Yousri's Blog

    这两天接触微软的windows server 2003搭建web服务器，实在是一个头两个大，对于安全防范及配置方面可谓是从未琢磨过，一次次的尝试一次次的验证修改，感觉其实也不是很复杂吧，如果搞清楚思路后。。。。     根据“最小的权限+最少的服务=最大的安全”的原则    最小权限的设置：    使用NTFS系统文件格式，对每个硬盘根目录只给予administrator用户及system用户完全控制权限，并删除其他用户权限。    如：C:\Windows  Administrator、System完全控制权限;Users用户默认权限不修改删除其他用户         修改C:\Windows目录下相关可执行文件权限：    net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、cacls.exe、format.com、regsvr32.exe、xcopy.exe、wscript.exe、cscript.exe、ftp.exe、telnet.exe、arp.exe、edlin.exe、ping.exe、route.exe、finger.exe、posix.exe、rsh.exe、atsvc.exe、qbasic.exe、runonce.exe、syskey.exe    修改以上权限，删除所有用户只保留Adminstrators和system用户组完全控制权限     对于各个站点虚拟目录对应权限严格设置：        添加个站点或虚拟目录对应用户到GUESTS组        Administraotrs 完全控制        System 完全控制        ASP.NET 读取写入        NETWORK SERVICE 读取                    禁止建立空链接：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1] 禁止系统自动启动服务器共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0” 禁止系统自动启动管理共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0” 通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1” 本地安全策略配置:开始 > 程序 > 管理工具 > 本地安全策略账户策略 > [...]

    一大早上班就收到公司邮件：关于IE7浏览器安全漏洞问题 其内容大致： 微软IE7浏览器出现“0day”漏洞，可被利用来进行挂马攻击，目前攻击代码正在网上扩散，已有大量用户受到感染。昨天，瑞星和江民等国内多家知名反病毒机构同时向网民发出警报，黑客很可能利用这一最新漏洞，制作各种恶意网页，疯狂传播木马病毒。     其实在三天前12月9号的时候就有新闻消息出来，比较没那么影响力而已。。。 然后今天公司开始觉得其危害性严重性，所以很重视说要想方设法搞定出暂时的防御措施，其实个人觉得和几个同事都觉得也这东西也没必要搞得那么大动作，不过想想提前防御还是比较保障妥当的吧，何况也许跟公司性质不同也比较必要措施吧。这下问题就麻烦咯。。。主要是微软至今迟迟未见到有安全补丁发布。。。只好借助第三方工具。。。。十点多的时候收到老大的邮件并借助360安全卫士最新发布的补丁先预防下吧。。。。在此记录并分享下吧。。。有需要的可以参考下，个人是用不着就是  因为基本都是用firefox浏览器。 顺便鄙视下微软，越来越垃圾。。。还是支持开源，支持Linux 哈哈     几种临时解决办法：     1、机器上如果已经有360安全卫士，可以下载安装这个：http://dl.360safe.com/360fixmsxml.exe     2、放弃使用IE，改用 Firefox 或者chrome 或者safari 或者 opera     3、在IE安全设置中禁用JavaScript     4、我的电脑 -> 属性  -> 高级 -> 性能  -> 设置 -> 数据执行保护     5、下载 http://www.xfocus.net/tk/tkBHO.zip，解压缩。运行目录下的install.cmd完成安装。     6、下载安装畅游巡警 http://cy.sucop.com/SecPlugin_Setup.exe      7、江民IE70DAY漏洞补丁程序下载地址：http://filedown.jiangmin.com/KVIEXMLPatch.exe          也许在你看到此篇记录的时候微软补丁已经发布出来了就是，就当多了解学习下其实在微软发布漏洞补丁之前其实是已经有其他措施可以预防的吧。。。也许不能治本吧。。。  

发现这里太久没更新   故决定不耻的随便贴篇学习日记作为更新下。。。见笑啦。。。。 对于windows server 2003的安装就不必多费口舌，和安装普通的windows xp或vista 没啥两样，没有什么特别之处吧，不过注意C盘分区大小最好根据个人需要进行适当放大些 ~！ 关于IIS6.0安装也很简单，因为2003系统中就默认带有安装包，只需要打开控制面板–>添加与删除程序–>添加与删除windows组件–>应用程序服务器双击打开，勾选ASP.net及双击打开Internet信息服务下的万维网及FTP选项，到此最好也将添加删除组件下的microsoft .NET framework选项也勾选安装下，将会有需要的 即安装选项描述为 ： 添加与删除windows组件 | |—-Microsoft .NET framework2.0 | |—-应用程序服务器            |            |—ASP.NET            |            |—Internet信息服务                       |                       |—-万维网服务                       |                       |—-Ftp服务 接下来就是关键的IIS配置搭建，重点麻烦出现在合理配置磁盘权限和iis不安全组件 防范windows服务器 WEB SHELL,因为以前都未曾了解过关于windows server 2003 服务器安装完成后的安全强化设置，所以到后面再配置关于IIS站点对于磁盘权限控制设置的时候遇到了疑难未解的麻烦。自己直到后来google了解到后才回头做了相关的安全权限访问设置问题。 所以到此，先推荐一篇可能有点老但经典的文章：合理配置IIS站点对磁盘访问权限 关于IIS设置权限:http://www.yesadmin.com/308/83529/index.html "其实权限设置的基本思路是：1、要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一 的可以设置权限的身份。2、在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个 用户名。3、设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。 " 所以这里自己计划独立创建一个用户组用于存放为管理各个不同站点或虚拟目录而特地创建的用户，方便统一管理。 测试IIS默认安装是否能支持ASP&ASP.net程序的解析显示： 这里使用的是网上一个号称阿江ASP探针进行测试的。确实很方便而且显示功能也很完善，推荐测试环境可以使用。 最后自己同时安装几个常用ASP组件，也随便分享下： 一、LyfUpload 组件介绍、下载、安装、测试 [...]