网络安全：应用服务器安全设置实战

1.Web服务器安全设置

1）在计算机管理中设定一个新的用户组IIS guest，这个用户组将站点使用的匿名用户归类，方便管理。

2）新建一个用户以“U_”开头，以后站点的匿名用户就都是以“U_”开头，方便识别和管理（当然也可自己设定，只要方便识别即可）。然后去掉归属于user组的用户，并添加到guest用户组。比如新建的站点是“www.oblog.cn”，就新建一个“U_oblog.cn”用户，然后将它除去user组的隶属关系，然后将其加入guest组。

3）在发布网站存放的逻辑分区本地磁盘上新建一个文件夹作为网站目录，在这里新建“E：\wwwroot”为站点存放文件夹（目录最好带有迷惑性，如：E：\wirelesssecurity）。

4）将网站保存在此文件夹下：“E：\wirelesssecurity”。

5）设置IIS发布此站点，站点的主机头设为申请到的域名，如图6-1所示。

6）设置IIS匿名用户访问权限为刚刚新建的“U_oblog.cn”用户，如图6-2所示。

7）设置发布目录文件夹权限为所有“U_oblog.cn”用户读取运行权限，如图6-3所示。

8）设置“目录：U（用户日志生成静态目录）”，“目录：Uploadfiles（上传目录）skin下的skin.mdb根目录下的index.html等目录或文件权限为可以修改”。如图6-4所示。

图6-1 设置IIS发布此站点

图6-2 设置IIS匿名用户访问权限

图6-3 设置发布目录文件夹读权限

图6-4 设置发布目录文件夹写权限

图6-5 设置Uploadfiles文件夹为不可执行脚本

9）在IIS上设置Uploadfiles文件夹为不可执行脚本，如图6-5所示。

10）修改conn.asp和config.asp文件安全属性，适应前面做的安全设置。ASP的安全设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：

即可将WScript.Shell、Shell.application、WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。

还有另一种方法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。

11）访问之前已经设定好的网址，查看是否成功，“成功”即确定安装完成。

12）Windows下根目录的权限设置如下：

13）system 32根目录的设置：此目录中基本上是删除user组和其他不必要的组后，其余组的权限保留就行了。

（续）

2.FTP服务器安全设置

1）SERV-U默认安装在“C：\ProgramFiles\Serv-U”目录下，最好做一下变动。例如改为：D：\u89327850mx8utu432X$UY32x211936890co7v23x1t3（如图6-6所示）这样的路径，如果安装盘符Web用户不能浏览的话，很难猜到安装的路径。

2）如图6-7所示，后面的两个是说明和在线帮助文件，安装时候选前两项就可以了。

图6-6 修改安装的目录

图6-7 安装时候只需要选择前两项

3）图6-8是生成的开始菜单组里的文件夹的名字，建议更改成与SERV-U差别较大的名字，或者是删除该文件夹。

4）安装完成后会出现一个建立域和账号的向导。由于用向导生成的账号会带来一些问题，建议采用手工方式建立域和账号。单击“Cancel”按钮取消向导。如图6-9所示。

图6-8 更改安装后开始菜单组里文件夹的名字

图6-9 单击“Cancel”按钮取消向导(www.xing528.com)

5）然后选中Start automatically（system service）前面的选项，接着单击下边的Start Server按钮把SERV-U加入系统服务，这样SERV-U就可以随系统启动了，不用每次都手工启动，如图6-10所示。

图6-10 把SERV-U加入服务

6）通过单击“Set/Change Password”按钮设置一个密码，如图6-11所示。

7）因为是第一次使用，所以是没有密码的，不用在“Old password”里输入字符，直接在下面的“New password”和“Repeat new password”里输入同样的密码再单击“OK”按钮就可以了。这里建议设置一个足够复杂的密码，以防止别人暴力破解。如图6-12所示。

图6-11 单击“Set/Change Password”按钮设置密码

图6-12 设置和更改密码界面

8）下面对SERV-U进行安全设置。首先建立一个Windows账号sserv-u，密码也需要足够的复杂。密码也可以暂时保存在一个文件里，一会儿还要用到，如图6-13所示。

9）建好账号以后，双击建好的用户名，编辑用户属性，从“隶属于”里删除users组，如图6-14所示。

图6-13 建立一个Windows账号

图6-14 从隶属于里删除users组

10）从“终端服务配置文件”选项里取消“允许登录到终端服务器”的选择，然后单击“确定”按钮继续设置，如图6-15所示。

11）在“开始”菜单的管理工具里找到“服务”并单击打开。在“Serv-UFTPServer服务”上右击，选择“属性”继续。

12）然后单击“登录”进入登录账号选择界面。选择刚才建立的系统账号名，并在下面重复输入两次该账号的密码（就是刚才记住的那个），然后单击“应用”，再次单击“确定”按钮，完成服务的设置，如图6-16所示。

图6-15 取消“允许登录到终端服务器”

图6-16 更改启动和登录账号密码

13）接下来要先使用FTP管理工具建立一个域，再建立一个账号，建好后选择保存在注册表，如图6-17所示。

图6-17 FTP用户密码保存到注册表里

14）打开注册表来测试相应的权限，否则SERV-U是没办法启动的。在“开始”→“运行”里输入“regedt32”后单击“确定”按钮继续。

15）找到“HKEY_LOCAL_MACHINE\SOFTWARE\CatSoft”分支。在上面右击，选择“权限”，然后单击高级，取消“允许父项的继承权限传播到该对象和所有子对象”，包括那些在此明确定义的项目，单击“应用”继续，接着删除所有的账号。再次单击“确定”按钮继续。这时会弹出对话框显示“您拒绝了所有用户访问CatSoft。没有人能访问CatSoft，而且只有所有者才能更改权限。”，单击“是”继续。接着单击“添加”按钮增加刚刚建立的sserv-u账号到该子键的权限列表里，并给予完全控制权限。到这里注册表已经设置完了。但还不能重新启动SERV-U，因为安装目录还没设置。

16）现在就来设置一下，只保留管理账号和sserv-u账号，并给予除了完全控制外的所有权限，如图6-18所示。

17）现在，在服务里重启Serv-U FTP Server服务就可以正常启动了。当然，到这里还没有完全设置好，FTP用户因为没有权限还是登录不了的，所以还要设置一下目录的权限。

18）假设有一个Web目录，路径是“d：\web”。那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉，再加入sserv-u账号，切记将SYSTEM账号也删除掉。为什么要这样设置呢？因为现在已经是用sserv-u账号启动的SERV-U，而不是用SYSTEM权限启动的了，所以访问目录不再是用SYSTEM而是用sserv-u，此时SYSTEM已经没有用了，这样就算真的溢出也不可能得到SYSTEM权限。另外，Web目录所在盘的根目录还要设置允许sserv-u账号的浏览和读取权限，并确认在高级里设置只有该文件夹，如图6-19所示。

图6-18 SERV-U安装目录权限设置

图6-19 Web目录所在盘的权限设置

19）至此，设置全部结束。现在的SERV-U设置是配合IIS设置的，因为和IIS使用不同的账号，Web用户就不可能访问SERV-U的目录，并且Web目录没有给予SYSTEM权限，所以SYSTEM账号也同样访问不了Web目录，也就是说，即使使用MSSQL得到备份的权限也不能备份SHELL到Web目录。

3.数据库服务器安全设置

（1）MSSQL设置策略

System Administrators角色最好不要超过两个，如果是在本机最好将身份验证配置为Win登录，不要使用SA账户，为其配置一个较复杂的密码。

（2）删除以下具有破坏权限的存储过程、调用shell、注册表、COM组件

将代码全部复制到“SQL查询分析器”，单击菜单上的“查询”→“执行”，就会将有安全问题的SQL过程删除。

（3）更改默认SA空密码

数据库链接不要使用SA账户，单数据库单独设使用账户，只给public和db_owner权限。另外数据库不要放在默认的位置，SQL不要安装在Program file目录下面。