Configuración de seguridad del servidor Windows 2003 última tecnología flexible

Hay mucha seguridad en línea sobre la configuración del sistema Windows Server 2003, pero un análisis cuidadoso encontró que muchos no son exhaustivos y muchos aún no son lo suficientemente razonables, y existen grandes riesgos de seguridad. Hoy decidí hacer todo lo posible. La configuración de seguridad del servidor 2003 permite que más amigos de la administración de la red se sienten y se relajen.

Los componentes que necesitamos para brindar soporte son los siguientes: (ASP, ASPX, CGI, PHP, FSO, JMAIL, MySql, SMTP, POP3, FTP, 3389 Terminal Services, servicio de administración de conexión web de escritorio remoto, etc.) La premisa aquí es que el sistema se ha instalado, IIS, incluido el servidor FTP, el servidor de correo, etc., estos métodos de configuración específicos no se repetirán, y ahora nos centramos en la configuración principal de seguridad.

Acerca de los sistemas de instalación de seguridad regulares, configure y administre cuentas, desactive servicios redundantes, audite políticas, modifique los puertos de administración de terminales y configure MS-SQL para eliminar procedimientos almacenados peligrosos con el público menos privilegiado Conexión de la cuenta, etc., no diga

primero hable acerca de la configuración de permisos de disco NTFS del sistema, es posible que haya visto más, pero el servidor 2003 tiene algunos detalles a los que prestar atención, no he leído muchos artículos Completa

La unidad C solo le da a los administradores y permisos del sistema, no se otorgan otros permisos, otros discos también se pueden configurar de esta manera, los permisos del sistema que se dan aquí no necesariamente deben darse, solo porque algunas aplicaciones de terceros son Si se inicia el formulario de servicio, debe agregar este usuario, de lo contrario no se iniciará.

Los directorios de Windows deben tener permisos predeterminados para los usuarios, de lo contrario no se ejecutarán aplicaciones como ASP y ASPX. En el pasado, un amigo configuraba por separado los permisos de directorio, como Instsrv y temp. De hecho, no existe tal necesidad.

Además, c: /Documents and Settings /es muy importante aquí, los permisos en los siguientes directorios no heredarán la configuración anterior, solo si se establece la unidad C en El permiso de los administradores, y en el directorio Todos los usuarios /Datos de la aplicación, todos tienen permisos de control total, por lo que la intrusión puede saltar a este directorio, escribir secuencias de comandos o solo archivos, y luego combinar otras vulnerabilidades para mejorar los permisos; por ejemplo, usar serv- La autoridad de escalamiento de desbordamiento local de u, o parches que faltan en el sistema, debilidades de la base de datos e incluso ingeniería social, etc. N más métodos, anteriormente no una vaca, dijo: "Solo dame un webshell, puedo obtener el sistema" Esto es de hecho posible. En los sistemas que utilizan el servidor web /ftp, la recomendación es bloquear estos directorios. Los directorios de cada uno de los otros discos están configurados como tales, y ninguno de los discos solo da permiso a los administradores.

Además, también lo hará: net.exe, cmd.exe, tftp.exe, netstat.exe, regedit.exe, at.exe, attrib.exe, cacls.exe, estos La configuración de archivos solo está permitida para el acceso de los administradores.

No permitir servicios innecesarios, aunque los atacantes no los pueden explotar, pero en términos de normas y estándares de seguridad, no es necesario abrir cosas innecesarias, lo que reduce el peligro oculto.

En la "conexión de red", se eliminan los protocolos y servicios innecesarios. Aquí solo se instala el protocolo de Internet básico (TCP /IP). Debido al control de tráfico de ancho de banda, se instalan adicionalmente los datos de Qos. Proceso de planificación de paquetes. En la configuración avanzada de tcp /ip - "NetBIOS" configuración "Deshabilitar NetBIOS (s) en tcp /IP". En las opciones avanzadas, use "Internet Connection Firewall", que es el firewall que viene con Windows 2003. No tiene funciones en el sistema 2000. Aunque no tiene ninguna función, puede proteger el puerto. Básicamente, ha logrado una función IPSec.

Aquí abrimos el puerto de respuesta según el servicio requerido. En el sistema de 2003, no se recomienda utilizar la función de filtrado de puertos en el filtrado TCP /IP. Por ejemplo, cuando se usa un servidor FTP, si solo el puerto 21 está solo abierto, debido a la naturaleza especial del protocolo FTP, cuando se transmite FTP, es exclusivo de FTP. En el modo Puerto y el modo Pasivo, cuando se transmiten los datos, el puerto alto debe abrirse dinámicamente. Por lo tanto, en el caso de utilizar el filtrado TCP /IP, a menudo existe el problema de que el directorio y la transmisión de datos no pueden aparecer después de la conexión. Por lo tanto, el firewall de conexión de Windows agregado al sistema 2003 puede resolver este problema muy bien, por lo que no se recomienda usar la función de filtrado TCP /IP de la tarjeta de red.
Configuración del servidor FTP SERV-U:
En general, no se recomienda usar srev-u como un servidor ftp, principalmente porque la vulnerabilidad aparece con demasiada frecuencia, pero también se debe a su operación simple, potente, también Popular, y hay muchas personas preocupadas, solo por encontrar errores, y otro software de servidor ftp no es tan seguro como lo es.
Por supuesto, también hay características como serv-u, el software ftp más seguro: la configuración del Servidor FTP
también es muy simple, pero todavía tenemos que atender al apetito público, hablar sobre la seguridad de serv-u Configuraciones
En primer lugar, 6.0 ha cambiado la función de contraseña de LocalAdministrtaor local que la versión 5.x. De hecho, en la versión 5.x, puede usar el editor de ultraedit-32 para modificar el cuerpo del programa serv-u para cambiar el puerto de contraseña, 6.0. Se corrigió este peligro oculto y fue conveniente para todos salir. Sin embargo, el serv-u que modifica la contraseña es lo mismo que un riesgo de seguridad. Hace dos meses comí un nuevo exploit que usó el método local de sniff para obtener la contraseña de administración de serv-u. Se está vendiendo en línea, pero esto es El método de sniff también es tener el permiso "ejecutar" en el directorio después de obtener las condiciones del webshell, y el administrador debe iniciar sesión nuevamente para ejecutar el administrador de serv-u. Por lo tanto, nuestros administradores deben tratar de evitar los factores anteriores y pueden protegerse.
puntos adicionales en la seguridad general de serv-u necesidad de establecer: Cómo seleccionar el "ataque y FXP" "bloque" FTP_bounce. ¿Qué es FXP? Por lo general, cuando se utiliza el protocolo FTP para la transferencia de archivos, el cliente envía primero un comando "PORT" al servidor FTP, que contiene la dirección IP del usuario y el número de puerto que se utilizará para la transmisión de datos. Después de que el servidor la reciba, Establezca una conexión con el usuario utilizando la información de la dirección de usuario proporcionada por el comando. En la mayoría de los casos, el proceso anterior no causará ningún problema, pero cuando el cliente es un usuario malintencionado, el servidor FTP puede conectarse a otras máquinas que no sean clientes agregando información de dirección específica al comando PORT. Aunque este usuario malintencionado puede no tener el derecho de acceder directamente a una máquina en particular, si el servidor FTP tiene acceso a la máquina, el usuario malintencionado todavía puede usar el servidor FTP como intermediario para finalmente lograr la conexión con el servidor de destino. Esto es FXP, también conocido como ataque entre servidores. Una vez seleccionado, esto se puede evitar.

También disponible en "Bloqueo de esquemas anti-tiempo de espera". En segundo lugar, en la pestaña "Avanzado", compruebe si está seleccionado "Habilitar seguridad", si no, selecciónelos.

Seguridad para IIS:

Eliminar c: /directorio inetpub, eliminar asignaciones innecesarias para iis

En primer lugar, usar sitios web separados Para los usuarios de IIS, por ejemplo, aquí hay una nueva compilación llamada www.315safe.com con permisos para invitados.

En las propiedades del dominio de IIS "Seguridad de directorio" --- "Acceso de autenticación y control de acceso" configure el acceso anónimo utilizando las siguientes cuentas de usuario de Windows "se utilizan el nombre de usuario y la contraseña Www.315safe.com La información de este usuario. El archivo de directorio web correspondiente en este sitio, el valor predeterminado es solo para los permisos de lectura y escritura del usuario de IIS (más adelante se presentarán más configuraciones de BT).

En la "configuración de la aplicación", otorgamos los permisos de ejecución de script necesarios: ASP.ASPX, PHP,

ASP, ASPX proporciona soporte de mapeo por defecto, para PHP, Debe agregar una nueva secuencia de comandos de mapeo de respuesta, luego configurar ASP, ASPX para permitir en la extensión del servicio web, para soporte de php y CGI, necesita crear una nueva extensión de servicio web, ingresar php bajo extensión (X): luego en el requerido Archivo (E): agregue la dirección C: /php/sapi/php4isapi.dll y verifique el estado de configuración en Permitir (S). Luego, haga clic en Aceptar, por lo que IIS es compatible con PHP. Lo mismo se aplica a CGI.

Para admitir ASPX, debe otorgar al directorio raíz web los permisos predeterminados de los usuarios para poder realizar ASPX.

En la configuración de la aplicación, la depuración está configurada para enviar información de texto personalizada al cliente, de modo que para los sitios con vulnerabilidad de inyección de ASP, el programa se puede informar sin comentarios. La información puede evitar un cierto grado de ataque.

En la opción de error HTTP personalizado, es necesario definir errores como 404, 500, etc., pero a veces para depurar el programa, sé que el programa es incorrecto. En algunos lugares, se recomienda configurar solo 404.

IIS6.0 tiene el concepto de grupo de aplicaciones debido a los diferentes mecanismos operativos. Generalmente se recomienda compartir uno de los 10 sitios. El grupo de aplicaciones, el grupo de aplicaciones puede usar la configuración predeterminada para sitios generales,

puede reclamar el proceso de trabajo cada mañana.

Cree una nueva estación, use el asistente predeterminado, preste atención a lo siguiente en la configuración de la aplicación en la configuración: los permisos de ejecución son el script puro predeterminado, el grupo de aplicaciones utiliza un grupo de programas separado llamado: 315safe.

El grupo de aplicaciones denominado 315safe se puede configurar correctamente en "memoria anterior ": La memoria virtual máxima aquí es: 1000M, y la memoria física máxima utilizada es de 256M. Esta configuración casi no limita el rendimiento de este sitio.

En el grupo de aplicaciones La opción "Identificación", puede elegir la cuenta de seguridad del grupo de aplicaciones, la opción predeterminada es usar la cuenta del servicio de red, no desea moverla, puede intentar ejecutar con los permisos mínimos, el peligro oculto es menor. En algunos directorios de un sitio, como este directorio "uploadfile", no necesita ejecutar programas asp u otros scripts dentro, eliminar los permisos de ejecución de este directorio, en los "permisos de ejecución" de "configuración de la aplicación" El valor predeterminado es "script puro", cambiamos a "ninguno", por lo que solo podemos usar páginas estáticas. Y así, la mayoría de los directorios que no necesitan ejecutar asp, como el directorio de la base de datos, el directorio de la imagen, etc. pueden hacerlo, principalmente para evitar la aparición de errores en los scripts de la aplicación del sitio, como la popular vulnerabilidad de archivos ascendentes, y Puede tener cierto grado de control sobre las lagunas.

En la configuración predeterminada, generalmente otorgamos los permisos del directorio web de cada sitio a la lectura y escritura de los usuarios de IIS, como se muestra en la figura:

Pero ahora estamos para inyectar SQL, las vulnerabilidades de carga han desaparecido, podemos adoptar un enfoque manual para la configuración detallada de las políticas.
1. El usuario de IIS a la raíz web solo da acceso de lectura. Como se muestra en la figura:

Luego damos permiso de escritura a los archivos de carga de la respuesta u otros directorios que necesitan tener el archivo cargado, y le damos permiso al directorio para que no ejecute ningún script en IIS, por lo que incluso Hay una laguna en el programa del sitio web, y el intruso no puede escribir el troyano asp en el directorio. Oh, pero no es tan sencillo prevenir el ataque, y aún queda mucho trabajo por hacer. Si es una base de datos MS-SQL, estará bien, pero la base de datos de Access, el directorio donde se encuentra la base de datos o el archivo de la base de datos también tienen que escribir permisos, y el archivo de la base de datos no necesita cambiarse a .asp. Todo el mundo conoce las consecuencias de esto. Una vez que la ruta de su base de datos está expuesta, esta base de datos es un gran troyano, terrible. De hecho, se rige completamente solo con el sufijo mdb. Este directorio no otorga permiso de script en IIS. Luego configure una regla de asignación en IIS, como se muestra en la figura:

Use cualquier archivo DLL para resolver la asignación de los sufijos .mdb, siempre y cuando no use asp.dll para analizar Sí, para que otros no puedan descargar incluso si obtienen la ruta de la base de datos. Se puede decir que este método es la solución definitiva para evitar que se descargue la base de datos.