1、WEB伺服器的安全配置方案
配置WEB安全
WEB安全是系統提供的最常見的服務之一,WEB安全伺服器主要存在的漏洞包括:
物理路徑泄露
CGI源代碼泄露
目錄遍歷
執行任意命令
緩沖區溢出
拒絕服務
跨站乳酸執行
Windows平台上使用的WEB伺服器軟體是IIS,無論哪種操作系統平台,只要對外提供WEB服務,就會面臨著來自外部的攻擊可能,所以需要對WEB伺服器進行有效的安全防護。
針對WEB伺服器採取的一些有效措施包括:
a. 打補丁
針對IIS存在的系統漏洞,應該定期下載安全補丁,及時發現和堵上漏洞。
b. 只開放WEB服務埠
如果不需要其它的服務,在安裝服務的時候選擇只安裝WEB服務,並使用80埠,禁用其他的不必要的服務,例如FTP和SMTP服務
c. WEB伺服器應該放在一個專門的區域中,利用防火牆保護WEB伺服器。
這個專門的區域使WEB伺服器與外網相對隔%C
2、伺服器安全設置?如何設置伺服器安全?
如果伺服器(網站)被入侵了,一般都是伺服器或者網站存在漏洞,被黑客利用並提權入侵的,導致伺服器中木馬,網站被掛黑鏈,被篡改,被掛馬。解決辦法:如果程序不是很大,可以自己比對以前程序的備份文件,然後就是修復,或者換個伺服器,最好是獨立伺服器。也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.
我是從事IDC行業的.以上這些也是平時工作中經常遇到的問題.希望我的回答對你有所幫助.
3、剛買的伺服器,請問怎麼樣設置安全!!!
前言
其實,在伺服器的安全設置方面,我雖然有一些經驗,但是還談不上有研究,所以我寫這篇文章的時候心裡很不踏實,總害怕說錯了會誤了別人的事。
本文更側重於防止ASP漏洞攻擊,所以伺服器防黑等方面的講解可能略嫌少了點。
基本的伺服器安全設置
安裝補丁
安裝好操作系統之後,最好能在託管之前就完成補丁的安裝,配置好網路後,如果是2000則確定安裝上了SP4,如果是2003,則最好安裝上SP1,然後點擊開始→Windows Update,安裝所有的關鍵更新。
安裝殺毒軟體
雖然殺毒軟體有時候不能解決問題,但是殺毒軟體避免了很多問題。我一直在用諾頓2004,據說2005可以殺木馬,不過我沒試過。還有人用瑞星,瑞星是確定可以殺木馬的。更多的人說卡巴司機好,不過我沒用過。
不要指望殺毒軟體殺掉所有的木馬,因為ASP木馬的特徵是可以通過一定手段來避開殺毒軟體的查殺。
設置埠保護和防火牆、刪除默認共享
都是伺服器防黑的措施,即使你的伺服器上沒有IIS,這些安全措施都最好做上。這是阿江的盲區,大概知道屏蔽埠用本地安全策略,不過這方面的東西網上攻略很多,大家可以擻出來看看,晚些時候我或者會復制一些到我的網站上。
許可權設置
阿江感覺這是防止ASP漏洞攻擊的關鍵所在,優秀的許可權設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路,聰明的朋友應該看完這個就能解決問題了。
許可權設置的原理
WINDOWS用戶,在WINNT系統中大多數時候把許可權按用戶(組)來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。
NTFS許可權設置,請記住分區的時候把所有的硬碟都分為NTFS分區,然後我們可以確定每個分區對每個用戶開放的許可權。【文件(夾)上右鍵→屬性→安全】在這里管理NTFS文件(夾)許可權。
IIS匿名用戶,每個IIS站點或者虛擬目錄,都可以設置一個匿名訪問用戶(現在暫且把它叫「IIS匿名用戶」),當用戶訪問你的網站的.ASP文件的時候,這個.ASP文件所具有的許可權,就是這個「IIS匿名用戶」所具有的許可權。
許可權設置的思路
要為每個獨立的要保護的個體(比如一個網站或者一個虛擬目錄)創建一個系統用戶,讓這個站點在系統中具有惟一的可以設置許可權的身份。
在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。
設置所有的分區禁止這個用戶訪問,而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問(要去掉繼承父許可權,並且要加上超管組和SYSTEM組)。
這樣設置了之後,這個站點里的ASP程序就只有當前這個文件夾的許可權了,從探針上看,所有的硬碟都是紅叉叉。
我的設置方法
我是先創建一個用戶組,以後所有的站點的用戶都建在這個組里,然後設置這個組在各個分區沒有許可權或者完全拒絕。然後再設置各個IIS用戶在各在的文件夾里的許可權。
因為比較多,所以我很不想寫,其實知道了上面的原理,大多數人都應該懂了,除非不知道怎麼添加系統用戶和組,不知道怎麼設置文件夾許可權,不知道IIS站點屬性在那裡。真的有那樣的人,你也不要著急,要沉住氣慢慢來,具體的方法其實自己也能摸索出來的,我就是這樣。當然,如果我有空,我會寫我的具體設置方法,很傲能還會配上圖片。
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
然後運行一下,WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件,不用管它,重啟一下伺服器,你會發現這三個都提示「×安全」了。
因為這其實只是拋磚引玉的做法,從別人的笑聲中,我和我的讀者們都可以學到更多有用的東西。
4、伺服器環境如何搭建以及如何進行安全設置
頭皮也要上,雖然俺不會,幸好俺有一個偷懶但肯學的心。20 多個網站,按照網上傳統教學非累死我,而且漏洞百出不可,過程坎坷波折,特此分享下,對於新手站長和對伺服器操以前我都是看著教程一步步操作慢慢弄,有時候還會出現404、沒有許可權訪問、安全設置等等諸多惹人煩的問題。vps 和伺服器基本差不多,就不詳細區分了。論壇肯定很多人都不止一個站,或者網站做大了可能會換vps 甚至伺服器。但是idc 最多幫你把環境搭建好,不會手把手的幫你把網站添加弄好。許可權不會設置,網站無法訪問,mysql 資料庫不會弄,phpmyadmin 也不會玩,需要的工具:西部數碼網站管理助手!撿重點說吧 !西部數碼出品的軟體,未注冊前能管理60 個網站;注冊版不限網站個數:1.下載安裝後,會一鍵安裝PHP、Mysql、Zend、PhpMyadmin、FTp、Jmail 等各種組件,正常使用就夠了。不用管,完全傻瓜化。2.打開主程序--創建站點--然後輸入ftp 賬號,密碼。綁定域名、設置空間大小(0 為不限你的程序就哦了~然後點擊創建。過一會兒就提示一個,創建成功,同名myasql 資料庫也創建成功了、然後把資料庫用戶名密碼一復制。3.把你的程序放在根目錄下。例如我創建的ftp 賬號是baidu,網站目錄名字就是baidu,網站所有的程序要放在baidu 文件夾下的wwwroot 下邊,如果直接放在baidu 文件夾下會出現許可權問題。如果全部放置正確,出現網頁打開提示許可權的問題,點擊相應的網站重置許可權即可~~安裝cms,一路下去基本都ok 了。超級簡單,超級方便。此工具是免費版的 和收費版唯一區別就是添加網站有限制只能弄60 個,收費也不貴。收費的有技術支持,免費的沒有而已,工具只能再windos 伺服器上使用,下載的時候也區分下你的是32 位還是64 位的。liunx 也有但是只能再西部數碼的vps 和伺服器上用。雖然聽過 N 點虛擬主機之類的但是沒用過,華夏好像自己也有,但是貌似不給力。畢給力!每一次的遇到的困難都會讓自己進步,
5、伺服器的安全設置
一般都是網站程序存在漏洞或者伺服器存在漏洞而被攻擊了
網站掛馬是每個網站最頭痛的問題,解決辦法:1.在程序中很容易找到掛馬的代碼,直接刪除,或則將你沒有傳伺服器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。但這不是最好的解決辦法。最好的方法還是找專業做安全的來幫你解決掉
聽朋友說 Sinesafe 不錯 你可以去看看。
清馬+修補漏洞=徹底解決
清馬
1、找掛馬的標簽,比如有<script language="javascript" src="網馬地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=網馬地址></iframe>,或者是你用360或病殺毒軟體攔截了網馬網址。SQL資料庫被掛馬,一般是JS掛馬。
2、找到了惡意代碼後,接下來就是清馬,如果是網頁被掛馬,可以用手動清,也可以用批量清,網頁清馬比較簡單,這里就不詳細講,現在著重講一下SQL資料庫清馬,用這一句語句「update 表名 set 欄位名=replace(欄位名,'aaa','')」, 解釋一下這一句子的意思:把欄位名里的內容包含aaa的替換成空,這樣子就可以一個表一個表的批量刪除網馬。
在你的網站程序或資料庫沒有備份情況下,可以實行以上兩步驟進行清馬,如果你的網站程序有備份的話,直接覆蓋原來的文件即可。
修補漏洞(修補網站漏洞也就是做一下網站安全。)
1、修改網站後台的用戶名和密碼及後台的默認路徑。
2、更改資料庫名,如果是ACCESS資料庫,那文件的擴展名最好不要用mdb,改成ASP的,文件名也可以多幾個特殊符號。
3、接著檢查一下網站有沒有注入漏洞或跨站漏洞,如果有的話就相當打上防注入或防跨站補丁。
4、檢查一下網站的上傳文件,常見了有欺騙上傳漏洞,就對相應的代碼進行過濾。
5、盡可能不要暴露網站的後台地址,以免被社會工程學猜解出管理用戶和密碼。
6、寫入一些防掛馬代碼,讓框架代碼等掛馬無效。
7、禁用FSO許可權也是一種比較絕的方法。
8、修改網站部分文件夾的讀寫許可權。
9、如果你是自己的伺服器,那就不僅要對你的網站程序做一下安全了,而且要對你的伺服器做一下安全也是很有必要了!
6、如何設置伺服器安全級別
很簡單呢,我可以免費幫你的,
7、web伺服器安全設置
伺服器安全建議你找專業的做伺服器安全的來給你做安全維護,網上的教程都是亂七八糟的,我以前就是吃過虧,當時伺服器被人給入侵了,我才得知 什麼是伺服器安全。 因為伺服器安全沒有做好,導致伺服器被黑客給入侵了,在網上也搜索了許多相關的伺服器安全設置方面的教程和書籍,基本起作用的很少很少,我自己看著這些教程和文章自己試著操作然後做伺服器安全,到最後還把網站資料庫給損壞了,損失太大了。到最後朋友推薦了我找找sine安全,聽說他們專業做伺服器安全和網站安全,找了他們做安全維護後,一個專業和兼職,兼職就是一個天一個地啊。到最後我也明白了,還是專業的最厲害 省了我不少心,希望俺的經歷能使你少走彎路。
8、伺服器有哪些安全設置?
1)、系統安全基本設置
1.安裝說明:系統全部NTFS格式化,重新安裝系統(採用原版win2003),安裝殺毒軟體(Mcafee),並將殺毒軟體更新,安裝sp2補釘,安裝IIS(只安裝必須的組件),安裝SQL2000,安裝.net2.0,開啟防火牆。並將伺服器打上最新的補釘。
2)、關閉不需要的服務
Computer Browser:維護網路計算機更新,禁用
Distributed File System: 區域網管理共享文件,不需要禁用
Distributed linktracking client:用於區域網更新連接信息,不需要禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
PrintSpooler:如果沒有列印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協助 其他服務有待核查
3)、設置和管理賬戶
1、將Guest賬戶禁用並更改名稱和描述,然後輸入一個復雜的密碼
2、系統管理員賬戶最好少建,更改默認的管理員帳戶名(Administrator)和描述,密碼最好採用數字加大小寫字母加數字的上檔鍵組合,長度最好不少於10位
3、新建一個名為Administrator的陷阱帳號,為其設置最小的許可權,然後隨便輸入組合的最好不低於20位的密碼
4、計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設為「三次登陸無效 時間為30分鍾
5、在安全設置-本地策略-安全選項中將「不顯示上次的用戶名」設為啟用
6、 在安全設置-本地策略-用戶權利分配中將「從網路訪問此計算機」中只保留Internet來賓賬戶、啟動IIS進程賬戶,Aspnet賬戶
7、創建一個User賬戶,運行系統,如果要運行特權命令使用Runas命令。
4)、打開相應的審核策略
審核策略更改:成功
審核登錄事件:成功,失敗
審核對象訪問:失敗
審核對象追蹤:成功,失敗
審核目錄服務訪問:失敗
審核特權使用:失敗
審核系統事件:成功,失敗
審核賬戶登錄事件:成功,失敗
審核賬戶管理:成功,失敗
5)、 其它安全相關設置
1、禁止C$、D$、ADMIN$一類的預設共享
HKEY_LOCAL_,在右邊的 窗口中新建Dword值,名稱設為AutoShareServer值設為0
2、解除NetBios與TCP/IP協議的綁定
右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的 NETBIOS
3、隱藏重要文件/目錄
可以修改注冊表實現完全隱藏: 「HKEY_LOCAL_-VersionExplorerAdvancedFol derHi-ddenSHOWALL」,滑鼠右擊「CheckedValue」,選擇修改,把數值由1改為0
4、防止SYN洪水攻擊
HKEY_LOCAL_ 新建DWORD 值,名為SynAttackProtect,值為2
5、 禁止響應ICMP路由通告報文
HKEY_LOCAL_Interfacesinterface 新建DWORD值,名為PerformRouterDiscovery 值為0
6. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_ 將EnableICMPRedirects 值設為0
7、 不支持IGMP協議
HKEY_LOCAL_ 新建DWORD 值,名為IGMPLevel 值為0
8、禁用DCOM:運行中輸入 Dcomcnfg.exe。 回車, 單擊「控制台根節點」下的「組件服務」。 打開「計算機」子 文件夾。
對於本地計算機,請以右鍵單擊「我的電腦」,然後選擇「屬 性」。選擇「默認屬性」選項卡。清除「在這台計算機上啟用分布式 COM」復選框。
9、終端服務的默認埠為3389,可考慮修改為別的埠。
修改方法為: 伺服器端:打開注冊表,在「HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations」 處找到類似RDP-TCP的子鍵,修改PortNumber值。 客戶端:按正常步驟建一個客戶端連接,選中這個連接,在「文件」菜單中選擇導出,在指定位置會 生成一個後綴為.cns的文件。打開該文件,修改「Server Port」值為與伺服器端的PortNumber對應的 值。然後再導入該文件(方法:菜單→文件→導入),這樣客戶端就修改了埠。
6)、配置 IIS 服務
1、不使用默認的Web站點,如果使用也要將 將IIS目錄與系統磁碟分開。
2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。
3、刪除系統盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。
4、刪除不必要的IIS擴展名映射。 右鍵單擊「默認Web站點→屬性→主目錄→配置」,打開應用程序窗口,去掉不必要的應用程序映 射。主要為.shtml, .shtm, .stm
5、更改IIS日誌的路徑 右鍵單擊「默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一個ISAPI篩選器,它對傳入的HTTP數據包進行分析並可以拒絕任何可疑的通信量。 目前最新的版本是2.5,如果是2000Server需要先安裝1.0或2.0的版本。 如果沒有特殊的要求採用UrlScan默認配置就可以了。 但如果你在伺服器運行ASP.NET程序,並要進行調試你需打開要 %WINDIR%System32InetsrvURLscan,文件夾中的URLScan.ini 文件,然後在UserAllowVerbs節添 加debug謂詞,注意此節是區分大小寫的。 如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。 如果你的網頁使用了非ASCII代碼,你需要在Option節中將AllowHighBitCharacters的值設為1 在對URLScan.ini 文件做了更改後,你需要重啟IIS服務才能生效,快速方法運行中輸入iisreset 如果你在配置後出現什麼問題,你可以通過添加/刪除程序刪除UrlScan。
8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.
7)、配置Sql伺服器
1、System Administrators 角色最好不要超過兩個
3、不要使用Sa賬戶,為其配置一個超級復雜的密碼
4、刪除以下的擴展存儲過程格式為:
use master sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入操作系統的最佳捷徑,刪除 訪問注冊表的存儲過程,
刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隱藏 SQL Server、更改默認的1433埠
右擊實例選屬性-常規-網路配置中選擇TCP/IP協議的屬性,選擇隱藏 SQL Server 實例,並改原默 認的1433埠。
8)、修改系統日誌保存地址 默認位置為 應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%systemroot%\system32\config,默認 文件大小512KB,管理員都會改變這個默認大小。
安全日誌文件:%systemroot%\system32\config\SecEvent.EVT 系統日誌文件:%systemroot%\system32\config\SysEvent.EVT 應用程序日誌文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服務FTP日誌默認位置:%systemroot%\system32\logfiles\msftpsvc1\,默認每天一個日 志 Internet信息服務WWW日誌默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日 志 Scheler(任務計劃)服務日誌默認位置:%systemroot%\schedlgu.txt 應用程序日誌,安全日誌,系統日誌,DNS伺服器日誌,它們這些LOG文件在注冊表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任務計劃)服務日誌在注冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0
禁止管理共享admin$,c$,d$之類默認共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動
9)、本地安全策略
1.只開放服務需要的埠與協議。 具體方法為:按順序打開「網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→ TCP/IP篩選→屬性」,添加需要的TCP、UDP埠以及IP協議即可。根據服務開設口,常用的TCP 口有:80口用於Web服務;21用於FTP服務;25口用於SMTP;23口用於Telnet服務;110口 用於POP3。常用的UDP埠有:53口-DNS域名解析服務;161口-snmp簡單的網路管理協議。 8000、4000用於OICQ,伺服器用8000來接收信息,客戶端用4000發送信息。 封TCP埠: 21(FTP,換FTP埠)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP埠:1080,3128,6588,8080(以上為代理埠).25(SMTP),161(SNMP),67(引導) 封UDP埠:1434(這個就不用說了吧) 封所有ICMP,即封PING 以上是最常被掃的埠,有別的同樣也封,當然因為80是做WEB用的
2、禁止建立空連接 默認情況下,任何用戶可通過空連接連上伺服器,枚舉賬號並猜測密碼。空連接用的埠是139, 通過空連接,可以復制文件到遠端伺服器,計劃執行一個任務,這就是一個漏洞。可以通過以下兩 種方法禁止建立空連接:
(1) 修改注冊表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。
(2) 修改Windows 2000的本地安全策略。設置「本地安全策略→本地策略→選項」中的 RestrictAnonymous(匿名連接的額外限制)為「不容許枚舉SAM賬號和共享」。 首先,Windows 2000的默認安裝允許任何用戶通過空連接得到系統所有賬號和共享列表,這本來 是為了方便區域網用戶共享資源和文件的,但是,同時任何一個遠程用戶也可以通過同樣的方法得 到您的用戶列表,並可能使用暴力法破解用戶密碼給整個網路帶來破壞。很多人都只知道更改注冊 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接, 實際上Windows 2000的本地安全策略里(如果是域伺服器就是在域伺服器安全和域安全策略里) 就有RestrictAnonymous選項,其中有三個值:「0」這個值是系統默認的,沒有任何限制,遠程用戶 可以知道您機器上所有的賬號、組信息、共享目錄、網路傳輸列表(NetServerTransportEnum)等;「1」 這個值是只允許非NULL用戶存取SAM賬號信息和共享信息;「2」這個值只有Windows 2000才支 持,需要注意的是,如果使用了這個值,就不能再共享資源了,所以還是推薦把數值設為「1」比較 好。
10)、防止asp木馬
1、基於FileSystemObject組件的asp木馬
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //刪除
2.基於shell.application組件的asp木馬
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //刪除
3.將圖片文件夾的許可權設置為不允許運行。
4.如果網站中不存在有asp的話,禁用asp
11)、防止SQL注入
1.盡量使用參數化語句
2.無法使用參數化的SQL使用過濾。
3.網站設置為不顯示詳細錯誤信息,頁面出錯時一律跳轉到錯誤頁面。
4.不要使用sa用戶連接資料庫
5、新建一個public許可權資料庫用戶,並用這個用戶訪問資料庫 6、[角色]去掉角色public對sysobjects與syscolumns對象的select訪問許可權
最後強調一下,以上設置可能會影響到有些應用服務,例如導至不能連接上遠程伺服器,
因此強烈建議,以上設置首先在本地機器或虛擬機(VMware Workstation)上做好設置,確定沒事之後然後再在伺服器上做。