为服务器铸起铜墙铁壁

小编有话说

上期的“网络天才”，我们介绍了网络工程师需要高度重视的内网“嗅探”问题，因为它很有可能将公司秘

>> 铜墙铁壁 “铜墙铁壁”的背后 铜墙铁壁是众人 筑起数据铜墙铁壁 铜墙铁壁筑长城 为服务器减负 铜墙铁壁围大京 铜墙铁壁砥洎城 构筑电脑的“铜墙铁壁” 软件为刀片服务器加分 为云服务器正名 为刀片服务器降温 Windows服务器补丁你伤不起 构筑中国应对危机的“铜墙铁壁” 国外防菌有“铜墙铁壁” 长期伏案，后背易变成“铜墙铁壁” 人民到处筑起了铜墙铁壁 真正的铜墙铁壁是群众 真正的铜墙铁壁是什么 智慧洞开那面“铜墙铁壁” 常见问题解答 当前所在位置：

SERV-U

/soft/8718.htm

“早啊！凌晨4点的空气真新鲜。”老刘开玩笑般地冲着睡眼朦胧的小白打招呼。“刘哥，不至于吧？这么大早上来公司修补服务器来？我还没睡够呢。”小白郁闷地回了一声。“去不去？我昨天没睡觉才做好的安全方案，去机房我再给你讲”。老刘来到机房叮嘱:“进机房先要去除尘室，为了保证机房的干净。对了，你去4号橱拿一套工作服来。”(小提示:企业的机房为保证机房干净会有专门机房工作装和鞋套)

安全升级配置单

―Web服务器

根据昨天分析的服务器被入侵情况，首先要整理公司唯一对外可访问的Web(网页)服务器。公司的Web服务器采用了Windows 2003+IIS6.0系统，当初时间紧迫，默认安装后就直接使用了，今天要进行全面的升级设置。

封住入口―目录权限与审核

首要解决的是目录权限和信息审核问题:攻击者通过ASP木马只能获取网页目录的管理权限，而其他目录则没有执行权限。这样可以降低Web服务器沦陷后对内网的威胁。我们以系统盘为例介绍，假设磁盘有C、D、E、F四个分区，点中C盘，选择“属性安全”标签，只给 Administrators 组和 SYSTEM 组的完全控制权限。方法是选中Administrators 组，在“允许”一栏中勾选所有选项，同样方法设置 SYSTEM 组。对于其他组，将其中的选项一律空置。

其他需要修改权限的目录

系统盘\Documents and Settings 目录:只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录:只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全控制权限，目录内其他文件一律给予everyone权限。另外，将系统盘\winnt\System32\cmd.exe、、ftp.exe转移到其他目录或更名。

此目录下有些目录都只能设置Administ rators权限，并且要一个一个目录查看，包括下面的所有子目录。删除C:\inetpub目录。

“咱们公司服务器上只有一个网站，所以比较简单，网站目录对应一个USERS权限的用户，在IIS的‘虚拟目录属性目录安全性匿名访问和验证控制编辑匿名访问编辑’填写USERS权限的用户名。 设置其他所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的文件夹设置为允许这个用户访问(见图1)。”

(1)

增加哨兵―设置本地安全审核

如果说权限设置是设置法律，那么安全策略就是负责监督的哨兵。在“开始菜单设置控制面板管理工具本地安全策略”中进行如下设置:

在“本地策略审核策略”中，选择“审核策略更改”，勾选“成功”与“失败”两项，其他按照下面的方式选择，如“成功失败”表示勾选两项。

审核登录事件 成功 失败

审核对象访问 失败

审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

本地策略用户权限分配

关闭系统:只有Administrators组、其他全部删除。

通过终端服务允许登录:只加入Administrators，Remote Desktop Users组，其他全部删除

在“本地策略安全选项”中，选择“交互式登录:不显示上次的用户名”，然后选择“启用”，其他进行如下设置。

网络访问:不允许SAM账户和

共享的匿名枚举 启用

网络访问:不允许为网络身份验证储存凭证 启用

网络访问:可匿名访问的共享 全部删除

网络访问:可匿名访问的命 全部删除

网络访问:可远程访问

的注册表路径 全部删除

网络访问:可远程访问的注

册表路径和子路径 全部删除

关闭无关的进程服务(在“运行”菜单中输入“services.msc”进入)，然后选中“Computer Browser”服务，右键点击“禁用”。其他需要禁用选项如下。

Help and Support

Messenger

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Workstation

未雨绸缪―备份IIS站点信息

为了让攻击者无法进一步入侵，应该把IIS备份一份，万一被攻击者破坏也能及时恢复(见图2)。

(2)

第一步：选择本地计算机右键菜单中的“所有任务备份/还原配置”来备份IIS，但这种操作如果重装Web服务器或将一台Web服务器移植到另一台Web服务器时就无能为力了，这时可使用IIS备份精灵来实现IIS的备份和移植。

第二步：启动IIS备份精灵，在站点列表上就会列出IIS服务器上配置的各种站点了，勾选你要备份的站点然后单击“导出站点”按钮，在弹出的“导出IIS站点”窗口上选择好文件保存路径，“确定”后，站点配置信息就会以一个TXT文本文件保存下来了。

第三步：在重装IIS服务器后需要导入站点信息时，运行IIS备份精灵，单击“导入站点”按钮，在弹出的“IIS导入站点”窗口上选择要事先备份好的IIS站点信息文件，按“确定”后即可导入。

安全升级配置单

―FTP服务器

对于FTP服务器，大多数企业都是用于存储公司员工的个人文件，也被称为文件服务器。小白在的公司采用的是Windows 2003 + Serv-U 5.0版FTP服务端 + IIS6.0组成的文件服务器。小白检查完所有Serv-U的用户，发现用户列表中多了一个完全控制权限的dircmpt的用户。

“FTP服务器也有入侵者！是我的失职，向公司所有计算机发送通知，暂停FTP服务器！重新安装新版本的Serv-U服务端，你在旁边学着如何设置FTP服务器，以后这些工作你都要非常熟悉!”老刘有点颓废地说道。

由于Serv－U的管理端口、账号和密码等重要信息是保留ServUDaemon.EXE文件里，因此下载后用如UltraEdit等16进制编辑软件就可以很轻易地获取到修改后的端口、账号和密码。如果要修改端口号，只需在UltraEdit中搜索“localadministrator”，后面就是账号名，同样方法可以找到密码和端口(见图3)。

(3)

实例:发现陌生用户该怎么办？

如果再发现FTP服务器上出现陌生用户，要进行下面几个应急方案:

1.安装新版本。Serv-U，6.0的版本可以在ServUDaemon.ini中加上LocalSetupPortNo=12345，改变默认的管理端口，再采用IPSec限制任何IP(包含网卡绑定的10.4.1.101和本地默认127.0.0.1)访问12345端口访问，即增加12345端口的阻止。

2.使用“设置更改密码”的按钮，即在ServUDaemon.ini中加上LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39之类的MD5密码。

3.修改Serv-U安装目录D:\FAVR4SFDGSD\TTR的权限(目录名建议修改，为了安全，请不要使用默认目录)，设为Administrator组完全控制，拒绝Guests组用户访问Serv-U目录。

4.把Serv-U的启动用户改成一个USER组的用户，那么就再不会有所谓的权限提升了。但要注意的是，这个低权限用户一定要对Serv-U安装目录和提供FTP服务的目录或盘符有完全控制的权限。使用普通组用户启动的Serv-U是不能增加用户和删除用户的，这样就可以完全避免攻击者利用FTP服务端对服务器进行入侵了。

“刘哥，今天就先弄到这里吧，辛苦啦！楼下大盘鸡我请客，晚上咱们再继续！”