|
|
楼主 |
发表于 2008-1-5 00:31:00
|
显示全部楼层
Windows服务器终极安全设置与优化指南(二)
快捷模式:此设置模式关闭了IIS的一些高级服务属性,其中包括动态网页属性(ASP);所以,我们需要再重复一遍,选择快捷模式只适合提供静态页面的网站,当然,这种模式是相对最安全的。
k: @2 ], B) `* I) ]6 R. j7 {0 Y 高级模式:此模式运行安装者自定义各种属性,同时允许高级属性的运行。
6 G+ G2 d# U; f
+ q, G% P( c! v% C' O% ? 快捷模式设置我们不必介绍,点击【下一步】按钮就可以设置完成。我们选择【Advanced Lockdown】(高级设置),点击【下一步】按钮,8 o* i2 | ~7 a4 K3 \, F
以上界面帮助管理员设置各种脚本映射,我们来看每一种影射应该怎样设置:
8 W* }. _; M3 V+ i, n) g: P% ^+ s9 V4 T
1)Disable support Active Server Pages(ASP),选择这种设置将使IIS不支持ASP功能;可以根据网站具体情况选择,一般不选择此项,因为网站一般要求运行ASP程序;
8 _7 Q2 O: V, K7 s: \
8 M" d8 v( z1 Y6 T: }% \ 2)Disable support Index Server Web Interface(.idq,.htw,.ida),选择这一项将不支持索引服务,具体就是不支持.idq,.htw,.ida这些文件。我们先来看看到底什么是索引服务,然后来决定取舍。索引服务是IIS4中包含的内容索引引擎。你可以对它进行ADO调用并搜索你的站点,它为你提供了一个很好的web 搜索引擎。如果你的网站没有利用索引服务对网站进行全文检索,也就可以取消网站的这个功能,取消的好处是:1)减轻系统负担;2)有效防止利用索引服务漏洞的病毒和黑客,因为索引服务器漏洞可能使攻击者控制网站服务器,同时,暴露网页文件在服务器上的物理位置(利用.ida、.idq)。因此,我们一般建议在这一项前面打勾,也就是取消索引服务;
3 Z; |. t% v$ q6 z4 d/ D* y1 X7 G+ L- \& ]
3) Disable support for Server Side Includes(.shtml,.shtm,.stm),取消服务器端包含;先来看看什么叫服务器端包含,SSI就是HTML文件中,可以通过注释行调用的命令或指针。SSI 具有强大的功能,只要使用一条简单的SSI 命令就可以实现整个网站的内容更新,动态显示时间和日期,以及执行shell和CGI脚本程序等复杂的功能。一般而言,我们没有用到这个功能,所以,建议取消;取消可以防止一些IIS潜在地漏洞;
1 F' G% k. x2 m; G5 K; ?# c8 i
5 Y9 r" S2 \+ J0 O3 Z 4)Disable for Internet Data Connector(.idc),取消 Internet数据库连接;先看Internet数据库连接的作用,它允许HTML页面和后台数据库建立连接,实现动态页面。需要注意的是,IIS4和 IIS5中基本已经不使用idc,所以,建议在此项打勾,取消idc;( n Y: _( u2 n" c7 ~ l
0 q& K$ P! T; w1 W3 Y% k6 y7 S
5) Disable support for Internet Printing (.printer),取消Internet打印;这一功能我们一般没有使用,建议取消;取消的好处是可以避免.printer远程缓存溢出漏洞,这个漏洞使攻击者可以利用这个漏洞远程入侵IIS 服务器,并以系统管理员 (system)身份执行任意命令;) j/ b0 C" J- \ N6 h, }1 t- l2 w* d
' v) g: o2 ?8 C( W1 E2 k, `
6)Disable support for .HTR s cripting(.htr),取消htr映射;攻击者通过htr构造特殊的URL请求,可能导致网站部分文件源代码暴露(包括ASP),建议在此项前面打勾,取消映射;
9 m8 F; A2 Q; `" m
- v/ }1 w- }9 X/ i, ?- ~$ f9 O" U 理解以上各项设置以后,我们可以根据本网站情况来决定取舍,一般网站除了ASP要求保留以外,其他均可以取消,也就是全消第一项前面的勾,其他全部打勾,按【下一步】按钮,出现以下界面
, B+ F9 W8 `6 b. _ 以上界面设置可以让管理员选择一些IIS默认安装文件的保留与否,我们来看怎样选择:
1 [8 H9 z1 H* p4 Y. E' G, }! v/ X9 d4 f: `, X) \
1)Remove sample web files,删除web例子文件;建议删除,因为一般我们不需要在服务器上阅读这些文件,而且,这些文件可能让攻击者利用来阅读部分网页源程序代码(包括ASP);' p8 B3 g% C, c g. f: J2 o. W
; s7 |; x" j- d$ m' ?
2)Remove the s cripts vitual directory,删除脚本虚拟目录;建议删除;
9 w0 z/ X4 V% x" N+ S, ]( K
/ T3 `: h0 v) h9 j: D o0 ` 3)Remove the MSDAC virtual directory,删除MSDAC虚拟目录,建议删除;
" f+ \0 T9 f+ J9 G. K% M6 V' }$ C" C o8 ^1 W2 `
4)Disable Distribauted Authoring and Versioning(WebDAV),删除WEBDAV,WebDav 主要允许管理者远程编写和修改页面,一般我们不会用到,建议删除,删除的好处是可以避免IIS5的一个WebDav漏洞,该漏洞可能导致服务器停止。
. U9 ]) D6 Q" i W3 s) O# F+ l8 G8 R" h% q. e/ }
5) Set file permissions to prevent the IIS anouymous user from executing system utilities (such as cmd.exe,tftp.exe),防止匿名用户运行可执行文件,比如cmd.exe和tftp.exe;建议选择此项,因为红色代码和尼姆达均利用了以上所说的匿名执行可执行文件的功能;$ T) b' K4 a( O! a/ t
- R% ^8 a& s3 F, y: S
6)Set file permissions to prevent the IIS anouymous user from writing to content directories,防止匿名用户对目录具有写权限,这个不要解释,建议选择;
( J2 z6 N1 i1 v7 V( I9 i& C' H# j( Z* A) ]
设置以上选项以后,按【下一步】按钮,要求确认是否接受以上设置,选择【是】我们可以看到对IIS的详细设置情况。设置完成以后,建议重新启动IIS。
. y" i$ ]! D- ^. _# n" W7 ]$ O9 v* a/ o5 C1 v* L: v
二、URLScan Tool――过滤非法URL访问) R' R3 l$ ~! s+ N
) g9 u G& i. p% j$ T1 X 仔细观察IIS的漏洞,我们几乎可以得出这样一个结论,所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:/ s" r; h( M4 ^" m/ B& T
9 Q8 @0 o. ^' S& ^ 1、特别长的URL,比如红色代码攻击网站的URL就是这样:, v& B, L4 p+ M" a. D
! F: q9 [% o h* i5 X' |
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX7 U( Z" `6 _7 J- [
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
( [: Q! o' I4 C( U" k& ~: S- g XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
/ u0 H# r5 ~ x+ ? XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
) x) } I5 x+ c( t 9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
8 K, y. C& m4 O' U G* ^ 00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
; ^- u. k- U p1 ^: \1 e( a( T" |* h: C2 m
2、特殊字符或者字符串的URL,比如在URL后面加: DATA可以看到网页(ASP)源代码;$ R6 u4 F0 r9 ?% |& F3 i6 W8 c
. ~2 x/ B& w* m" m6 j) E 3、URL中含有可执行文件名,最常见的就是有cmd.exe;- N" t# k: u, \4 S& f) J
3 \$ Y/ f" L7 C: ]: g 既然这些攻击利用特殊的URL来实现,所以, 微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:2 ]/ ~( Z& c6 y- a* h3 h4 t
( o" a' ~% k8 w, O1 P, ] 1、基本功能:过滤非法URL请求;7 S& m8 \8 ?; h
$ m+ D( _' B$ r& B3 T 2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
* \5 F9 v( j% T H z, r. K6 v6 P2 ^
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;+ X; `. X' ]4 G" l* Z ]
7 p6 F7 \# S/ d) W: ?
(一)、软件的下载与安装) g" a2 v! n# v
% u% H3 k% Q/ y) G& D
URLScan可以在 微软的网站上下载,地址如下:' t W, g& \0 ^4 b7 D) s- H E4 J
5 m, ?' a) u9 i+ `) q1 w
http://download.microsoft.com/download/i ... NT45XP/EN-US/UrlScan.exe) y0 p* ?7 A9 b2 D8 X- R7 R
9 }* ~. z9 O- m* k2 H, ^% E
和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件:
8 V! ~, @( Y: d& d, \1 m9 b* G0 o2 [2 H8 ^
urlscan.dll:动态连接库文件;
3 e4 s6 c* `& N8 W) G$ P* b urlscan.inf:安装信息文件;
3 t- e% X" d! C) I3 l/ z urlscan.txt:软件说明文件;
! S/ R. Y# R$ f/ |0 V; s* V4 l9 R! I urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。$ F( v1 s+ o( j. A! C# x
" d2 v: L! N- U0 y1 n" a) w0 C( p (二)、软件的配置5 I6 |3 b; ~- @- E, L; E4 j
4 l$ B$ L$ Z7 t& X9 v' ~
软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
7 `4 T. W* ~, G1 c! y
: }2 L' W6 l- E 1、urlscan配置文件的构造形式: M. |, K" m3 P0 }
2 @8 T5 Q% [( }& q Y
urlscan配置文件必须遵从以下规则:
9 P6 M5 `- d. V+ O' q/ \
! k9 s3 K) G, k (1)此文件名必须为urlscan.ini;
) h6 ?" P( }6 G1 m- x. n2 p- O) U. |- g8 x
(2)配置文件必须和urlscan.dll在同一目录;" W7 k/ l, Q6 v6 B7 S& n) r
+ N1 r9 d& }+ X) P; \' e (3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
( c5 O" N6 ]. d( B( ]
/ ] m7 q- }& n! ?) R: W& S, s (4)配置文件修改以后,必须重新启动IIS,使配置生效;+ `/ G4 k$ Y N) |7 H
! y g z# `) o# t4 {: ]- q9 m (5)配置文件由以下各节组成:3 r4 r- V2 d8 R8 ]
' C) `" G* O M. D0 s& f
[Option]节,主要设置节;
3 I$ ^! ?. [. A$ z [AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;* B" O( Y. E' U# j# n$ b" n! z2 g
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;
, z1 ^( c5 l; K- x7 t7 h4 t6 F [DenyHeaders]节,配置认定为非法的header在设立设置;* \: A' U ~% ^7 m/ b6 c8 Q' B+ c
[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
[+ @# P2 q0 E [DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
. P: R' Q$ p8 ^* }4 K
# P5 |! D( x2 Q 2、具体配置
. V' v$ } U( S% E. G0 e p8 r2 o
% L/ t" d) q5 X5 Q; ] (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:6 j* S* R$ j; p, y
( I0 b" N6 `, K( L8 b, w+ f$ }
UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
, {5 a5 I9 y5 u; e5 o% X; X. K- L, N+ ~1 s
UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
9 [3 f6 u' _/ H1 `4 A; ~ EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;4 ~- l& v8 Z+ {
AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
' Q9 }* T/ D/ b/ F AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;! t0 k& w# \; C, I- L5 A
NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;- x$ [' D1 v v& I# e3 d
VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;: b, V8 i. j% m( c8 I& U' v
AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;
3 H; @1 D9 J/ _# H4 W0 L AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;
$ |4 Q t* M' P RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;2 [8 J, j, z, O
(2)[AllowVerbs]节配置4 g- b# V/ v; K2 |/ |$ `
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:
" g1 k. q' A, ]3 A- V | GET、HEAD、POST
4 r( r( b5 M( t8 q# Z (3)[DenyVerbs]节配置: @; |/ x/ F- [( x& [3 ?2 t0 |
如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:; h! I" o R2 A6 |( V4 U T, m7 W
PROPFIND、PROPPATCH、MKCOL、Delete、PUT、COPY、MOVE、LOCK、UNLOCK: M: K+ I" E0 m% k1 R
(4)[AllowExtensions]节设置
, u$ R! E9 t, g' I" S/ ~ 在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
" g# }, a; R# R .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip
# J" P/ G( t e) r5 W7 p (5)[DenyExtensions]节设置
! v9 `: R. T7 ~# u3 \. \9 T 在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:
( E% S/ B) C+ i, G( P% a# a4 j .asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。
& B0 r' I/ U. p/ h3 n$ x" G6 {; c9 B( _8 C: [" A) g( i& B
三、总结
' h, x4 E: V9 r/ `3 i# S0 u- F8 @$ W7 t# T. V% t- A
以上两个工具功能强大,可以真正实现对IIS的保护。IIS Lock Tool简单,相对而言,只是被动的防卫;UrlScan设置比较难,建议对 IIS非常熟悉的管理员使用,只要设置得当,UrlScan的功能更加强大。在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。/ F% m. o. j. o* I9 m3 E
# j" |6 J7 [: I$ B
3。高级篇:NT/2000的高级安全设置
# Q* \$ {2 x# p* N4 z E& ~# W$ P6 T2 j5 U3 a
1.禁用空连接,禁止匿名获得用户名列表" k# L: S& O4 |, z4 ]
2 w3 m8 n* c' V: s3 b, H% I Win2000 的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_MachineSystemCurrentControlSetControl LSA-RestrictAnonymous = 1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值: 0: None. Rely on default permissions(无,取决于默认的权限 1 : Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享) 2: No access without explicit anonymous permissions(没有显式匿名权限就不允许访问) 0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。 好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了. J) `( z9 a' u$ q. ?$ n/ C
2。禁止显示上次登陆的用户名HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsNT CurrentVersionwinlogon项中的Don’t Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_ MACHINESOFTWARE Microsoft- r r& X$ Q4 T0 ?9 B
WindowsNTCurrentVersionWinlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。其实,在2000的本地安全策略中也存在该选项7 `' j; I/ B4 h! i) b: ~# I6 c
Winnt4.0修改注册表:
, p# b/ w6 n/ Z HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrent VersionWinlogon 中增加DontDisplayLastUserName,将其值设为1。; B! i5 J, p" ~
7 n3 K; |) _+ v' ^: e 2.预防DoS:- O6 z" U# T& v9 d0 `$ g6 ` q' v. y
" `7 q" l, e, J# h 在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2
( I4 x0 ]- r% `8 P2 w0 H$ B EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
7 N1 d5 N- E) v$ A( `# m8 H/ H9 @ EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
5 Z' _% ^! B- y; x/ U# m PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0
+ n/ L( M+ t0 j4 k
: n& L9 k) a* C/ I 在Win2000中如何关闭ICMP(Ping)
( q* \$ f: ^ {" R. b+ Z8 d
" S0 I7 z& v. Y0 Z/ T, q0 @ 3.针对ICMP攻击
1 Z& @& Z* ~; A! ^8 E+ D. R ICMP 的全名是Internet Control and Message Protocal即因特网控制消息/错误报文协议,这个协议主要是用来进行错误信息和控制信息的传递,例如著名的Ping和Tracert工具都是利用ICMP协议中的ECHO request报文进行的(请求报文ICMP ECHO类型8代码0,应答报文ICMP ECHOREPLY类型0代码0)。
/ K1 K: D- G3 X5 t; ^6 V8 Y$ W, T3 ~$ A ICMP协议有一个特点---它是无连结的,也就是说只要发送端完成 ICMP报文的封装并传递给路由器,这个报文将会象邮包一样自己去寻找目的地址,这个特点使得ICMP协议非常灵活快捷,但是同时也带来一个致命的缺陷- --易伪造(邮包上的寄信人地址是可以随便写的),任何人都可以伪造一个ICMP报文并发送出去,伪造者可以利用SOCK_RAW编程直接改写报文的 ICMP首部和IP首部,这样的报文携带的源地址是伪造的,在目的端根本无法追查,(攻击者不怕被抓那还不有恃无恐?)根据这个原理,外面出现了不少基于 ICMP的攻击软件,有通过网络架构缺陷制造ICMP风暴的,有使用非常大的报文堵塞网络的,有利用ICMP碎片攻击消耗服务器CPU的,甚至如果将 ICMP协议用来进行通讯,可以制作出不需要任何TCP/UDP端口的木马(参见揭开木马的神秘面纱三)......既然ICMP协议这么危险,我们为什么不关掉它呢?
$ | }# K4 `. k ^) V4 [, o! C+ x& _& S( z
我们都知道,Win2000在网络属性中自带了一个TCP/IP过滤器,我们来看看能不能通过这里关掉ICMP协议,桌面上右击网上邻居->属性->右击你要配置的网卡->属性->TCP/IP->高级->选项-> TCP/IP过滤,这里有三个过滤器,分别为:TCP端口、UDP端口和IP协议,我们先允许TCP/IP过滤,然后一个一个来配置,先是TCP端口,点击"只允许",然后在下面加上你需要开的端口,一般来说WEB服务器只需要开80(www),FTP服务器需要开20(FTP Data),21 (FTP Control),邮件服务器可能需要打开25(SMTP),110(POP3),以此类推......接着是UDP,UDP协议和ICMP协议一样是基于无连结的,一样容易伪造,所以如果不是必要(例如要从UDP提供DNS服务之类)应该选择全部不允许,避免受到洪水(Flood)或碎片(Fragment)攻击。最右边的一个编辑框是定义IP协议过滤的,我们选择只允许TCP协议通过,添加一个6(6是TCP在IP协议中的代码, IPPROTO_TCP=6),从道理上来说,只允许TCP协议通过时无论UDP还是ICMP都不应该能通过,可惜的是这里的IP协议过滤指的是狭义的 IP协议,从架构上来说虽然ICMP协议和IGMP协议都是IP协议的附属协议,但是从网络7层结构上ICMP/IGMP协议与IP协议同属一层,所以 微软在这里的IP协议过滤是不包括ICMP协议的,也就是说即使你设置了“只允许TCP协议通过”,ICMP报文仍然可以正常通过,所以如果我们要过滤 ICMP协议还需要另想办法。
5 q2 ?3 F6 h! Z# D( v4 p
9 I5 P! V2 u6 v6 T7 j5 k* u, T 刚刚在我们进行TCP/IP过滤时,还有另外一个选项:IP安全机制(IP Security),我们过滤ICMP的想法就要着落在它身上。; K1 k7 f+ _5 G" P3 ~* z
) \5 U, h: L. Z: a k 打开本地安全策略,选择IP安全策略,在这里我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成:过滤策略和过滤操作,过滤策略决定哪些报文应当引起过滤器的关注,过滤操作决定过滤器是“允许”还是“拒绝”报文的通过。要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作:右击本机的 IP安全策略,选择管理IP过滤器,在IP过滤器管理列表中建立一个新的过滤规则:ICMP_ANY_IN,源地址选任意IP,目标地址选本机,协议类型是ICMP,切换到管理过滤器操作,增加一个名为Deny的操作,操作类型为"阻止"(Block)。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是,在地址选项中有一个镜像选择,如果选中镜像,那么将会建立一个对称的过滤策略,也就是说当你关注 any IP->my IP的时候,由于镜像的作用,实际上你也同时关注了my IP->any IP,你可以根据自己的需要选择或者放弃镜像。再次右击本机的IP安全策略,选择新建IP过滤策略,建立一个名称为ICMP Filter的过滤器,通过增加过滤规则向导,我们把刚刚定义的 ICMP_ANY_IN过滤策略指定给ICMP Filter,然后在操作选框中选择我们刚刚定义的Deny操作,退出向导窗口,右击 ICMP Filter并启用它,现在任何地址进入的ICMP报文都会被丢弃了。
9 A3 Y: Y9 r. l0 Q( |9 N% S 虽然用IP sec能够对ICMP报文进行过滤,不过操作起来太麻烦,而且如果你只需要过滤特定的ICMP报文,还要保留一些常用报文(如主机不可达、网络不可达等),IP sec策略就力不从心了,我们可以利用Win2000的另一个强大工具路由与远程访问控制(Routing & Remote Access)来完成这些复杂的过滤操作。1 g8 R$ g9 e) a. h* p! `
$ `7 O3 Q6 z% b7 u2 r( X8 b 路由与远程访问控制是Win2000用来管理路由表、配置VPN、控制远程访问、进行IP报文过滤的工具,默认情况下并没有安装,所以首先你需要启用它,打开"管理工具"->"路由与远程访问",右击服务器(如果没有则需要添加本机)选择"配置并启用路由及远程访问",这时配置向导会让你选择是什么样的服务器,一般来说,如果你不需要配置VPN服务器,那么选择"手动配置"就可以了,配置完成后,主机下将出现一个IP路由的选项,在"常规"中选择你想配置的网卡(如果你有多块网卡,你可以选择关闭某一块的ICMP),在网卡属性中点击"输入筛选器",添加一条过滤策略"from:ANY to: ANY 协议:ICMP 类型:8 :编码:0 丢弃"就可以了(类型8编码0就是Ping使用的ICMP_ECHO报文,如果要过滤所有的ICMP报文只需要将类型和编码都设置为255), h' ]! H, ]3 O
- `) \2 ?4 h3 m3 r7 e C I9 G' j
细心的朋友刚才可能已经发现,在输入、输出过滤器的下面,还有一个"碎片检查"功能,这个功能使用来应付IP碎片攻击的,这已经超出了本文所讨论的范围,我会在以后的拒绝服务攻击的文章中继续和大家一起探讨的。Win2000的路由及远程访问是一个功能非常强大的工具集9 h; T1 h: S; e! O% Z1 W( o
) B/ i; Q; M6 H9 L0 D; F$ l2 E: U 4.改变windows系统的一些默认值(例如:数据包的生存时间(TTL)值,不同系统有不同的值,有经验的人可以根据TTL的不同的值判断对方使用的是何种操作系统(例如windows 2000默认值128),我改改改,看你怎么看). J1 x0 B- `: ]
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
: E4 ~: e+ a: b2 @( u: z# Z$ U! A, F9 x. m% V' J- ]7 a. A0 J
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
2 Z/ u+ N! Z1 u( Y. U: T
& v! B2 u8 R/ w( y4 d: z2 f8 J9 }0 P 说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达
* _4 g" w5 [/ |1 h0 Q' \ 目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由
+ p- I j$ T } 器数量.有时利用此数值来探测远程主机操作系统.6 C( H8 q: y, J- T- D
7 M3 H( O& j" x6 t* r9 }, ^+ ^
5.防止ICMP重定向报文的攻击
5 c& ~0 ?; t& s% ] HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
% l5 D$ a" ?* ]0 }/ e, S3 q$ P8 N# @8 t) g
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)% K0 i4 y1 c: G: E1 B
$ T1 S2 n* l2 c. G9 `
说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.( f% ~+ | `! C4 u3 k5 n! ?- F" t
7 ^/ x( U. X' @# j/ Z9 L0 k5 M 6.禁止响应ICMP路由通告报文' u! o% @! d; }+ o
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface# M# @7 `% I* e/ r% z! i `2 L8 X' l
PerFORMRouterDiscovery REG_DWORD 0x0(默认值为0x2)! s1 k* K0 X9 A1 |4 o
) U+ x" q. Q# w& M
说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用
3 v, O8 F& J* a; n7 d, M9 C, N
' o) {2 C' t; I 7.防止SYN洪水攻击
% J4 \# @* U- b# O' f" ?. J HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
' f5 z% p$ }, C, @* E! }. e( G
: [& P$ C4 E0 J! A SynAttackProtect REG_DWORD 0x2(默认值为0x0)
6 L9 c% W. n! |+ A
0 M0 i" |" y, P+ H" ^! ~ 说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时
* ?+ W" D9 o- @2 J* u6 x. i 间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,
' d$ C/ M: E, _# _ 则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和+ b2 B4 r) R7 P# A3 A
TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施.
$ z9 k! }# v: l+ C( I2 G3 K: X7 u% d% G! X; m# x
8.禁止C$、D$一类的缺省共享; s- w. w9 W" }
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters& X/ R* f6 ~) i) A$ G$ Z; n; u
AutoShareServer、REG_DWORD、0x0
) R: T1 @1 L ^
! H3 ]' k' I) {2 N 9.禁止ADMIN$缺省共享, _0 M# L; Z) e# X2 u
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
/ z0 v5 B8 M6 J, k AutoShareWks、REG_DWORD、0x0
; M" ~- |5 H* Y: t3 b" p 10.限制IPC$缺省共享
+ E5 R6 m a5 y; ~( n7 U% m HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
1 Z# J& ?$ w8 a2 P4 a; U2 u$ U+ s9 K, D+ ^7 B N! N$ ?/ E% J! S
restrictanonymous REG_DWORD 0x0 缺省/ H6 m0 i" m9 w5 ^4 V& I# P! B
0x1 匿名用户无法列举本机用户列表+ H1 c* v$ s2 H" S1 t! Y( p
0x2 匿名用户无法连接本机IPC$共享- X9 W1 H9 l" |) g% G
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
: e; p- D8 J% d& I
0 K- z( q. B* M7 o( v7 b 11.不支持IGMP协议. B# f' M7 N* ?& |& ^" V8 f2 F
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
! ? M6 q+ s3 s% V( {# f7 Z) B5 }9 x5 d7 c
IGMPLevel REG_DWORD 0x0(默认值为0x2)2 x& O6 r& U2 C c
. ?7 Y2 I/ M6 w- f 说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个
1 ~$ r! z# H( _$ @% c# C f9 L4 P bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用, E9 K# \% v, g3 ^1 n0 V
route print将看不到那个讨厌的224.0.0.0项了.( C3 S5 m0 L- ], ~* O+ N6 r
* g- i3 U- T5 b _5 o
12.设置arp缓存老化时间设置) H$ |8 K1 W; W/ N; J/ {
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
; b- |8 }3 H7 y- u: v' M8 \" h$ m/ {& l. T6 k% [2 ^; k
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)( n( \$ A6 Z9 G z" {; _
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)# {1 j0 {5 @/ Q" K E0 @5 [. V
7 `1 W! e! v8 G: p$ C 说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在 ArpCacheLife秒后到期.如果ArpCacheLife小于阿ARPCacheMinReferencedLife,未引用项在 ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
0 r+ ^0 e# B3 L8 | d* v1 `: H6 W% c9 x. m7 Y& a9 r* F
13.禁止死网关监测技术
6 y1 [: c/ n& j6 @) @7 s+ U) E HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters! R5 N3 h2 {# h0 {
9 z2 _$ f) I- M( v) w
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)* G3 V% b1 P/ r, O" o
7 W: C$ d% F. r9 g- ?( V3 G
说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关.有时候这并不是一项好主意,建议禁止死网关监测.# d( r& T+ I! k4 ]
) d- |0 {6 Y( h1 e: s4 F 14.不支持路由功能) X. h1 O0 X; j
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters( c6 r5 k: @6 P1 @ g
' O# A& E: D5 Y O( L3 |
IPEnableRouter REG_DWORD 0x0(默认值为0x0), P2 y0 S+ r% b/ ?& W5 i. h5 L" ? |; n
* c! j9 a. E. _ `' P. x 说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题.( \ R2 K6 p: \# h6 P8 H
" K( e% @4 ?; u% x* w9 O8 `) k
15.做NAT时放大转换的对外端口最大值, J. V$ ~: p5 N0 V' [" K. d
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters T9 [" p7 s& }8 N8 Q
; e5 Q D1 a) h6 ], X2 M: y4 G" v MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)
/ F6 t% l% Z& U2 x5 C$ p/ X; B, h, r5 l/ ~ _ ~
说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534).使用NAT时建议把值放大点.
, k! v. R# t+ E: y: P" F# |+ [ 16.修改MAC地址7 V! A8 B5 ^1 w* D; G3 O$ W
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass! z j) U$ P/ a4 C
: K6 Q' A; J* G/ h! l' v( { 找到右窗口的说明为"网卡"的目录,
D2 n+ j i3 k* S 比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}) W, h3 `5 |! U, ?5 {" q7 {
0 E8 O8 q" n; M' A0 y
展开之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明,比如说"DriverDesc"的值为 " Intel(R) 82559 Fast Ethernet LAN on Motherboard"然后在右窗口新建一字符串值,名字为 "Networkaddress",内容为你想要的MAC值,比如说是"004040404040"然后重起计算机,ipconfig /all看看.$ R, Y# V0 J- B9 `0 f2 r. Y4 V
4 B* g) x& V5 r( R, s; i2 K) |% k% G/ m
17.防止密码被DUMP,你只需在服务里面关掉Remote regisitery services
: i' m5 L0 B8 `' R好了,这样一台安全和清晰的服务器系统就完成了,(记得要做GHOST备份哦~~做好数据备份也是很重要的安全常识!) |
|
IP卡
狗仔卡
发表于 2008-1-5 00:30:00
atch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般 微软公布了漏洞后你的机子还会有半个月处于无保护状况)
提升卡
置顶卡
沉默卡
喧嚣卡
鍙樿壊鍗
鏄捐韩鍗