Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> Windows Serverチュートリアル >> Windows 2003サーバーのセキュリティ構成究極の柔軟なテクノロジ

Windows 2003サーバーのセキュリティ構成究極の柔軟なテクノロジ

  

Windows Server 2003のシステム構成に関する多くのオンラインセキュリティが、綿密な分析の結果、多くが包括的ではなく、まだ十分ではないこと、そして大きなセキュリティリスクがあることがわかりました。 2003サーバーのセキュリティ構成により、より多くのネットワーク管理友人が座ってリラックスすることができます。

サポートのためにサポートを提供するために必要なコンポーネントは次のとおりです。(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389ターミナルサービス、リモートデスクトップWeb接続管理サービスなど)ここでの前提は、システムがインストールされていること、FTPサーバー、メールサーバーなどを含むIISです。これらの特定の構成方法は繰り返されていないため、ここではセキュリティ構成に焦点を当てます。

通常のセキュリティインストールシステムについて、アカウントの設定と管理、冗長なサービスの無効化、ポリシーの監査、端末管理ポートの変更、および最も特権の低い一般ユーザーによる危険なストアドプロシージャの削除を行うためのMS-SQLの設定アカウントの接続など、システムのNTFSディスクのアクセス許可の設定についての最初の話を言わないでください、あなたはもっと見たことがあるかもしれませんが、2003サーバーは注意を払うためにいくつかの詳細があります、私は多くの記事を読んでいない完全に

Cドライブは管理者とシステム権限のみを与えます。他の権限は与えられません。他のディスクもこの方法で設定できます、ここで与えられたシステム権限は必ずしも与え​​られる必要はありません。サービスフォームが開始されている場合は、このユーザーを追加する必要があります。そうしないと開始されません。


Windowsディレクトリには、ユーザーに対するデフォルトのアクセス許可を付与する必要があります。そうしないと、ASPやASPXなどのアプリケーションは実行されません。以前は、友人がInstsrvやtempなどのディレクトリ権限を別々に設定していましたが、実際にはそのような必要性はありません。


また、c:/Documents and Settings /は非常に重要です。Cドライブのみが設定されている場合、次のディレクトリの権限は以前の設定を継承しません。管理者権限、およびAll Users /Application Dataディレクトリでは全員がフルコントロールであるため、このディレクトリにジャンプしてスクリプトまたはファイルのみを書き込み、その他の脆弱性を組み合わせて権限を向上させることができます。 uのローカルオーバーフローエスカレーション機関、あるいはシステムの欠けているパッチ、データベースの弱点、さらにはソーシャルエンジニアリングなど。N回、「私にはウェブシェルをくれ、システムを入手できる」と言った牛はいない。これは確かに可能です。 web /ftpサーバーを使用するシステムでは、これらのディレクトリをロックすることをお勧めします。他の各ディスクのディレクトリはそのように設定されており、どのディスクも管理者権限を与えるだけではありません。


さらに、net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、cacls.exe、これらの3つが含まれます。ファイルは管理者によるアクセスのみを許可するように設定されています。

不要なサービスを許可しないでください。これらは攻撃者によって悪用されることはないかもしれませんが、セキュリティのルールや標準の観点からは、不要なものを開く必要がないため、隠された危険が軽減されます。

「ネットワーク接続」では、不要なプロトコルやサービスは削除され、ここには基本的なインターネットプロトコル(TCP /IP)のみがインストールされ、帯域幅トラフィック制御のためにQosデータが追加インストールされます。パッケージ計画プロセス高度なtcp /ip設定 - "NetBIOS"設定 "tcp /IPでNetBIOSを無効にする"。詳細オプションでは、Windows 2003に付属のファイアウォールである「インターネット接続ファイアウォール」を使用します(2000システムには機能はありませんが、機能はありませんが、ポートを保護することができます)。


ここでは、必要なサービスに応じてレスポンスポートを開きます。 2003システムでは、TCP /IPフィルタリングでポートフィルタリング機能を使用することはお勧めできませんたとえば、FTPサーバーを使用する場合、ポート21だけが開かれていると、FTPプロトコルの特殊な性質により、FTP転送を実行するときFTPは固有です。 PortモードとPassiveモードでは、データを送信する際に上位ポートを動的に開放する必要があるため、TCP / IPフィルタリングを用いた場合、接続後にディレクトリとデータの送信を一覧表示できないという問題があることが多い。したがって、2003システムにWindows接続ファイアウォールを追加すると、この問題を非常にうまく解決できるため、ネットワークカードのTCP /IPフィルタリング機能を使用することはお勧めできません。
SERV-U FTPサーバーの設定:
一般的に、srev-uをftpサーバーとして使用することはお勧めできません。主にこの脆弱性が頻繁に発生するためです。人気があり、バグを見つけるためだけに心配している人がたくさんいます。他のftpサーバーソフトウェアはそれほど安全ではありません。
もちろん、より安全なftpソフトウェアであるserv-uのような機能もあります。機能FTPサーバー
の設定もまた非常に単純ですが、私たちは依然として一般の人々の要望に応えなければなりません。設定
まず第一に、6.0は以前の5.xバージョンからローカルLocalAdministrtaorのパスワード機能を変更しました。実際、5.xバージョンでは、あなたはパスワードポートを変更するためにserv-uプログラム本体を修正するためにultraedit-32のようなエディタを使うことができます。この隠された危険を修正しました、そしてそれは皆が出るのに便利でした。しかし、パスワードを変更するserv-uはセキュリティ上のリスクと同じで、2か月前、ローカルの盗聴方法を使用してserv-u管理パスワードを取得するという新たな悪用をしました。 sniffの方法は、ウェブシェルの条件を取得した後にディレクトリの "実行"許可を持つことでもあり、管理者はserv-u管理者を実行するために再度ログインする必要があります。そのため、我々の管理者は上記の要素を避けて保護することもできます。 SERV-Uの一般的な安全性の下で

追加ポイントを設定する必要があります:「ブロック」FTP_bounce「攻撃とFXP」を選択
。 FXPとは何ですか?一般に、ファイル転送にFTPプロトコルを使用する場合、クライアントは最初に「PORT」コマンドをFTPサーバーに送信します。これには、ユーザーのIPアドレスとデータ転送に使用されるポート番号が含まれています。コマンドによって提供されたユーザーアドレス情報を使用して、ユーザーとの接続を確立します。ほとんどの場合、上記のプロセスでは問題は発生しませんが、クライアントが悪意のあるユーザーの場合、PORTコマンドに特定のアドレス情報を追加することで、FTPサーバーが他のクライアント以外のコンピューターに接続される可能性があります。この悪意のあるユーザーは特定のマシンに直接アクセスする権限を持っていない可能性がありますが、FTPサーバーがそのマシンにアクセスできる場合でも、悪意のあるユーザーは最終的にターゲットサーバーとの接続を確立するための媒介としてFTPサーバーを使用できます。これはFXPで、クロスサーバ攻撃とも呼ばれます。これを選択して防ぐことができます。


"ブロック防止タイムアウトスキーム"でもご利用いただけます。次に、[詳細設定]タブで[セキュリティを有効にする]が選択されているかどうかを確認し、選択されていない場合は選択します。


IISのセキュリティ:

c:/inetpubディレクトリを削除し、iisの不要なマッピングを削除する

最初の方法は、別々のWebサイトを使用することです。たとえば、IISユーザーの場合、ここにゲスト用の権限を持つwww.315safe.comという新しいビルドがあります。


IISドメインのプロパティで、 "ディレクトリセキュリティ" --- "認証アクセスとアクセス制御"は、次のWindowsユーザーアカウントとユーザー名とパスワードを使用するように設定されています。 Www.315safe.comこのユーザーの情報このサイト内の対応するWebディレクトリファイルで、デフォルトはIISユーザーの読み取りおよび書き込み権限のみです(あとで導入するBT設定は他にもあります)。


"Application Configuration"で、必要なスクリプト実行許可を与えます。ASP.ASPX、PHP、

ASP、ASPXはデフォルトでマッピングサポートを提供します、PHP用、新しいレスポンスマッピングスクリプトを追加してから、Webサービス拡張で許可するようにASP、ASPXを設定する必要があります。phpおよびCGIをサポートするには、新しいWebサービス拡張を作成し、拡張子(X)の下にphpと入力します。ファイル(E):アドレスC:/php/sapi/php4isapi.dllを追加し、設定状況を許可(S)にしてOKをクリックするとIISがPHPをサポートします。


ASPXをサポートするには、ASPXを有効にするためにWebルートディレクトリにユーザーユーザーのデフォルトのアクセス許可を与える必要もあります。


アプリケーション設定では、デバッグはカスタムテキスト情報をクライアントに送信するように設定されているため、ASPインジェクションの脆弱性を持つサイトはフィードバックなしでエラーを報告できます。情報、ある程度の攻撃を回避することができます。


カスタムHTTPエラーオプションでは、404、500などのエラーを定義する必要がありますが、プログラムをデバッグするためにプログラムが間違っていることがわかります。


IIS6.0は動作メカニズムが異なるため、アプリケーションプールという概念がありますが、一般的には10のサイトのうちの1つを共有することをお勧めします。アプリケーションプール、アプリケーションプールは一般サイトのデフォルト設定を使用することができます。


は毎朝ワークプロセスを取り戻すことができます。


新しいステーションを作成し、デフォルトウィザードを使用します。設定では、アプリケーション設定の次の点に注意してください。実行権限はデフォルトの純粋なスクリプトで、アプリケーションプールは315safeという名前の別のプログラムプールを使用します。


315safeという名前のアプリケーションプールは、 "memory back"の下に正しく設定できます。 ":ここでの最大仮想メモリは1000M、最大使用物理メモリは256Mです。この設定は、このサイトのパフォーマンスをほとんど制限しません。


アプリケーションプール"識別"オプションは、あなたがアプリケーションプールのセキュリティアカウントを選択することができます、デフォルトはネットワークサービスアカウントを使用することです、あなたはそれを移動したくない、あなたは最小限の権限で実行しようとすることができます、隠された危険はさらに小さくなります。この「uploadfile」ディレクトリなど、サイトの一部のディレクトリでは、「アプリケーション設定」の「実行権限」で、このディレクトリの実行スクリプト権限を削除して、aspプログラムや他のスクリプトを実行する必要はありません。デフォルトは "純粋なスクリプト"で、 "none"に変更されているので、静的ページしか使用できません。そして、データベースディレクトリ、イメージディレクトリなど、aspを実行する必要がないほとんどのディレクトリは、主にサイトアプリケーションスクリプトのバグ(一般的なupfileの脆弱性など)を回避するために実行できます。抜け穴をある程度制御することができます。


既定では、通常、各サイトのWebディレクトリのアクセス許可は、図に示すようにIISユーザーの読み取りと書き込みに与えられます。


しかし、SQLを注入するために、アップロードの脆弱性はすべてなくなりました。詳細なポリシー設定に手動で対処することができます。 1。 WebルートへのIISユーザーは読み取りアクセス権のみを与えます。図に示すように:


それから、レスポンスのアップロードファイルまたはアップロードされたファイルを保存する必要がある他のディレクトリに書き込み権限を与え、そのディレクトリにIISでスクリプト実行権限を与えない。 Webサイトのプログラムに抜け穴があり、侵入者がそのディレクトリにaspトロイの木馬を書き込めませんでしたが、攻撃を防ぐのはそれほど簡単ではないので、やるべきことはまだたくさんあります。 MS-SQLデータベースの場合は問題ありませんが、Accessデータベース、データベースが配置されているディレクトリ、またはデータベースファイルにも書き込み権限が必要であり、データベースファイルを.aspに変更する必要はありません。データベースのパスが公開されると、このデータベースは大きなトロイの木馬となり、ひどいものになります。実際、このディレクトリはIISのスクリプト権限を付与していません。次に、図のようにIISでマッピング規則を設定します。


解析にasp.dllを使用しない限り、任意のdllファイルを使用して.mdbサフィックスのマッピングを解決します。データベースパスを取得してもダウンロードできないようにするためです。この方法は、データベースがダウンロードされないようにするための究極の解決策と言えます。

zh-CN"],null,[1],zh-TW"]]]

Copyright © Windowsの知識 All Rights Reserved