代理服务器如何把服务器被溢出的可能性降.pdfVIP

代理服务器:如何把服务器被溢出的可能性降 到最低 疯狂代码 http://CrazyC/ ĵ http:/CrazyC/IntegrativeServer/Article41765.html 　　、防什么如何防? 　　1、必须打齐补丁 　　尽最大可能性将系统漏洞补丁都打完;Microsoft Windows Server系列服务器系统可以将自动更新服务打 开然后让服务器在指定某个时间段内自动连接到Microsoft Update网站WebSite进行补丁更新如果服务器为了 安全起见禁止了对公网外部连接话可以用Microsoft WSUS服务在内网进行升级(见图1) 　　图1 　　2、服务最小化 　　最少服务等于最大安全停掉切不需要系统服务以及应用最大限度地降底服务器被攻击系数比如前阵子 NDS溢出就导致很多服务器挂掉了其实如果WEB类服务器根本没有用到DNS服务时大可以把DNS服务停掉这样 DNS溢出就对你们服务器不构成任何威胁了(见图2) 图2 　　3、端口过滤 　　启动TCP/IP端口过滤仅打开服务器常用TCP如21、80、25、110、3389等端口;如果安全要求级别高点可 以将UDP端口关闭当然如果这样的后缺陷就是如在服务器上连外部就不方便连接了这里建议大家用IPSec来封 UDP在协议筛选中只允许TCP协议、UDP协议 以及RDP协议等必需用协议即可;其它无用均不开放(见图3) 图3 　　4、系统防火墙 　　启用IPSec策略为服务器连接进行安全认证给服务器加上双保险封掉些危险端口诸如:135 145 139 445 以 及UDP对外连接的类、以及对通读进行加密和只和有信任关系IP或者网络进行通讯等等通过IPSec禁止UDP或者 不常用TCP端口对外访问就可以非常有效地防反弹类木马 　　5、系统命令防御 　　删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制关键系统文件、命令及文件夹 　　(1).黑客通常在溢出得到shell后来用诸如net.exe、net1.exe、ipconfig.exe、user.exe、query.exe、 regedit.exe、regsvr32.exe 来达到进步控制服务器目如:加账号、克隆管理员了等等我们可以将这些命令删除 或者改名(见图4) 图4 　　提示:在删除和改名时先停掉文件复制服务 (FRS)或者先将 %windir%\system32\dllcache下对应文件删除 或改名 　　(2).也或者将这些.exe文件移动到你指定文件夹,这样也方便以后管理员自己使用 　　(3).访问控制表列ACLS控制 　　找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、 ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe这些黑客常用文件在“属性 ”→“安全”中对他们进行访问ACLs用户进行定义诸如只给administrator有权访问如果需要防范些溢出攻击 、以及溢出成功后对这些文件非法利用;那么我们只需要将system用户在ACLs中进行拒绝访问即可 　　(4).如果你觉得在GUI下面太麻烦话你也可以用系统命令CACLS.EXE来对这些.exe文件Acls进行编辑和修改 或者说将他写成个.bat批处理 文件来执行以及对这些命令进行修改 　　(5).对磁盘如C、D、E、F等进行安全ACLS设置从整体安全上考虑话也是很有必要另外特别要对 Windows、Winnt、Document and Setting等文件夹 　　6、组策略配置 　　想禁用“cmd.exe”执行“开始→运行”输入gpedit.msc打开组策略选择“用户配置→管理模板→系统 ”把“阻止访问命令提示符”设为“启用”同样可以通过组策略禁止其它比较危险应用(见图5) 图5 　　7、服务降级 　　对些以权限运行系统服务进行降级处理比如:将