀態
*用戶代理
*服務器IP地址
*服務器端口
2)日誌安全管理
1.啟用操作系統組策略中的審核功能,以審核和記錄關鍵事件;
2.啟用IIS、FTP服務器等服務的日誌功能;並更改所有日誌的默認位置和設置文件夾權限!
3.安裝Portreport監控所有網絡訪問操作(可選,可能會增加服務器負載);
4.安裝自動備份工具,定期對以上日誌進行異地備份,至少備份到其他分區的隱藏位置,並設置備份目錄的權限(只有管理員可以訪問)。
5.準備壹個隨時可用的日誌分析工具。
6.請特別註意任何服務的重新啟動、對敏感擴展存儲過程的訪問以及其他事件。
8.備份IIS配置
您可以使用IIS的備份功能來備份所有設置的IIS配置,以便您可以隨時恢復它們。
9.修改IIS標誌
1)使用實用程序修改IIS標誌。
修改IIS標誌橫幅的方法:
下載壹個軟件來修改IIS橫幅顯示的信息-IIS/PWS橫幅編輯。有了它,我們可以很容易地修改IIS的橫幅。不過需要註意的是,在修改之前,壹定要先停止IIS(最好在服務中停止萬維網發布),並清除DLLcache下的所有文件。否則妳會發現,即使修改了,也根本沒有變化。
IIS/PWS橫幅編輯實際上是壹個傻瓜級軟件。我們只需要在新建橫幅中直接輸入想要的橫幅信息,然後點擊保存到文件即可成功修改。簡單地用IIS/PWS橫幅編輯進行修改可能會讓黑客新手對虛假信息感到困惑,但對於壹些專家來說,這並沒有給他們帶來任何麻煩。為此,壹定要親自修改IIS的Banner信息,做到萬無壹失。
Windows較高版本的文件路徑為C:\ Windows \ System32 \ inetsrv \ w3svc.dll。您可以使用Ultraedit直接打開W3SVC.DLL,並以“服務器:”為關鍵詞進行搜索。用編輯器把原來的內容替換成我們想要的信息,比如Apache的顯示信息,讓入侵者無法判斷我們的主機類型,無法選擇溢出工具。
2)修改IIS的默認錯誤信息等。
第四,數據和備份管理
1.支持
1)始終將重要數據備份到專用備份服務器。備份後,備份服務器可以與網絡隔離。可以使用自動備份工具,需要FTP備份。
2)使用系統的備份功能,分階段備份已安裝的系統。
3)使用WonRescue等工具分階段備份註冊表。
4)使用Ghost備份完整配置的系統分區的鏡像,存儲在隱藏分區中。
2.設置文件共享權限
1)限制共享權限
在設置共享文件時,要註意將共享文件的權限從“所有人”組改為“授權用戶”,包括打印共享。
2)關閉默認共享
Win 2000安裝後,系統會創建壹些隱藏共享,可以用cmd下的net share命令查看。禁止這個
壹些分享。* *為此,請打開“管理工具→計算機管理→共享文件夾→共享”,然後在相應的共享文件夾上按右鍵。
鍵,點擊“停止共享”。機器重新啟動後,這些共享將被重新打開。
3.防止文件名作弊
設置下列選項以防止文件名欺騙,例如防止後綴為的惡意文件。txt或者。exe顯示為。txt文件,從而使
要打開此文件,請雙擊“我的電腦→工具→文件夾選項→查看”並選擇“顯示所有文件和文件夾”屬性。
設置,並刪除“隱藏已知文件類型的擴展名”的屬性設置。
4.4的安全性總結。Access數據庫
1)新生成的數據庫在保證整潔的前提下,在尾部主動合並壹行ASP代碼,內容壹般可以重定向,通過論壇免費發帖植入有害代碼後執行;
2)為MDB文件創建無效映射,以至於在IE中下載時出現錯誤;
3)修改錯誤頁面。建議將錯誤頁面設計成正常暴露在數據庫中的內容,但給出壹個數據庫的虛假地址(最好有相應的虛假數據庫文件,比如改名的病毒);
4)在防火墻中過濾MDB類型的擴展名;
5)刪除或禁用網站後臺數據庫備份功能,使用本地安裝的專用自動備份程序進行自動增量備份。
6)ASP通用註入預防程序:
功能的簡單描述:
1.自動獲取頁面的所有參數,無需手動定義參數名稱。
2.提供三種錯誤處理方法供選擇。
(1).提示信息。
(2).翻到那壹頁。
(3)提示信息,然後轉到頁面。
3.自定義翻頁。
使用方法很簡單,只需在ASP頁面頭部插入代碼即可。
& lt!- #Include File="Fy_SqlX。ASP“--& gt;
只包括Fy_SqlX。Asp ~ ~簡單實用。
& lt%
Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx
-定義零件標題-
Fy_Cl = 1 '處理方式:1=提示信息,2=轉到頁面,3=先提示再轉。
Fy_Zx = "錯誤。出現錯誤時要轉到的Asp頁。
出錯時繼續下壹步
Fy _ Url =請求。服務器變量(" QUERY_STRING ")
Fy_a=split(Fy_Url)
redim Fy_Cs(ubound(Fy_a))
出錯時繼續下壹步
對於Fy_x=0至下界(Fy_a)
Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x)," = "-1)
然後
對於Fy_x=0至下界(Fy_Cs)
if Fy _ Cs(Fy _ x)& lt;& gt”“那麽
if Instr(LCase(Request(Fy _ Cs(Fy _ x)))," ' " & lt& gt0或Instr(LCase(Request(Fy_Cs(Fy_x))),“and”)& lt;& gt0或Instr(LCase(Request(Fy_Cs(Fy_x))),“select”)& lt;& gt0或Instr(LCase(Request(Fy_Cs(Fy_x))),“update”)& lt;& gt0或Instr(LCase(Request(Fy_Cs(Fy_x))),“chr”)& lt;& gt0或Instr(LCase(Request(Fy_Cs(Fy_x))),“delete % 20 from”)& lt;& gt0或Instr(LCase(Request(Fy_Cs(Fy_x))),";”)& lt& gt0或Instr(LCase(Request(Fy_Cs(Fy_x))),“insert”)& lt;& gt0或Instr(LCase(Request(Fy_Cs(Fy_x))),“mid”)& lt;& gt0或Instr(LCase(Request(Fy_Cs(Fy_x)))," master。”)& lt& gt那麽0
選擇案例Fy_Cl
案例“1”
回應。寫" & lt腳本語言= JavaScript & gt警報('!參數" &;中國風雲& amp的值包含非法字符串!\ n \ n \請不要出現在參數中:;、和、選擇、更新、插入、刪除、chr等非法字符!');window.close()。& lt/Script & gt;"
案例“2”
回應。寫" & lt腳本語言= JavaScript & gtlocation.href = ' " & amp風雲Zx & amp& lt/Script & gt;"
案例“3”
回應。寫" & lt腳本語言= JavaScript & gt警報('!參數" &;中國風雲& amp的值包含非法字符串!\ n \ n \請不要出現在參數中:;、和、選擇、更新、插入、刪除、chr等非法字符!');location.href = ' " & amp風雲Zx & amp;& lt/Script & gt;"
結束選擇
回應。結束
如果…就會結束
如果…就會結束
然後
% & gt
5.預防5。MSSQL註入攻擊
攻擊者可以在SQL中調用Master中擴展存儲過程中的xp_cmdshell來執行系統指令。
1)刪除擴展存儲過程
在控制面板→計算機管理→Microsoft SQL Server→(本地……)→數據庫→master→擴展存儲過程→xp_cmdshell,右鍵,刪除!
您也可以使用命令刪除:
sp _ dropextendedproc ' XP _ cmdshell '
然後搜索並刪除或重命名系統分區,並刪除xplog70.dll文件,以防止惡意人士恢復上述配置。
2)刪除註冊表操作功能
在上述位置下刪除:
Xp_regaddmultistring(向註冊表添加項目)
Xp_regdeletekey(刪除註冊表項)
Xp_regdeletevalue(從註冊表中刪除壹個鍵值)
Xp_regnumvalues(在主鍵下列出鍵值)
Xp_regread(讀取主鍵下的鍵值)
Xp_regremovemultistring(從註冊表中刪除項目)
Xp_regwrite(寫入註冊表中的數據)
3)防止跨數據庫查詢
每個數據庫提供壹個數據庫用戶,只能查詢自己擁有的數據庫,其他數據庫(包括四個系統數據庫,主模型Tempdb Msdb和兩個用戶數據庫,Pubs t Northwind)禁止使用。
動詞 (verb的縮寫)其他輔助安全措施
1.安裝可靠的殺毒軟件,並立即升級;
2.安裝壹個潛在的強大而靈活的網絡防火墻,並仔細設置規則;
防火墻選擇、安裝和配置概述;
選擇:
1)必須有帶出站審計功能的防火墻,防止反向連接的特洛伊馬後門;
2)設置適當的安全級別。安裝初期可以采用learn模式並精心配置,然後進入最高安全級別;
3)配置防火墻規則。建議如果默認沒有匹配的規則,就拒絕,然後再逐個添加必要的規則。
4)防火墻規則要經常備份和檢查。如果發現可疑的規則,就要高度警惕,或者恢復沒有寶藏的備份規則。
5)選擇建議:天網;Look 'n' Stop、ZoneAlarm服務器建議鹿場。
6)常用端口:FTP:21 web:80 SMTP:25 pop 3:110終端服務:3389(不推薦;建議修改)MYSQL:3306可以在數據庫配置文件中更改端口,比如3389,讓別人連接:)
其他端口,如遠程管理工具,不建議使用默認端口。
7)服務器建議使用DeerField過濾通過URL提交的命令的關鍵字和敏感文件的擴展名,例如。MDB,',-,NULL,select,%5c,c:,cmd,system32,xp_ cmdshell,exec,@a,dir,alert(),'或' = '。對於用上述字符串請求提交的IP,通常是有意為之,所以防火墻可以長時間屏蔽此類被訪問的IP。
其他安全工具安裝安全工具:
如Urlscn、IISLock等。
3.將系統目錄和程序目錄中所有文件的日期和時間修改為壹個特定值,以便日後查找可疑程序時進行篩選;
所有配置完成後,分別為系統目錄和程序目錄做壹個文件列表,保存在隱藏分區。
4.在網絡中的另壹臺計算機上,使用各種流行的掃描工具掃描服務器,檢測是否還有已知的漏洞沒有處理好。
5.針對使用現有自由代碼的安全性問題。
免費程序並不壹定要免費使用。由於您可以共享原始代碼,攻擊者仍然可以分析代碼。如果站長有能力,最好更改數據庫表名和字段名,只修改密鑰admin、用戶名、密碼。誰能猜出forum_upasswd之類的字段名?如果妳猜對了,最好趕緊買彩票。還有誰會中大獎?另外,壹般網站的關鍵在於管理員的密碼。保護好妳的管理員密碼非常重要,至少是10位數的字母數字組合。另外,現在大部分站點程序都使用MD5加密用戶密碼,妳的密碼是健壯的,所以妳站點的安全性會大大提高。即使存在SQL註入漏洞,攻擊者也不可能馬上拿下妳的站點。
6.文件清單、任務清單和服務清單的生成和利用
生成各種目錄列表備份對於將來查找可疑文件非常重要。壹般必須在服務器部署完成後立即進行!
1,文件列表
所有配置完成後,對系統目錄和程序目錄下的文件列表進行備份,保存為文件。
建議分別做完整列表、DLL文件列表和EXE文件列表、TMP文件列表、COM文件列表、CMD文件列表和SCR文件列表。
2.任務管理器任務列表
可以通過拍照保存任務管理器的任務列表;建議使用專門的進程查看工具導出詳細的進程和模塊列表,以備將來參考!
3.系統服務列表
可以對“已啟動”和“自動”服務類型進行排序,然後截圖保存。