《ASP3高级编程》学习资料（讲稿）第二十四章 服务器防护

inaopub.com 第4服务器护731 下载 Internet环境的服务器,下一步是创建一个检查列表。在我们继续之前,有一些事情要考虑 以下建议的一部分要涉及改变系统注册表,如果不知道会发生什么后果,应该 备份它。虽然在后面的部分中要做的没什么危险,但为了安全起见,首先应备份系 统注册表。 1.设置服务器在域中的角色 在web服务器上安装 Windows2000时,选择不是域控制器。如果使用 WindOws nt4.0, 选择既不是域控制器,也不是备份域控制器的独立服务器,这将移除敏感的域信息,例如用 户名和口令,使之不暴露到 Internet (1)磁盘格式化 如前所述,NTFS提供了比FAT和FAT32更多的安全特性,如果服务器中的一个驱动器已 用FAT或FAT32格式化过,而且认为有必要改成NTFS,可以用 convert. exe命令,过程很 打开一个命令提示窗口。 键入C:}> convert d:/fs:ntfs 按照屏幕提示一步步进行。 注意这个过程不可逆转 (2)硬盘分区 把网络服务器的硬盘分成多个分区是一个好方法。把所有的Web文件都放在扩展分区或 逻辑分区上,这样就算黑客能控制你的网站,但也无法控制你的主分区,因此他无法修改和 损害任何系统文件(因为所有系统文件都在主分区上) (3)最新服务包和hot-fix 检查确定服务器上有符合自己安全策略的服务包和hot-fix,检查安装在服务器上的所有软 件在微软安全公告栏(MicrosoftSecurityBulletins)上的相关信息,在http://www.microsoft com/ seurity.上可找到这些内容。 (4)NTFS83命名格式 NTFS对16位程序提供一些向下的兼容性,在需要时会自动生成8.3格式文件名,例如 rogra-l/ word.exe,但在安全的 IInternet环境中,这个功能应该关闭。要关闭这项功能,可以 样做:执行 Start菜单中的Run,键入 regedit,并在注册表中编辑表24-2所示的键值。 表24-2修改注册表的键值 项目 路径和值 注册表路径 HKEY LOCAL MACHINESYSTEM 注册表键 \CurrentControlSet\ControlFile System 名称 Ntfs dot 3Name Creat 新值 注意,如此操作后,性能也会有所提高 (5)隐藏最后进入系统的用户名 能在服务器控制台隐藏最后进入系统的用户的用户名,即使有很多的人使用它也很容易

I n t e r n e t环境的服务器，下一步是创建一个检查列表。在我们继续之前，有一些事情要考虑。 以下建议的一部分要涉及改变系统注册表，如果不知道会发生什么后果，应该 备份它。虽然在后面的部分中要做的没什么危险，但为了安全起见，首先应备份系 统注册表。 1. 设置服务器在域中的角色 在We b服务器上安装Windows 2000时，选择不是域控制器。如果使用 Windows NT 4.0， 选择既不是域控制器，也不是备份域控制器的独立服务器，这将移除敏感的域信息，例如用 户名和口令，使之不暴露到 I n t e r n e t。 (1) 磁盘格式化 如前所述，N T F S提供了比FAT和FAT 3 2更多的安全特性，如果服务器中的一个驱动器已 经用FAT或FAT 3 2格式化过，而且认为有必要改成 N T F S，可以用c o n v e r t . e x e命令，过程很简 单： • 打开一个命令提示窗口。 • 键入C:\>convert d:/fs: ntfs。 • 按照屏幕提示一步步进行。 注意这个过程不可逆转。 (2) 硬盘分区 把网络服务器的硬盘分成多个分区是一个好方法。把所有的 We b文件都放在扩展分区或 逻辑分区上，这样就算黑客能控制你的网站，但也无法控制你的主分区，因此他无法修改和 损害任何系统文件(因为所有系统文件都在主分区上 )。 (3) 最新服务包和h o t - f i x 检查确定服务器上有符合自己安全策略的服务包和 h o t - f i x，检查安装在服务器上的所有软 件在微软安全公告栏 (Microsoft Security Bulletins)上的相关信息，在 h t t p : / / w w w. m i c r o s o f t . c o m / s e u r i t y上可找到这些内容。 (4) NTFS 8.3命名格式 N T F S对1 6位程序提供一些向下的兼容性，在需要时会自动生成 8 . 3格式文件名，例如： P r o g r a ~ 1 / w o r d . e x e，但在安全的I n t e r n e t环境中，这个功能应该关闭。要关闭这项功能，可以 这样做：执行S t a r t菜单中的R u n，键入r e g e d i t，并在注册表中编辑表2 4 - 2所示的键值。 表24-2 修改注册表的键值 项 目 路径和值 注册表路径 H K E Y _ L O C A L _ M A C H I N E \ S Y S T E M 注册表键 \ C u r r e n tCo n t r o l S e t \ C o n t r o l \ F i l e S y s t e m 名称 NtfsDisable8dot 3NameCreation 新值 1 注意，如此操作后，性能也会有所提高。 (5) 隐藏最后进入系统的用户名 能在服务器控制台隐藏最后进入系统的用户的用户名，即使有很多的人使用它也很容易。 第2 4章 服务器防护计计731 下载

7323高级程 Chinapub.com 下 两个键值控制着 Windows的这个特殊功能。实际上,第一步是停止在 Windows登录窗口中显示 用户名字。键值修改如表24-3所示 表24-3修改注册表的键值 路径和值 注册表路径 HKEY LOCAL MACHINE\SOFTWARE 册表 NT\Current Version winlogon 名称 DontDisplay LastUserName 但是,登录窗口仍然显示由第二个键控制的默认用户名,可以把他设成空白或一个不存 在的用户,如果在用户名框里显示一个伪造的用户名,会给服务器提供很大的安全。键值修 改如表24-4所示。 表244修改注册表的键值 路径和值 注册表路径 HKEY LOCAL MACHINE\SOFTWARE 注册表键 MMicrosoft windows nt\Current Version winlogo 名称 DefaultUser Name 设置成空白或其他的内容 (6)显示一个合法的警告信息 显示一个合法的警告信息,可以提醒一些人,并且也是系统获得C2安全认证所必须的(仅 在美国)。这个认证由NSA的 National Computer Security负责,表明这个服务器基本符合一个 安全的操作系统的标准,要在登录窗口内显示一段合法警告,可在注册表中编辑如表24-5、 表24-6所示的键值。 表24-5修改注册表的键值 注册表路径 HKEY LOCAC MACHINE\SOFTWARE 注册表键 \Microsoft\ windows nt\current Version winl 名称 新值 要显示的信息窗口的标题 表246修改注册表的键值 路径和值 注册表路径 HKEY LOCAL MACHINESOFTWARE 注册表键 MIcrosoft Windows NT\Current Version\ Winlogon 名称 LegalNotice Text 要显示的信息窗口的文本 (7)检查登录窗口中“关闭”按钮的状态 正如我们所知道的,不需进入系统,在登录窗口可以关闭 Windows2000服务器。通过设 置表24-7所示的注册表键值避免这种情况的发生

732计计ASP 3 高级编程 下载 两个键值控制着Wi n d o w s的这个特殊功能。实际上，第一步是停止在 Wi n d o w s登录窗口中显示 用户名字。键值修改如表2 4 - 3所示。 表24-3 修改注册表的键值 项 目 路径和值 注册表路径 H K E Y _ L O C A L _ M A C H I N E \ S O F T WA R E 注册表键 \ M i c r o s o f t \ Windows NT\Current Ve r s i o n \ Wi n l o g o n 名称 D o n t D i s p l a y L a s t U s e r N a m e 新值 1 但是，登录窗口仍然显示由第二个键控制的默认用户名，可以把他设成空白或一个不存 在的用户，如果在用户名框里显示一个伪造的用户名，会给服务器提供很大的安全。键值修 改如表2 4 - 4所示。 表24-4 修改注册表的键值 项 目 路径和值 注册表路径 H K E Y _ L O C A L _ M A C H I N E \ S O F T WA R E 注册表键 \ M i c r o s o f t \ Windows NT\Current Ve r s i o n \ Wi n l o g o n 名称 D e f a u l t U s e r N a m e 新值 设置成空白或其他的内容 (6) 显示一个合法的警告信息 显示一个合法的警告信息，可以提醒一些人，并且也是系统获得 C 2安全认证所必须的(仅 在美国)。这个认证由N S A的National Computer Security负责，表明这个服务器基本符合一个 安全的操作系统的标准，要在登录窗口内显示一段合法警告，可在注册表中编辑如表 2 4 - 5、 表2 4 - 6所示的键值。 表24-5 修改注册表的键值 项 目 路径和值 注册表路径 H K E Y _ L O C A C _ M A C H I N E \ S O F T WA R E 注册表键 \ M i c r o s o f t \ Windows NT\Current Ve r s i o n \ Wi n l o g o n 名称 L e g a l N o t i c e C a p t i o n 新值 要显示的信息窗口的标题 表24-6 修改注册表的键值 项 目 路径和值 注册表路径 H K E Y _ L O C A L _ M A C H I N E \ S O F T WA R E 注册表键 \ M i c r o s o f t \ Windows NT\Current Ve r s i o n \ Wi n l o g o n 名称 L e g a l N o t i c e Te x t 新值 要显示的信息窗口的文本 (7) 检查登录窗口中“关闭”按钮的状态 正如我们所知道的，不需进入系统，在登录窗口可以关闭 Windows 2000服务器。通过设 置表2 4 - 7所示的注册表键值避免这种情况的发生

china pub coM 第章服务器防护733 表24-7修改注册表的键值 路径和值 HKEY LOCAL MACHINE\SOF TWARE 注册表键 \Microsoft\Windows nT Current Version\ Winlogon Shutdown without logon 新值 8)禁止匿名的网络访问 Windows2000允许未经验证的用户枚举在系统上的用户。通过编辑注册表来禁止这一功 能,如表24-8所示。 表24-8修改注册表的键值 路径和值 注册表路径 HKEY LOCAL MACHINEISYSTEM 注册表键 \Currentcontrolset\control\lSA 名称 restrictanonymous (9)禁止自动共享网络共享 Windows2000允许共享创建的网络驱动器并自动共享所有的驱动器,并在 C: winnt下创建 一个 ADMINS$共享。在一个标准的网络中,这是一个很好的特性,但由于多方面的安全原因 不适合于一个安全的 Internet环境。可以新建下列键来禁止这个功能。如表24-9所示 表24-9新建注册表的键值 项目 路径和值 注册表路径 HKEY LOCAL MACHINEISYSTEM 注册表键 urrentControlSet\Services\Lanman Server\Parameters 名称 (0检查注册表中对于远程访问的许可 indows2000支持对注册表的远程访问,我们应该使用 regedit32,而不是使用 regedit在下 键值上设置相应的许可。如表24-10所示 表24-10修改注册表的键值 注册表路径 HKEY LOCAL MACHINESYSTEM 注册表键 \CurrentControlSet\ControlSecurePipe Servers 名称 点击工具栏上的 Security,并选择 Permissions,将注意到管理员有完全的控制, Backup Operator(备份操作员)有读访问的权限。如果在本地的计算机上有备份软件则可删除这个读访 问权限。如果远程备份软件没有备份注册表,也可删除它 (11)给管理员的帐号改名

表24-7 修改注册表的键值 项 目 路径和值 注册表路径 H K E Y _ L O C A L _ M A C H I N E \ S O F T WA R E 注册表键 \ M i c r o s o f t \ Windows NT\Current Ve r s i o n \ Wi n l o g o n 名称 S h u t d o w n Wi t h o u t L o g o n 新值 0 (8) 禁止匿名的网络访问 Windows 2000允许未经验证的用户枚举在系统上的用户。通过编辑注册表来禁止这一功 能，如表2 4 - 8所示。 表24-8 修改注册表的键值 项 目 路径和值 注册表路径 H K E Y _ L O C A L _ M A C H I N E \ S Y S T E M 注册表键 \ C u r r e n t C o n t r o l S e t \ C o n t r o l \ L S A 名称 r e s t r i c t a n o n y m o u s 值 1 (9) 禁止自动共享网络共享 Windows 2000允许共享创建的网络驱动器并自动共享所有的驱动器，并在 C : \ w i n n t下创建 一个A D M I N S $共享。在一个标准的网络中，这是一个很好的特性，但由于多方面的安全原因， 不适合于一个安全的I n t e r n e t环境。可以新建下列键来禁止这个功能。如表 2 4 - 9所示。 表24-9 新建注册表的键值 项 目 路径和值 注册表路径 H K E Y _ L O C A L _ M A C H I N E \ S Y S T E M 注册表键 \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ L a n m a n S e r v e r \ P a r a m e t e r s 名称 A u t o S h a r e S e r v e r 值 1 (10) 检查注册表中对于远程访问的许可 Windows 2000支持对注册表的远程访问，我们应该使用 r e g e d t 3 2，而不是使用r e g e d i t在下 列键值上设置相应的许可。如表 2 4 - 1 0所示。 表24-10 修改注册表的键值 项 目 路径和值 注册表路径 H K E Y _ L O C A L _ M A C H I N E \ S Y S T E M 注册表键 \ C u r r e n t C o n t r o l S e t \ C o n t r o l \ S e c u r e P i p e S e r v e r s 名称 \ w i n r e g 点击工具栏上的 S e c u r i t y，并选择P e r m i s s i o n s，将注意到管理员有完全的控制， B a c k u p O p e r a t o r (备份操作员)有读访问的权限。如果在本地的计算机上有备份软件则可删除这个读访 问权限。如果远程备份软件没有备份注册表，也可删除它。 ( 11) 给管理员的帐号改名 第2 4章 服务器防护计计733 下载

734sp3高级程 Chinapub.com 下 因为系统管理员对系统有最大的权限,所以黑客总是试着以管理员的身份攻击系统。为 了防止这种情况发生,可以改变管理员的帐号,并且建立一个假帐号并禁止它没有任何访问 权限。用下面简单的几步就可实现,在 Start菜单中选择 Programs| Administrative Tools Computer Management,在出现的对话框中选择 System Tools I Local Users and Groups| Users 选择他并按F2,就可以修改管理员的帐号了。要建立一个假的管理员帐号,在 Action菜单中 选 New User.,并命名帐号为 Administrator,如图24-1所示 nnce Log and Alh erice and Aodcalont 图24-1建立一个假的管理员帐号的窗口 12)禁止使用管理员工具 有一些工具只有管理员能够使用。实施的最简单的方式是创建一个新的文件夹,如 c: admintools,将相应的工具拷贝到该文件夹内,并设置文件夹的许可权限,使之仅能由 Administrator和 System帐号控制其内容。可在 Windows Explorer中右击文件夹,选择 Properties 可得到文件夹的安全对话窗口。 下面是一些应该以上述方式保护的工具的列表。可根据自己的情况进行相应删减。 cmd.exe:给出可以运行系统任务的命令提示。 cscript.exe: Windows,脚本主机,用于在命令行中执行一个脚本 ftp.exe:用于跨服务器和网络传输文件 net. exe:用于在网络中完成许多功能 · telnet. exe:用于启动远程控制台,与另一个服务器进行 telnet会话 telnet. exe:同上 wscript.exe: Windows脚本主机,用于在GUI环境中执行一个脚本。 2.使用微软管理控制台( Microsoft Management Console,MMC Windows2000最大改进之一是使用MMC来控制每一个管理应用程序,可以通过自定义 MMC来控制所有管理工具。因此可以避免一次打开很多辅助工具引起的混乱。下面的步骤能 建立一个包含所有用信息的自定义MMC会话。 在 Start菜单中选择Run,并键入mmc/a,引出一个MMC窗口,并提供管理员特权。 在 Console菜单中,选择 Add I Remove Snap-in 在对话框中点击Add按钮。 在 Add standalone snap-in对话框中,选择 Group Policy和 Event Viewer,在两处均选择 Local Computer选项 点击 Close,然后点击Ok

734计计ASP 3 高级编程 下载 因为系统管理员对系统有最大的权限，所以黑客总是试着以管理员的身份攻击系统。为 了防止这种情况发生，可以改变管理员的帐号，并且建立一个假帐号并禁止它没有任何访问 权限。用下面简单的几步就可实现，在 S t a r t菜单中选择 P r o g r a m s│Administrative To o l s│ Computer Management，在出现的对话框中选择System To o l s│Local Users and Groups│U s e r s。 选择他并按 F 2，就可以修改管理员的帐号了。要建立一个假的管理员帐号，在 A c t i o n菜单中 选New User. . .，并命名帐号为A d m i n i s t r a t o r，如图2 4 - 1所示。 图24-1 建立一个假的管理员帐号的窗口 (12) 禁止使用管理员工具 有一些工具只有管理员能够使用。实施的最简单的方式是创建一个新的文件夹，如 c : \ a d m i n t o o l s，将相应的工具拷贝到该文件夹内，并设置文件夹的许可权限，使之仅能由 A d m i n i s t r a t o r和S y s t e m帐号控制其内容。可在Windows Explorer中右击文件夹，选择P r o p e r t i e s 可得到文件夹的安全对话窗口。 下面是一些应该以上述方式保护的工具的列表。可根据自己的情况进行相应删减。 • cmd.exe：给出可以运行系统任务的命令提示。 • cscript.exe：Wi n d o w s脚本主机，用于在命令行中执行一个脚本。 • ftp.exe：用于跨服务器和网络传输文件。 • net.exe：用于在网络中完成许多功能。 • telnet.exe：用于启动远程控制台，与另一个服务器进行 t e l n e t会话。 • telnetc.exe：同上。 • wscript.exe：Wi n d o w s脚本主机，用于在G U I环境中执行一个脚本。 2. 使用微软管理控制台(Microsoft Management Console，M M C ) Windows 2000最大改进之一是使用 M M C来控制每一个管理应用程序，可以通过自定义 M M C来控制所有管理工具。因此可以避免一次打开很多辅助工具引起的混乱。下面的步骤能 建立一个包含所有用信息的自定义 M M C会话。 • 在S t a r t菜单中选择R u n，并键入mmc /a，引出一个M M C窗口，并提供管理员特权。 • 在C o n s o l e菜单中，选择A d d│Remove Snap-in.。 • 在对话框中点击A d d按钮。 • 在Add standalone snap-in 对话框中，选择Group Policy 和Event Vi e w e r，在两处均选择 Local Computer选项。 • 点击C l o s e ,然后点击O k

chinaopub.com 第4章务器防护735 下载 展开 Local Computer Policy 展开 Computer Configuration 展开 Windows Settings 展开 Security Settings 在这个安全性文件夹中,大部分选项都可以选取,如图24-2所示 →日四 型 Policy Gaseculy Optione Admnehare T的se I Evert Viewer Loca 图24-2创建自定义的MMC会话 (1)增强口令的安全性 确保所有的口令至少有九个字符,这样能减小被发现的风险。把口令加密,确保有大小 写字母和数字的混合。通过改变存储在 Account Policy下的 Password Policy文件夹中的值来指 定这些选项或其他的一些选项 2)帐号锁定保护 如果有人试着去猜测某帐号的口令,应该封锁该用户的帐号。为实现这个功能,进入 Account Lockout Policy文件夹,改变 Account Lockout Count的值,这个值表示输入几次错误 口令就封锁帐号。也可以设定一段时间内封锁该帐号,并且在到期后恢复该帐号 网络访问的范围 Windows2000缺省情况下允许每个人都可以从网上访问服务器,这是一个相当大的安全 漏洞。可以进入 Local policies文件夹,选择 User Rights Assignment文件夹来改变这个功能 双击 Access this computer from the network图标,不要选择 Everyone框中的 Local policies,点 击Add按钮,并选择 Authenticated Users,然后点击Ad并点击OK按钮,将得到是否更新的提 示信息,然后选Yes (4)审计对服务器的登录 为了在安全事件日志文件中记录登录活动的信息,可以进入文件夹 Audit Policy,并改变 audit account logon events和 audit logon events的设置。应该对所有登录尝试,无论成功与否 都记录在日志文件中。这是一个很好的办法,能够了解对用户帐号进行的活动 (5)日志文件的覆盖间隔

• 展开Local Computer Policy。 • 展开Computer Configuration。 • 展开Windows Settings。 • 展开Security Settings。 在这个安全性文件夹中，大部分选项都可以选取，如图 2 4 - 2所示。 图24-2 创建自定义的M M C会话 (1) 增强口令的安全性 确保所有的口令至少有九个字符，这样能减小被发现的风险。把口令加密，确保有大小 写字母和数字的混合。通过改变存储在 Account Policy下的Password Policy文件夹中的值来指 定这些选项或其他的一些选项。 (2) 帐号锁定保护 如果有人试着去猜测某帐号的口令，应该封锁该用户的帐号。为实现这个功能，进入 Account Lockout Policy文件夹，改变Account Lockout Count的值，这个值表示输入几次错误 口令就封锁帐号。也可以设定一段时间内封锁该帐号，并且在到期后恢复该帐号。 (3) 限时网络访问的范围 Windows 2000缺省情况下允许每个人都可以从网上访问服务器，这是一个相当大的安全 漏洞。可以进入 Local Policies文件夹，选择User Rights Assignment文件夹来改变这个功能。 双击Access this computer from the network 图标，不要选择E v e r y o n e框中的 Local Policies，点 击A d d按钮，并选择Authenticated Users，然后点击A d d并点击O K按钮，将得到是否更新的提 示信息，然后选Ye s。 (4) 审计对服务器的登录 为了在安全事件日志文件中记录登录活动的信息，可以进入文件夹 Audit Policy，并改变 audit account logon events和audit logon events 的设置。应该对所有登录尝试，无论成功与否 都记录在日志文件中。这是一个很好的办法，能够了解对用户帐号进行的活动。 (5) 日志文件的覆盖间隔 第2 4章 服务器防护计计735 下载