ccidnet????

出版日期:2004-03-08 总期号:1294 本年期号:15

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
信息安全
存储世界
华东专刊
华南专刊
西北专刊
东北专刊
西南专刊
 15招保障Web服务器安全

李建华

  保护Web服务器的第一步,是确保网络管理员清楚安全策略中的每一项制度。通过标注Web服务器安全级别以及可用性的安全策略,网络管理员将能够从容地在不同的操作系统上部署各种软件工具。

  技巧1: 保持Windows升级

  必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到网络上的一个专用服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,可以防止Web服务器直接访问Internet。

  技巧2: 使用IIS防范工具

  这个工具有许多实用的优点,但要慎重地使用这个工具。如果Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确配置,保证其不会影响Web服务器与其他服务器之间的通讯。

  技巧3: 移除缺省的Web站点

  很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法,就是在IIS里将缺省的站点禁用。将真实的Web站点指向一个备份分区的文件夹,且必须包含安全的NTFS权限。

  技巧4: 如果不需要FTP和SMTP服务,请卸载它们

  进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果执行身份认证,会发现用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,能避免更多的黑客攻击。

  技巧5: 有规则地检查管理员组和服务

  检查IIS服务器上的服务列表并保持尽量少的服务,必须成为每天的任务。应该记住哪个服务应该存在,哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。

  技巧6: 严格控制服务器的写访问权限

  这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多“作者”的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第二个服务器,以提供专门的共享和存储目的,然后,配置Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。

  技巧7: 设置复杂的密码

  黑客们能够对任何用户运行密码破解工具。如果有用户使用弱密码(例如“password”、“changeme”,或者任何字典单词),那么,黑客能快速并简单地入侵这些用户的账号。

  技巧8: 减少Web服务器上的共享

  如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够查看一个IP地址列表,利用“\”命令寻找完全控制权限的共享。

  技巧9: 禁用TCP/IP协议中的NetBIOS

  很多用户希望通过UNC路径名访问Web服务器。随着NetBIOS被禁用,他们便不能这么做了。另一方面,随着NetBIOS被禁用,黑客就不能看到局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是教育Web用户如何在NetBIOS失效的情况下发布信息。

  技巧10: 使用TCP端口阻塞

  如果熟悉每个通过合法方式访问服务器的TCP端口,那么,你可以进入网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有不需要的端口。必须小心地使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在,当你需要远程登录服务器的情况下。

  技巧11: 仔细检查*.bat和*.exe 文件

  每周搜索一次*.bat和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果右击并选择编辑,可以发现,黑客已经制造并能让他们进入系统的注册表文件。因此,可以删除这些没任何意义但却会给入侵者带来便利的主键。

  技巧12: 管理IIS目录安全

  IIS目录安全允许拒绝特定的IP地址、子网,甚至是域名。使用WhosOn软件,能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现有人正在试图访问你的cmd.exe,可以选择拒绝这个用户访问Web服务器。在内部网,这是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。

  技巧13: 使用NTFS安全

  缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

  技巧14: 管理用户账户

  如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非真正需要这个账户,否则应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定本地安全策略没有问题。另外,IUSR用户的权限也应该尽可能的小。

  技巧15: 审计你的Web服务器

  审计对计算机的性能有着较大的影响,因此,如果不经常查看,还是不要做审计。如果真的能用到它,请审计系统事件,并在需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是记录访问, WhosOn 会将这些记录放置在一个非常易读的数据库中,可以通过Access或是 Excel打开它。如果经常查看异常数据库,就可能在任何时候找到服务器的脆弱点。