服务器安全管理.doc

1、服务器运行标准及底层环境安全配置 没有最安全的服务器，只有粗心的服务器管理员！ 配置服务器底层环境和安全的时候，一定要非常的细心！ 此文主讲服务器安全，底层环境配置方面不再细讲 一、 服务器运行标准及其基本环境配置 1． 服务器上的目录分配及其作用权限 首先规范对服务器的资源使用，和服务器的整体命名规范，只有使用同一规范的服务器管理标准才能达到协同规范管理的目标，我们的原则是先设权限在装软件。 这里我们着重介绍3分区管理方式和4分区管理方式： C:\ 系统安装目录，根目录只保留administrators组和System用户的完全控制权限 D:\ 软件和实用工具安

2、装目录，软件存储目录，权限Administrators组、System用户完全控制权限 D:\ Program Files\ 软件和实用工具安装目录，权限Administrators组、System用户完全控制权限[注：除特殊需求外一切软件都安装在该 D:\ Program Files\Tools\ 一些非安装的单文件类工具软件，不赋予任何权限，需要使用时赋予Administrators组、System用户完全控制权限，使用完毕后删除权限 D:\ Program Files\Tools\dllcache\ 系统工具,权限同上 D:\ Soft\ 软件存储目录，不赋予任何权限，需要使

3、用时赋予Administrators组完全控制权限，使用完毕删除权限 服务器上需要安装的软件 按照实际需要情况进行安装，推荐常规.NET带MSSQL服务器安装如下软件 Microsoft SQL Server 数据库默认存储路径不要选择这个盘 DU Meter 服务器流量监测统计工具 NOD32 2.7版服务器版，一定要是2.7版本的 Thunder 无插件，免安装，免自动加载项版 Serv-U 6.406 一定是安装版，不要装什么所谓的破解版[有需要时安装] UltraISO 文件打包工具 Daemon Tools 3.5以下版本，虚拟光驱，安装好之后可以设置为不随系统启

4、动，需要时在手工启动 Vsniffer 数据包抓包工具 Microsoft Office Access 数据服务组件 Tools 下需要安放的软件 HDTunePro 4.0以上版本 服务器硬盘状态监测工具 ScanPort 端口扫描工具 Cpu-Z 服务器硬件查看工具 Dllcache目录存放如下系统工具（该工具可在C:\Windows中找到） arp.exe at.exe atsvc.exe cacls.exe cmd.exe cscript.exe debug.exe edlin.exe finger.exe ftp.exe ipcon

5、fig.exe nbtstat.exe net.exe netstat.exe nslookup.exe ping.exe posix.exe qbasic.exe rcp.exe rdisk.exe regedit.exe regedt32.exe rexec.exe route.exe rsh.exe runonce.exe secfixup.exe syskey.exe telnet.exe tracert.exe wscript.exe xcopy.exe 服务器上需要存储的软件，[存放软件的原因是一个方便修复故障或错误另一个就是可以在服务器

6、间对传软件保证服务器的软件使用统一性和安全性] 与服务器版本对应版本的Windows Server 2003 光盘镜像或者I386目录 Microsoft SQL Server 安装包，对于SQL的安装建议安装企业版的也就是Enterprise Edition版不推荐在服务器上装个人版和开发版 Microsoft Office Access 安装包 HDTunePro 4.0以上版本 ScanPort Cpu-Z Thunder 文件包。 Recover 文件恢复工具，防止误删文件，该工具不需要安装，仅仅存放在这里即可 软件安装的原则是，先装服务与软件然后在打补丁，因

7、为软件一般版本文件都比较低安装后会覆盖某些文件，导致最新的补丁文件并不能及时的应用上去。 E:\ 站点存储目录，权限全盘提供Administrators组完全控制权限，特别的权限按照目录的具体来设置 F:\wwwroot\ 站点存放目录 F:\ 数据库存储目录，日志临时文件存储目录，其他文件存储目录，备份目录[3分区管理时该作用转移在E:\] 权限全盘提供Administrators组、System用户完全控制权限，特别的权限按照目录的具体来设置 F:\SQLBak\ 数据库备份存放目录 F:\SQLData\ 数据库存放目录 F:\WebBak\ 站点备份文件存放目录 F:\

8、temp\ 零时文件存放目录 F:\wwwrootlog\ 日志文件存放目录 F:\ Documents\服务器管理员个人独立管理使用目录，每个管理员新建一个目录，把自己工作文件等放在里不要文件到处乱扔 F:\ Documents\share\ 公共文件存放目录，如HiShop安装包补丁等每次更新货添加修改了文件请在F:\ Documents\Documents.txt文件中写清楚，文件存放规则参照备份规则 F:\ Documents\Documents.txt服务器留言板，记录需要传达和其他管理员需要知道的事宜，并做好服务器的管理日志记录，公共文件，勿留私密信息。登录服务器首先请先

9、查看该文件。 备份文件或目录的命名规则，备份文件严格按照如下规则命名 文件名+年+月+日+时间+随机字符串4个 如2010年5月20日15时55分备份了站点 则文件夹得命名为29hicom.2010.05.20.15.55.0001 2． 常规服务器的底层环境 首先要知道你需要配置什么样的服务器，支持什么样的软件运行，并准备好相应的软件 Hishop网店系统运行在Microsoft .net framework 2.0环境下面，数据库和Web是安装在同一台服务器下面，服务里使用华众管理平台对虚拟主机进行管理，并且还需要FTP服务 所以需要软件如下 Microsoft .

10、net framework 2.0组件 Microsoft SQL Server 2000 Serv-U 6.406 Windows 2003安装光盘或者I386目录 配置常规服务器组件依次安装相关软件 安装IIS（Internet 信息服务） 安装Microsoft SQL Server 2000 安装Microsoft .net framework 2.0组件，装好后记得在微软官网上打上补丁和中文包 安装Microsoft .net framework 3.0组件 安装Microsoft .net framework 3.5组件 为什么要装3.0和3.5呢，因为很多工具

11、软件都是由VS2008甚者VS2010开发的他们修要这个组件的支持，比如现在最新的支持PHP的微软推出的FastCGI 1.0组件 点击左下角【开始】并运行【Windows Update】升级系统所有重要补丁 需要时可安装华众管理平台客户端或者星外客户端 其它组件支持 安装php和Mysql支持！ 二、 服务器安全配置 1． 服务器服务及组件 停用不需要的服务，提高服务器安全性 开始菜单—>管理工具—>服务 Application Layer Gateway Service 为应用程序级协议插件…… Background Intelligent Transfer Ser

12、vice 利用空闲的网络带宽在后台传输文件…… Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Computer Browser 维护网络上计算机的更新列表，并…… Distributed File System 将分散的文件共享合并成一个逻辑名…… Distributed Link Tracking Client 用于局域网更新连接信息 Error reporting service 发送错误报告 Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Deskt

13、op Help Session Manager 远程协助 Net Logon 域控制器通道管理 NT LM Security Support Provider 为使用传输协议而不是命名管道的远程…… Microsoft Serch 基于结构化和半结构化数据的内容以及属性生成全文索引…… Help and Support 启用在此计算机上运行帮助和支持中心…… Messenger 传输客户端和服务器之间的 NET SEND 和…… NetMeeting Remote Desktop Sharing 允许经过授权的用户用 …… Workstation 创建和维护到远程服务的客户端网络

14、连接。 Removable storage 管理可移动媒体、驱动程序和库 Print Spooler 管理所有本地和网络打印队列及控制所有打印工…… Remote Registry 使远程用户能修改此计算机上的注册表设置…… TCP/IP NetBIOS Helper 提供 TCP/IP (NetBT) 服务上的 NetBIOS …… Server 支持此计算机通过网络的文件、打印、和命名管道共享 Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Telnet 允许远程用户登录到此计算机并运行程序，…… 以

15、上服务禁用 直接卸载后删除相应的程序文件。 regsvr32/u C:\WINDOWS\System32\wshom.ocx regsvr32/u C:\WINDOWS\system32\shell32.dll 将上面的代码保存为一个.BAT文件，并执行。 找到上面两个文件，把文件删除。（应先删除C:\WINDOWS\system32\dllcache目录下的这两个文件，然后在删除上面的两个目标文件，否则文件删除之后他们又会出来dllcache是系统文件备份恢复目录） 2． 账户安全 在【我的电脑】上按鼠标右键，选择【管理】--【本地用户和组】--【用户】 改名【Guest】账

16、户，如Gu2#edst@1，禁用此账户，并给他分配一个超级复杂的密码 改名Administrator账户，并新建一个账户，命名为Administrator，让其不属于任何组，并给其一个超级复杂的密码 禁用【SQLDebugger】账户 3． 安全策略 【开始】--【运行】--输入secpol.msc 账户策略设置 密码策略 密码必须符合复杂性要求 开启 密码长度最小值 建议6以上 密码最长使用期限 30天 账户锁定策略 复位账户锁定计数器 60分 账户锁定时间 60分 账户锁定阀值 2次无效登录 本地安全策略设置 开始菜单—>管理工具—>本地安全策略

17、 本地策略—>审核策略 审核策略更改 　　　成功 失败 审核登录事件 　　　成功 失败 审核对象访问 　　　 　　失败 审核过程跟踪 　　　 　　失败 审核目录服务访问 　　　 失败 审核特权使用 　　　　　 失败 审核系统事件 　　　成功 失败 审核账户登录事件 　成功 失败 审核账户管理　　　 成功 失败 我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性 调整日至文件大小：1048576KB=1G 覆盖时间超过30天的事件 帐户策略——>帐户锁定策略 设置为3次无效登陆 本地策略——>用户权限分配 关闭系统：只有

18、Administrators组、其它全部删除。 通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组 用户权利分配：将“从网络访问此计算机”中只保留Administrators、Aspnet账户、启动IIS进程账户(IUSR)、(IWAM)(Everyone) 总共：(Administrators)(ASPNET)(IUSR)(IWAM)(Everyone) 本地策略——>安全选项 交互式登陆：不显示上次的用户名                          启用 网络访问：不允许SAM帐户和共享的匿名枚举      启用

19、 网络访问：不允许为网络身份验证储存凭证            启用 网络访问：可匿名访问的共享　　　　　　　　　全部删除 网络访问：可匿名访问的命名通道　　　　　　　全部删除 网络访问：可远程访问的注册表路径　　　　　　全部删除 网络访问：可远程访问的注册表路径和子路径　　全部删除 帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户（例如Gu2#edst@1） 4． 注册表 防范ipc$入侵 1、禁止空连接进行枚举(此操作并不能阻止空连接的建立) 首先运行regedit，找到如下组建 [HKEY_LOCAL_MACHINE\SYSTEM\Curren

20、tControlSet\Control\LSA]把 restrictanonymous的值设为00000001 Restrictanonymous类型为DWORD 2、禁止默认共享 1） 察看本地共享资源 运行-cmd-输入net share 2） 删除共享(每次输入一个） net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e,f,……可以继续删除） 修改注册表删除共享 运行-regedit 找到如下主键

21、 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把AutoShareServer（DWORD）的键值改为:00000000。 如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。 3、修改远和桌面的连接端口 找到以下主键 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的

22、端口号.注意使用十进制 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/ 　　右边键值中 PortNumber 改为你想用的端口号.注意使用十进制 修改完之后，重启电脑即可生效 5． 服务文件管理 请找到c盘的这些文件 打开C盘，按F3：在搜索框里输入 xcopy.exe,wscript.exe,cscript.exe,net.exe,ftp.exe,telnet.exe,arp.exe,edlin.exe,ping.exe,route.ex

23、e,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,qbasic.exe,runonce.exe,syskey.exe,cacls.exe,ipconfig.exe,rcp.exe,secfixup.exe,nbtstat.exe,rdisk.exe,debug.exe, regedt32.exe,regedit.exe,,netstat.exe,tracert.exe,nslookup.exe,rexec.exe,cmd.exe,net.exe,net1.exe ,tftp.exe ,attrib.exe ,,c.exe 点击搜索 然后吧文件拷

24、贝在D:\ Program Files\Tools\dllcache\目录下（部分文件会有两个，不用管，直接覆盖，这两个文件是相同的，一般系统会自动备份并恢复），然后删除 C盘权限，根目录只保留administrator和System用户的完全控制权限 检查C:\Documents and Settings\每个账户文件夹里面的\Application Data文件夹权限，保证没有Everyone账户的权限 调整C:\windows\Temp文件夹的权限，以保证.net程序正常运行。 删除NetWork Service的权限，添加IIS_WPG的权限，在高级里调整此账户的权限为 应用

25、到：该文件夹，子文件夹及文件 权限设选择： 列出文件夹/读取数据 删除 其它权限不要。 Web目录权限 请严格按Hishop网店程序的基本权限要求进行调整，不必要的文件和文件夹不要给于写入权限。 注意：打开IIS，找到站点，在Storage文件夹（此文件夹需写入权限）上按右键选【属性】--【目录】，把【执行权限】改为【无】 6． 网络安全 技术部保留的有做好的IP安全策略，只要导入并指派即可，主要用于关闭一些危险的低端口 导入方法： 【控制面版】--【管理工作】--【本地安全策略】 在【IP安全策略…】上按鼠标右键，依次选择【所有任务】--【导入策略】 然后指派即

26、可 在【本地连接】的属性里面，删除所有协议，只留TCP/IP协议（在没有其它流量监控软件的情况下），打开【TCP/IP协议】的属性窗口 高级--WINS面板--NetBIOS设置--禁用TCP/IP上的NetBIOS 7． 防火墙策略 开启2003系统自带的防火墙，并允许例外 添加如下端口和程序 TCP80端口 WEB服务器必用 TCP远程连接端口        根据设置的端口添加 TCP32317端口            华众虚拟主机管理平台 TCP 32318端口            华众虚拟主机管理平台 ServUDaemon.exe FTP工具使用 没

27、有其它软件的情况下，不需要再添加任何端口 允许的情况下，建议服务器安装文件及URL应用过滤工具类软件 安装Deer Field、8Sign Firewall等具备应用层过滤功能的防火墙，对Url提交的非法字符进行整体过滤，可防范网站程序编写时存在的对敏感字符未过滤的漏洞。需要过滤的字符列表（□表示空格！）： □and□    \'%20and%20      \'%20or%20     □or□    □AND□    \'%20AND%20      \'%20OR%20     □OR□    %00 □1=1     □1=2   ...      ../    .../    

28、 \'    □select□      □update□    cmd.exe winnt     system32   □from□    □where□     □password□   dir□      ..\\   ...\\     .mdb     .asa    .sql    %2523   %25   %23   %5c   #x  exec  insert  select  delete   count  □user□  xp_cmdshell    □add□    □net□   □Asc□ \'or\'=\'or\'等等 在扩展名过滤中，将所有站点内不需要的

29、文件类型从过滤的允许列表中删除；对敏感的需要特别保护的文件类型的扩展名，将它们添加到扩展名过滤列表中。 以上特征字符串可能是分别针对ASP和PHP的，但由于配置不复杂，因此建议不管什么类型的后台程序，都在防火墙上全面设置一下应用层过滤规则！！ 安装一款可能强大且配置灵活的网络防火墙 （SGS系列） 并认真做好规则设置；防火墙的选择、安装和配置概览： 选择： 1）一定要有出站审核功能的防火墙，防止反向连接的木马后门； 2）设置适当的安全级别，安装初期可采用学习模式并小心配置，随后入为最高安全级别； 3）配置好防火墙规则。建议默认为无匹配规则则拒绝，然后一一添加必须的规则； 4

30、防火墙规则要经常备份和检查，发现可疑规则要高度警惕，或者不宝藏恢复备份规则。 5）选择建议：（SGS系列） 6）常用端口：FTP:21  WEB:80  SMTP:25  POP3:110  终端服务：3389（不建议使用；建议修改）  MYSQL:3306  可在数据库的配置文件中将端口改一下，比如3389，让人家连吧：） 其他如远程管理工具的端口也不建议使用默认端口。 7）服务器建议使用DeerField对各种注入等手段通过URL提交的命令的关键字以及敏感文件的扩展名进行过滤，如.MDB、‘、--、NULL、select、%5c、c:、cmd、system32、xp_ cmdsh

31、ell、exec、@a、dir、alert()、’or’’=’、WHERE、count(*)、between、and、inetpub、wwwroot、nchar、，%2B、%25等。对于提交有上述字串请示的IP，一般都是人为有意进行，因此可令防火墙对这类访问的IP进行较长时间的屏蔽。 其他安全工具安装安全工具： 如Urlscn、IISLock等。 8． SQL数据库安全 首选必须打补丁，不打补丁的MSSQL做了安全也等于没做，目前MSSQL2000最新版本的补丁SP4       使用SQL系统账户登陆SQL查询分析器，执行以下脚本，删除危险的存储过程 /*************

32、/ /*脚本开始处*/ use master exec sp_dropextendedproc 'xp_cmdshell' go exec sp_dropextendedproc 'xp_enumgroups' go exec sp_dropextendedproc 'xp_loginconfig' go exec sp_dropextendedproc 'xp_regaddmultistring' go exec sp_dr

33、opextendedproc 'xp_regdeletekey' go exec sp_dropextendedproc 'xp_regdeletevalue' go exec sp_dropextendedproc 'xp_regremovemultistring' go exec sp_dropextendedproc 'xp_regwrite' go exec sp_dropextendedproc 'xp_enumerrorlogs' go exec sp_dropextendedproc 'xp_getfiledetails

34、' go exec sp_dropextendedproc 'xp_regenumvalues' go /*脚本至此结束*/ /***********************************************************************/ 执行完之后，删除MSSSQL安装目录下的xplog70.dll 文件 9． 挂马后的解决 被注入后或挂马后的处理 清马+修补漏洞=彻底解决 清马 1、找挂马的标签，比如有或

35、rame width=420 height=330 frameborder=0 scrolling=auto src=网马地址>，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是JS挂马。 2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。 3

36、木马清理后一定要仔细彻底的删除掉木马产生的shell文件不得马虎，没删除等于以上的工作都白干。 网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果网站程序或数据库有备份的话，直接恢复原来的即可。 10． 注意事项 注意： 1. 在删除系统文件的之前，一定要先删除C:\WINDOWS\system32\dllcache\目录下的同名文件，不然的话等于白删，系统会自动恢复。 2. 养成良好的服务器使用习惯，切勿图省事。 3. 细心的设置，尤其是防火墙和IP安全策略，不要把自己远程端口封了。 4. 没有完全安全的服务器，每天的例行检查一定要执行到位，不能马虎！ 5. 发现问题要立刻处理，处理不了要立刻汇报。不能拖延！ 6. 每次做了大的修改后注意做好备份。 7. 木马清理后一定要仔细彻底的删除掉木马文件不得马虎，没删除等于以上的工作都白干。