【正文】 LS，為 Web Service申請一個證書 ? Web Server往往是網(wǎng)絡(luò)攻擊的入口點 ? 開放盡可能少的端口和一些目錄 ? 增強(qiáng)防火墻對 Web Server的保護(hù) 銀長城 CISP培訓(xùn)系列 WEB安全性的綜合策略 (2) ? 及時打上 Web Server軟件廠商提供的補(bǔ)丁程序 ? 特別是一些主流的服務(wù)軟件，比如 MS的 IIS ? 控制目錄和文件的權(quán)限 ? Web應(yīng)用開發(fā)人員注意 ? 在服務(wù)端的運行代碼中，對于來自客戶端的輸入一定要進(jìn)行驗證 ? 防止緩沖區(qū)溢出 銀長城 CISP培訓(xùn)系列 Netbios的安全設(shè)置 ?WIN2K 取消綁定文件和共享綁定 ? 打開 控制面板－網(wǎng)絡(luò)－高級－高級設(shè)置 ? 選擇網(wǎng)卡并且將 Microsoft 網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消 ?WinNT ? 在 WindowsNT下取消 NetBIOS與 TCP/IP協(xié)議的綁定?？梢园慈缦虏襟E進(jìn)行： ? 點擊“控制面板 網(wǎng)絡(luò) NetBIOS接口 WINS客戶（ TCP/IP)禁用”，再點“確定”，然后重啟。 ? 可以完全禁止 tcp 139 和 445 ? 這樣 NT的計算機(jī)名和工作組名也隱藏了。 銀長城 CISP培訓(xùn)系列 Netbios的安全設(shè)置 ? 禁止匿名連接列舉帳戶名需要對注冊表做以下修改。 （警告：不正確地修改注冊表會導(dǎo)致嚴(yán)重的系統(tǒng)錯誤，請慎重行事！） 1．運行注冊表編輯器（ ）。 2．定位在注冊表中的下列鍵上：HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA 3．在編輯菜單欄中選取加一個鍵值： Value Name:RestrictAnonymous Data Type:REG_DWORD Value:1（ Windows2022下為 2） 4． 退出注冊表編輯器并重啟計算機(jī)，使改動生效。 銀長城 CISP培訓(xùn)系列 Netbios的安全設(shè)置 ? win2022的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項 RestrictAnonymous（匿名連接的額外限制），這個選項有三個值： ? 0： None. Rely on default permissions（無，取決于默認(rèn)的權(quán)限） ? 1： Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享） ? 2： No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問） 0這個值是系統(tǒng)默認(rèn)的，什么限制都沒有，遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表 (NetServerTransportEnum等等，對服務(wù)器來說這樣的設(shè)置非常危險。 1這個值是只允許非 NULL用戶存取 SAM賬號信息和共享信息。 2這個值是在 win2022中才支持的。 銀長城 CISP培訓(xùn)系列 文件系統(tǒng)安全 ? WFP的英文全稱是 Windows File Protection，即Windows文件保護(hù)。它的主要功能是防止系統(tǒng)文件被不匹配的版本替換或是覆蓋。在安裝新應(yīng)用程序時，由于不經(jīng)意間采用了過時的 dll（動態(tài)鏈接庫）文件最容易使系統(tǒng)文件遭到破壞。 ?微軟把 Windows 2022安裝光盤上的所有 dll、 exe、 fon、ocx、 sys、和 tff結(jié)尾的文件都加以保護(hù)）。 ?備份在 %SYSTEMROOT%/system32/dllcache 文件夾下。 銀長城 CISP培訓(xùn)系列 文件系統(tǒng)安全 ? 目錄和文件權(quán)限： 為了控制好服務(wù)器上用戶的權(quán)限，同時也為了預(yù)防以后可能的入侵和溢出，必須非常小心地設(shè)置目錄和文件的訪問權(quán)限，在默認(rèn)的情況下，大多數(shù)的文件夾（包括所有的根目錄）對所有用戶（ Everyone這個組）是完全敞開的（ Full Control），需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。 在進(jìn)行權(quán)限控制時，請記住以下幾個原則： 1限是累計的：如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權(quán)限； 2拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會先執(zhí)行）如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個資源。所以請非常小心地使用拒絕，任何一個不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無法正常運行； 3文件權(quán)限比文件夾權(quán)限高 4僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障； 銀長城 CISP培訓(xùn)系列 文件系統(tǒng)安全 ? 將下列可執(zhí)行文件放到一個新建的目錄 D:\XXX下 (重命名為 ） ? 將此目錄進(jìn)行權(quán)限設(shè)置 ? 刪除系統(tǒng)中的如下可執(zhí)行文件 銀長城 CISP培訓(xùn)系列 安全日志 ? Windows的默認(rèn)安裝是不開安全審核。 ? Windows2022下 本地安全策略 審核策略中打開相應(yīng)的審核 推薦的審核是： 賬戶管理 成功 失敗 登錄事件 成功 失敗 對象訪問 失敗 策略更改 成功 失敗 特權(quán)使用 失敗 系統(tǒng)事件 成功 失敗 目錄服務(wù)訪問 失敗 賬戶登錄事件 成功 失敗 銀長城 CISP培訓(xùn)系列 安全日志 ? WindowsNT下 ? 程序 ?管理工具 ?域用戶管理器 ?規(guī)則 ?審核 ? 謹(jǐn)慎打開“進(jìn)程追蹤”，否則大量的日志信息反而可能使審核困難 ? 文件及對象訪問”必須同時在“文件屬性”的“審核”設(shè)置審核的事件 銀長城 CISP培訓(xùn)系列 安全日志 銀長城 CISP培訓(xùn)系列 其他的安全設(shè)置 ? 關(guān)閉自動打開的管理共享 ? HKEY_LOCAL_MACHINE ? \System\CurrentControlSet\Services\LanmanServer\Parameters ? 鍵值 AutoShareServer ? 類型 REG_DWORD ? 數(shù)據(jù) 0 ? 不顯示最后登錄用戶姓名 ? HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon ? 增添鍵值 DontDisplayLastUserName ? 類型 REG_SZ ? 數(shù)值 1 銀長城 CISP培訓(xùn)系列 安全工具 ?FPORT ? 系統(tǒng)自帶 stat查看機(jī)器開放的端口，也可以任務(wù)管理器來查看當(dāng)前機(jī)器的進(jìn)程，但是這兩個東西都有自身的缺點，由于 stat由于設(shè)計的原因很多開放的端口無法查出，而使用任務(wù)管理器的時候只能查看到進(jìn)程的名字，如果一個惡意的攻擊者把木馬命名為 ,，這樣就能很好麻痹一些管理員，由于這些文件可能在一臺 web服務(wù)器上存在多個進(jìn)程，然后給這個木馬定義一個很象 RPC的端口，不仔細(xì)查真的很難查找得到， FPORT就彌補(bǔ)了 stat和taskbar的不足 ? 該軟件可以得到所有端口對應(yīng)的文件有完整的路徑名，可以避免有些木馬程序使用系統(tǒng)服務(wù)的文件名，而將其放在非系統(tǒng)目錄，無法在 Task Manager里察覺，這個時候 FPort的優(yōu)勢就體現(xiàn)出來了 ? 下載地址： 銀長城 CISP培訓(xùn)系列 安全工具 ? fport運行示例： ? Pid Process Port Proto Path ? 400 svchost 135 TCP C:\WINNT\system32\ ? 8 System 139 TCP ? 8 System 445 TCP ? 8 System 1028 TCP ? 872 rsvp 1047 TCP C:\WINNT\System32\ ? 624 WinMgmt 1048 TCP C:\WINNT\System32\WBEM\ ? 624 WinMgmt 1049 TCP C:\WINNT\System32\WBEM\ ? 540 iinfo 1054 TCP C:\WINNT\System32\isrv\ ? 1616 msdtc 2692 TCP C:\WINNT\System32\ ? 1616 msdtc 3372 TCP C:\WINNT\System32\ ? 8 System 3778 TCP ? 400 svchost 135 UDP C:\WINNT\system32\ ? 8 System 137 UDP ? 8 System 138 UDP ? 8 System 445 UDP ? 256 lsass 500 UDP C:\WINNT\system32\ ? 244 services 1029 UDP C:\WINNT\system32\ ? 540 iinfo 3456 UDP C:\WINNT\System32\isrv\ 銀長城 CISP培訓(xùn)系列 安全工具 ? IIS Lockdown ? 微軟設(shè)計發(fā)布的幫助管理員們設(shè)置 IIS安全性的工具。 ? IIS Lock Tool具有以下功能和特點： ? 幫助管理員設(shè)置 IIS安全性； ? 此工具可以在 IIS4和 IIS5上使用； ? 幫助管理員去掉對本網(wǎng)站不必要的一些服務(wù)，使 IIS在滿足本網(wǎng)站需求的情況下運行最少的服務(wù) ?下載地址 ? aseID=33961 銀長城 CISP培訓(xùn)系列 安全工具 銀長城 CISP培訓(xùn)系列 安全工具 ?基于主機(jī)的入侵檢測系統(tǒng) ?安全評估軟件 ?單機(jī)版的防火墻 ?日志分析和審計軟件 ?數(shù)據(jù)備份軟件 ?… … 銀長城 CISP培訓(xùn)系列 長期的系統(tǒng)維護(hù) ?時刻注意安全漏洞和補(bǔ)丁發(fā)布 ?定期分析日志系統(tǒng)，發(fā)現(xiàn)潛在攻擊 ?注意賬號和口令的安全問題 ?注意觀察系統(tǒng)異常 ?定期根據(jù) checklist進(jìn)行安全檢查 ?管理員，才是關(guān)鍵 ! 銀長城 CISP培訓(xùn)系列 推薦的幾個安全站點 ? ? ? ? ? ? ? ?