|
|
网络高速发展的今天,许多网民纷纷在自己的电脑构建小站,搭筑论坛.在这些网民中,有不少是个体经营者为了提供更好的售后服务,吸引更多的客户而构建网站,往往这样的站点安全性令人堪忧!
偶认识的一个重庆网友,经营一家电脑公司,主营整机及硬件销售,为了做好售后服务配置了一台服务器,构建了网站.他告诉我站点被黑过三次,看我能不能给他一份详细的安全计划.到其站点逛逛,用的是动力模版,论坛用的是动网,而且还提供免费邮箱及FTP空间(SERVER-U4.0),这不被黑才怪!朋友开了口这可苦了偶这个小菜,没办法硬着头皮将自己所学的一些知识归纳.
必备软件及简单设置
1. 装一个杀毒软件和一个网络防火墙.杀毒软件我推荐用KV,因为它的脱壳能力较强,一般经过加工的黑客小工具或木马都难不到它;网络防火墙选用天网(国内较早开发个人防火墙的供应商),它的功能就不用介绍了(多看帮助文件).
2. 掌握查端口工具FPORT.EXE(天网帮助文件有常用端口介绍),列举进程工具PSLIST.EXE,杀进程工具PLKILL.EXE的应用. 每天查看WEB日志c:\winnt\system32\logfiles\w3svc1,改不改存放路径依个人喜好!
网管网bitsCN.com
3. 禁止一些不必要的服务.如remote registry service(远程注册表操作),telnet这些服务,然后备份整个注册表.必要时可恢复!
4. 微软的漏洞层出不穷,勤打补丁是防止漏洞所带来危害最便捷有效的方法.打补丁使用WINDOWS UPDATE就行了,如果此服务没启动在服务里将其启动即可见图一
5. 将administrator的权限设为最低,并给个强壮的密码!
基础设置
net命令的改名
入侵者得到远程主机的shell后通常都会使用系统自带的外部命令,这里我介绍将net命令改名.net.exe存放在c:\winnt\system32下,若我们直接在此将其改为chx.exe,由于net受系统保护,系统发现其改变马上又生成一个net.exe.正确的修改方法是在菜单里选工具/文件夹选项/查看,把隐藏受保护的操作系统文件(推荐)前面的勾去掉,并选择显示所有文件和文件夹,这时在c:\winnt\system32下多出一个dellcache文件夹(此文件夹是备份动态链接库及系统一些命令)进入后找到net.exe改名,再回system32里找到net.exe改名,这里改的名字要相同我都改成chx.exe。这时会出现一个对话框如图2-3,按取消后又会出现如图2-4的对话框选择是就行了。 网管网bitsCN.com
我们现在CMD下试看看net.exe看到没有不能用了,我们试试chx.exe见下图
利用NTFS格式为硬盘设置访问权限
NTFS格式是2000、XP、2003所具有的硬盘格式,在应用中它的安全选项可以设置不同用户对硬盘的访问权限。大部分的用户都习惯把系统装在C盘,那么对C盘我们可以这样设置,把鼠标放在C盘上点属性,选择安全删除掉EVERYONE(这个单词不用解释吧),添加administrator选择权限为完全控制
 中国网管联盟www.bitscn.com
这样adminstrator就对整个C盘拥有全部权限。注意:若没选system这个用户会导致一些系统设置无法生效,比如手动设置虚拟内存大小等。紧接着对D盘进行设置(这里假设网站目录放在D盘chx目录下),同样删除EVERYONE,但除了添加adminstrator这个用户为完全控制外,还要添加启动IIS进程账号和INTERNET来宾账号(IUSER_computermane和IWAN_computermane)给的权限如下图(4-2)
以上是对整个D盘的设置,现在进入D盘找到我们放网站的目录chx点属性—安全后先去掉对话框底下的继承父目录选项
同样添加administrator、IIS进程账号和Internet来宾账号,并给它们的完全控制权限。需要说明的是如果对D盘只设一个Administrator这个用户,那么你的网站将无法访问,若给三个用户完全控制权限的话,网站又容易被攻陷。好了,NTFS设置我也只能简单介绍到这,不足之处还请高手指教(偶也是小菜一个^_^) 中国网管联盟www_bitscn_com
用组策略来设置密码强度
组策略是windows自带的一个工具,其功能非常强大,在这只介绍其密码策略(有兴趣的朋友可以去买书来看,花钱是必然的)。运行组策略很简单,单击菜单---运行,在对话框内输入gpedit.msc回车,并在弹出的对话框依次点击计算机配置----windows设置----安全设置-----帐户设置-----密码策略,选中右边密码长度最小值。如下图
我们可以根据需要去设置密码字符的长度,比如你设长度为11位,那么你用net命令建立帐户时就要求密码长度为11位,否则就不能建立帐户见下图
需要说明的服务器IIS的匿名用户访问网页其密码长度为10位,若超出10位将会影响浏览!
 中国网管联盟www、bitsCN、com
我想经过上述设置,你的服务器已相对安全,至于那些如何防范空连接,更改3389和21端口等教程,网上N多需要的话自己找一下就行了。此文若有不足之处敬请到菜园安全小筑 http://happyxm.126.com指教! |
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2009-5-5 11:41:28
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡