下面是小编整理的最全的服务器web最小权限WEB安全(共含7篇),欢迎大家阅读分享借鉴,欢迎大家分享。同时,但愿您也能像本文投稿人“虎皮糕糕”一样,积极向本站投稿分享好文章。
A. NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户.
B. 进入系统盘:权限如下
C:WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改.
其它目录删除Everyone用户,注意以下文件夹保留Everyone用户,C:Documents and Settings下All UsersDefault User目录及其子目录如C:Documents and SettingsAll UsersApplication Data 目录默认配置保留了Everyone用户权限,C:WINDOWSPCHealth、C:windowsInstaller也是保留了Everyone权限.
删除C:WINDOWSWebprinters目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击.
默认IIS错误页面已基本上没多少人使用了,建议删除C:WINDOWSHelpiisHelp目录.
删除C:WINDOWSsystem32inetsrviisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500,这里可以删掉,下面设置将会杜绝因系统问题.
C, 打开C:Windows 搜索(可以不做)
net.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
regsvr32.exe
xcopy.exe
wscript.exe
cscript.exe
ftp.exe
telnet.exe
arp.exe
edlin.exe
ping.exe
route.exe
finger.exe
posix.exe
rsh.exe
atsvc.exe
qbasic.exe
runonce.exe
syskey.exe
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
D. 关闭445端口
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesnetBTParameters
新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”
禁止建立空连接
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”
禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给 提供一些敏感信息比如一些应用程序的密码等。
控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。
E. 本地安全策略配置
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步]账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
本地策略 > 审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为”已启用”
> 不显示上次的用户名 更改为”已启用”
> 不需要按CTRL+ALT+DEL 更改为”已启用”
> 不允许 SAM 账户的匿名枚举 更改为”已启用”
> 不允许 SAM 账户和共享的匿名枚举 更改为”已启用”
> 重命名来宾账户 更改成一个复杂的账户名
> 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]
组策略编辑器
运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用
删除不安全组件
WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到,
方案一:
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
如果按照上面讲到的设置,可不必删除这两个文件
方案二:删除注册表 HKEY_CLASSES_ROOTCLSID{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注册表 HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application
F. 用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但要将这个组赋予C:Windows 目录为读取权限。
以下服务改为自动
Alerter
Application Experience Lookup Service
Application Layer Gateway Service
Application Management
Background Intelligent Transfer Service
ClipBook
COM+ Event System
IIS配置
请您参考service.zzidc.com/count.asp?a=show&ID=89
IIS 6 出于安全考虑, 默认最大请求200K(也即最大提交数据限额为200KByte, 204800Byte).
解决办法:
1. 关闭 IIS Admin Service 服务
2. 打开 Windowssystem32inesrvmetabase.xml
3. 修改 ASPMaxRequestEntityAllowed 的值为自己需要的, 默认为 204800
4. 启动 IIS Admin Service
IIS支持PHP的配置
service.zzidc.com/count.asp?a=show&ID=99
注意php5和zend有问题,想用zend 请您用php4
G. FTP的配置
服务器使用Serv-U Server 建议使用此软件安装原版至D:Serv-U_3434999fdaf [复杂无规则的目录名可有效防止 的猜解]
尔后退出Serv-U,安装汉化包。
运行SERV-U管理器 IP地址可为空、安装为系统服务 设置密码防止溢出
PASV设置
Serv-U管理器 -本地服务器-设置-高级
PASV端口范围 这里SERV-U只允许 50个端口范围 端口的设置范围 如1025-1075[1024以前的端口为系统使用]
可以了改为9000-9049.
H. Jmail 组件的安装
建议使用 w3 JMail Personal
默认安装至 D:w3JMail4_35434fnald [同样,复杂的目录名]
安装完成后只需单一设置 jmail.dll 权限,加入IIS用户组默认权限即可!
j. SQL Server 的安装与配置
目前SQL Server 2000 + SP4 在我看来已算比较安全,已没有SP3等版本会因为 sqlstp.log, sqlsp.log而泄露
安装信息的问题。当然也建议在安全后 检查 :Program FilesMicrosoft SQL ServerMSSQLInstall
目录中是否存在有 sqlstp.log, sqlsp.log, setup.iss文件,如果有,则备份至其它位置。
数据库的建立这里就说了。请参考SQL SERVER 2000帮助文档!
如何保障Web服务器安全
维护Web服务器安全是信息安全中最不讨好的差事之一,你需要在相冲突的角色中找到平衡,允许对网络资源的合法访问,同时阻止恶意破坏。
你甚至会考虑双重认证,例如RSA SecurID,来确保认证系统的高信任度,但是这对所有网站用户来说也许不实用,或者不划算。尽管存在这样相冲突的目标,仍有六个有助Web服务器安全的步骤。
对内部和外部应用分别使用单独的服务器
假设组织有两类独立的网络应用,面向外部用户的服务和面向内部用户的服务,要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具,你至少应该考虑使用技术控制(例如处理隔离),使内部和外部应用不会互相牵涉。
使用单独的开发服务器测试和调试应用软件
在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是,许多组织没有遵循这个基本规则,相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障,当开发者提交未经测试易受攻击的代码时,引入安全漏洞。大多数现代版本控制系统(例如微软的Visual SourceSafe)有助于编码/测试/调试过程自动化。
审查网站活动,安全存储日志
每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的,对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击,并且使你可以检修服务器性能故障,
在高级安全环境中,确保你的日志存储在物理安全的地点——最安全的(但是最不方便的`)技巧是日志一产生就打印出来,建立不能被入侵者修改的纸记录,前提是入侵者没有物理访问权限。你也许想要使用电子备份,例如登录进安全主机,用数字签名进行加密,来阻止日志被窃取和修改。
培训开发者进行可靠的安全编码
软件开发者致力于创建满足商业需求的应用软件,却常常忽略了信息安全也是重要的商业需求。作为安全专业人员,你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制,确保他们开发的软件不会违背这些机制;还要进行概念的培训,例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。
给操作系统和Web服务器打补丁
这是另一个常识,但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告,像是CERT或者微软发布的公告,提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务(SUS)和RedHat的升级服务有助于使这项任务自动化。总之,一旦漏洞公布,如果你不修补它,迟早会被人发现并利用。
使用应用软件扫描
如果负担地起,你也许会考虑使用应用软件扫描器来验证内部编码。像是 Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住,要有安全意识。设计良好的 Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。
Windows下的WWW服务器以其架设方便、操作简单赢得了很多人的青睐,下面笔者将以Windows Server 为例来介绍如何配置一个Web服务器,望能对刚入门的网管员有所帮助,
一、架设Web服务器
默认安装的Windows Server 2003没有配置IIS服务,需要我们手工安装。进入控制面板,执行“添加或删除程序→添加/删除Windows组件”进入Windows组件向导窗口,勾选“应用程序服务器→Internet 信息服务”,“确定”后返回Windows组件向导窗口点击“下一步”即可添加好IIS服务。在控制面板的管理工具中执行“Internet 信息服务(IIS)管理器”进入IIS管理器主界面(如图),在图上可以看出Windows Server 2003下的IIS默认支持静态网站,若要执行动态页面还需设置Web服务扩展属性,比如要执行ASP网站则要在“Web服务扩展”列表中选中“Active Server Pages”然后单击“允许”按钮来启用该功能。接下来就可以具体配置Web站点了。
图1
1.网站基本配置。在“默认网站”的右键菜单中选择“属性”进入“默认网站属性”窗口,在“网站”选项卡上的“描述”里可以为网站取一个标示名称,如果本机分配了多个IP地址,则要在IP 地址框中选择一个赋予此Web站点的IP地址;然后进入“主目录”选项卡中指定网站Web内容的来源并在“文档”中设置好IIS默认启动的文档,
单击“应用”按钮后就可以使用127.0.0.1来验证网站了。
2.网站性能配置。进入“性能”选项卡,在这里可以对网站访问的带宽和连接数进行限定,以更好地控制站点的通信量,如果是多站点服务器,通过对一个站点的带宽和连接数限制可以放宽对其他站点访问量的限制和为其他站点释放更多的系统资源。(提示:在实际的限定操作中我们要根据网络通信量和使用变化情况进行调整。)
3.网站的安全性配置。为了保证Web网站和服务器的运行安全,可以在“目录安全性”选项卡上为网站进行“身份验证和访问控制”、“IP地址和域名限制”的设置,不过如果没有别的要求一般采用默认设置就可以了。
二、IIS的备份和移植
为了防止系统损坏对IIS配置的影响,我们可以采用选择本地计算机右键菜单中的“所有任务→备份/还原配置”来备份IIS,但这种操作如果遇到重装Web服务器或将一台Web服务器移植到另一台Web服务器时就无能为α耍 我们可以使用IIS备份精灵来实现IIS的备份和移植了。
启动软件,在IIS备份精灵的站点列表上就会列出IIS服务器上配置的各种站点了,勾选你要备份的站点然后单击“导出站点”按钮,在弹出的“导出IIS站点”窗口上选择好文件保存路径,“确定”后,站点配置信息就会以一个TXT文本文件保存下来了。
在重装IIS服务器需要导入站点信息时,运行IIS备份精灵,单击“导入站点”按钮在弹出的“IIS导入站点”窗口上选择要导入的事先备份好的IIS站点信息文件,“确定”后即可导入。若需要移植IIS站点信息应先把备份的站点信息文件复制到目的机器上,然后在这个机器上再下载安装IIS备份精灵,执行“导入站点”操作就可以了。
Internet上的服务器也称为Web服务器,是一台在Internet上具有独立IP地址的计算机,可以向Internet上的客户机提供WWW、Email和FTP等各种Internet服务,Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏览器(客户端)连到服务器上并请求文件时,服务器将处理该请求并将文件发送到该浏览器上,附带的信息会告诉浏览器如何查看该文件(即文件类型)。服务器使用HTTP(超文本传输协议)进行信息交流,这就是人们常把它们称为HTTPD服务器的原因。Web服务器不仅能够存储信息,还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。例如,假设你要提供免费公司资讯,只要建立一张免费请求表单,它就会要求你的读者输入邮寄及公司信息;读者填完表后,点击提交按钮,该表单将送至服务器计算机上的某一程序,它负责处理该请求,并用E-mail给读者发一份免费资讯。你还可以让该程序把客户提供的信息发给你,以便用于某数据库上。用于执行这些功能的程序或脚本称为网关脚本/程序,或称为CGI(通用网关界面)脚本。在Web上,你所见到的大多数表单和搜索引擎上都使用了该技术。Web服务器可驻留于各种类型的计算机,从常见的PC到巨型的UNIX网络,以及其他各种类型的计算机,
它们通常经过一条高速线路与因特网连接,如果对性能无所谓,则也可使用低速连接(甚至是调制解调器),但对于架设电子商店来说,性能绝对是要考虑的问题。
1)虚拟主机虚拟主机是使用特殊的软硬件技术,把一台计算机主机分成一台台“虚拟”的主机,每一台虚拟主机都具有独立的域名和IP地址(或共享的IP地址),具有完整的因特网服务器功能。虚拟主机之间完全独立,在外界看来,每一台虚拟主机和一 立的主机完全一样,用户可以利用它来建立完全属于自己的WWW、FTP和E-mail服务器。虚拟主机技术的出现,是对因特网技术的重大贡献,是广大因特网用户的福音。由于多台虚拟主机共享一台真实主机的资源,每个用户承受的硬件费用、网络维护费用、通讯线路费用均大幅度降低,使因特网真正成为人人用得起的网络。现在,几乎所有的美国公司(包括一些家庭)均在网络上设立了自己的Web服务器虚拟主机服务提供者的服务器硬件构成的性能比较高,通讯线路也比较通畅,可以达到非常高的数据传输速度(可达45Mb/s),为用户提供了一个良好的外部环境;用户还不用负责机器硬件的维护、软件设置、网络监控、文件备份等工作。因而也就不需要为这些工作头痛和花钱了。
2)服务器托管服务器托管即租用ISP机架位置,建立企业Web服务系统。企业主机放置在ISP机房内,由ISP分配IP地址,提供必要的维护工作,由企业自己进行主机内部的系统维护及数据的更新。这种方式特别适用于有大量数据需要通过因特网进行传递,以及有大量信息需要发布的单位。
浅谈web服务器的安全保护
摘 要:web网站是承载信息化的一个平台,保证web的安全是一项基础而重要的工作。本文就关于web安全保护的几个方面进行了相关论述。
随着信息技术的飞速发展,网站作为宣传、教学、交互和办公自动化等活动不可或缺的平台已经越来越得到重视了。然而访问网站的群体中有个体会有意无意间攻击网站服务器的主体。各类网站服务器面临着越来越严峻的安全威胁,怎样才能更好地“加固”我们的服务器成为了每个网站安全维护人员所面临的艰巨任务。
Web服务器的安全是web服务及应用的安全紧密有机结合的整体,通常工作分为两部分。
一、 服务器的安全措施
最简单的就是,提高服务器的安全意识,养成比较好的日常计算机操作习惯。服务器作为计算机广泛应用的重要部分,对计算机简单的日常维护也是很必需的。对于个人,比如说及时检查系统漏洞打好系统补丁、升级杀毒软件更新病毒数据库、定时查杀电脑内存等基本工作,并避免移动存储设备与网站服务器直接相连。对于网站来说,对网站及重要的数据库文件进行定期备份,多个服务器之间也可以相互备份。当一个服务器出现软件或硬件故障时,另一个服务器可以用来作为临时的替代。定期分析服务器日志,及时发现服务器软件和硬件的异常以及攻击者留下的蛛丝马迹,以便及时对应。借助一些成熟的日志分析软件,可以有效的提高分析日志工作的效率。
其次是密码的更改,服务器操作系统出厂时的安装一般都是开启的默认状态,多是些名字如guest的没用账号,更不要用administrator这类windows默认管理 账户作为管理 员账户。以防万一,最好是建立两个及两个以上的管理 账户,并对他们进行严格的账户权限控制,不是非必要情况,不要将整个服务器予以授权。其次在设计密码时,也要有一定的复杂性。由于暴力破解密码的手段和速度越来越快,所以在设计密码时,最好是字符、字母、特殊符号、数字等组合的十二位以上的字符串,并定期更改密码防治破解。我们在设计密码时,为了防止因为定期更换密码而出现忘记密码的尴尬情况,可以采用“联想法”创造出一些有趣又好记的密码,比如说“5iskyde**”就可以依据“我爱天上的星星”而记住。对于程序系统文件,密码最好采用md5等算法加密后再存储于数据库。对数据库设置密码或采用其他工具加密,也可以使得攻击者在得到数据的情况下,也不能很轻易的就破解使用。
再次,尽量不用服务器浏览网页,尤其是不可信任的网站,而且尽量避免与服务器不相关的软件,尤其是一些黑客或黑客学习软件或破解软件。对于程序系统中的数据库文件名最好掺杂一些特殊符号,成为较复杂不易猜中的文件名。同时将数据库文件扩展名改成asp或asa,防止他人下载。
最后,做好服务分属和保留地址。企业内的服务通常有DNS服务、FTP服务等,对于重要的不同的服务最好是分属开来,实行单一化管理 ,避免多项服务对服务器造成影响,增加自身运行压力。服务器要保留一部分地址只供服务器使用,并将这些IP地址和服务器的MAC地址绑定,因为服务器的.地址分为永久不被侵占性和完全不受控制性,这样就可以避免服务器地址被占用而造成服务中断。
二、 web的安全
1、 优化ⅡS设置
更改ⅡS日志路径避免使用默认的缺省路径,虽然默认的报错信息给管理 人员在检查和修正网页错误的时候带来了极大的方便,但是同时也给伺机寻找asp程序漏洞的攻击者提供了非常重要的信息。就算要使用默认的web站点,也要将ⅡS目录与系统磁盘分开了再用。在配置应用程序映射时,只保留asp、cgi、php、pl应用扩展名,其他所有不必要的应用程序扩展都删除。
2、MySQL安全设置,检查mysq1.user表, 关于shutdown_priv, process_priv, File_priv和reload_priv的权限可能泄露重要的服务器信息,所以尽量取消。对于mysql安全目录,限制user读取、列目录和执行的权力。
3、Serv-U的安全技术
现今Windows操作系统下最流行、使用最方便、功能最齐全、目前国内应用最多的FTP服务器软件之一就是FTP Serv-U.FTP是虚拟主机的一部分,所以可以通过更改Serv-U FTP服务器的服务帐户来加强安全级别。Serv-U有一个默认的System启动的管理 用户,通过一个能访问本地端口43958的账号,任何人都可以执行任意内部和外部命令和随意增删账号。解决的办法可以是设置一个用于启动Serv—U服务并属于Guests组的用户,从而设置Serv-U服务登陆设置、IIS网站和注册表设置文件夹权限。
参考文献:
还在为网站被入侵,导致可以被人运行可执行文件而烦恼嘛?
对于一个web目录来说。 根本不需要运行可执行文件的权限。这里教大家一种方法。
利用gpedit.msc(组策略)禁止目录执行某些文件。
首先:
运行-----输入 gpedit.msc ----计算机配置---windows 设置----安全设置↓
----软件限制策略(如果旁边没有什么东西,
点右键创建一个策略)---其他规则----(点右键)新建立一个路径规则(p)。
如图1:
这样d:wwwroot目录就无法执行任何exe.bat.com文件了。 不管你是什么权限。即使是system都无法执行。
这样大大的提高了被使用exp提升权限的安全性。
当然这里提一个思路。 。大家都知道c:windowstemp是临时文件夹。 基本都是所有用户都可以写的。它是不需要执行权限的。
当然我们这里可以给他加一个规则。让c:windowstemp无执行权限。 方法如上。
★ web前端面试题
