- 1、本文档共51页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
服务器系统安全维护
主要内容
一、Windows Server2003 IIS服务器
二、安装和配置DNS服务器
三、Windows Server2003 中设置FTP服务器
四、Windows2000 中设置FTP服务器
五、设置SMTP安全选项
六、Microsoft SQL Server安全防护
一、Windows Server2003 IIS服务器
◼ 1. IIS服务器的安全性
◼ 2. 一个IIS远程攻击示例
◼ 3. 确保Web服务的安全
◼ 4. 确保Web站点的安全
1. IIS服务器的安全性
◼ 由于Web站点的发布很多是依靠Microsoft的IIS服务器,
疏于防护和无安全配置的IIS服务器往往是黑客攻击的
“肉鸡”,这是因为服务器存在着诸如IDA、IDQ、
Unicode、.printer、WebDAV等等漏洞,不少可远程
获得管理员权限
◼ 为了向组织Intranet中的Web服务器和应用程序提供
全面的安全保护,应该保护每个Microsoft Internet信
息服务(IIS)服务器以及在这些服务器运行的每个Web
站点和应用程序不受可与它们连接的客户端计算机的
侵害
2. 一个IIS远程攻击示例
◼ WebDAV是HTTP协议的扩展,允许远程编写
和管理Web 内容
◼ 微软IIS5.0的WebDAV在处理某些畸形的请求
时存在缺陷,当外部提交一恶意超长的
SEARCH请求时,远程的WebDav服务会出现
缓冲区溢出可使IIS服务重启
◼ 攻击者可以通过这个漏洞以Web服务器的执行
权限执行任意代码,以下几页给出针对
Windows 2000Server 的攻击工程
(1) 启用“X-Scan”扫描器
(2) 发现目标主机中“Webdav”漏洞
(3) 攻击目标主机
(4) 创建管理员用户
◼ net localgroup administrators ccc /add
(5) 远程桌面完全控制
3. 确保Web服务的安全
◼ 3.1 仅启用必要的Web服务扩展
◼ 3.2 仅安装必要的IIS组件
◼ 3.3 使用安全工具
◼ 3.4 确保IIS全局的设置安全
◼ 3.5 确保默认Web站点和管理Web站点的安全
◼ 3.6 使FrontPage Server Extension无效
3.1 仅启用必要的Web服务扩展
◼ 启用所有的Web服务扩展可确保与现有应用软
件的最大可能的兼容性。
◼ 仅启用在IIS服务器环境下运行的站点和应用
软件所必需的Web服务扩展,通过最大限度精
简服务器的功能,可以减少每个IIS服务器的
受攻击面,从而增强了安全性。建议不要安装
Index Server、FrontPage Server Extensions、
示例WWW站点等功能。
3.2 仅安装必要的IIS组件
◼ 除“万维网发布服务”之外,IIS6.0还包括其它的组
件和服务,例如FTP和SMTP服务。可以通过双击
“控制面板”上的“添加/删除程序”来启动
Windows组件向导应用程序服务器,以安装和启用IIS
组件和服务。安装IIS之后,必须启用Web站点和应用
程序所需的所有必要的IIS组件和服务
◼ 应该仅启用Web站点和应用程序所需的必要IIS组件和
服务。启用不必要的组件和服务会增加IIS服务器的受
攻击面
3.3 使用安全工具
◼ Microsoft免费提供了一个“IISLockdown Wizard”工
具来确保IIS Web服务器的安全。它可让管理员通过
选用一个模板来选择服务器支持的技术。
◼ Microsoft免费提供一个叫“URLScan”的工具,它在
Microsoft Internet信息服务(IIS)接受HTTP请求时对请
求进行屏蔽和分析。正确配置后,“URLScan”可有
效减少IIS4.0、IIS5.0和IIS5.1遭受来自Internet攻击的
危险。
3.4 确保IIS全局的设置安全
◼ 大部分IIS配置设置存储在元库中,但是一些全局设置仍在注册表
里。
◼ 要确保注册表内这些键值按如下设置:
❑ HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\
AllowSpecialCharsS
文档评论(0)