打造服务器整体安全性1.docx

1、打造服务器整体安全性1第32讲 第17章 打造服务器整体安全性本节重点介绍如何利用系统的自身功能配置服务器的安全。 现在有很多人都认为Windows的漏洞太多，系统安全性极差，其实各种系统都有很多漏洞，只不过使用Windows的人最多，不会做各种安全设置，所以才会让很多的人都认为Windows很不安全。其实Windows NT/2000/XP/2003的服务器如果真的做好了各项安全设置之后，其安全性绝对不会比Linux系统差。 利用Syskey实现系统双重加密 配置服务器不响应Ping命令 Windows 2000/XP/2003账号管理 修改IIS、Apache的Banner实现操作系统版本

2、的隐藏 指定服务器的开放端口 禁用服务器相关程序 删除服务器的默认共享 提高服务器抗拒绝服务攻击能力 17.1.1 利用Syskey实现系统双重加密 (1) 选择【开始】【运行】命令，在【打开】下拉文本框中输入“syskey.exe”，然后单击【确定】按钮。(2) 在【保证Windows NT账户数据库的安全】对话框中提示用户一旦启用加密就不能禁用，选择【启用加密】单选按钮，然后单击【更新】按钮。 (3) 接着系统打开【账户数据库项】对话框，其中有两个选项组：【密码启动】、【系统产生的密码】。【密码启动】是指在系统启动时需要输入一个密码方能启动；【系统产生的密码】是指在软盘上保存启动密码，当系

3、统启动后需要插入该软盘方能启动。由于软盘不易保存，在这里推荐选择【密码启动】单选按钮，并输入一个启动密码。然后单击【确定】按钮。接着系统会弹出一个【成功】对话框，提示账户数据库的开始密码已更改，单击【确定】按钮退出Syskey程序。 4) 当再次启动计算机时，系统就会弹出【Windows 2000启动密码】对话框，并要求用户在【密码】文本框中输入启动密码。 17.1.2 配置服务器不响应Ping命令 本节重点介绍如何通过配置安全策略来实现服务器不响应Ping命令。 大家可能都知道我们通常用Ping命令是来检查网络是否畅通的一个简单的方法，可是这个Ping也能给Windows系统带来严重的后果，

4、那就是Ping攻击即是ICMP(Internet Control and Message Protocal，网际消息控制协议)攻击，原理是恶意攻击者在一个时段内连续使用Ping命令向目标服务器发送大量的数据包使得计算机的CPU处理不及而使用资源被占尽，从而造成服务器崩溃，这种攻击手法也被称为拒绝服务攻击，它只是拒绝服务攻击中的一种。 攻击原理 拒绝Ping响应 测试 Ping命令通过发送ICMP报文，回响请求来验证与另一台TCP/IP计算机的 IP 级连接。回响应答消息的接收情况将和往返过程的次数一起显示出来，也就是说，我们向目标计算机发送一个ICMP报文，目标计算机接到此报文后就会返回一个给

5、我们。攻击者如果使用以下Ping命令格式，就会造成目标服务器拒绝服务： Ping t l 60000 192.168.1.25 (1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。(2) 在【本地安全设置】窗口中，右击【IP安全策略，在本地机器】，在弹出的快捷菜单中选择【创建IP安全策略】命令。 (3) 进入欢迎使用【IP安全策略向导】对话框，单击【下一步】按钮继续以下操作。(4) 接下来系统要求为创建的IP安全策略命名一个【名称】并给出一个简短的【描述】。可以随便输入，该名称将显示在【本地安全设置】窗口中

6、。在这里为此IP安全策略输入的名称是“ping” ，然后单击【下一步】按钮继续。 (1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。(2) 在【本地安全设置】窗口中，右击【IP安全策略，在本地机器】，在弹出的快捷菜单中选择【创建IP安全策略】命令。 (3) 进入欢迎使用【IP安全策略向导】对话框，单击【下一步】按钮继续以下操作。(4) 接下来系统要求为创建的IP安全策略命名一个【名称】并给出一个简短的【描述】。可以随便输入，该名称将显示在【本地安全设置】窗口中。在这里为此IP安全策略输入的名称是“ping

7、” ，然后单击【下一步】按钮继续。 (5) 进入安全通信请求设置，选中【激活默认响应规则】复选框，然后单击【下一步】按钮继续。 (6) 设置默认响应规则身份验证方式，在这里可以选择此安全规则设置初始身份验证方法为【此字串用来保护密钥交换】，此项设置是用于基于多台计算机之间认证的。在这里为本地计算机创建IP策略，可随便在此文本框中输入几个字符，然后单击【下一步】按钮继续。 (7) 此时系统提示已成功地完成IP安全策略向导，要对刚创建的向导进行编辑，可选中【编辑属性】复选框，然后单击【完成】按钮。 (8) 接着系统会打开一个【ping属性】对话框，单击【添加】按钮(9) 进入欢迎使用创建IP【安全

8、规则向导】对话框，单击【下一步】按钮继续。 (10) 指定IP安全规则的隧道终结点，选择【此规则不指定隧道】单选按钮，然后单击【下一步】按钮继续。 (11) 选择网络类型。接着系统要求指定所创建的安全规则所针对的网络类型，共有3个选项，分别是【所有网络连接】、【局域网】、【远程访问】。在这里推荐选择【所有网络连接】单选按钮，单击【下一步】按钮继续。 (12) 接着进入【身份验证方法】设置，步骤(6)，选择【此字串用来保护密钥交换】单选按钮，然后在文本框中输入几个字符即可，单击【下一步】按钮继续。 (13) 进入【IP筛选器列表】设置，为创建的安全规则添加一个新的IP筛选器，单击【添加】按钮。

9、(14) 为要新创建的IP筛选器输入一个【名称】。在这里输入“ping-2”作为它的名称，然后单击【添加】按钮。 (15) 进入欢迎使用【IP筛选器向导】对话框，单击【下一步】按钮继续。 (16) 指定IP通信源地址。这里所谓的IP源地址是指要拒绝响应ICMP报文的IP地址范围。如果要拒绝所有人对服务器发送ICMP报文，可单击【源地址】下拉列表框，从中选择【任何IP地址】选项，单击【下一步】按钮继续。 (17) 指定IP通信目标、单击【目标地址】下拉列表框，从中选择【我的IP地址】选项，即拒绝任何IP地址对本机发送ICMP报文，单击【下一步】按钮继续。 (18) 选择IP协议类型。在这里所要实

10、现的就是要拒绝恶意攻击者对服务器发送大量的ICMP报文，因此单击【选择协议类型】下拉列表框，从中选择【ICMP】选项，然后单击【下一步】按钮继续。 (21) 接下来就是要对IP筛选器ping-2进行筛选操作。在【筛选器操作】列表框中选择【要求安全设置】选项，然后单击【下一步】按钮。(22) 系统将提示我们已成功指定新规则属性，单击【完成】按钮退出安全规则向导。(23) 返回【本地安全设置】窗口，单击左边窗口中的【IP安全策略，在本地机器】，这时我们发现在右边窗口中一个名称为ping的安全策略已被成功创建。右击【ping】，在弹出的快捷菜单中选择【指派】命令，这样就可以激活此安全策略，刚才的设置

11、才会生效。 完成上述操作后，在其他计算机上对目标计算机发送ICMP报文。此时我们发现对远程计算机使用Ping命令时，Ping返回的结果是Request timed out(超时) 。这就证明我们已成功地配置了服务器拒绝响应ICMP报文，因此在防范ICMP攻击方面就安全多了，对于那些恶意攻击者所发来的大量数据包都能拦截下来，从而在这方面保证了计算机免受破坏的危险。 17.1.3 Windows 2000/XP/2003账号管理 本节重点介绍如何管理服务器的账号，从而来提高服务器的安全。 入侵者最基本的攻击方法就是破解系统的密码，如果系统密码被入侵者获取，那么整个主机也将会被入侵者控制，后果也将不

12、堪设想。 禁止枚举账号 Administrator账号更名 禁止显示上次登录的用户名 禁用Guest 账号 使用注册表法对这种行为禁止的操作步骤如下： (1) 选择【开始】【运行】命令，在【运行】对话框的【打开】下拉列表框中输入“regedit.exe”，单击【确定】按钮，运行注册表编辑器，依次打开以下键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa (2) 双击子键下的RestrictAnonymous键值名，打开【编辑双字节值】对话框，在【数值数据】文本框中输入“1”，然后退出注册表即可禁止空会话。 (1) 选择【开始】【设置】【控

13、制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。 (2) 在【本地安全设置】窗口中，依次展开【本地策略】【安全选项】，然后双击右边窗口【策略】列表下的【对匿名连接额外限制】。 (3) 在打开的【本地安全策略设置】对话框中，单击【本地策略设置】下拉列表框，从中选择【不允许枚举SAM账号和共享】选项 。(1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【计算机管理】图标。(2) 在【计算机管理】窗口中，依次展开【系统工具】【本地用户和组】【用户】，然后在右边的窗口中右击A

14、dministrator用户，在弹出的快捷菜单中选择【重命名】命令。(3) 重新输入一个名称代替Administrator用户，最好不要使用Admin、Root之类的名字，这样很有可能被入侵者猜到。尽量把它伪装成别人想不到的用户名。还可以在另建一个名为Administrator的陷阱账号，不赋予任何权限，为其设一个超过10位的字母与数字组合而成的密码，并对该账户启用审核。这样入侵者忙了半天也可能进不来，或者即便进来了也什么都得不到，还给我们留下了跟踪的线索。 使用注册表法的操作步骤如下： (1) 选择【开始】【运行】命令，在【运行】对话框的【打开】下拉列表框中输入“regedit.exe”，单

15、击【确定】按钮，运行注册表编辑器，依次打开以下键：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon(2) 双击子键下的DontDisplayLastUserName键值名，打开【编辑字符串】对话框，在【数值数据】文本框中输入“1”，然后退出注册表即可隐藏系统上次登录的用户名。 使用安全策略法的操作步骤如下：(1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】“管理工具”【本地安全策略】图标。 (2) 在【本地安全设置】窗口中，依次展开【本地策略】【安全选项】，然后双击右边窗口【策略】列表下的【对匿名

16、连接的额外限制】。 (3) 在【本地安全策略设置】对话框中，在【本地策略设置】选项组中选择【已启用】单选按钮，便可隐藏系统上次登录的用户名。 (1) 选择【开始】【设置】【控制面板】命令，双击【控制面板】“管理工具” 下的【计算机管理】图标。 (2) 在【计算机管理】窗口中，依次展开【系统工具】【本地用户和组】【用户】，然后在右边的窗口中双击【Guest】用户。 (3) 在【Guest属性】对话框，选中【账户已停用】复选框，这样入侵者就无法使用Guest账号登录我们的系统了。 17.1.4 修改IIS、Apache的Banner实现操作系统版本的隐藏 本节重点介绍如何通过手工和利用第三方程序来

17、修改IIS、Apache的Banner。 入侵者在攻击一台目标服务器之前，第一步就是通过查看对方服务器所使用的操作系统及其的版本，然后针对不同的操作系统及其版本对服务器进行攻击。接下来介绍如何通过修改IIS、Apache的Banner来隐藏操作系统的版本，从而来达到“瞒天过海”。 入侵方法检测 修改IIS的Web 服务器Banner 通过第三方软件修改Banner (1) 选择【开始】【运行】命令，在【打开】下拉文本框中输入“CMD.exe”，单击【确定】按钮运行【命令提示符】程序。 (2) 在【命令提示符】程序窗口中的命令提示符下输入如下格式命令：telnet 命令解释通过远程登录的方式登录

18、到目标Web服务器上。在这里目标Web服务器的IP地址是192.168.1.12，端口是80，即输入如下命令：telnet 192.168.1.12 80 (3) 登录到Web服务器后，【命令提示符】程序窗口成为黑色，没有该服务器的任何输出结果，这是因为我们还没有向该服务器发送请求。此时只要我们连按两下【回车】键，将会得到如图所示的结果，该结果就被我们称为系统的Banner。在第二行可以看到“Server: Microsoft-IIS/5.1”字段，从而得知目标服务器使用的是微软公司的Windows XP架设的Web服务器(很多黑客扫描软件都是根据这一原因判断目标服务器操作系统的)。IIS的版

19、本为5.1，即Windows XP系统，Windows NT/2000/2003的IIS版本分为4.0、5.0、5.5。同样也可以利用此方法得到FTP服务器的类型。 (1) 在【命令提示符】程序窗口中的命令提示符下输入“iisreset /stop”命令停止IIS服务。 (2) 下载一款名为【WinHex】的十六进制文件编辑软件。安装完毕后运行【WinHex】程序，选择【文件】【打开】命令，打开%system32%system32inetsrvw3svc.dll程序，然后按Ctrl+F组合键打开【查找文本】对话框，查找“Microsoft-IIS/5.1”字段。 (3) 找到Microsoft

20、-IIS/5.1字段后，只要把此字段修改为想让IIS的Web服务器显示的Banner即可。我们将其修改为“www.54hack.org server/0.0”，然后选择【WinHex】程序菜单栏中的【文件】【保存】命令，对所修改的w3svc.dll进行保存。 (4) 由于Windows 2000/XP/2003系统后台的文件具有保护机制，当系统发现重要的文件被修改后会恢复备份文件，如果无法恢复时将会弹出【Windows文件保护】对话框，提示Windows所需的文件已被替换成无法识别的版本，插入安装盘恢复该文件。在这里我们不用理会此提示，单击【取消】按钮，接着系统会再次提示用户决定不还原文件的原

21、始版本，确实要保留这些不可识别的文件版本吗？此时单击【是】按钮即可。 (5) Banner修改已完成，接下来启动IIS服务。在【命令提示符】程序窗口中的命令提示符下输入“iisreset /start”命令启动IIS服务。 (6) 此时，同样在【命令提示符】程序下输入“telnet 192.168.1.12 80”命令，然后连续按两下回车键，就会在第二行发现Web服务器的版本信息已被修改为www.54hack.org server/0.0。这样可以迷惑入侵者，从而减小了服务器被攻击的几率。 除以上介绍的通过手工来修改Banner外，还可以利用第三方软件进行修改，如IIS/PWS Banner Edit、Apache-Win32 Banner Edit等就是修改系统Banner的小工具，而且操作简单。我们只需在它的New banner文本框中输入要修改的内容，然后单击Save to file按钮即可实现对Banner的修改，在这里不做介绍了。