1.  系统问题
         对于系统设置方面这里不做过多介绍。
         补丁问题，这个是比较重要的问题，一般服务器需要开的服务，排除第三个程序，关闭不用的一些服务。微软的自动更新功能，另外有一个重要的地方就是，微软的补丁只不是一处，还有很多管理员经常忽略某些方面，比如OFFICE等等，几年前的溢出，时至今日还依然有效。这里不得不提醒一下管理员，想问题要从总体上来考虑，不要局限于某个细节，有个全局观。


2.  策略问题

         这里包括密码策略，账户策略等等。这里对于密码，可以采用策略，密码定期更改，密码长度限制，更改默认的用户组等等。同时采用TCP/IP策略对没有端口进行限制，还有IPSEC对特定端口进行身份验证。
 一般情况下，比较好的方法是对外只开两个端口，一个是80端口，一个是代理端口。代理端口加上高强度的密码，对于FTP，其它等端口，可以采用连接上代理后，用SockCap等工具来连接；对于Serv-U可以更改本地密码，端口，改更启动权限等。这样可以一定程度上防范一些来自0day的攻击，如Serv-U溢出等。当然，这里所谓的策略并不只是这么几个，需要管理员灵活利用。
         设置屏幕保护密码，很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。
         系统所能提供的安全机制，对于防范系统有着很重要的意义。


3.  权限问题

         一个是目录权限问题，一个是系统自带的程序权限问题。
         目录权限，要注意的是系统盘有些默认是执行权限的，所以需要设置成没有执行权限。程序主要是对cmd.exe，cacls.exe，ftp.exe，net.exe，net1.exe，tftp.exe，tftpd.exe，cscript.exe……等等，所以可能用到的东西都进行设置，另外要注意完整性，例如net.exe，最好用dir /s net*.exe，系统自带的有好多个，如果你只限制一个的话，其它的照样可以用，这样一来还是会影响到系统的安全。具体设置请参见相关的文档。
         SQL Server 可以删除一些危险的内置存储过程；  以下列出危险的内置存储过程：
                 xp_cmdshell
                 xp_regaddmultistring
                 xp_regdeletekey
                 xp_regdeletevalue
                 xp_regenumkeys
                 xp_regenumvalues
                 xp_regread
                 xp_regremovemultistring
                 xp_regwrite
                 ActiveX自动脚本：
                 sp_OACreate
                 sp_OADestroy
                 sp_OAMethod
                 sp_OAGetProperty
                 sp_OASetProperty
                 sp_OAGetErrorInfo
                 sp_OAStop
         限制SQL用户的权限，防止被列目录 等。

4.  WEB安全问题

         为每个站点设置单独的启动用户，删除不常用到的ISAPI的类型，采用iis防火墙做相关的限制等。
         常见的攻击，诸如注入，暴库这类问题，可以在每个网页写个发邮件的脚本，当有出现500，403错误时，自动向管理员信箱里放送一封邮件，这样可以有针对性的对寻找对应网页，目录等启到一定的防护，同时对一些常见的页面，采用屏换的方式，这样一来可以解决一些来自暴力破解和注射时提供的一些敏感信息。
         不要忽略了默认数据库等这类低级错误。
         对于SQL注入可以加防注入系统，过滤特殊字符等，可以起到一定的防护作用。
         跨站相关防护处理，转义相关字符，如 
                ASP  
                  str=replace(str,"&","&") 
                  str=replace(str,":","：") 
                  str=replace(str,"=","=") 
                  str=replace(str,"<","<") 
                  str=replace(str,">",">") 
                  str=replace(str," "," ") 
                  str=Replace(Str,"""",""") 
                PHP
                  str_replace("\n", "<br />", $content);
                  str_replace("\t", "    ", $content);
                  str_replace("", "", $content);
                  str_replace("<","<", $content);
                  str_replace(">",">", $content);
                  str_replace("\t", '    ', $content);
                  str_replace("chr(10)","", $content);
                ………………
          对于后台最好做身份限制，另外对上传目录做没有执行权限设置，这里要注意的就是不要忽略了其它脚本语言的支持，对于Access数据库，我们建议，把数据库放在web根目录的上方，这样，即使插了马也没法提交shell。
 对于web还有一个比较重要的地方就是对组件的选择性控制，FSO,Shell.Application等组件，可以采用选择性的删除或改名，例如FSO，如果不是虚拟机的话，个人认为可以选择删掉。
          如果是PHP的站点的话，在条件允许的情况下，开启安全模式。
          总之，要根据具体情况而定，管理员可以随机应变。
 

5.  0day的攻击

          对于0day的攻击，目前来说我们能做的东西很少，可以选择采用监控的方式来对系统进行控制，对于日志文件，请不要给于删除的权限，这样可以从一定程度上得到被入侵后的相关信息，以便日后追击入侵者等。


6.  ARP(地址转发协议)欺骗
 

         利用协议的不足，在交换网络的混杂模式下，通过嗅探可以到一些很重要的数据，诸如明文的SQL Server密码，http数据包，SMTP，FTP等等。通常我们可以采用将MAC卡和IP绑定，但是在真实网络环境，有好多管理员并没有把mac卡和ip真正绑定好。或改用HTTPS方式访问，可以对ARP欺骗启到一定的限制。详情可以参考相关文档。


7.  社会工程学、钓鱼

          举一个例子(此例来源linzi[B.C.T])说明:
         有一天有一个人收到了一个信息，说他中了QQ的大奖，将一个QQ号1234567，密码是1234567，然后叫中奖者速修改密码，从这里，如果我是中奖者一般不会怀疑什么，因为他没有从我身上得到些什么，但，当中奖者把密码改完后，发现自己QQ被盗了，究其原因，钓鱼者利用了，很多人的一个弱点，就是使用同一个密码的习惯，当中奖者将密码改完后，钓鱼者去官方去查改后的密码，再用改后的密码去试中奖者的QQ，成功的话，用户的很多隐私被窃取，虚拟财产受侵犯.当然现在的QQ没法查改后的密码，我这里主要是提出一种思路.转到社工，问问你自己，是否在很多论谈使用差不多相同的ID，是否密码只有三个以内，你的ID是不是可以被google搜出来，攻击者可以攻入你注册过的站点，收集到你一定的密码档，然后，通过已收集的资料，做成一个字典，再对你进行暴破.个人建议自己的密码最好能弄进算法，个个密码都做到不同，这样一来，不只是对自己的隐私起保护作用，同时也保护了站点，域等的安全性。
 
 
3 总结
          这里我们可以看出很多的安全问题，都出于管理员对网络安全没有深入的认识。
          建议网站管理员，多关注网络安全相关动态，了解入侵者常用的入侵手段，以做好即时防护措施，把风险降到最低。
          这里我们只是对当前统计得到的数据做了简单的分析，并不通用，具体情况及实施办法请参见相关技术文档。
 
          由于本人的水平有限，有不妥之处还望斧正。

上一页  [1] [2]