Windows Internet服務器安全配置指南原理篇第1/2頁
2024-09-10 00:05:55
供稿:網友
我們現在開始從入侵者的第一步開始.對應的開始加固已有的windows系統.
1.掃描
這是入侵者在剛開始要做的第一步.比如搜索有漏洞的服務.
對應措施:端口限制
以下所有規則.都需要選擇鏡像,否則會導致無法連接
我們需要作的就是打開服務所需要的端口.而將其他的端口一律屏蔽
2.下載信息
這里主要是通過URL SCAN.來過濾一些非法請求
對應措施:過濾相應包
我們通過安全URL SCAN并且設置urlscan.ini中的DenyExtensions字段
來阻止特定結尾的文件的執行
3.上傳文件
入侵者通過這步上傳WEBSHELL,提權軟件,運行cmd指令等等.
對應措施:取消相應服務和功能,設置ACL權限
如果有條件可以不使用FSO的.
通過 regsvr32 /u c:/windows/system32/scrrun.dll來注銷掉相關的DLL.
如果需要使用.
那就為每個站點建立一個user用戶
對每個站點相應的目錄.只給這個用戶讀,寫,執行權限,給administrators全部權限
安裝殺毒軟件.實時殺除上傳上來的惡意代碼.
個人推薦MCAFEE或者卡巴斯基
如果使用MCAFEE.對WINDOWS目錄所有添加與修改文件的行為進行阻止.
4.WebShell
入侵者上傳文件后.需要利用WebShell來執行可執行程序.或者利用WebShell進行更加方便的文件操作.
對應措施:取消相應服務和功能
一般WebShell用到以下組件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我們在注冊表中將以上鍵值改名或刪除
同時需要注意按照這些鍵值下的CLSID鍵的內容
從/HKEY_CLASSES_ROOT/CLSID下面對應的鍵值刪除
5.執行SHELL
入侵者獲得shell來執行更多指令
對應措施:設置ACL權限
windows的命令行控制臺位于/WINDOWS/SYSTEM32/CMD.EXE
我們將此文件的ACL修改為
某個特定管理員帳戶(比如administrator)擁有全部權限.
其他用戶.包括system用戶,administrators組等等.一律無權限訪問此文件.
6.利用已有用戶或添加用戶
入侵者通過利用修改已有用戶或者添加windows正式用戶.向獲取管理員權限邁進
對應措施:設置ACL權限.修改用戶
將除管理員外所有用戶的終端訪問權限去掉.
限制CMD.EXE的訪問權限.
限制SQL SERVER內的XP_CMDSHELL
7.登陸圖形終端
入侵者登陸TERMINAL SERVER或者RADMIN等等圖形終端,
獲取許多圖形程序的運行權限.由于WINDOWS系統下絕大部分應用程序都是GUI的.
