www.zjcoo.com

 　　雖然現在尚有(yǒu)很(hěn)多(duō)服務器(qì)供選擇，但(dàn)是微軟的Internet信息服務還(hái)是廣大(dà)網民的首選，随着互聯網的發展，黑(hēi)客也越來(lái)越高(gāo)端，他們攻克的方法也越來(lái)越高(gāo)級，網站(zhàn)自然也避免不聊這種情況的發生(shēng)。

　　服務器(qì)安全基本常識

　　微軟的産品一向是衆矢之的，因此IIS服務器(qì)特别容易成為(wèi)攻擊者的靶子。搞清楚了這一點後，網絡管理(lǐ)員必須準備執行(xíng)大(dà)量的安全措施。我将要為(wèi)你(nǐ)們提供的是一個(gè)清單，服務器(qì)操作(zuò)員也許會(huì)發現這是非常有(yǒu)用的。

　　1. 　　移除缺省的Web站(zhàn)點:

　　很(hěn)多(duō)攻擊者瞄準inetpub這個(gè)文件夾，并在裏面放置一些(xiē)偷襲工具，從而造成服務器(qì)的癱瘓。防止這種攻擊最簡單的方法就是在IIS裏将缺省的站(zhàn)點禁用。然後，因為(wèi)網蟲們都是通(tōng)過IP地址訪問你(nǐ)的網站(zhàn)的 (他們一天可(kě)能要訪問成千上(shàng)萬個(gè)IP地址)，他們的請(qǐng)求可(kě)能遇到麻煩。将你(nǐ)真實的Web站(zhàn)點指向一個(gè)背部分區(qū)的文件夾，且必須包含安全的NTFS權限 (将在後面NTFS的部分詳細闡述)。

　　2. 使用IIS防範工具:

　　這個(gè)工具有(yǒu)許多(duō)實用的優點，然而，請(qǐng)慎重的使用這個(gè)工具。如果你(nǐ)的Web服務器(qì)和(hé)其他服務器(qì)相互作(zuò)用請(qǐng)首先測試一下防範工具，以确定它已經被正确的配置，保證其不會(huì)影(yǐng)響Web服務器(qì)與其他服務器(qì)之間(jiān)的通(tōng)訊。

　　3. 　　保持Windows升級:

　　你(nǐ)必須在第一時(shí)間(jiān)及時(shí)地更新所有(yǒu)的升級，并為(wèi)系統打好一切補丁。考慮将所有(yǒu)的更新下載到你(nǐ)網絡上(shàng)的一個(gè)專用的服務器(qì)上(shàng)，并在該機器(qì)上(shàng)以Web的形式将文件發布出來(lái)。通(tōng)過這些(xiē)工作(zuò)，你(nǐ)可(kě)以防止你(nǐ)的Web服務器(qì)接受直接的Internet訪問。

　　4. 如果你(nǐ)并不需要FTP和(hé)SMTP服務，請(qǐng)卸載它們:

　　進入計(jì)算(suàn)機的最簡單途徑就是通(tōng)過FTP訪問。FTP本身就是被設計(jì)滿足簡單讀/寫訪問的，如果你(nǐ)執行(xíng)身份認證，你(nǐ)會(huì)發現你(nǐ)的用戶名和(hé)密碼都是通(tōng)過明(míng)文的形式在網絡上(shàng)傳播的。SMTP是另一種允許到文件夾的寫權限的服務。通(tōng)過禁用這兩項服務，你(nǐ)能避免更多(duō)的黑(hēi)客攻擊。

　　5. 有(yǒu)規則地檢查你(nǐ)的管理(lǐ)員組和(hé)服務:

　　有(yǒu)一天我進入我們的教室，發現在管理(lǐ)員組裏多(duō)了一個(gè)用戶。這意味着這時(shí)某個(gè)人(rén)已經成功地進入了你(nǐ)的系統，他或她可(kě)能冷不丁地将炸彈扔到你(nǐ)的系統裏，這将會(huì)突然摧毀你(nǐ)的整個(gè)系統，或者占用大(dà)量的帶寬以便黑(hēi)客使用。黑(hēi)客同樣趨向于留下一個(gè)幫助服務，一旦這發生(shēng)了，采取任何措施可(kě)能都太晚了，你(nǐ)隻能重新格式化你(nǐ)的磁盤，從備份服務器(qì)恢複你(nǐ)每天備份的文件。因此，檢查IIS服務器(qì)上(shàng)的服務列表并保持盡量少(shǎo)的服務必須成為(wèi)你(nǐ)每天的任務。你(nǐ)應該記住哪個(gè)服務應該存在，哪個(gè)服務不應該存在。Windows

　　2000 Resource Kit帶給我們一個(gè)有(yǒu)用的程序，叫作(zuò)tlist.exe，它能列出每種情況運行(xíng)在svchost 之下的服務。運行(xíng)這個(gè)程序可(kě)以尋找到一些(xiē)你(nǐ)想要知道(dào)的隐藏服務。給你(nǐ)一個(gè)提示：任何含有(yǒu)daemon幾個(gè)字的服務可(kě)能不是Windows本身包含的服務，都不應該存在于IIS服務器(qì)上(shàng)。想要得(de)到Windows服務的列表并知道(dào)它們各自有(yǒu)什麽作(zuò)用，請(qǐng)點擊這裏。

　　6. 　　管理(lǐ)用戶賬戶:

　　如果你(nǐ)已經安裝IIS，你(nǐ)可(kě)能産生(shēng)了一個(gè)TSInternetUser賬戶。除非你(nǐ)真正需要這個(gè)賬戶，否則你(nǐ)應該禁用它。這個(gè)用戶很(hěn)容易被滲透，是黑(hēi)客們的顯著目标。為(wèi)了幫助管理(lǐ)用戶賬戶，确定你(nǐ)的本地安全策略沒有(yǒu)問題。IUSR用戶的權限也應該盡可(kě)能的小(xiǎo)。

　　7. 設置複雜的密碼:

　　我最近進入到教室，從事件察看器(qì)裏發現了很(hěn)多(duō)可(kě)能的黑(hēi)客。他或她進入了實驗室的域結構足夠深，以至于能夠對任何用戶運行(xíng)密碼破解工具。如果有(yǒu)用戶使用弱密碼 (例如"password"或是 changeme"或者任何字典單詞)，那(nà)麽黑(hēi)客能快速并簡單的入侵這些(xiē)用戶的賬号。

　　8. 減少(shǎo)/排除Web服務器(qì)上(shàng)的共享:

　　如果網絡管理(lǐ)員是唯一擁有(yǒu)Web服務器(qì)寫權限的人(rén)，就沒有(yǒu)理(lǐ)由讓任何共享存在。共享是對黑(hēi)客最大(dà)的誘惑。此外，通(tōng)過運行(xíng)一個(gè)簡單的循環批處理(lǐ)文件，黑(hēi)客能夠察看一個(gè)IP地址列表，利用\\命令尋找Everyone/完全控制(zhì)權限的共享。

　　9. 禁用TCP/IP協議中的NetBIOS:

　　這是殘忍的。很(hěn)多(duō)用戶希望通(tōng)過UNC路徑名訪問Web服務器(qì)。随着NETBIOS被禁用，他們便不能這麽做(zuò)了。

　　另一方面，随着NETBIOS被禁用，黑(hēi)客就不能看到你(nǐ)局域網上(shàng)的資源了。這是一把雙刃劍，如果網絡管理(lǐ)員部署了這個(gè)工具，下一步便是如何教育Web用戶如何在NETBIOS失效的情況下發布信息。

　　10. 使用TCP端口阻塞:

　　這是另一個(gè)殘忍的工具。如果你(nǐ)熟悉每個(gè)通(tōng)過合法原因訪問你(nǐ)服務器(qì)的TCP端口，那(nà)麽你(nǐ)可(kě)以進入你(nǐ)網絡接口卡的屬性選項卡，選擇綁定的TCP/IP協議，阻塞所有(yǒu)你(nǐ)不需要的端口。你(nǐ)必須小(xiǎo)心的使用這一工具，因為(wèi)你(nǐ)并不希望将自己鎖在Web服務器(qì)之外，特别是在當你(nǐ)需要遠程登陸服務器(qì)的情況下。要得(de)到TCP端口的詳細細節，點擊這裏。

　　11. 仔細檢查*.bat和(hé)*.exe 文件: 每周搜索一次*.bat和(hé)*.exe文件，檢查服務器(qì)上(shàng)是否存在黑(hēi)客最喜歡，而對你(nǐ)來(lái)說将是一場(chǎng)惡夢的可(kě)執行(xíng)文件。在這些(xiē)破壞

　　性的文件中，也許有(yǒu)一些(xiē)是*.reg文件。如果你(nǐ)右擊并選擇編輯，你(nǐ)可(kě)以發現黑(hēi)客已經制(zhì)造并能讓他們能進入你(nǐ)系統的注冊表文件。你(nǐ)可(kě)以删除這些(xiē)沒任何意義但(dàn)卻會(huì)給入侵者帶來(lái)便利的主鍵。

　　12. 管理(lǐ)IIS目錄安全:

　　IIS目錄安全允許你(nǐ)拒絕特定的IP地址、子網甚至是域名。作(zuò)為(wèi)選擇，我選擇了一個(gè)被稱作(zuò)WhosOn的軟件，它讓我能夠了解哪些(xiē)IP地址正在試圖訪問服務器(qì)上(shàng)的特定文件。WhosOn列出了一系列的異常。如果你(nǐ)發現一個(gè)家(jiā)夥正在試圖訪問你(nǐ)的cmd.exe，你(nǐ)可(kě)以選擇拒絕這個(gè)用戶訪問Web服務器(qì)。當然，在一個(gè)繁忙的Web站(zhàn)點，這可(kě)能需要一個(gè)全職的員工!然而，在內(nèi)部網，這真的是一個(gè)非常有(yǒu)用的工具。你(nǐ)可(kě)以對所有(yǒu)局域網內(nèi)部用戶提供資源，也可(kě)以對特定的用戶提供。

　　13. 使用NTFS安全:

　　缺省地，你(nǐ)的NTFS驅動器(qì)使用的是EVERYONE/完全控制(zhì)權限，除非你(nǐ)手工關掉它們。關鍵是不要把自己鎖定在外，不同的人(rén)需要不同的權限，管理(lǐ)員需要完全控制(zhì)，後台管理(lǐ)賬戶也需要完全控制(zhì)，系統和(hé)服務各自需要一種級别的訪問權限，取決于不同的文件。最重要的文件夾是System32，這個(gè)文件夾的訪問權限越小(xiǎo)越好。在Web服務器(qì)上(shàng)使用NTFS權限能幫助你(nǐ)保護重要的文件和(hé)應用程序。

　　14.　　嚴格控制(zhì)服務器(qì)的寫訪問權限:

　　這聽(tīng)起來(lái)很(hěn)容易，然而，在大(dà)學校(xiào)園裏，一個(gè)Web服務器(qì)實際上(shàng)是有(yǒu)很(hěn)多(duō)"作(zuò)者"的。教職人(rén)員都希望讓他們的課堂信息能被遠程學生(shēng)訪問。職員們則希望與其他的職員共享他們的工作(zuò)信息。服務器(qì)上(shàng)的文件夾可(kě)能出現極其危險的訪問權限。将這些(xiē)信息共享或是傳播出去的一個(gè)途徑是安裝第2個(gè)服務器(qì)以提供專門(mén)的共享和(hé)存儲目的，然後配置你(nǐ)的Web服務器(qì)來(lái)指向共享服務器(qì)。這個(gè)步驟能讓網絡管理(lǐ)員将Web服務器(qì)本身的寫權限僅僅限制(zhì)給管理(lǐ)員組。

　　15. 審計(jì)你(nǐ)的Web服務器(qì):

　　審計(jì)對你(nǐ)計(jì)算(suàn)機的性能有(yǒu)着較大(dà)的影(yǐng)響，因此如果你(nǐ)不經常察看的話(huà)，還(hái)是不要做(zuò)審計(jì)了。如果你(nǐ)真的能用到它，請(qǐng)審計(jì)系統事件并在你(nǐ)需要的時(shí)候加入審計(jì)工具。如果你(nǐ)正在使用前面提到的WhosOn工具，審計(jì)就不那(nà)麽重要了。缺省地，IIS總是紀錄訪問， WhosOn 會(huì)将這些(xiē)紀錄放置在一個(gè)非常容易易讀的數(shù)據庫中，你(nǐ)可(kě)以通(tōng)過Access或是 Excel打開(kāi)它。如果你(nǐ)經常察看異常數(shù)據庫，你(nǐ)能在任何時(shí)候找到服務器(qì)的脆弱點。

重慶中技互聯網信息咨詢有限公司 www.zjcoo.com