基于NT/2000建立安全WEB站点的解决方案
前 言
用NT(2000)建立的WEB站点在所有的网站中占了很大一部分比例,但NT的安全问题也一直比较突出,使得一些每个基于NT的网站都有一种如履薄冰的感觉,然而微软并没有明确的坚决方案,只是推出了一个个补丁程序,各种安全文档上对于NT的安全描述零零碎碎,给人们的感觉是无所适从。于是,有的网管干脆什么措施也不采取,有的忙着下各种各样的补丁程序,有的在安装了防火墙以后就以为万事大吉了。这种现状直接导致了大量网站的NT安全性参差不齐。只有极少数NT网站有较高的安全性,大部分网站的安全性很差。为此,瑞星公司决心对NT主要漏洞予以搜集整理,同时,站在整体的高度,力图找出一套用NT建立安全站点的解决方案来,让用户放心使用NT(2000)建立WEB站点。
解决方案:(说明:本方案主要是针对建立Web站点的NT、2000服务器安全,对于局域网内的服务器并不合适。)
一、针对系统的安全方案:
1、全面的系统安全检测:开发人员的工作再次认真检查每一行代码,检查每个要提交到查询语句中的变量,看其是否已经过过滤,以确保系统中绝对没有一个SQL注入点。2、上传文件功能的的改进:
(1)
黑名单类型增加到26种,确保不可能直接上传这些文件。
(2)
对扩展名做了严格限制,只允许26个英文字母+10个数字,而主文件名是系统生成的,所以确保黑客不可能通过各种方式在上传过程中出现ASP之类的文件。
(3)
在利用动易系统上传文件后,系统会对当前上传目录进行扫描,一旦发现26个黑名单类型中的文件则立即删除。布下了最后一道不可能突破的关口(除了不用动易系统上传功能来上传文件)。
3、新增管理认证码功能:我们也考虑到了万一前台存在着SQL注入漏洞(一般是用户自己写的程序或其他程序存在的漏洞),让黑客通过注入漏洞得到了超级管理员密码或修改了超级管理员密码(SQL数据库),(如果只是得到管理员密码的MD5加密值,是没有多大用途的,除非管理员密码超级简单,可以被暴力破解,因为系统对cookie欺骗做了严格的防护),黑客也不能进入后台!因为改系统增加了一个新功能:管理认证码!启用管理认证码的方法:修改Manage/Admin_ChkCode.asp文件中的以下内容: Const EnableSiteManageCode = False '是否启用后台管理认证码,True为启用,False为不启用Const SiteManageCode = "BETUO"
'后台管理认证码 当您启用管理认证码功能后,管理员要进入后台时除了要输入用户名、密码、验证码外,还要输入管理认证码。这个管理认证码是存放在ASP文件(Manage/Admin_ChkCode.asp)中。除非攻击者拥有了FTP权限,或者已经得到了WebShell权限(即可以通过Web查看、修改、删除服务器上的文件),否则攻击者是不可能知道这个认证码的。
最后还需要注意的是:
1、
千万不要随意安装其他非系统官方开发的插件类程序。因为经过我们的检测,目前发布的插件等还没有一个做了严格的SQL注入防护工作的。安装目前发布的任何一个插件,都有可能让黑客轻而易举的通过插件程序来进入SQL注入攻击,从而得到管理员密码。
2、
自己开发的相关程序在还没有经过严格的安全检测前,千万不要放在网站中正式运行。许多朋友在改系统的基础上开发自己的程序时,只关注了功能可以实现,却没有对安全性、稳定性做应有的保护,导致安全漏洞几乎随处可见。不要以为没有公布的程序黑客就不知道漏洞所在。现在漏洞检测工具已经比较“智能”,只要提供文件名和提交给文件的URL参数,即可自动进行各种猜测与攻击。如果您没有在自己的程序中做好SQL注入防护,检测工具可以轻而易举的找出您程序中的漏洞。所以希望让专业的人士来写功能程序。
3、
正式运行的网站上千万不要随便安装过多的系统。目前网上各种系统鱼龙混杂。80%的系统并没有像百拓、动易动网等几个知名系统一样对安全性是如此重视,这些系统(包括许多相对比较知名的系统)在安全性上几乎都存在着严重的漏洞。不过因为使用的人相对比较少,黑客对此并不关注,所以公布的相对较少,但这并不意味着这些系统就是安全的。就拿商城系统来说,通过我们研究的10几个商城系统来看,每一个系统我们都可以轻而易举的找到其注入漏洞。多安装一个系统,就给您的网站多带来一份安全风险。网站上安装的多个系统中,只要有一个系统有安全漏洞,其他系统再安全也没有用。所以希望要增加系统的时候经过专业网络公司的全面检测。
4、
安全是一个系统工程。不仅仅是和您所使用的WEB程序有关,还和您的服务器的安全配置密切相关。拿我们系统来说,黑客几乎不可能通过系统来控制您的网站了,但攻击者还可以通过FTP、通过直接攻击服务器取得控制权等方式来控制您的服务器。
5、
如果不是自己的服务器,找空间时要尽量找大的主机商!一些小的主机商的技术与安全技术不够,配置的服务器的安全性令人担忧。将自己的网站放在安全性做得不够周全的服务器上,就算您使用的系统再安全也是没用。
6、
如果可能,尽量不要在服务器上放多个网站,或不要与别人共享同一台服务器。共享同一台服务器时,就算您的网站没有任何安全漏洞,但不能保证同一台服务器上的其他网站没有安全问题,如果其他网站有安全问题,那么您的网站也根本安全不起来。简单一点,现在的黑客完全可以通过旁注等方式黑掉您的站点。复杂一点,当黑客高手通过同一台服务器上的另一个网站的安全漏洞得到了服务器的控制权,您的网站还是落在了攻击者的掌控之中。
二、 针对服务器安装:
不论是NT还是2000,硬盘分区均为NTFS分区;
说明:
(1) NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。
(2) 建议最好一次性全部安装成NTFS分区,而不要先安装成FAT分区再转化为NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。
(3) 安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。
只安装一种操作系统;
说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。
安装成独立的域控制器(Stand Alone),选择工作组成员,不选择域;
说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。
将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\\WINNT改为其他目录;
说明:黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏。
安装操作系统最新的补丁程序,NT目前为SP6,2000目前为SP2;在NT下,如果安装了补丁程序,以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序, 2000下不需要这样做。
说明:
(1) 最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点;
(2) 安装NT的SP5、SP6有一个潜在威胁,就是一旦系统崩溃重装NT时,系统将不会认NTFS分区,原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS,这样会造成很多麻烦,建议同时做好数据备份工作。
(3) 安装Service Pack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份。
尽量不安装与WEB站点服务无关的软件;
说明:其他应用软件有可能存在黑客熟知的安全漏洞。
三、服务器 NT设置:
帐号策略:
(1)帐号尽可能少,且尽可能少用来登录;
说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。
(2)除过Administrator外,有必要再增加一个属于管理员组的帐号;
说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还
有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有
有机会重新在短期内取得控制权。
(3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限;
(4)将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊
循着一原则。
说明:这样可以为黑客攻击增加一层障碍。
(5)将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从
Guest组删掉;
说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提
升到管理员组。
(6)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上,
且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。
说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。
(7)口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);
(8)在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。
解除NetBios与TCP/IP协议的绑定
说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:NT:控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
删除所有的网络共享资源
说明:NT与2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。(卸载“Microsoft 网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时,将显示该选项。单击“卸载”按钮删除该组件;清除“Microsoft 网络的文件和打印机共享”复选框将不起作用。)
方法:
(1)NT:管理工具——服务器管理器——共享目录——停止共享;
2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享
但上述两种方法太麻烦,服务器每重启一次,管理员就必须停止一次
(2)修改注册表:
运行Regedit,然后修改注册表在HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters下增加一个键
Name: AutoShareServer
Type: REG_DWORD
Value: 0
然后重新启动您的服务器,磁盘分区共享去掉,但IPC共享仍存在,需每次重启后手工删除。
改NTFS的安全权限;
说明:NTFS下所有文件默认情况下对所有人(EveryOne)为完全控制权限,这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作,建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
系统启动的等待时间设置为0秒,控制面板->系统->启动/关闭,然后将列表显示的默认值“30”改为“0”。(或者在boot.ini里将TimeOut 的值改为0)
只开放必要的端口,关闭其余端口。
说明:缺省情况下,所有的端口对外开放,黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。
现将一些常用端口列表如下:
端口
协议
应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP协议
8(非端口) IP协议
加强日志审核;
说明:日志任何包括事件查看器中的应用、系统、安全日志,IIS中的WWW、SMTP、FTP日志、SQL SERVER日志等,从中可以看出某些攻击迹象,因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录,帐号审核可以从域用户管理器——规则——审核中选择指标;NTFS中对文件的审核从资源管理器中选取。要注意的一点是,只需选取你真正关心的指标就可以了,如果全选,则记录数目太大,反而不利于分析;另外太多对系统资源也是一种浪费。
加强数据备份;
说明:这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,而这往往是黑客们真正关心的东西;遗憾的是,不少网管在这一点上作的并不好,不是备份不完全,就是备份不及时。数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。
只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议;
说明:网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。
停掉没有用的服务,只保留与网站有关的服务和服务器某些必须的服务。
说明:有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机,如果确实没有用处建议禁止掉,同时也能节约一些系统资源。但要注意有些服务是操作系统必须的服务,建议在停掉前查阅帮助文档并首先在测试服务器上作一下测试。
隐藏上次登录用户名,修改注册表Winnt4.0:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\Current Version\\Winlogon 中增加DontDisplayLastUserName,将其值设为1。Windows2000中该项已经存在,只需将其值改为1。
说明:缺省情况下,上次登录的用户名会出现在登录框中,这就为黑客猜测口令提供了线索,最好的方式就是隐藏上次登录用户名。
不要起用IP转发功能,控制面板->网络->协议->TCP/IP协议->属性,使这个选框为空。(NT)
说明:缺省情况下,NT的IP转发功能是禁止的,但注意不要启用,否则它会具有路由作用,被黑客利用来对其他服务器进行攻击。
安装最新的MDAC(http://www.microsoft.com/data/download.htm)
说明:MDAC为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。注意:在安装最新版本前最好先做一下测试,因为有的数据访问方式或许在新版本中不再被支持,这种情况下可以通过修改注册表来档漏洞,祥见漏洞测试文档。
四、 IIS设置(包括IIS 4.0和IIS5.0)
只安装Optoin Pack中必须的服务,建议不要安装Index Server、FrontPage Server Extensions、示例WWW站点等功能(NT)。Windows 2000中作类似设置。
说明:IIS中的众多安全隐患是由一些其他的功能引起的,如果仅做一个WWW站点,就需要安装必须的服务,如WWW服务、FTP服务,这样减少黑客利用这些漏洞攻击的机会。
停止默认的FTP站点、默认的Web站点、管理Web站点,在新的目录下新建WWW服务与FTP服务。
说明:默认的站点与管理Web站点含有大量有安全漏洞的文件,极易给黑客造成攻击机会。具体漏洞见所附安全文档。因此,必须禁止。同时,应该在新的目录下建立服务,这个目录千万不要放在InetPub\\wwwroot下,最好放在与它不同的分区下。
删除不必要的IIS扩展名映射。最好去掉 .IDC、.HTR、.STM、.IDA、.HTW应用程序映射,.shtml、.shtm等如果无用,也应去掉。
说明:上述应用程序映射,具有大量安全隐患。方法:NT(2000同):Web站点——属性——主目录——配置——应用程序映射
安装新的Service Pack后,IIS的应用程序映射应重新设置。
说明:安装新的Service Pack后,某些应用程序映射又会出现,导致出现安全漏洞。这是管理员较易忽视的一点。
设置IP拒绝访问列表
说明:对于WWW服务,可以拒绝一些对站点有攻击嫌疑的地址;尤其对于FTP服务,如果只是自己公司上传文件,就可以只允许本公司的IP访问改FTP服务,这样,安全性大为提高。
禁止对FTP服务的匿名访问
说明:如果允许对FTP服务做匿名访问,该匿名帐户就有可能被利用来获取更多的信息,以致对系统造成危害。
建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)
说明:作为一个重要措施,既可以发现攻击的迹象,采取预防措施,也可以作为受攻击的一个证据。
慎重设置WEB站点目录的访问权限,一般情况下,不要给予目录以写入和允许目录浏览权限。只给予.ASP文件目录以脚本的权限,而不要给与执行权限。
说明:目录访问权限必须慎重设置,否则会被黑客利用。
五、 ASP编程安全:
安全不仅是网管的事,编程人员也必须在某些安全细节上注意,养成良好的安全习惯,否则,会给黑客造成可乘之机。目前,大多数网站上的ASP
程序有这样那样的安全漏洞,但如果写程序的时候注意的话,还是可以避免的。
涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP
文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限。
说明:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。因此要尽量减少它们在ASP
文件中的出现次数。出现次数多得用户名与口令可
5039 次浏览
1 条评论
收藏
