Windows Internet服務(wù)器安全配置
原理篇
我們將從入侵者入侵的各個(gè)環(huán)節(jié)來作出對(duì)應(yīng)措施
一步步的加固bs系統(tǒng).
加固bs系統(tǒng).一共歸于幾個(gè)方面
1.端口限制
2.設(shè)置ACL權(quán)限
3.關(guān)閉服務(wù)或組件
4.包過濾
5.審計(jì)
我們現(xiàn)在開始從入侵者的第一步開始.對(duì)應(yīng)的開始加固已有的bs系統(tǒng).
1.掃描
這是入侵者在剛開始要做的第一步.比如搜索有漏洞的服務(wù).
對(duì)應(yīng)措施:端口限制
以下所有規(guī)則.都需要選擇鏡像,否則會(huì)導(dǎo)致無法連接
我們需要作的就是打開服務(wù)所需要的端口.而將其他的端口一律屏蔽
2.下載信息
這里主要是通過URL?SCAN.來過濾一些非法請(qǐng)求
對(duì)應(yīng)措施:過濾相應(yīng)包
我們通過安全URL?SCAN并且設(shè)置bscan.ini中的DenyExtensions字段
來阻止特定結(jié)尾的文件的執(zhí)行
3.上傳文件
入侵者通過這步上傳WEBSHELL,提權(quán)軟件,運(yùn)行cmd指令等等.
對(duì)應(yīng)措施:取消相應(yīng)服務(wù)和功能,設(shè)置ACL權(quán)限
如果有條件可以不使用FSO的.
通過?regsvr32?/u?c:\bs\system32\scrrun.dll來注銷掉相關(guān)的DLL.
如果需要使用.
那就為每個(gè)站點(diǎn)建立一個(gè)user用戶
對(duì)每個(gè)站點(diǎn)相應(yīng)的目錄.只給這個(gè)用戶讀,寫,執(zhí)行權(quán)限,給administrators全部權(quán)限
安裝殺毒軟件.實(shí)時(shí)殺除上傳上來的惡意代碼.
個(gè)人推薦MCAFEE或者卡巴斯基
如果使用MCAFEE.對(duì)WINDOWS目錄所有添加與修改文件的行為進(jìn)行阻止.
