原理篇

我们将从入侵者入侵各个环节来作出对应措施
步步加固windows系统.
加固windows系统.共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计

我们现在开始从入侵者第步开始.对应开始加固已有windows系统.

1.扫描
这是入侵者在刚开始要做第步.比如搜索有漏洞服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作就是打开服务所需要端口.而将其他端口律屏蔽

2.下载信息
这里主要是通过URL SCAN.来过滤些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中DenyExtensions字段
来阻止特定结尾文件执行


3.上传文件
入侵者通过这步上传WEBSHELL,提权软件Software,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO.
通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关DLL.
如果需要使用.
那就为每个站点建立个user用户
对每个站点相应目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件Software.实时杀除上传上来恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加和修改文件行为进行阻止.

4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行.或者利用WebShell进行更加方便文件操作.
对应措施:取消相应服务和功能
般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下CLSID键内容
从/HKEY_CLASSES_ROOT/CLSID下面对应键值删除

5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.律无权限访问此文件.

6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户终端访问权限去掉.
限制CMD.EXE访问权限.
限制SQL SERVER内XP_CMDSHELL

7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形运行权限.由于WINDOWS系统下绝大部分应用都是GUI.
所以这步是每个入侵WINDOWS入侵者都希望获得
对应措施:端口限制
入侵者可能利用3389或者其他木马的类获取对于图形界面访问.
我们在第步端口限制中.对所有从内到外访问律屏蔽也就是为了防止反弹木马.
所以在端口限制中.由本地访问外部网络端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外端口.
阻断所有反弹木马.

8.擦除脚印
入侵者在获得了台机器完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己cmd.exe以及net.exe来替换系统自带.
将运行指令保存下来.了解入侵者行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器方式来保证记录完整性.
evtsys工具(http://engineering.purdue.edu/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.

我们要达到目就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录文件
即使操作了其他目录文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他所作所为还是会被记录下来.

额外措施:
我们可以通过增加些设备和措施来进步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出包进行内容过滤.
设置对HTTP REQUEST内request 或者form内容进行过滤
将SELECT.DROP.DELETE.INSERT等都过滤掉.
这些关键词在客户提交表单或者内容中是不可能出现.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另台服务器建立个SNORT.
对于所有进出服务器包都进行分析和记录
特别是FTP上传指令以及HTTP对ASP文件请求
可以特别关注下.

本文提到部分软件Software在提供下载RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好配置文件
IPSEC导出端口规则
evtsys
些注册表加固注册表项.

实战篇

下面我用例子.将是台标准虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制
A.对于我们例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许律阻止.这个是安全规则关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限
将所有盘符权限,全部改为只有
administrators组  全部权限
system  全部权限
将C盘所有子目录和子文件继承C盘administrator(组或用户)和SYSTEM所有权限两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone　默认读取及运行 列出文件目录 读取 3个权限
C:\WINDOWS\ 开放Everyone　默认读取及运行 列出文件目录 读取 3个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.

4.IIS
在IIS 6下.应用扩展内文件类型对应ISAPI类型已经去掉了IDQ,PRINT等等危险脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw  
.ida  
.idq  
.htr  
.idc  
.shtm
.shtml
.stm  
.prer
这样入侵者就无法下载.mdb数据库.这种思路方法比外面些在文件头加入特殊思路方法更加彻底.
即便文件头加入特殊.还是可以通过编码构造出来

5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险做法就是为每个客户,建立个windows用户
然后在IIS响应站点项内
把IIS执行匿名用户.绑定成这个用户
并且把他指向目录
权限变更为
administrators  全部权限
system  全部权限
单独建立用户(或者IUSER)  选择高级->打开除 完全控制,遍历文件夹/运行,取得所有权 3个外其他权限.

如果服务器上站点不多.并且有论坛
我们可以把每个论坛上传目录
去掉此用户执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行.

6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmulti'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemulti'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险扩展.

7.修改CMD.EXE以及NET.EXE权限
将两个文件权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe   root用户   所有权限
net.exe   root用户   所有权现
这样就能防止非法访问.
还可以使用例子中提供comlog
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行命令行指令

8.备份
使用ntbackup软件Software.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统ODBC

9.杀毒
这里介绍MCAFEE 8i 中文企业版
这个版本对于国内许多恶意代码和木马都能够及时更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件Software使用队列中MIME编码病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应.
而且无法对于MIME编码文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件Software中加入对WEB目录杀毒计划.
每天执行次
并且打开实时监控.

10.关闭无用服务
我们般关闭如下服务
Computer Browser
Help and Support
Messenger
Pr Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation

11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名键值
全部删除

12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改    成功,失败
审核系统事件    成功,失败
审核帐户登陆事件    成功,失败
审核帐户管理    成功,失败