1、主目录权限设置:
这里可以设置读取就行了。写入、目录浯览等都可以不要,最关键的就是目录浯览了。除非特殊情况,否则应该关闭,不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。
2、应用程序配置:
在站点属性中,主目录这一项中还有一个配置选项,点击进入以后,在应用程序映像选项中可以看到,默认有许多应用程序映像。将需要的保留,不需要的全部都删除。在入侵过程中,很多程序可能限制了asp,php等文件上传,但并不对cer,asa等文件进行限制,如果未将对应的应用程序映像删除,则可以将asp的后缀名改为cer或者asa后进行上传,木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映像,可执行文件可以任意选择,后缀名为.mdb(Access)和.bak(Sql)。这是为了防止用户数据库被下载。
3、目录安全性设置:
在站点属性中选择目录安全性,点击匿名访问和验证控制,选择允许匿名访问,点击编辑。如下图 。删除默认用户,浯览选择对应于前面为cert网站设定的用户,并输入密码。可以选中允许IIS控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浯览,可以有效阻止这类的跨目录跨站入侵。
4、可写目录执行权限设置:
关闭所有可写目录的执行权限。由于程序方面的漏洞,目前非常流行上传一些网页木马,绝大部分都是用web进行上传的。由于不可写的目录木马不能进行上传,如果关闭了可写目录的执行权限,那么上传的木马将不能正常运行。可以有效防止这类形式web入侵。
5、处理运行错误:
这里有两种方法,一是关闭错误回显。IIS属性求求主目录求求配置求求应用程序调试求求脚本错误消息,选择发送文本错误信息给客户。二是定制错误页面。在IIS属性求求自定义错误信息,在http错误信息中双击需要定制的错误页面,将弹出错误映像属性设置框。消息类型有默认值、URL和文件三种,可以根据情况自行定制。这样一方面可以隐藏一些错误信息,另外一方面也可以使错误显示更加友好。
6、禁止guests用户执行com.exe:
我们可以通过以下命令取消guests执行com.exe的权限cacls 操作:C:/WINNT/system32/Cmd.exe /e /d guests。
7、禁用WScript.Shell组件:
WScript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOT/WScript.Shell/ 及HKEY_CLASSES_ROOT/WScript.Shell.1/改名为其它的名字。将两项clsid的值也改一下 HKEY_CLASSES_ROOT/WScript.Shell/CLSID/项目的值和
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/项目的值,也可以将其删除。
8、禁用Shell.Application组件
Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOT/Shell.Application/ 及
HKEY_CLASSES_ROOT/Shell.Application.1/ 改名为其它的名字。将
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值更改或删除。同时,禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:
cacls 操作:C:/WINNT/system32/shell32.dll /e /d guests
9、FileSystemObject组件
FileSystemObject可以对文件进行常规操作可以通过修改注册表,将此组件改名,来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT/Scripting.FileSystemObject/。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件,为了方便,这里不建议更改或删除。
10、禁止telnet登陆
在操作:C:/WINNT/system32目录下有个login.cmd文件,将其用记事本打开,在文件末尾另取一行,加入exit保存。这样用户在登陆telnet时,便会立即自动退出。
注:以上修改注册表操作均需要重新启动WEB服务后才会生效。
11、端口设置
在控制面板求求网络与拨号连接求求本地连接求求属性求求Internet协议(TCP/IP)属性,点击高级,进入高级TCP/IP设置,选择选项,在可选的设置中选择TCP/IP筛选,启用TCP/IP筛选。添加需要的端口,如21、80等,关闭其余的所有未使用的端口。
12、关闭文件共享
系统默认是启用了文件共享功能的。我们应给予取消。在控制面板求求网络和拨号连接求求本地连接求求属性,在常规选项种,取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板求求管理工具求求服务中进行设定。
13、关闭非必要服务
类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ,利用服务器挂QQ,这种做法是极度错误的。
14、关注安全动态及时更新漏洞补丁 1:23 2005-10-2
更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁,可以进一步保证系统的安全。
二、配置FTP
ftp是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用ftp进行上传的。目前使用的最多的ftp服务器非Serv-U莫属了。这里有几点需要说明一下。
15、管理员密码必须更改
如果入侵爱好者们肯定对Serv-U提权再熟悉莫过了。这些提权工具使用的就是Serv-U默认的管理员的账号和密码运行的。因为Serv-U管理员是以超级管理员的身份运行的。如果没有更改管理员密码,这些工具使用起来就再好用不过了。如果更改了密码,那这些工具要想正常运行,那就没那么简单嗷。得先破解管理员密码才行。
16、更改安装目录权限
Serv-U的默认安装目录都是everyone可以浯览甚至可以修改的。安装的时候如果选择将用户信息存储在ini文件中,则可以在ServUDaemon.ini得到用户的所有信息。如果Guests有修改权限,那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U之后,得修改相应的活页夹权限,可以取消Guests用户的相应权限。