打造服务器整体安全性1.docx

打造服务器整体安全性1.docx

《打造服务器整体安全性1.docx》由会员分享，可在线阅读，更多相关《打造服务器整体安全性1.docx（14页珍藏版）》请在冰豆网上搜索。

打造服务器整体安全性1

第32讲第17章打造服务器整体安全性<一>

本节重点介绍如何利用系统的自身功能配置服务器的安全。

现在有很多人都认为Windows的漏洞太多，系统安全性极差，其实各种系统都有很多漏洞，只不过使用Windows的人最多，不会做各种安全设置，所以才会让很多的人都认为Windows很不安全。

其实WindowsNT/2000/XP/2003的服务器如果真的做好了各项安全设置之后，其安全性绝对不会比Linux系统差。

◆利用Syskey实现系统双重加密

◆配置服务器不响应Ping命令

◆Windows2000/XP/2003账号管理

◆修改IIS、Apache的Banner实现操作系统版本的隐藏

◆指定服务器的开放端口

◆禁用服务器相关程序

◆删除服务器的默认共享

◆提高服务器抗拒绝服务攻击能力

17.1.1利用Syskey实现系统双重加密

（1）选择【开始】→【运行】命令，在【打开】下拉文本框中输入“syskey.exe”，然后单击【确定】按钮。

（2）在【保证WindowsNT账户数据库的安全】对话框中提示用户一旦启用加密就不能禁用，选择【启用加密】单选按钮，然后单击【更新】按钮。

（3）接着系统打开【账户数据库项】对话框，其中有两个选项组：

【密码启动】、【系统产生的密码】。

【密码启动】是指在系统启动时需要输入一个密码方能启动；【系统产生的密码】是指在软

盘上保存启动密码，当系统启动后需要插入该软盘方能启动。

由于软盘不易保存，在这里推荐选择【密码启动】单选按钮，并输入一个启动密码。

然后单击【确定】按钮。

接着系统会弹出一个【成功】对话框，提示账户数据库的开始密码已更改，单击【确定】按钮退出Syskey程序。

4）当再次启动计算机时，系统就会弹出【Windows2000启动密码】对话框，并要求用户在【密码】文本框中输入启动密码。

17.1.2配置服务器不响应Ping命令

本节重点介绍如何通过配置安全策略来实现服务器不响应Ping命令。

大家可能都知道我们通常用Ping命令是来检查网络是否畅通的一个简单的方法，可是这个Ping也能给Windows系统带来严重的后果，那就是Ping攻击即是ICMP（InternetControlandMessageProtocal，网际消息控制协议）攻击，原理是恶意攻击者在一个时段内连续使用Ping命令向目标服务器发送大量的数据包使得计算机的CPU处理不及而使用资源被占尽，从而造成服务器崩溃，这种攻击手法也被称为拒绝服务攻击，它只是拒绝服务攻击中的一种。

◆攻击原理

◆拒绝Ping响应

◆测试

Ping命令通过发送ICMP报文，回响请求来验证与另一台TCP/IP计算机的IP级连接。

回响应答消息的接收情况将和往返过程的次数一起显示出来，也就是说，我们向目标计算机发送一个ICMP报文，目标计算机接到此报文后就会返回一个给我们。

攻击者如果使用以下Ping命令格式，就会造成目标服务器拒绝服务：

Ping–t–l60000192.168.1.25

（1）选择【开始】→【设置】→【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。

（2）在【本地安全设置】窗口中，右击【IP安全策略，在本地机器】，在弹出的快捷菜单中选择【创建IP安全策略】命令。

（3）进入欢迎使用【IP安全策略向导】对话框，单击【下一步】按钮继续以下操作。

（4）接下来系统要求为创建的IP安全策略命名一个【名称】并给出一个简短的【描述】。

可以随便输入，该名称将显示在【本地安全设置】窗口中。

在这里为此IP安全策略输入的名称是“ping”，然后单击【下一步】按钮继续。

（1）选择【开始】→【设置】→【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。

（2）在【本地安全设置】窗口中，右击【IP安全策略，在本地机器】，在弹出的快捷菜单中选择【创建IP安全策略】命令。

（3）进入欢迎使用【IP安全策略向导】对话框，单击【下一步】按钮继续以下操作。

（4）接下来系统要求为创建的IP安全策略命名一个【名称】并给出一个简短的【描述】。

可以随便输入，该名称将显示在【本地安全设置】窗口中。

在这里为此IP安全策略输入的名称是“ping”，然后单击【下一步】按钮继续。

（5）进入安全通信请求设置，选中【激活默认响应规则】复选框，然后单击【下一步】按钮继续。

（6）设置默认响应规则身份验证方式，在这里可以选择此安全规则设置初始身份验证方法为【此字串用来保护密钥交换】，此项设置是用于基于多台计算机之间认证的。

在这里为本地计算机创建IP策略，可随便在此文本框中输入几个字符，然后单击【下一步】按钮继续。

（7）此时系统提示已成功地完成IP安全策略向导，要对刚创建的向导进行编辑，可选中【编辑属性】复选框，然后单击【完成】按钮。

（8）接着系统会打开一个【ping属性】对话框，单击【添加】按钮

（9）进入欢迎使用创建IP【安全规则向导】对话框，单击【下一步】按钮继续。

（10）指定IP安全规则的隧道终结点，选择【此规则不指定隧道】单选按钮，然后单击【下一步】按钮继续。

（11）选择网络类型。

接着系统要求指定所创建的安全规则所针对的网络类型，共有3个选项，分别是【所有网络连接】、【局域网】、【远程访问】。

在这里推荐选择【所有网络连接】单选按钮，单击【下一步】按钮继续。

（12）接着进入【身份验证方法】设置，步骤（6），选择【此字串用来保护密钥交换】单选按钮，然后在文本框中输入几个字符即可，单击【下一步】按钮继续。

（13）进入【IP筛选器列表】设置，为创建的安全规则添加一个新的IP筛选器，单击【添加】按钮。

（14）为要新创建的IP筛选器输入一个【名称】。

在这里输入“ping-2”作为它的名称，然后单击【添加】按钮。

（15）进入欢迎使用【IP筛选器向导】对话框，单击【下一步】按钮继续。

（16）指定IP通信源地址。

这里所谓的IP源地址是指要拒绝响应ICMP报文的IP地址范围。

如果要拒绝所有人对服务器发送ICMP报文，可单击【源地址】下拉列表框，从中选择【任何IP地址】选项，单击【下一步】按钮继续。

（17）指定IP通信目标、单击【目标地址】下拉列表框，从中选择【我的IP地址】选项，即拒绝任何IP地址对本机发送ICMP报文，单击【下一步】按钮继续。

（18）选择IP协议类型。

在这里所要实现的就是要拒绝恶意攻击者对服务器发送大量的ICMP报文，因此单击【选择协议类型】下拉列表框，从中选择【ICMP】选项，然后单击【下一步】按钮继续。

（21）接下来就是要对IP筛选器ping-2进行筛选操作。

在【筛选器操作】列表框中选择【要求安全设置】选项，然后单击【下一步】按钮。

（22）系统将提示我们已成功指定新规则属性，单击【完成】按钮退出安全规则向导。

（23）返回【本地安全设置】窗口，单击左边窗口中的【IP安全策略，在本地机器】，这时我们发现在右边窗口中一个名称为ping的安全策略已被成功创建。

右击【ping】，在弹出的快捷菜单中选择【指派】命令，这样就可以激活此安全策略，刚才的设置才会生效。

完成上述操作后，在其他计算机上对目标计算机发送ICMP报文。

此时我们发现对远程计算机使用Ping命令时，Ping返回的结果是Requesttimedout（超时）。

这就证明我们已成功地配置了服务器拒绝响应ICMP报文，因此在防范ICMP攻击方面就安全多了，对于那些恶意攻击者所发来的大量数据包都能拦截下来，从而在这方面保证了计算机免受破坏的危险。

17.1.3Windows2000/XP/2003账号管理

本节重点介绍如何管理服务器的账号，从而来提高服务器的安全。

入侵者最基本的攻击方法就是破解系统的密码，如果系统密码被入侵者获取，那么整个主机也将会被入侵者控制，后果也将不堪设想。

◆禁止枚举账号

◆Administrator账号更名

◆禁止显示上次登录的用户名

◆禁用Guest账号

使用注册表法对这种行为禁止的操作步骤如下：

（1）选择【开始】→【运行】命令，在【运行】对话框的【打开】下拉列表框中输入“regedit.exe”，单击【确定】按钮，运行注册表编辑器，依次打开以下键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

（2）双击子键下的RestrictAnonymous键值名，打开【编辑双字节值】对话框，在【数值数据】文本框中输入“1”，然后退出注册表即可禁止空会话。

（1）选择【开始】→【设置】→【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。

（2）在【本地安全设置】窗口中，依次展开【本地策略】→【安全选项】，然后双击右边窗口【策略】列表下的【对匿名连接额外限制】。

（3）在打开的【本地安全策略设置】对话框中，单击【本地策略设置】下拉列表框，从中选择【不允许枚举SAM账号和共享】选项。

（1）选择【开始】→【设置】→【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【计算机管理】图标。

（2）在【计算机管理】窗口中，依次展开【系统工具】→【本地用户和组】→【用户】，然后在右边的窗口中右击Administrator用户，在弹出的快捷菜单中选择【重命名】命令。

（3）重新输入一个名称代替Administrator用户，最好不要使用Admin、Root之类的名字，这样很有可能被入侵者猜到。

尽量把它伪装成别人想不到的用户名。

还可以在另建一个名为Administrator的陷阱账号，不赋予任何权限，为其设一个超过10位的字母与数字组合而成的密码，并对该账户启用审核。

这样入侵者忙了半天也可能进不来，或者即便进来了也什么都得不到，还给我们留下了跟踪的线索。

使用注册表法的操作步骤如下：

（1）选择【开始】→【运行】命令，在【运行】对话框的【打开】下拉列表框中输入“regedit.exe”，单击【确定】按钮，运行注册表编辑器，依次打开以下键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

（2）双击子键下的DontDisplayLastUserName键值名，打开【编辑字符串】对话框，在【数值数据】文本框中输入“1”，然后退出注册表即可隐藏系统上次登录的用户名。

使用安全策略法的操作步骤如下：

（1）选择【开始】→【设置】→【控制面板】命令，双击【控制面板】→“管理工具”→【本地安全策略】图标。

（2）在【本地安全设置】窗口中，依次展开【本地策略】→【安全选项】，然后双击右边窗口【策略】列表下的【对匿名连接的额外限制】。

（3）在【本地安全策略设置】对话框中，在【本地策略设置】选项组中选择【已启用】单选按钮，便可隐藏系统上次登录的用户名。

（1）选择【开始】→【设置】→【控制面板】命令，双击【控制面板】→“管理工具”→下的【计算机管理】图标。

（2）在【计算机管理】窗口中，依次展开【系统工具】→【本地用户和组】→【用户】，然后在右边的窗口中双击【Guest】用户。

（3）在【Guest属性】对话框，选中【账户已停用】复选框，这样入侵者就无法使用Guest账号登录我们的系统了。

17.1.4修改IIS、Apache的Banner实现操作系统版本的隐藏

本节重点介绍如何通过手工和利用第三方程序来修改IIS、Apache的Banner。

入侵者在攻击一台目标服务器之前，第一步就是通过查看对方服务器所使用的操作系统及其的版本，然后针对不同的操作系统及其版本对服务器进行攻击。

接下来介绍如何通过修改IIS、Apache的Banner来隐藏操作系统的版本，从而来达到“瞒天过海”。

◆入侵方法检测

◆修改IIS的Web服务器Banner

◆通过第三方软件修改Banner

（1）选择【开始】→【运行】命令，在【打开】下拉文本框中输入“CMD.exe”，单击【确定】按钮运行【命令提示符】程序。

（2）在【命令提示符】程序窗口中的命令提示符下输入如下格式命令：

telnet<目标服务器IP地址或域名>

命令解释

通过远程登录的方式登录到目标Web服务器上。

在这里目标Web服务器的IP地址是192.168.1.12，端口是80，即输入如下命令：

telnet192.168.1.1280

（3）登录到Web服务器后，【命令提示符】程序窗口成为黑色，没有该服务器的任何输出结果，这是因为我们还没有向该服务器发送请求。

此时只要我们连按两下【回车】键，将会得到如图所示的结果，该结果就被我们称为系统的Banner。

在第二行可以看到“Server:

Microsoft-IIS/5.1”字段，从而得知目标服务器使用的是微软公司的WindowsXP架设的Web服务器（很多黑客扫描软件都是根据这一原因判断目标服务器操作系统的）。

IIS的版本为5.1，即WindowsXP系统，WindowsNT/2000/2003的IIS版本分为4.0、5.0、5.5。

同样也可以利用此方法得到FTP服务器的类型。

（1）在【命令提示符】程序窗口中的命令提示符下输入“iisreset/stop”命令停止IIS服务。

（2）下载一款名为【WinHex】的十六进制文件编辑软件。

安装完毕后运行【WinHex】程序，选择【文件】→【打开】命令，打开%system32%\system32\inetsrv\w3svc.dll程序，然后按Ctrl+F组合键打开【查找文本】对话框，查找“Microsoft-IIS/5.1”字段。

（3）找到Microsoft-IIS/5.1字段后，只要把此字段修改为想让IIS的Web服务器显示的Banner即可。

我们将其修改为“www.54hack.orgserver/0.0”，然后选择【WinHex】程序菜单栏中的【文件】→【保存】命令，对所修改的w3svc.dll进行保存。

（4）由于Windows2000/XP/2003系统后台的文件具有保护机制，当系统发现重要的文件被修改后会恢复备份文件，如果无法恢复时将会弹出【Windows文件保护】对话框，提示Windows所需的文件已被替换成无法识别的版本，插入安装盘恢复该文件。

在这里我们不用理会此提示，单击【取消】按钮，接着系统会再次提示用户决定不还原文件的原始版本，确实要保留这些不可识别的文件版本吗？

此时单击【是】按钮即可。

（5）Banner修改已完成，接下来启动IIS服务。

在【命令提示符】程序窗口中的命令提示符下输入“iisreset/start”命令启动IIS服务。

（6）此时，同样在【命令提示符】程序下输入“telnet192.168.1.1280”命令，然后连续按两下回车键，就会在第二行发现Web服务器的版本信息已被修改为www.54hack.orgserver/0.0。

这样可以迷惑入侵者，从而减小了服务器被攻击的几率。

除以上介绍的通过手工来修改Banner外，还可以利用第三方软件进行修改，如IIS/PWSBannerEdit、Apache-Win32BannerEdit等就是修改系统Banner的小工具，而且操作简单。

我们只需在它的Newbanner文本框中输入要修改的内容，然后单击Savetofile按钮即可实现对Banner的修改，在这里不做介绍了。