服務(wù)器必須知道的幾個(gè)安全問題

基礎(chǔ)級(jí)的問題：

1.還在用fat32的磁盤格式做服務(wù)器

2.每個(gè)IIS的站點(diǎn)還沒有獨(dú)立用戶

3.硬盤上到處都是everyone完全控制

4.從來不去安裝windows update

以上4個(gè)的解決方法就不要說了，如果連這個(gè)都不懂，那就好好去進(jìn)修一下。

問題1.弱口令

很多管理員還沒有設(shè)置復(fù)雜口令的習(xí)慣，這個(gè)是相當(dāng)危險(xiǎn)的，因?yàn)殡S便什么掃描軟件都可以很輕易的找到你的遠(yuǎn)程端口是什么，然后找個(gè)暴力破解的軟件，如果密碼很簡(jiǎn)單，一個(gè)晚上就可以，之所以這個(gè)是基本工，不要為了遠(yuǎn)程登陸方便而少設(shè)置簡(jiǎn)單的密碼，您至少要設(shè)置12位以上的密碼別怕你的密碼會(huì)太長(zhǎng)，因?yàn)?000系統(tǒng)支持長(zhǎng)達(dá)128位的密碼。

問題2.默認(rèn)共享

也就是常說的$ipc漏洞，其實(shí)也不是漏洞，這個(gè)是2000強(qiáng)大功能的體現(xiàn)之一。

基本思路是用net命令和服務(wù)器建立連接(當(dāng)然建立之前也要有管理員的密碼，所以弱口令的機(jī)器會(huì)很容易中招)，然后就可以在服務(wù)器上執(zhí)行任意程序了。

不管你的口令弱不弱，相信你肯定不會(huì)這樣去管理你的服務(wù)器，所以徹底的辦法是刪除共享，如何刪除默認(rèn)共享，以前介紹過很多，有一個(gè)最好最簡(jiǎn)單的辦法是禁用server服務(wù)。

把關(guān)聯(lián)的Computer Browser和Distributed File System也一起禁止用吧，反正你也用不到。

問題3.危險(xiǎn)組件

下面5個(gè)組件是windows自帶的，但是因?yàn)檫^于強(qiáng)大，所以稍微不小心就會(huì)產(chǎn)生漏洞FSO、XML、WScript.Shell、Shell.application、WScript.Network作為虛擬主機(jī)，F(xiàn)SO和XML都肯定用到，不然你的虛擬主機(jī)連個(gè)論壇都不能放，估計(jì)你的空間肯定會(huì)賣不出去,呵呵。如果獨(dú)立主機(jī)，您確信用不到這2個(gè)組件那就卸掉他，尤其是FSO組件。

卸載FSO組件的方法：regsvr32/u c:winntsystem32scrrun. dll WScript.Shell、Shell.application、WScript.Network這3個(gè)幾乎用不到，主要危害是通過asp可以運(yùn)行exe文件和修改注冊(cè)表，幾乎所有的asp木馬都用這幾個(gè)組件，而正常的asp程序卻都用不到，所以干脆刪除吧，不過WScript.Shell會(huì)被一部分主機(jī)管理程序用到，也有的打包程序也會(huì)用到，你最好先確認(rèn)一下再刪除。

方法：

卸載WScript.Shell和WScript.Network組件：regsvr32/u c:winntsystem32wshom.ocx

卸載Shell.application組件：regsvr32/uc: winntsystem32shell32.dll

順便說一下，對(duì)于DLL文件關(guān)聯(lián)的組件，如果你想讓部分用戶用，只要單獨(dú)設(shè)置一下對(duì)應(yīng)DLL文件的權(quán)限就可以。比如你只想給某幾個(gè)用戶只用FSO，那么只要單獨(dú)設(shè)置一下scrrun.dll的權(quán)限，給需要的人讀取及運(yùn)行。

問題4.默認(rèn)windows權(quán)限

這個(gè)問題比較復(fù)雜，但確實(shí)默認(rèn)windows目錄的安全設(shè)置權(quán)限有點(diǎn)過大，按照以下簡(jiǎn)單修改一下吧。

c盤根目錄只有administrators和system完全

C:Program FilesCommon Files administrators和system完全，everyone讀取和運(yùn)行

C:Program Files其他目錄只有administrators和system完全

如果你有asp組件安裝在這個(gè)目錄下，那么組件目錄也需要everyone讀取和運(yùn)行c:winnt所有文件(目錄下的文件，不包括子目錄)只有administrators和system完全c: winntsystem32dllhost.exe administrators和system完全，everyone讀取和運(yùn)行c:winntsystem32其他exe和com文件(目錄下的文件，不包括子目錄)只有administrators和system完全

上面的權(quán)限可以設(shè)置的很細(xì)，甚至精確到每個(gè)文件為止，不過一般這樣設(shè)置了也就可以了。

如果你不是虛擬主機(jī)服務(wù)器，裝了其他的軟件，建議你確認(rèn)好以后再動(dòng)手，也許會(huì)導(dǎo)致其他軟件運(yùn)行有問題。

問題5.cgi和PHP

CGI和PHP有自己的漏洞和SHELL，因?yàn)镃GI和PHP本身以執(zhí)行EXE文件為基礎(chǔ)，所以如果產(chǎn)生漏洞的話問題會(huì)比ASP嚴(yán)重一點(diǎn)。如果你對(duì)CGI和PHP不懂，簡(jiǎn)單一句話：你的服務(wù)器就別裝了這2個(gè)了，至少我認(rèn)為服務(wù)器應(yīng)該最小的安裝=最大的安全，能不裝的都別裝。

問題6.asp可以列出服務(wù)器進(jìn)程和用戶

這個(gè)雖然不是什么直接涉及安全的問題，但讓人家看到你的服務(wù)器有什么進(jìn)程在運(yùn)行、有什么用戶和組總不是好事情，何況現(xiàn)在密碼喜歡用123456的人還真不少，所以也設(shè)置一下吧。

最簡(jiǎn)單的辦法是禁用Workstation服務(wù)

問題7.SQL的問題

SQL實(shí)在太強(qiáng)大，默認(rèn)的SA帳號(hào)更是無所不能，但是SA帳號(hào)的名稱卻是不能修改的，所以無論無何SA的密碼一定要設(shè)置的足夠強(qiáng)壯，最好是把能用的字符都用上。

另外把也建議把SQL普通用戶的備份權(quán)限取消，不然SQL的cmdshell也會(huì)出亂子。

問題8.SERV-U

從4.0開始發(fā)現(xiàn)漏洞到現(xiàn)在的這2年，serv-u一直在升級(jí)，到6.0.0.2以后，還是一直沒徹底解決問題，一直有辦法提升權(quán)限，真是郁悶。所以請(qǐng)所有使用serv-u的用戶務(wù)必加倍留意。

既然他很不安全，最好解決的方式就是不用serv-u。

如果你的站點(diǎn)是手工開設(shè)的，或者單機(jī)的用戶很少，那么就用IIS自帶的FTP吧，這東西雖然功能很少，但是還是比較強(qiáng)壯的，如果不知道怎么設(shè)，就去看看windows幫助。很多人不知道自帶FTP多個(gè)用戶該怎么去建，這里說一下基本方法。

先建一個(gè)FTP站點(diǎn)，隨便指向一個(gè)主目錄，然后每個(gè)用戶設(shè)置一個(gè)虛擬目錄，虛擬目錄的名稱要和用戶名稱想同，這樣他會(huì)自動(dòng)轉(zhuǎn)到這個(gè)用戶的目錄去訪問，當(dāng)然你得設(shè)置好各種權(quán)限。如果想限制用戶上傳大小，那么只能通過NTFS的磁盤配額來解決，其他功能就少的可憐了，多看windows幫助吧。

如果你非用SERV-U不可，那么可以按照以下方式設(shè)置會(huì)安全許多。

SERV-U有2個(gè)主要的漏洞，一個(gè)叫權(quán)限提升一個(gè)叫溢出。

權(quán)限提升：SERV-U有個(gè)內(nèi)置的本地管理員帳號(hào)，侵入者運(yùn)行提升工具能提高用戶的權(quán)限。

解決方法是用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成其他其它長(zhǎng)度想等的字符就可以了，ServUAdmin.exe也一樣處理。

特別要注意的是Serv-U所在的文件夾的權(quán)限，不要讓普通用戶有讀取這2個(gè)文件的權(quán)限，否則人家下載你修改過的文件，照樣可以很容易分析出你的管理員名和密碼，所以修改以后還需要設(shè)置serv-u目錄只給administrators和system帳號(hào)訪問。

溢出：侵入者先取得其中一個(gè)FTP帳號(hào)，然后運(yùn)行溢出工具，成功以后可以取得serv-u服務(wù)運(yùn)行的帳號(hào)，而默認(rèn)serv-u服務(wù)是以system身份運(yùn)行，具有完全控制服務(wù)器的權(quán)限。

現(xiàn)在最新的6.0以上版本已經(jīng)解決這個(gè)問題了，請(qǐng)務(wù)必升到最近的版本。

為了更安全，還是有必要做進(jìn)一步的防范，把默認(rèn)的serv-u服務(wù)帳號(hào)修改掉。

新建一個(gè)用戶，然后把serv-u的服務(wù)改成此用戶的身份運(yùn)行，當(dāng)然serv-u和用戶的web目錄也需要給這個(gè)用戶一定權(quán)限，詳細(xì)設(shè)置網(wǎng)上介紹比較多，可以自己找一下資料。

問題9.其他的防御措施

天外有天，就算你設(shè)置的再好，也可能會(huì)被入侵，因?yàn)樾碌穆┒纯偸遣粩啾话l(fā)現(xiàn)，而你總不可能是第一個(gè)知道的人。

所以你對(duì)你的設(shè)置不能太放心，應(yīng)該考慮適當(dāng)做以下一些事情。

關(guān)閉不用的端口，或者說是只開放必須的端口，這個(gè)不再詳細(xì)說明。

安裝殺毒軟件，比如Mcafee和諾頓，但是不推薦國(guó)內(nèi)的殺毒軟件，效果差、占資源大，和國(guó)外一流軟件確實(shí)沒辦法比優(yōu)秀的殺毒軟件帶的按照訪問掃描功能一般都很好用，他能對(duì)運(yùn)行的文件自動(dòng)進(jìn)行殺毒，那些黑客工具一般都能在運(yùn)行前殺掉，這樣會(huì)安全許多。

不過要注意的是，不是裝越多越好一個(gè)就夠了，不然會(huì)造成系統(tǒng)混亂。另外就是殺毒軟件會(huì)對(duì)運(yùn)行速度產(chǎn)生一定影響。

經(jīng)常備份數(shù)據(jù)，作為一個(gè)合格的管理員，應(yīng)該備份備份再備份，毫無疑問這個(gè)才是最安全的措施。

（王宇）