【正文】 向 MOM 控制臺提供報告的客戶端應(yīng)用程序）之間存在大量的交互過程。其它管理軟件可能也具有類似的需求。如果需要更高級別的安全性，則可以配置 OnePoint 客戶端的過濾操作，從而協(xié)調(diào) IPSec 和 MOM 服務(wù)器。 該 IPSec 策略將有效地阻止通過任意一個高端口的通信，因此它不允許遠程過程調(diào)用 (RPC) 通信。這可能會使得服務(wù)器的管理非常困難。由于已經(jīng)關(guān)閉了許多端口，可以啟用終端服務(wù)。這樣一來，管理員便可以執(zhí)行遠程管理。上面的網(wǎng)絡(luò)通信圖假設(shè)環(huán)境中包含啟用了 Active Directory 的 DNS 服務(wù)器。如果使用獨立的 DNS 服務(wù)器，則可能需要其他規(guī)則。IPSec 策略的執(zhí)行應(yīng)該不會對服務(wù)器的性能有明顯影響。但是，在執(zhí)行這些過濾器之前必須進行測試，以核實服務(wù)器保持了必要的功能和性能。可能還需要添加一些附加規(guī)則以支持其它應(yīng)用程序。 IIS 安全加強最佳實踐 通用最佳安全實踐l 用最低權(quán)限的用戶登錄用不在Administrators組的用戶登錄，然后運行IIS Manager。l 減少攻擊面關(guān)閉所有不需要的服務(wù)，例如NNTP，SMTP等。如果某服務(wù)被關(guān)閉了，也就不需要加強它了。l 禁止從不信任的網(wǎng)站下載軟件陌生的網(wǎng)站上的軟件常常含有黑客程序或木馬程序。l 保持防病毒軟件的病毒庫為最新l 保持所有軟件為最新n IIS 的進程模型包括進程回收，這使得管理員可以在不停止服務(wù)的情況下安裝新的補丁。n Auto Update 對最終用戶提供三種模式：通知有最新的更新；下載最新更新然后通知；定期自動安裝。l 使用NTFS文件系統(tǒng)NTFS文件系統(tǒng)比FAT和FAT32有更高的安全性。給資源分配強的NTFS存取限制l 避免與域控制器沖突如果使用域控制器，應(yīng)該避免安全措施與域控制器沖突 IIS最佳安全實踐l 嚴格限制分配給IUSR_systemname帳戶的寫權(quán)限運行在服務(wù)器上的許多應(yīng)用程序都調(diào)用IUSR（互聯(lián)網(wǎng)用戶）帳戶，代表未經(jīng)許可的網(wǎng)絡(luò)用戶與系統(tǒng)進行交互。這實際上限制了這個帳戶對服務(wù)器必需的操作的權(quán)限。l 將可執(zhí)行文件存放在不同的目錄這種方式使得管理員分配權(quán)限和審計更加容易。l 為所有匿名用戶創(chuàng)建一個專用用戶組創(chuàng)建這個組后，可以方便地對所有的匿名用戶限制存取某些資源。l 取消所有匿名用戶對Windows目錄（包括子目錄）下可執(zhí)行文件的執(zhí)行權(quán)限l 如果對IIS進行遠程管理，則使用IP地址限制l 分配權(quán)限時盡可能有所限制例如，如果網(wǎng)站只提供瀏覽信息，則只分配Read權(quán)限。如果一個站點或一個目錄包含應(yīng)用程序，則不分配Scripts and Executables權(quán)限，而分配Scripts Only許可。l 禁止分配Write and Script source access權(quán)限，以及Scripts and Executables 權(quán)限分配這些組合權(quán)限時要非常小心，因為它允許用戶上載有害的可執(zhí)行程序到服務(wù)器上并執(zhí)行。l 對所有的基于WMI的遠程管理腳本進行加密l 確保Web服務(wù)器上的VeriSign Root CA是最新的檢查過期日期，有必要時更新VeriSign Root CA。新的VeriSign Root CA有如下屬性： Issued to: (c)97 VeriSign Issued by: Class 3 Public Primary Certification Authority Valid from: 4/16/97 to 10/24/114 WuFTP的安全配置WuFTP（Washington University FTP）是由美國華盛頓大學(xué)開發(fā)的的FTP軟件，是UNIX和Linux平臺上使用最廣發(fā)的FTP服務(wù)器軟件。它功能強大，配置較復(fù)雜，由于開發(fā)時間較早，應(yīng)用十分廣泛，也因此成為黑客們主要的攻擊目標。WuFTP的早期各級版本不斷出現(xiàn)安全漏洞，系統(tǒng)管理員不得不因安全因素而經(jīng)常對其進行升級。關(guān)于WU－FTP版本安全性的問題報道很多，特別是在INTERNET上，其早期版本的漏洞主要有兩個。一、代碼根中的一個競爭條件允許用戶以根方式登錄；二、SITE EXEC允許用戶以根方式執(zhí)行命令。還有一個潛在的安全漏洞是/etc/passwd文件的存在，而用戶一旦獲得了passwd文件就可以對其條目進行crack。對于WU－FTP較新的版本,如WU－FTP ,也存在問題。當然延遲PASS命令問題,即在USER和PASS之間插入一個CWD/命令,可以獲得根訪問權(quán)。為了增強WuFTP的安全性，應(yīng)該使用最新版本的WuFTP，并可以對其作以下設(shè)置。 禁止匿名登錄修改/etc/ftpaccess 檔案，禁止匿名用戶登錄。以下是 ftpaccess 文件的范例： /etc/ftpaccess class all real,guest * loginfails 3 readme README* login readme README* cwd=* message / login message .message cwd=* press yes alltar yes all chmod no guest delete no guest overwrite no guest rename no guest log transfers anonymous,real inbound, outbound shutdown /etc/shutmsgpasswdcheck rfc822 warn guestgroup FTPgroup greeting full 新增用戶首先建立一個特別的用戶組，可以將所有的FTP用戶放在這個組內(nèi)。例如 FTPgroup。 groupadd FTPgroup現(xiàn)在可以新增一些用戶： adduser g FTPgroup username passwd username確定將 bin, etc 和 lib 及當中的文件由 /home/ftp 或 /var/ftp 復(fù)制至用戶的home目錄?？墒褂胏p R 指令如下： cp R /var/ftp/pub /home/username在 pub 目錄建立一個叫 Download 和 Upload 的目錄，讓用戶上載及下載文件。 mkdir /home/username/pub/download mkdir /home/username/pub/upload確定在這些剛建立的目錄上設(shè)定權(quán)限和擁有權(quán)。 chown username:FTPgroup upload download chmod 500 /home/username/pub/download chmod 700 /home/username/pub/upload這樣，用戶在上載目錄便有讀取/寫入權(quán)限，而下載目錄就有讀取權(quán)限。 讓用戶只能訪問自身的home目錄要讓用戶只能訪問自身的home目錄，需要在 ftpaccess 配置文件新增一個 guestgroup FTPgroup 。在 /etc/ftpacces中加入： guestgroup FTPgroup. 不能存取 shell如果選擇拒絕讓用戶通過 telnet 或 ssh 存取 shell，需要做的就是建立一個假的 shell，改名為NoAccess ，并將它放在 /etc/目錄下。 touch /etc/NoAccess用vi等編輯器打開文件，加上類似以下的東西：/etc/NoAccess !/bin/sh echo Shell Access denied! echo echo You don39。t have a valid login for this server exit 0保存文件并將其屬性改為可以執(zhí)行： chmod +x /etc/NoAccess.完成后，修改/etc/shells文件，并加入剛建立的 shell。/ etc/shells 檔案如下： /etc/shells /bin/bash2 /bin/bash /bin/sh /bin/ash /bin/bsh /bin/tcsh /etc/NoAccess修改 /etc/passwd ，將用戶的shell改為NoAccess。記錄會類似下列這樣： username:x:100:100::/home/username:/bin/bash將 /bin/bash 改為 /etc/NoAccess 便可?，F(xiàn)在可以手動新增用戶，可用以下指令將用戶新增至適當?shù)?shell： adduser g FTPgroup s /etc/NoAcces username 確定wuftpd是否存在SITE EXEC安全漏洞在某些發(fā)行版本（比如slackware）上的wuftpd有SITE EXEC安全漏洞，SITE EXEC允許用戶以根方式執(zhí)行命令，顯然這是非常危險的。確定正在運行的這個wuftpd有沒有這個漏洞的方法是：以非匿名用戶ftp登錄，然后執(zhí)行：ftpSITE EXEC bash c id如果返回的信息中有39。200uid=0(root) gid=0(root)39。那么就有這個漏洞，要馬上更換。5 安全檢查列表l 確保操作系統(tǒng)裝上最新的服務(wù)包和最新的補丁。l 為Web內(nèi)容使用隔離的NTFS區(qū)。l 刪除不使用的Windows組件。l 鎖定COM和數(shù)據(jù)庫組件。l 禁用默認值和范例目錄。l 運行IIS Lockdown Wizard，安裝URLScan。l 設(shè)置主WWW屬性，使新的Web站點有安全的默認設(shè)置。l 禁用或確保WebDAV和FrontPage Server Extensions的安全。l 在IIS日志里記錄每個可利用的領(lǐng)域。l 根據(jù)類型，分割和保護內(nèi)容。l 使用合適的授權(quán)方法。