服务器系统安全维护培训教程.pdf

服务器系统安全维护 主要内容 一、Windows Server2003 IIS服务器 二、安装和配置DNS服务器 三、Windows Server2003 中设置FTP服务器 四、Windows2000 中设置FTP服务器 五、设置SMTP安全选项 六、Microsoft SQL Server安全防护 一、Windows Server2003 IIS服务器 ◼ 1. IIS服务器的安全性 ◼ 2. 一个IIS远程攻击示例 ◼ 3. 确保Web服务的安全 ◼ 4. 确保Web站点的安全 1. IIS服务器的安全性 ◼ 由于Web站点的发布很多是依靠Microsoft的IIS服务器， 疏于防护和无安全配置的IIS服务器往往是黑客攻击的 “肉鸡”，这是因为服务器存在着诸如IDA、IDQ、 Unicode、.printer、WebDAV等等漏洞，不少可远程 获得管理员权限 ◼ 为了向组织Intranet中的Web服务器和应用程序提供 全面的安全保护，应该保护每个Microsoft Internet信 息服务(IIS)服务器以及在这些服务器运行的每个Web 站点和应用程序不受可与它们连接的客户端计算机的 侵害 2. 一个IIS远程攻击示例 ◼ WebDAV是HTTP协议的扩展，允许远程编写 和管理Web 内容 ◼ 微软IIS5.0的WebDAV在处理某些畸形的请求 时存在缺陷，当外部提交一恶意超长的 SEARCH请求时，远程的WebDav服务会出现 缓冲区溢出可使IIS服务重启 ◼ 攻击者可以通过这个漏洞以Web服务器的执行 权限执行任意代码，以下几页给出针对 Windows 2000Server 的攻击工程 (1) 启用“X-Scan”扫描器 (2) 发现目标主机中“Webdav”漏洞 (3) 攻击目标主机 (4) 创建管理员用户 ◼ net localgroup administrators ccc /add (5) 远程桌面完全控制 3. 确保Web服务的安全 ◼ 3.1 仅启用必要的Web服务扩展 ◼ 3.2 仅安装必要的IIS组件 ◼ 3.3 使用安全工具 ◼ 3.4 确保IIS全局的设置安全 ◼ 3.5 确保默认Web站点和管理Web站点的安全 ◼ 3.6 使FrontPage Server Extension无效 3.1 仅启用必要的Web服务扩展 ◼ 启用所有的Web服务扩展可确保与现有应用软 件的最大可能的兼容性。 ◼ 仅启用在IIS服务器环境下运行的站点和应用 软件所必需的Web服务扩展，通过最大限度精 简服务器的功能，可以减少每个IIS服务器的 受攻击面，从而增强了安全性。建议不要安装 Index Server、FrontPage Server Extensions、 示例WWW站点等功能。 3.2 仅安装必要的IIS组件 ◼ 除“万维网发布服务”之外，IIS6.0还包括其它的组 件和服务，例如FTP和SMTP服务。可以通过双击 “控制面板”上的“添加/删除程序”来启动 Windows组件向导应用程序服务器，以安装和启用IIS 组件和服务。安装IIS之后，必须启用Web站点和应用 程序所需的所有必要的IIS组件和服务 ◼ 应该仅启用Web站点和应用程序所需的必要IIS组件和 服务。启用不必要的组件和服务会增加IIS服务器的受 攻击面 3.3 使用安全工具 ◼ Microsoft免费提供了一个“IISLockdown Wizard”工 具来确保IIS Web服务器的安全。它可让管理员通过 选用一个模板来选择服务器支持的技术。 ◼ Microsoft免费提供一个叫“URLScan”的工具，它在 Microsoft Internet信息服务(IIS)接受HTTP请求时对请 求进行屏蔽和分析。正确配置后，“URLScan”可有 效减少IIS4.0、IIS5.0和IIS5.1遭受来自Internet攻击的 危险。 3.4 确保IIS全局的设置安全 ◼ 大部分IIS配置设置存储在元库中，但是一些全局设置仍在注册表 里。 ◼ 要确保注册表内这些键值按如下设置： ❑ HKLM\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\ AllowSpecialCharsS